Le standard ISO 27018 fournit des bonnes pratiques pour la protection des données à caractère personnel hébergées par les services de Cloud publics. Il complète les clauses de l’ISO 27002 utilisées dans le cadre de la certification des systèmes de management de la sécurité de l’information (SMSI) ISO 27001. Reconnues et appliquées par tous les grands fournisseurs Cloud, notamment américains ces bonnes pratiques sont particulièrement importantes en France car elles sont intégrées à des exigences légales nationales. La plus connue est la certification des hébergeurs de données de santé (HDS) qui impose explicitement la conformité à des clauses de l’ISO 27018. Ces bonnes pratiques sont aussi très intéressantes pour les DPO (Data Protection Officer) pour formaliser les mesures de sécurité entre le responsable de traitement (Data Controller) et ses sous-traitants Cloud (Data Processor) en application du Règlement Général sur la Protection des Données (RGPD).

Voir la première partie pour le mode d’emploi du standard et l’adaptation des clauses existantes.

Le CISSP est la certification la plus reconnue dans le monde de la cybersécurité. L’examen est exigeant et demande un travail préparatoire soutenu quel que soit le mode choisi (voir les conseils de préparation). Le programme officiel (Common Body of Knowledge) est régulièrement revu par l’(ISC)². Son contenu est très large. Il couvre de nombreux concepts, pratiques et techniques couramment utilisés en cybersécurité qu’un professionnel compétent doit connaitre, sans pour autant en être un expert. On dit souvent que le CISSP est « surfacique » : beaucoup de connaissances, jusqu’à la sécurité physique sont abordées sans être approfondies. Le champ des questions possibles est très large. Cet article est consacré au domaine 6 qui traite de l’évaluation et des tests de sécurité. Il représente 12 % du programme.

Le CISSP est la certification la plus reconnue dans le monde de la cybersécurité. L’examen est exigeant et demande un travail préparatoire soutenu quel que soit le mode choisi (voir les conseils de préparation). Le programme officiel (Common Body of Knowledge) est régulièrement revu par l’(ISC)². Son contenu est très large. Il couvre de nombreux concepts, pratiques et techniques couramment utilisés en cybersécurité qu’un professionnel compétent doit connaitre, sans pour autant en être un expert. On dit souvent que le CISSP est « surfacique » : beaucoup de connaissances, jusqu’à la sécurité physique sont abordées sans être approfondies. Le champ des questions possibles est très large. Cet article est consacré au domaine 5 qui traite de la sécurité des identités et des accès. Il représente 13 % du programme.

Le CISSP est la certification la plus reconnue dans le monde de la cybersécurité. L’examen est exigeant et demande un travail préparatoire soutenu quel que soit le mode choisi (voir les conseils de préparation). Le programme officiel (Common Body of Knowledge) est régulièrement revu par l’(ISC)². Son contenu est très large. Il couvre de nombreux concepts, pratiques et techniques couramment utilisés en cybersécurité qu’un professionnel compétent doit connaitre, sans pour autant en être un expert. On dit souvent que le CISSP est « surfacique » : beaucoup de connaissances, jusqu’à la sécurité physique sont abordées sans être approfondies. Le champ des questions possibles est très large. Cet article est consacré au domaine 4 qui traite de la sécurité des réseaux. Il représente 14 % du programme.

Deux questions simples sont souvent posées par les directions générales à leurs Responsables Sécurité des Systèmes d’Information ou Chief Information Security Officer. Quel est le niveau des cyber risques auxquels nous sommes exposés ? Quel est le gain que nous pouvons espérer si nous dépensons les millions que vous me demandez ? Les réponses encore plus simples sont souvent élevé pour la première et peu pour la deuxième ! C’est ce constat qui a conduit deux américains à concevoir une méthode d’analyse des risques de cyber sécurité avec une approche exclusivement quantitative.

L’affaire qui oppose le géant mondial de l’alimentation Mondelez et le groupe d’assurances Zurich sur un contentieux lié aux dommages réclamés dans le cadre d’une attaque de type Ransomware (programme malveillant NotPetya) et non réglés par l’assureur pose la question : à quoi servent les cyber assurances ? Cette interrogation renvoie à deux interrogations : Qu’est-ce qu’une cyber assurance aujourd’hui ? Quels sont les risques qu’on peut partager en souscrivant un contrat d’assurance..

EBIOS est une méthode d’analyse de risques développée dans sa version initiale par la DCSSI (direction centrale) devenue ANSSI (agence nationale). Cette méthode qui a évolué d’EBIOS 2010 vers EBIOS Risk Manager est couramment utilisée dans le cadre des homologations (défense, référentiel général de sécurité, activités d’importance vitales…), pour des certifications ISO 27001 et Cloud ou établir des attestations de conformité (SOC for Cybersecurity par exemple) L’analyse et le traitement des risques sont des activités de fond pour tout professionnel de la sécurité car il s’agit d’adapter les mesures de sécurité au niveau requis. EBIOS Risk Manager peut par conséquent être suivie dans un cadre plus large que les homologations et les certifications. D'autres types de méthodes, centrées sur le développement logiciel se concentrent sur la modélisation des menaces.

