Sécurité dans les développements : le modèle BSIMM.

Les vulnérabilités logicielles font partie des risques les plus élevés en cyber sécurité. Le référentiel BSIMM – Buiding Security in Maturity Model est un outil intéressant pour comparer ses activités de sécurisation du cycle de développement avec les bonnes pratiques du domaine. Une étude annuelle, mise à jour depuis 2008 est menée auprès d’une centaine de grands groupes nord-américains. Cette enquête est suffisamment précise pour quantifier les activités. Le Secure SDLC fait partie du domaine 8 de la certification CISSP. Il est aussi abordé dans les certifications de sécurité Cloud. Cela rejoint aussi les bonnes pratiques C-SCRM en termes de sécurité de la sous-traitance et normes ISO 27034 sur la sécurisation des applications. D'autres référentiels comme SAMM, SAFEcode et SSDF sont régulièrement utilisés.

DevSecOps, BSIMM, SecureSDLC, Développements

Lire la suite

Réponse aux incidents de cybersécurité.

La norme ISO 27035 et le référentiel 800-61 traitent de la gestion des incidents de cybersécurité. Le processus comprend cinq phases. La première phase, planification et préparation et la dernière, amélioration font l’objet du document ISO 27035-2. Les trois autres phases : détection, évaluation et décision et réponses sont couverts par la norme ISO 27035-3. Ce document fixe des bonnes pratiques pour mettre en place une capacité de réponse aux incidents efficace. PROSICA propose une formation intensive de deux jours sur ce sujet. La réponse aux incidents fait l'objet de 9 mesures de la catégorie 17 du référentiel CIS.

ISO 27035, IncidentResponse, RéponseIncidents, CERT, CTI, CSIRT

Lire la suite

Modélisation des menaces ou Threat Modeling

La modélisation des menaces (Threat Modeling) est une activité fondamentale pour identifier et traiter les failles dès la conception avant la phase de développement d’un logiciel ou d’un système. Cette activité fait partie des connaissances requises par les programmes des certifications CISSP : domaine 8, CCSP et CCSK. Certaines méthodes se focalisent sur les menaces et les problèmes de sécurité alors que d’autres comprennent une évaluation des risques au travers leur impact et leur vraisemblance. L’idéal est de planifier cette activité le plus tôt possible dans le cycle de développement, dès que l’architecture est définie. La modélisation doit être mise à jour si nécessaire. Par exemple dans le cas de changement de classification des informations, de modification de l’architecture, de changement de mode d’authentification ou d’autorisation, de modification des exigences métier concernant les exigences de traçabilité ou encore de mise à jour des méthodes cryptographiques.

CISSP, CCSP, CCSK, SécuritéCloud, SDLC, ThreatModeling, Modélisation

Lire la suite

CIPP/E™ : certification pour la protection des données personnelles

La CIPP/E (Certification Information Privacy Professional / Europe) est une certification européenne proposé par l’IAPP. Cette certification permet de valider que les connaissances élémentaires du droit européen sur la protection des données à caractère personnel sont acquises et que le corpus légal et réglementaire est maitrisé. Les autres certifications proposées par l’IAPP se concentrent sur d’autres zones internationales (Asie, Canada, Etats-Unis). Cette certification est souvent requise pour les fonctions de DPO (Data Protection Officer) ou CPO (Chief Privacy Officer). Les autres certifications de l’IAPP sont orientées technologie (CIPT), sur la mise en œuvre d’un programme de protection des données personnelles (CIPM) et l'intelligence artificielle (AIGP). PROSICA, organisme de formation certifié Qualiopi planifie régulièrement des sessions de deux jours  pour se préparer au CIPP/E. 

RGPD, GDPR, DPO, Données personnelles, Certifications, CIPP/E, Data Privacy

Lire la suite

Bonnes pratiques de sécurisation du Cloud AWS

Les certifications individuelles CCSK et CCSP abordent les concepts fondamentaux de sécurisation du Cloud, avec des approches différentes. AWS fait partie avec Azure et OVH des Cloud publics les plus prisés pour les services IaaS (Infrastructure as a Service) et PaaS (Platform as a Service). Les bonnes pratiques de sécurisation des environnements AWS sont disponibles dans plusieurs référentiels. Chez le fournisseur, on peut commencer par le guide « AWS Security Best Practices » qui bien que disponible en version archivée reste un document de synthèse intéressant. Un guide de durcissement du CIS est aussi téléchargeable gratuitement. Notons à ce sujet, une série d’outils développés dans le langage de script d’AWS pour auditer et mettre en œuvre ces éléments de sécurisation. Enfin le SANS a publié un guide très complet (Cloud Security Practical Guide to Security in the AWS Cloud) écrit par 18 contributeurs et formateurs cyber.

