Questionnaire d’auto-évaluation de la sécurité Cloud

Le CAIQ (Consensus Assessments Initiative Questionnaire) s’aligne sur les spécifications de la CCM. Ce questionnaire permet d’aider les organisations à conduire leurs autoévaluations pour tester leur conformité vis-à-vis de la matrice de mesures CCM. Il est développé pour la certification STAR, niveau 1 de la Cloud Security Alliance. STAR 2 requiert des audits indépendants et STAR 3 des audits continus. Les fournisseurs de services Cloud certifiés STAR sont répertoriés dans le registre de la CSA. La connaissance du CAIQ fait partie du programme des certifications individuelles CCSK et CCSP.

CCSP, CCSK, STAR, CCM, CAIQ

Lire la suite

Traiter les cyber-risques liés à la sous-traitance : la norme ISO 27036

La cybersécurité des fournisseurs fait partie des risques majeurs à analyser et traiter. Le concept de SCRM est souvent évoqué et fait partie du programme de la certification CISSP. Le NIST a publié des bonnes pratiques dans son référentiel 8276. La série de normes ISO 27036 propose des guides et des bonnes pratiques pour sécuriser les relations avec ses fournisseurs. L'EBA publie des lignes directrices pour le secteur bancaire.

SCRM, Sous-traitance, ISO27036

Lire la suite

Le programme de la certification CCSP

La certification individuel CCSP de l’ISC(2) (Certified Cloud Security Professional) fournit l’assurance qu’un professionnel de la cybersécurité possède les connaissances, les compétences et les savoir-faire pour intervenir sur des projets et des environnements de Cloud privés et publics. Pour passer l’examen, il faut maîtriser les référentiels liés à plusieurs domaines : architecture, conception, opération et orchestration. La réglementation et la conformité sont aussi des éléments indispensables à connaître. Le programme de l’examen est revu tous les trois ans. Il est articulé en six domaines : architecture et conception, sécurité des données, sécurité des infrastructures, sécurité applicative, sécurité des opérations, conformité – risques et aspects légaux. Comme le CISSP, la certification CCSP est conforme aux exigences de l’ISO 17024. Pour être certifié il faut un minimum de cinq années d’expérience professionnelle dont trois ans en cybersécurité et un an dans au moins un domaine du programme. Les titulaires de la certification CCSK peuvent s’abstenir de justifier de cette expérience d’un des six domaines.

Cloud, Certifications, CCSP, CCSK

Lire la suite

Cycle de développement sécurisé : le référentiel de SAFECode.

La prise en compte de la cyber sécurité dans les cycles de développement est une activité primordiale. Plusieurs référentiels de bonne pratique sont disponibles. Par exemple, la norme ISO 27034 fournit un cadre pour renforcer la sécurité du processus de développement. Autres exemples, le modèle BSIMM et SSDFSAFECode est une association internationale qui se focalise sur les bonnes pratiques visant à améliorer la sécurité dans les développements. Cette organisation publie et met à jour régulièrement son référentiel de sécurisation du cycle de développement. Comment identifier les exigences. Comment gérer les composants externes « OpenSource » ou et propriétaires. Comment gérer les problèmes de sécurité. Comment traiter les vulnérabilités découvertes dans ses applications.

SDLC, BSIMM, Développements, ISO 27034, SAFECode

Lire la suite

Gestion des cyber-risques : la norme ISO 27005

La norme ISO 27005 fournit des bonnes pratiques pour analyser et traiter les risques de cybersécurité. Ce guide est particulièrement utile pour mettre en œuvre un SMSI (Système de Management de Sécurité de l’Information) certifié ISO 27001 ou pour les hébergeurs de données de santé en France. ISO 27005 ne constitue pas une méthode comme EBIOS Risk Manager ou FAIR. Cette norme est plutôt un guide qui propose des lignes directrices à la gestion des cyber-risques, à l'instar du référentiel de l'ISACA pour les risques IT. Chaque activité décrite dans la norme comprend les éléments d’entrée requis, la description des actions, des préconisations de mise en œuvre et les éléments de sortie.

ISO 27001, Risques, Cyber Risques, ISO 27005

Lire la suite

Cartographie des systèmes d’information

La cartographie des systèmes d’information fait partie des prérequis à toute démarche de cybersécurité. Elle est indispensable en amont lors des analyses de risques, par exemple dans la méthode EBIOS Risk Manager ou le référentiel de l'ISACA sur les risques IT. La cartographie participe aussi fortement à l’efficacité du processus de réponse à incident. On reconnait cette bonne pratique dans de nombreux référentiels comme le NIST 800-53, le NIST CSF (dans la fonction identifier), la CCM pour la sécurité des environnements Cloud ou encore l’ISO 27002 qui préconise des mesures de sécurité en application du SMSI ISO 27001. Pour les entités qui doivent se conformer au standard PCI DSS, la cartographie fait partie de l’exigence 2.4 (maintenir un inventaire des composants du périmètre PCI DSS). L’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) insiste sur ce point, en particulier pour les opérateurs d’importance vitale. L’agence a récemment mis à jour son guide pour établir cette cartographie.