L’efficacité du processus de réponse aux incidents de sécurité est un bon indicateur du niveau de maturité d’une entité en cybersécurité. Ce processus doit encadrer les activités incontournables : détecter les événements suspects, gérer les faux positifs, déclencher les expertises appropriées, coordonner les actions de réaction, communiquer, améliorer le niveau de protection en travaillant sur les causes profondes. La possibilité de bénéficier des services d’un SOC (Security Operation Center), qu’il soit externe ou interne, ne règle pas tout. C’est l’efficacité du processus qui reste le point clé, les CISO / RSSI en sont les plaques tournantes.

L’association américaine AICPA qui représente les professions comptables (Certified Public Accountant) est active depuis de nombreuses années dans le domaine du contrôle interne et plus spécifiquement de la sécurité des systèmes d’information. A l’origine SAS 70 remplacé par le standard américain SSAE, et généralisé avec les certifications internationales ISAE 3402, les rapports « SOC » 1, 2 et 3 sont destinés à renforcer la confiance entre le client et son fournisseurs, sur les aspects financiers et sécurité. Ces niveaux de certification trouvent toute leur place dans le cadre des programmes de migrations massives vers les solutions de Cloud Public des groupes publics et privés. L’AICPA a mis au point un nouveau référentiel « SOC for Cybersecurity » que cet article se propose de présenter.

La migration d’applications ou d’infrastructures dans le Cloud, qu’il soit public ou privé, nécessite d’intégrer le plus en amont possible la cybersécurité. La question des certifications se pose : certifications, qualifications ou homologations des systèmes d’information mais aussi montée en compétence des collaborateurs travaillant sur les différents projets. Ce domaine évolue rapidement, cet article propose une synthèse des principales certifications.

Le standard ISO 27018 fournit des bonnes pratiques pour la protection des données à caractère personnel hébergées par les services de Cloud publics. Il complète les clauses de l’ISO 27002 utilisées dans le cadre de la certification des systèmes de management de la sécurité de l’information (SMSI) ISO 27001. Reconnues et appliquées par tous les grands fournisseurs Cloud, notamment américains ces bonnes pratiques sont particulièrement importantes en France car elles sont intégrées à des exigences légales nationales. La plus connue est la certification des hébergeurs de données de santé (HDS) qui impose explicitement la conformité à des clauses de l’ISO 27018. Ces bonnes pratiques sont aussi très intéressantes pour les DPO (Data Protection Officer) pour formaliser les mesures de sécurité entre le responsable de traitement (Data Controller) et ses sous-traitants Cloud (Data Processor) en application du Règlement Général sur la Protection des Données (RGPD).

L’utilisation des services de Cloud (IaaS, PaaS et SaaS) est en plein essor aussi bien dans les grands groupes que dans les petites organisations. Agilité, automatisation et efficacité amènent beaucoup de souplesse pour aligner l’informatique aux besoins des métiers. Les professionnels de la sécurité doivent s’adapter pour protéger ces environnements qu’ils soient publics ou privés. Deux grands axes de montée en compétence se dégagent. Le premier consiste à acquérir les concepts et réflexes clés : ce sont les objectifs des certifications CCSP et CCSK. La deuxième possibilité est de se concentrer sur une solution en passant les certifications proposées par les grands acteurs du marché en particulier américains (AWS, Microsoft Azure, Google). Cet article donne quelques conseils pour préparer et réussir les certifications CCSK et CSSP.

La vocation des plans de continuité d’activité (Business Continuity Plans) est de répondre à des situations critiques, rares mais pouvant avoir des impacts très forts. Les scénarios de sinistres pris en compte peuvent varier d’une entité à une autre. S’il s’agit souvent d’une indisponibilité d’un site principal (inondation, incendie, accident industriel), on peut aussi intégrer d’autres scénarios : pandémie, conflit social, attaque cyber de grande ampleur, rupture des services d’un prestataire essentiel. La démarche pour concevoir son système de management de la continuité d’activité est l’objet de la norme ISO 22301. Une étape initiale consiste à analyser les impacts métiers (Business Impact Analysis) pour identifier les activités critiques et les besoins de reprise. La norme ISO 22317 fournit un cadre et des bonnes pratiques pour réaliser cette analyse.

Les certifications ont le vent en poupe aussi bien pour les personnes que pour les infrastructures ou les applications Cloud. Encouragées par les régulateurs, notamment au travers du règlement général de protection des données personnelles, l’objectif est de renforcer la confiance des clients sur le niveau de sécurité des fournisseurs. La CSA (Cloud Security Alliance) propose une version renforcée de sa certification STAR avec un système de vérification continue. L’idée est d’aller plus loin que les certifications ou attestations classiques (ISO 27001 ou ISAE 3402) en imposant un système de contrôle permanent comprenant des indicateurs de sécurité validés et transmis régulièrement aux auditeurs.