CCSP, CCSK, SécuritéCloud, AWS

Lire la suite

Les différences entre le CSSK et le CCSP

Les certifications individuelles sont de plus en plus requises par les entreprises qui recrutent des professionnels de la cybersécurité. Si le CISSP reste la certification généraliste la plus connue, l’utilisation massive des offres de Cloud publics et privés rend incontournable le besoin d’expertise cyber spécialisée dans ce domaine. Parmi les certifications proposées par les fournisseurs américains de solutions de Cloud publics, citons AWS Certified Security, AZ 500 de Microsoft et Professional Cloud Security Engineer de Google. Deux certifications « agnostiques » de sécurité du Cloud de détachent : le CCSK et le CCSP. Notons enfin la certification orientée audit du Cloud CCAK.  

Formations Cybersécurité, CCSP, CCSK

Lire la suite

Les CSIRT (Computer Security Incident Response Team)

Le premier CERT a été créé aux Etats-Unis en réponse à la propagation du premier programme autoreproducteur en novembre 1988 (ver Morris) sur les prémices d’Internet. La première cellule de réponse à incident était née et sera bientôt suivie par beaucoup d’autres que ce soit au niveau des agences nationales de sécurité, des groupes privés (bancaires en particulier) ou des sociétés spécialisées en cybersécurité. Le terme « CERT » ayant été enregistré aux Etats-Unis et son utilisation encadrée, c’est le terme CSIRT qui est souvent préféré. Rappelons que la série des normes ISO 27035 fournit des bonnes pratiques pour mettre en place un processus efficace de réponse aux incidents de sécurité.

ISO 27035, Réaction Incidents sécurité, SOC, RéponseIncidents, CERT, CTI, CSIRT, SOAR

Lire la suite

Cyber Threat Intelligence

Le concept de CTI (Cyber Threat Intelligence) est issu du monde du renseignement. Il vise à collecter les informations idoines pour identifier les menaces cyber, par exemple des indicateurs de compromission, des alertes ou des techniques d’attaques. L’objectif est d’améliorer l’efficacité de sa réponse aux incidents de sécurité en dotant les parties prenantes, en particulier les SOC et les CSIRT d’outils facilitant le partage d’informations. Comme dans le monde du renseignement, il ne suffit pas de collecter et partager des informations, il faut aussi les traiter pour prendre rapidement les bonnes décisions. Rappelons à ce sujet les normes ISO 27035 qui donnent un cadre pour améliorer son processus de qualification et de décision des événements et incidents de cybersécurité. Le CTI est de plus en plus intégré dans le référentiels de bonnes pratiques de cybersécurité, comme le référentiel CIS en particulier.

ISO 27035, Réaction Incidents sécurité, SOC, CERT, CTI, MISP, TTP, STIX, TAXII, IoC

Lire la suite

Le catalogue NIST 800-53-R5

Le référentiel 800-53 est un document important produit et mis à jour par la NIST américain depuis sa création en 2005. C’est un catalogue structurant pour les agences publiques américaines dans le cadre de leur mise en conformité FISMA avec le FIPS 199 pour la catégorisation du système et le FIPS 200 pour le choix des niveaux d’impact et de la sécurité associée. C’est aussi un document central pour les certifications de sécurité Cloud de type FedRamp. Au-delà des Etats-Unis, ce référentiel est beaucoup utilisé par les groupes internationaux, y compris européens. Il se révèle très pratique pour sélectionner des mesures de sécurité et des niveaux de protection, dans tous les domaines de la cybersécurité : gouvernance, systèmes, contrôle d’accès, réseaux, systèmes, ressource humaines, cryptographie…C’est un bon complément du NIST Cybersecurity Framework et du référentiel CIS.