ANSSI, OIV, Cartographie

Lire la suite

Principes d’investigation sur incident

La norme ISO 27043 propose des lignes directrices pour élaborer des processus d’investigation sur incident impliquant des preuves numériques. L’investigation numérique utilise des méthodes scientifiques éprouvées pour procéder à l’identification, la collecte, le transport, le stockage, l’analyse, l’interprétation, la présentation, la distribution et éventuellement la destruction de preuves numériques. Les investigations numériques font partie du processus de réponse aux incidents de cybersécurité, pour lequel la série de normes ISO 27035 fournit des bonnes pratiques. Les investigations numériques comportent des exigences légales relatives notamment à la recevabilité des preuves devant une cour de justice. Si les exigences de recevabilité varient entre les juridictions, deux éléments fondamentaux sont la pertinence des preuves par rapport aux faits et l’authenticité, en démontrant que les preuves sont ce qu’elles sont censées être. Par exemple le juge pourra demander la garantie démontrable qu’un disque provient bien d’un serveur donné et qu’il n’a pas été modifié depuis sa collecte.

Réaction Incidents sécurité, ISO27043, ISO7035

Lire la suite

Certification ISO 27001

Mettre en œuvre un système de management de la sécurité de l’information (SMSI) certifié ISO 27001 est décidé par de plus en plus d’entreprises privées et publiques. Pour répondre à une exigence légale, par exemple pour le cas des hébergeurs de données de santé ou bien prouver à des clients potentiels qu’un cadre de cybersécurité est en place, par exemple pour les fournisseurs de service Cloud. Le travail pour être certifié dépend de plusieurs facteurs : maturité en cybersécurité, taille et complexité de l’entité, niveau de formalisation des processus, implication de la direction et des métiers, documentation existante. Plusieurs démarches de conformité s’inspirent de l’ISO 27001 comme la qualification SecNumCloud de l’ANSSI en France.

ISO 27001, Conformité

Lire la suite

Le référentiel SecNumCloud

Le référentiel SecNumCloud est proposé par l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) pour qualifier les prestataires de services de Cloud. Il peut être aussi utilisé comme un guide de bonnes pratiques en dehors de tout contexte réglementaire. Pour obtenir la qualification, les prestataires doivent appliquer toutes les exigences du référentiel. Cette initiative a pour objectif de renforcer la confiance entre les clients et les fournisseurs Cloud à l’instar de FedRamp aux Etats-Unis, du catalogue allemand C5 ou encore du schéma de certification européen introduit par le CyberSecurity Act. Ces aspects conformité sont largement dans les certifications Cloud CCSP et CCSK.

Cloud, ANSSI, CCSP, CCSK, Conformité, SecNumCloud

Lire la suite

Sécurité des applications : la norme ISO 27034

La norme ISO 27034 fournit un cadre et des bonnes pratiques pour intégrer la sécurité dans le cycle de développement et d’acquisition des applications. Cette norme fait partie du programme des certifications CISSP, domaine 8, et CCSP. La sécurité des applications est influencée par le contexte métier de l’entité, ses exigences légales et réglementaires et son environnement technique. Le bénéfice de ce cadre est d’apporter la démonstration que la sécurité est intégrée tout au long du cycle de développement. Cette norme fait le lien avec d’autres référentiels comme l’ISO 29193 (conception sécurisée des systèmes), l’ISO 21827 (Systems Security Engineering – Capability Maturity Model), l’ISO 27001 (certification d’un système de management de la sécurité de l’information), l’ISO 27005 (gestion des risques de sécurité de l’information). Ce référentiel complète les principes de conception sécurisée (critères communs et ISO 19249). Cette norme complète d'autrs référentiels, utiles pour sécuriser son cycle de développement, voir par exemple les référentiels SAFECode et SSDF et le modèle BSIMM.