Le CISSP est la certification la plus reconnue dans le monde de la cybersécurité. L’examen est exigeant et demande un travail préparatoire soutenu quel que soit le mode choisi (voir les conseils de préparation). Le programme officiel (Common Body of Knowledge) est régulièrement revu par l’(ISC)². Son contenu est très large. Il couvre de nombreux concepts, pratiques et techniques couramment utilisés en cybersécurité qu’un professionnel compétent doit connaitre, sans pour autant en être un expert. On dit souvent que le CISSP est « surfacique » : beaucoup de connaissances, jusqu’à la sécurité physique sont abordées sans être approfondies. Le champ des questions possibles est très large. Cet article est consacré au domaine 3 qui traite de la sécurité des architectures et de l’ingénierie. Il représente 13 % du programme.

Le CISSP est la certification la plus reconnue dans le monde de la cybersécurité. L’examen est exigeant et demande un travail préparatoire soutenu quel que soit le mode choisi (voir les conseils de préparation). Le programme officiel (Common Body of Knowledge) est régulièrement revu par l’(ISC)². Son contenu est très large. Il couvre de nombreux concepts, pratiques et techniques couramment utilisés en cybersécurité qu’un professionnel compétent doit connaitre, sans pour autant en être un expert. On dit souvent que le CISSP est « surfacique » : beaucoup de connaissances, jusqu’à la sécurité physique sont abordées sans être approfondies. Le champ des questions possibles est très large. Cet article est consacré au domaine 2 qui traite de la sécurité des biens (ou actifs) et représente 10% du programme.

Le CISSP est la certification la plus reconnue dans le monde de la cybersécurité. L’examen est exigeant et demande un travail préparatoire soutenu quel que soit le mode choisi (voir les conseils de préparation). Le programme officiel (Common Body of Knowledge) est revu régulièrement par l’(ISC)². Son contenu est très large. Il couvre de nombreux concepts, pratiques et techniques couramment utilisés en cybersécurité qu’un professionnel compétent doit connaitre, sans pour autant en être un expert. On dit souvent que le CISSP est « surfacique » : beaucoup de connaissances, jusqu’à la sécurité physique sont abordées sans être approfondies. Le champ des questions possibles est très large. Cet article est consacré au domaine 1 qui traite de la sécurité et la gestion des risques. Il représente 15% du programme.

Disponible depuis plusieurs années, le protocole SCAP (Security Content Automation Protocol) est de plus en utilisé aux Etats-Unis mais aussi en Europe. Ses spécifications visent à faciliter et automatiser les échanges d’informations entre les outils de sécurité pour tous les types d’équipements connectés au réseau : inventaire, vulnérabilités, éléments de configuration et de durcissement. Régulièrement mis à jour et amélioré, le protocole s’adapte aux nouveaux besoins. SCAP est très intéressant pour mettre en place un suivi continu et le plus exhaustif possible de la sécurité opérationnelle. Cet article donne quelques clés pour comprendre l’intérêt de ce protocole et les mises en œuvre possibles.

La plupart des groupes vivent au quotidien des transformations digitales structurantes. L’objectif est de développer le business avec des outils performants et sécurisés, de le faire vite, avec agilité et en maitrisant les coûts. Il faut créer de la valeur et la protéger. La sécurité doit évidemment accompagner cette transformation, sans la freiner mais avec des garanties que les risques sont traités et sous contrôle. On a de plus en plus besoin de professionnels de la sécurité qui participent activement aux phases de conception et de développement afin d’intégrer la sécurité de manière continue aux différents projets. Le travail des architectes sécurité est facilité si un cadre méthodologie est défini et adapté aux besoins et au contexte business de l’entité. Cet article examine comment utiliser le référentiel SABSA pour mettre en place ce cadre et faciliter le travail des architectes sécurité au sein des programmes de transformation (migrations vers des plateformes Cloud publics et privés, agilité dans les cycles de développement logiciel, initiatives « big data », test des technologies blockchain, utilisation des containers, développement d’API pour automatiser l’orchestration…).

Le référentiel cybersécurité du NIST américain (National Institute of Standards and Technology) est de plus en plus utilisé par les grands groupes, y compris européens. Conséquence de la loi de 2014 « Cybersecurity Enhancement Act », ce référentiel avait pour objectif initial de définir un socle de mesures de sécurité pour protéger les infrastructures vitales et l’économie américaines. Il s’est imposé comme standard international incontournable de la cybersécurité au même titre que les normes ISO 27000, le catalogue NIST 800-53 ou encore le référentiel CIS pour tous les domaines d’activités. Il est maintenant au programme des certifications individuelles en sécurité comme le CISSP, ou le CCSP par exemple.