ISO27017, RéférentielNIST, ISO27001, NIST, FISMA, NIST800-53, CybersecurityFramework

Lire la suite

Les investigations numériques

La détection des événements suspects et la qualification des incidents de sécurité sont des éléments clés du processus de réponse aux incidents de sécurité (voir quelques recommandations ici et ici), que l’on retrouve dans la série de normes ISO 27035. Les CISO/RSSI doivent intégrer cette capacité de détection et de réponse à leur politique de sécurité. L’investigation numérique ou « digital forensics » est une discipline spécifique de la cybersécurité, avec ses compétences et ses outils. Cet article dresse un aperçu des bonnes pratiques disponibles dans cette matière qui, si elle reste très ardue techniquement doit être mieux comprise et intégrée aux processus de réponse et réaction aux incidents.

Cybersécurité, SOC, InvestigationsNumériques, ISO27035, RéactionIncidents, RéponseIncidents, CERT

Lire la suite

ISO 27035 pour évaluer et améliorer sa réponse aux incidents de sécurité

En cybersécurité, la détection des événements suspects et la mise en œuvre de réactions adaptées est une tâche incontournable mais ardue. Les obstacles à surmonter sont nombreux : collecter et remonter des informations fiables, faire le tri entre les faux positifs et les indicateurs pertinents, disposer de l’expertise adaptée pour qualifier les incidents, mettre en place les bonnes réactions, communiquer au bon moment… Une vision focalisée seulement sur les moyens (services d’un SOC, outils de centralisation et de corrélation des logs, sondes de détection des intrusions, outils CTI, SOAR…) ne peut pas être efficace si elle ne s’inscrit pas dans une démarche organisée. Les normes ISO 27035 peuvent apporter une aide pour évaluer sa capacité à répondre aux incidents et améliorer son organisation. Sont abordés dans cet article à titre d’exemples, trois composants à évaluer.

Cybersécurité, ISO 27035, IncidentsSécurité, IncidentResponse, Security Operation Center, Réaction Incidents sécurité, Formation Incidents Sécurité, Forensic, InvestigationsNumériques

Lire la suite

L’automatisation de la sécurité dans DevOps

Les environnements Cloud et les cycles DevOps nécessitent un niveau d’automatisation élevé. La sécurité doit s’adapter à ces environnements en tendant vers le plus d’automatisation possible de ses activités. C’est ce qui permet de rester agile en préservant un niveau acceptable des risques. La Cloud Security Alliance (qui propose les certifications individuelles CCSK et CCAK pour les professionnels de la sécurité dans le Cloud et aussi l’attestation STAR pour les fournisseurs) coordonne un groupe de travail qui produit des guides très complets. Ces aspects font partie du programme du CISSP (bien qu’abordés de manière très généraliste) et des certifications CCSP et CCSLP.

CISSP, CCSP, CCSK, CCAK, DevSecOps, SAST, DAST, RASP, IaaC

Lire la suite

Le certification CCAK (Certificate of Cloud Auditing Knowledge)

La Cloud Security Alliance est une association pionnière dans le domaine de la sécurité du Cloud. Elle est à l’origine de la certification STAR pour les fournisseurs de solutions IaaS, PaaS et SaaS et de la certification CCSK pour les professionnels de la cyber sécurité. Elle est aussi fortement impliquée dans la certification CCSP. La nouvelle certification CCAK est destinée aux personnes qui veulent démontrer leur niveau d’expertise en termes d’audit de sécurité des solutions Cloud.

Cloud, CCSP, CCSK, CCAK

Lire la suite

Sécurité du Cloud : la certification CCSK

Plusieurs certifications individuelles permettent aux professionnels de la sécurité de démontrer leurs compétences et leur expérience dans le domaine du Cloud. Certaines sont spécifiques à un environnement, par exemple pour le Cloud public « AWS Certified Security Specialist » ou « Azure Security Engineer Associate ». Les certifications individuelles généralistes sur la sécurité du Cloud les plus reconnues sont le CCSP, proposée par l’ISC2 et la Cloud Security Alliance) et la certification CCSK (Certificate of Cloud Security Knowledge) de la même CSA. Le CCSK est sans doute un bon début pour tout professionnel qui souhaite passer une certification en sécurité du Cloud.