CISSP, CCSP, SSDLC, Applications, ISO 27034

Lire la suite

COSO ERM

COSO ERM (Committee of Sponsoring Organizations of the Treadway Commission Entreprise Risk Management) est très utilisé pour le contrôle interne et la gestion des risques. Il reste au programme actuel de la certification CISSP, inclus dans le domaine 1 des connaissances à maitriser pour réussir l’examen. C’est en 1985 que 5 organisations (American Accounting Association, l’institut américain des CPA, Financial Executives International, Association of Accountants and Financial Professionals in Business, Institute of Internal Auditors) ont pour la première fois publié le rapport « National Commission of Fraudulent Financial Reporting ». Depuis cette date le COSO « Committee of Sponsoring Organizations of the Treadway Commission » propose des guides et des bonnes pratiques en gestion des entreprises, contrôle interne et traitement des fraudes.

CISSP, ContrôleInterne, COSO, ERM

Lire la suite

Bonnes pratiques pour la sécurité dans le Cloud : la norme ISO 27017

La mise en place d’un système de management de la sécurité de l’information (SMSI) certifié ISO 27001 passe par la mise en œuvre de bonnes pratiques détaillées dans la norme ISO 27002. La norme ISO 27017 complète ces bonnes pratiques pour les services de Cloud. La sélection des mesures doit être la conclusion d’une analyse de risques, en utilisant par exemple la méthode EBIOS. Les exigences légales et réglementaires sont prises en considération en amont de l’analyse. Certaines mesures préconisées par l’ISO 27017 sont destinées aux clients et d’autres aux fournisseurs Cloud. La sécurité dans le Cloud mettant en jeu une relation client / fournisseur, y compris dans la plupart des cas des Cloud privés pour lesquels plusieurs parties interviennent, la sécurité de la chaine de sous-traitance joue un rôle important : se référer à ce sujet à la série ISO 27036 et au concept de SCRM. ISO 27017 est aussi utilisé par le catalogue allemand C5 et par les bonnes pratiques Cloud de la CSA.

Cloud, ISO 27001, ISO27017, CCSP, CCSK

Lire la suite

SOAR - Security Orchestration, Automation and Response

Les outils de type SOAR - Security Orchestration, Automation and Response dont l’acronyme a été popularisé par le Gartner permettent d’améliorer l’efficacité du processus de réponse aux incidents en automatisant les phases de détection, de triage et de réaction. Ces outils sont de plus en plus recherchés en complément des SIEM – Security Information and Event Management utilisés par les SOC et des plateformes de CTI . Les outils SOAR sont au programme de la certification CISSP et abordés dans le domaine 7. Le marché des outils SOAR est en forte croissance avec des acteurs comme IBM Resilient, Splunk Phantom, Demisto Palo Alto Networks, Fireye, Logrhythm ou FortiSOAR. Voici quelques exemples de tâches qu’on peut automatiser avec les outils SOAR. Ces tâches sont classées selon les fonctions du référentiel NIST CSF.

CISSP, RéférentielNIST, IncidentsSécurité, IncidentResponse, SOC, SOAR, ThreatIntelligence, PDIS, PRIS

Lire la suite

Les Clauses Contractuelles Types (CCT)

Les Clauses Contractuelles Types (CCT) ou Standard Contractual Clauses (SCC) sont un des mécanismes juridiques de transferts internationaux de données à caractère personnel en dehors de l’espace économique européen. Elles font partie des connaissances à maitriser pour réussir la certification CIPPE/E de l’IAPP. L’entrée en vigueur des nouvelles clauses de la Commission Européenne a été fixée à septembre 2021. Les importateurs et les exportateurs de données peuvent continuer à invoquer les anciennes CCT jusqu’au 27 décembre 2022. Les CCT intègrent la jurisprudence de la Cour de Justice de l’Union Européenne de l’affaire « Schrems II » qui a par ailleurs abouti à l’invalidation d’un autre mécanisme de transfert, le « Privacy Shield ».

RGPD, GDPR, CIPP/E, SCC, CCT, Contrats, Sous-traitants, Transfert

Lire la suite

Le référentiel des risques Cloud de l’ENISA

L’agence européenne de la sécurité des systèmes d’information, l’ENISA (European Network an Information Security Agency) basée à Heraklion, dont le rôle a été renforcé par le règlement européen CyberSecurity Act a publié un référentiel des risques Cloud en 2009 et revu en 2012. Ce référentiel fait partie du programme des certifications CCSK et CCSP. Il aborde les bénéfices des services Cloud pour la sécurité, les risques et propose une évaluation générique en fonction de la vraisemblance et de l’impact métiers des scénarios envisagés.

