Le CISSP est la certification individuelle généraliste la plus reconnue en cybersécurité. Lancée en 1994 par l’ISC(2), elle est souvent requise ou considérée comme un plus dans les offres d’emploi en France pour les postes de CISO, RSSI et de consultants en sécurité. L’examen est difficile car il aborde tous les domaines de la cybersécurité. Il ne s’agit pas de de démontrer une expertise dans un domaine spécifique mais plutôt de justifier des connaissances minimales dans tous les domaines. Première certification à avoir obtenu la conformité à l’ISO 17024 (qui définit les exigences de qualité pour les certifications de personnes), le programme est revu tous les trois ans pour s’adapter aux évolutions. PROSICA est un organisme de formation qui prépare efficacement depuis plusieurs années ses clients à l’examen. Les taux de réussite et de satisfaction sont élevés. Issus de cette expérience, voici quelques conseils pratiques pour préparer l’examen et établir son plan de révision.
Mots clés: CISSP
FormationCISSP
Lire la suite
La norme ISO 27004 fournit des bonnes pratiques pour évaluer le niveau d’efficacité de son SMSI (système de management de la sécurité d’information). Il s’agit d’une exigence pour être certifié ISO 27001 et HDS, issue de la clause 9.1 « surveillance, mesures, analyse et évaluation ». L’organisation doit déterminer ce qu’il est nécessaire de surveiller, les méthodes, la fréquence, les responsabilités et les conditions d’analyse et de traitement des résultats. Au-delà de la certification ISO 27001, il est fondamental de mesurer son niveau afin de prendre les décisions de pilotage adéquates et de justifier les ressources, en particulier financières allouées à la cyber sécurité. D’autres documents fournissent des recommandations intéressantes comme le NIST 800–55 (performance measurement guide for information security) et la norme ISO 15939 (processus de mesure pour l’ingénierie des systèmes et du logiciel).
Mots clés: ISO 27001
ISO 27004
HDS
Indicateurs
NIST800-55
Lire la suite
Le NIST 800-70 est un guide destiné aux professionnels de la cybersécurité qui utilisent et développent des check-lists. Il s’agit de documents qui contiennent des instructions ou des procédures pour configurer un composant informatique dans son environnement opérationnel. Appelés aussi guides de durcissement, ils permettent de minimiser la surface d’attaque, réduire les vulnérabilités et limiter les impacts des attaques réussies.
Mots clés: SCAP
NIST
Durcissement
Check-list
BenchmarkCIS
Lire la suite
La sécurisation des API (interfaces) constitue un challenge important pour les équipes de développement. Dans les environnements Cloud, par construction fortement automatisés, le manque de sécurité des API est considéré comme une des principales menaces. OWASP publie son « top ten » des dix vulnérabilités de développement des API les plus critiques. Ce référentiel facilite la prise en compte de la sécurité dans le cycle de développement décrit dans les normes ISO 27034.
Mots clés: Cloud
CCSP
CCSK
API
OWASP
Lire la suite
Les FSN (Fournisseurs de Service Numérique) correspondent aux entreprises de plus de 50 salariés ou qui réalisent plus de 10 millions de chiffre d’affaire et qui ont des activités dans le domaine du Cloud, des moteurs de recherches et des « market places ». Au sens de la loi européenne, le « market place » ou « place de marché en ligne » est un terme très vaste qui regroupe des activités comme le traitement de transactions, l'agrégation de données, le profilage d'utilisateurs, les magasins d'applications en ligne, la distribution numérique d'applications ou de logiciels émanant de tiers.