Cloud, Formations Cybersécurité, CCSP, CCSK, SécuritéCloud

Lire la suite

Livres de préparation à la certification CISSP

Le temps pour préparer la certification CISSP dépend bien entendu de l’expérience acquise en cybersécurité et du niveau de compétences en la matière. Comme le programme de l’examen est très « surfaçique », c’est-à-dire qu’il couvre tous les domaines de la cybersécurité sans les approfondir, il est rare qu’un professionnel de la sécurité, même chevronné, ne doive pas fournir un travail de révision conséquent, dans un des huit domaines (1, 2, 3, 4, 5, 6, 7 et 8) pour réussir l’examen. De nombreux livres de préparation sont disponibles, voici quelques exemples.

CISSP, Formations Cybersécurité, FormationCISSP

Lire la suite

Livre de préparation à la certification CIPP/E

La CIPP/E™ (Certification Information Privacy Professional / Europe) est une certification européenne proposé par l’IAPP. Cette certification atteste que les connaissances élémentaires du droit européen sur la protection des données à caractère personnel sont acquises et que le corpus légal et réglementaire est maitrisé. L’ouvrage « Determann’s Guide to Data Privacy Law, International Corporate Compliance » proposé par Lothar Determann constitue une excellente synthèse en matière de « Data Privacy Law ». C’est un bon point de départ pour bâtir la feuille de route du DPO. Ce livre, en anglais est une bonne préparation pour les examens de certification, aussi bien CIPP/E que CIPM. Les nouveautés du programme de l'examen du CIPP/E sont disponibles ici.

RGPD, GDPR, DPO, CIPP/E, Data Privacy, Determann

Lire la suite

Le référentiel COBIT

Le référentiel COBIT est proposé par l’ISACA. Il traite de la gouvernance et du management de l’IT en entreprise et fait partie du domaine EGIT (Entreprise Governance of Information & Technology). Les bénéfices d’une bonne gouvernance IT sont d’apporter une plus-value aux métiers en créant de la valeur, en optimisant la gestion des risques et des ressources. COBIT fait partie du corpus documentaire au programme du CISSP. Ce référentiel est abordé plus particulièrement dans le domaine 1 du programme du CISSP. Cet article propose une synthèse des concepts fondamentaux de ce référentiel. Même s’il n’est pas dédié à cela, COBIT peut aussi aider à mettre en place une gouvernance sécurité.

CISSP, COBIT, Gouvernance, ISACA

Lire la suite

ISAE 3402 : renforcer la confiance clients-fournisseurs

La démarche ISAE 3402 (International Standard on Assurance Engagements ) permet de gagner en confiance et en transparence dans la relation clients-fournisseurs. C’est une démarche reconnue internationalement qui bénéficie des initiatives américaines de l’AICPA et du support des associations internationales IAASB et IFAC. Ce standard est au programme des certifications individuelles de cybersécurité CISSP et sécurité du Cloud CCSP et CCSK. Cela rejoint les bonnes pratiques de sécurisation de la sous-traitance : voir la vidéo de présentation du SCRM et les bonnes pratiques pour mettre en place un programme C-SCRM.

CCSP, CCSK, ISO27001, ISAE3402, HDS, SOC

Lire la suite

Corpus documentaire du CISSP

Préparer l’examen CISSP exige un travail soutenu. Le programme comporte 8 domaines (voir les résumés des contenus 1, 2, 3, 4, 5, 6, 7 et 8) qui aborde tous les aspects de la cybersécurité sans toutefois les approfondir. Le programme revu tous les trois ans par l’ISC(2) cite de nombreuses références et ouvrages qui forment une partie de l’état de l’art. Un article précédent établit une liste des normes ISO dont il est recommandé d’avoir une idée du contenu. Voici une liste d’autres documents, dont beaucoup sont américains, importants à connaitre pour être certifié.A.

CISSP, Formations Cybersécurité, Certifications

Lire la suite

Sécurité des activités d'importance vitale

Le dispositif de sécurité des activités d’importance vitale (SAIV) est piloté en France par le SGDSN. Ce dispositif comprend des aspects liés à la sûreté, la sécurité physique et la cybersécurité. L’objectif est d’associer pouvoirs publics et entités publiques et privées, sur le périmètre de leurs activités les plus critiques pour la nation. La liste des entités OIV n’est pas publique. Les critères de désignation sont fixés par les ministères coordonnateurs. Plus récemment, des obligations ont été imposées par la directive NIS et ses transpositions nationales aux Fournisseurs de Service Numérique.

ANSSI, EbiosRiskManager, ContinuitéActivités, OIV, SIIV, SGDSN, PSO, PPP

Lire la suite