Cloud, CCSP, CCSK, Risques, ENISA

Lire la suite

Le concept Zero Trust

Le terme « Zero Trust »  - ZT symbolise un changement de paradigme important en cybersécurité. Le principe est de se focaliser sur les utilisateurs, les assets et les ressources avec des protections dynamiques et adaptées au risque plutôt qu’une défense statique et périmétrique. Les architectures Zero-Trust (ZTA) ont été ajoutées aux connaissances du nouveau programme du CISSP. Le NIST a publié son SP 800-207 qu’il est intéressant de consulter pour aller au-delà des définitions et comprendre comment les concepts peuvent être mis en œuvre sur les systèmes d’information actuel. Ces concepts sont étroitement liés aux aspects IAM que le NIST a par ailleurs largement détaillé dans la série SP 800-63. Le DoD américain publie le document « Zero Trust Reference Architecture » qui détaille les composants à mettre en œuvre.

CISSP, ZeroTrust, ZeroTrustArchitecture, DLP, ZTA

Lire la suite

Le référentiel CIS

Le référentiel « CIS Controls » est régulièrement mis à jour par l’organisation Center For Internet Security qui produit aussi les guides « CIS benchmarks » massivement utilisés pour durcir les systèmes. Le référentiel CIS est un catalogue de bonnes pratiques en cyber sécurité. Il est adapté aussi bien pour les petites entreprises que pour les grands groupes. Ce référentiel est au programme du domaine 1 de la certification CISSP au même titre que d’autres documents : ISO 27002, NIST 800-53 ou encore référentiel « NIST CSF ». Il fait partie de la même catégorie que le guide d’hygiène de l’ANSSI en France.

CISO, CISSP, Gouvernance, CIS, Référentiels

Lire la suite

Architecture d’entreprise dans le Cloud

Le guide de référence d’architecture d’entreprise dans le Cloud est un document maintenu par la Cloud Security Alliance (CSA). Il est au programme des certifications CCSK et CCSP. Il est basé sur l’utilisation de quatre modèles : TOGAF, ITIL, SABSA et JERICHO. Il complète la CCM utilisée en particulier pour les certifications STAR. Ce guide d’architecture ou Entreprise Architecture Reference Guide (EARG) peut être utilisé aussi bien par les fournisseurs que par les clients de solutions Cloud. Il peut servir de guide  pour un plan d’amélioration, une feuille de route, une évaluation de différents fournisseurs ou pour identifier les services à mettre en place.

CCSP, CCSK, SABSA, CCM

Lire la suite

Nouveau programme de la certification CIPP/E

L’IAPP est un organisme international qui propose des certifications individuelles dans le domaine de la protection des données personnelles. La certification CIPP/E valide que les connaissances élémentaires sur la protection des données à caractère personnel sont acquises et que le corpus légal et réglementaire européen est maitrisé. Le programme de la certification est complet et l’examen demande un travail individuel soutenu. Comme toute certification individuelle, les thèmes abordés à l’examen sont régulièrement mis à jour. La version de l’examen en vigueur à partir du 1er juillet 2021 développe et précise de nouveaux thèmes comme les évaluations liées aux transferts de données ou « Transfert Impact Assessment » (TIA), aux actions collectives ou Class Actions et à l’intelligence artificielle ou Artificial Intelligence (AI).

RGPD, GDPR, CIPP/E, IAPP, Data Privacy, PrivacyShield, SCC, CCT

Lire la suite

Gouvernance de la cybersécurité

Le programme du CISSP en vigueur depuis le 1er mai 2021 aborde dans le domaine 1 plusieurs concepts fondamentaux qui font partie des basiques de la fonction du CISO (voir les 10 conseils pour bien démarrer dans cette fonction, parties 1 et 2). Il s’agit notamment des aspects gouvernance, conformité, régulation, documentation, gestion des sous-traitants et programmes de sensibilisation. La norme ISO 27014 fournit une série de bonnes pratiques pour mettre en place une gouvernance en cybersécurité. D’autres référentiels font partie du programme du CISSP comme COBIT, SABSA, la norme ISO 38500 (gouvernance IT), le NIST CSF, le référentiel CIS et COSO ERM et bien entendu la certification ISO 27001.

CISSP, Certifications, SABSA, ISO27001, COBIT, Gouvernance, ISO27014

Lire la suite

Sécurité des environnements de conteneurs

Les conteneurs sont massivement utilisés par les équipes de développement. Extrêmement légers,  ils partagent le même noyau et démarrent très rapidement. Leur exécution demande peu de mémoire en comparaison avec le lancement d'un système d'exploitation. Docker est un des formats de conteneurs Open Source les plus rencontrés. La sécurité des environnements de conteneurs est au programme du CISSP en vigueur depuis le 1er mai 2021 mais aussi des certifications « sécurité du Cloud » comme le CSSP, le CCSK et le « petit nouveau » pour les auditeurs : le CCAK.

Cloud, CISSP, Certifications, SécuritéCloud, Conteneur, Docker, Container

Lire la suite