Mots clés: Conformité
FSN
Fournisseurs de Service Numérique
DirectiveNIS
Lire la suite
Plusieurs études ainsi que les retours d’expériences des grands donneurs d’ordre mettent en avant le manque de ressources humaines en cybersécurité. CISO, architectes, chefs de projets, analystes SOC, spécialistes analyses de risques, auditeurs, investigateurs numériques : compétences et expériences attendues sont très différentes suivant les postes. Des référentiels existent pour décrire, catégoriser et mesurer les niveaux requis. Ils complètent à cet égard les nombreuses certifications professionnelles disponibles dans ce domaine, massivement utilisées depuis longue date aux Etats-Unis et depuis quelques années en Europe. Ces référentiels et certifications sont des sources très utiles pour les groupes de toute taille qui souhaite formaliser leur grille de métiers en cybersécurité et proposer à leurs employés des parcours de formation.
Mots clés: ANSSI
Cybersécurité
Compétences
NIST
NICE
800-181
Lire la suite
La gestion de la documentation en matière de protection des données personnelles est ardue, en particulier pour les multinationales soumises à des lois et des besoins métiers différents. Cet article propose une synthèse des fondamentaux à appliquer. Ces éléments sont détaillés dans nos formations préparant à la certification européenne CIPP/E de l'IAPP et à la certification DPO France mise en place par la CNIL.
Mots clés: RGPD
GDPR
DPO
CNIL
Documentation
Compliance
Conformité
CIPP/E
IAPP
Lire la suite
Le CISSP est la certification la plus reconnue dans le monde de la cybersécurité. L’examen est exigeant et demande un travail préparatoire soutenu quel que soit le mode choisi (voir les conseils de préparation). Le programme officiel (Common Body of Knowledge) est régulièrement revu par l’(ISC)2. Son contenu est très large. Il couvre de nombreux concepts, pratiques et techniques couramment utilisés en cybersécurité qu’un professionnel compétent doit connaitre, sans pour autant en être un expert. On dit souvent que le CISSP est « surfacique » : beaucoup de connaissances, jusqu’à la sécurité physique sont abordées sans être approfondies. Le champ des questions possibles est très large. Cet article est consacré au domaine 7 qui traite de la sécurité des opérations. Il représente 13 % du programme..
Mots clés: CISSP
Certification
FormationCISSP
Lire la suite
Le standard ISO 27018 fournit des bonnes pratiques pour la protection des données à caractère personnel hébergées par les services de Cloud publics. Il complète les clauses de l’ISO 27002 utilisées dans le cadre de la certification des systèmes de management de la sécurité de l’information (SMSI) ISO 27001. Reconnues et appliquées par tous les grands fournisseurs Cloud, notamment américains ces bonnes pratiques sont particulièrement importantes en France car elles sont intégrées à des exigences légales nationales. La plus connue est la certification des hébergeurs de données de santé (HDS) qui impose explicitement la conformité à des clauses de l’ISO 27018. Ces bonnes pratiques sont aussi très intéressantes pour les DPO (Data Protection Officer) pour formaliser les mesures de sécurité entre le responsable de traitement (Data Controller) et ses sous-traitants Cloud (Data Processor) en application du Règlement Général sur la Protection des Données (RGPD).
Voir la première partie pour le mode d’emploi du standard et l’adaptation des clauses existantes.
Mots clés: RGPD
DPO
SécuritéCloud
ISO27001
ISO27018
Lire la suite
Le CISSP est la certification la plus reconnue dans le monde de la cybersécurité. L’examen est exigeant et demande un travail préparatoire soutenu quel que soit le mode choisi (voir les conseils de préparation). Le programme officiel (Common Body of Knowledge) est régulièrement revu par l’(ISC)2. Son contenu est très large. Il couvre de nombreux concepts, pratiques et techniques couramment utilisés en cybersécurité qu’un professionnel compétent doit connaitre, sans pour autant en être un expert. On dit souvent que le CISSP est « surfacique » : beaucoup de connaissances, jusqu’à la sécurité physique sont abordées sans être approfondies. Le champ des questions possibles est très large. Cet article est consacré au domaine 6 qui traite de l’évaluation et des tests de sécurité. Il représente 12 % du programme.
Mots clés: CISSP
Formations Cybersécurité
Certification
FormationCISSP
TestsSecurité
Lire la suite