Le principe « Zero Trust » (ZT) est un concept régulièrement évoqué en cybersécurité. Il a d'ailleurs été intégré à la dernière version du programme de la certification CISSP. Il s’agit de ne pas donner des droits d’accès à des utilisateurs ou à des équipements seulement sur des critères de localisation périmétrique (par exemple Internet ou réseau interne). Ce changement de paradigme est très lié au besoin des métiers d’accéder à des ressources depuis des équipements divers (tablettes, smartphones, ordinateurs portables voire objets connectés). C’est aussi la conséquence de l’utilisation massive du Cloud, public et privé. Le NIST américaine travaille beaucoup sur ces concepts. Google communique aussi régulièrement sur leur BeyondCorp. L’article ci-dessous propose une synthèse des travaux du groupe de travail publiant le document NIST 800-27 (Zero Trust Architecture).

Préparer l’examen CISSP exige un travail soutenu. Le programme comporte 8 domaines (voir les résumés des contenus 1, 2, 3, 4, 5, 6, 7 et 8) qui aborde tous les aspects de la cybersécurité sans toutefois les approfondir. Le programme officiel proposé par l’ISC(2) cite de nombreuses références et ouvrages qui forment une partie de l’état de l’art. Cet article dresse une liste de quelques normes ISO, dont il est conseillé à minima de connaitre l’existence et un résumé du contenu avant de se présenter à l’examen. Ces références sont intégrées à la formation intensive proposée par PROSICA.

Le CISSP est la certification individuelle généraliste la plus reconnue en cybersécurité. Lancée en 1994 par l’ISC(2), elle est souvent requise ou considérée comme un plus dans les offres d’emploi en France pour les postes de CISO, RSSI et de consultants en sécurité. L’examen est difficile car il aborde tous les domaines de la cybersécurité. Il ne s’agit pas de de démontrer une expertise dans un domaine spécifique mais plutôt de justifier des connaissances minimales dans tous les domaines. Première certification à avoir obtenu la conformité à l’ISO 17024 (qui définit les exigences de qualité pour les certifications de personnes), le programme est revu tous les trois ans pour s’adapter aux évolutions. PROSICA est un organisme de formation qui prépare efficacement depuis plusieurs années ses clients à l’examen. Les taux de réussite et de satisfaction sont élevés. Issus de cette expérience, voici quelques conseils pratiques pour préparer l’examen et établir son plan de révision.

Le NIST américain publie un référentiel pour améliorer la gestion des risques liés au traitement de données personnelles. Le document suit la même trame que le NIST CSF, centré sur la cyber sécurité et qui rencontre beaucoup de succès, y compris en Europe. C’est un cadre flexible et très utile pour définir et mettre en œuvre d’une manière très pragmatique un programme « Data Privacy » orienté risques, adapté à ses exigences légales et à ses métiers. Il complète ainsi parfaitement d’autres cadres organisationnels comme l’ISO 27701. Le DPO européen peut s’en inspirer pour étayer son traitement des risques dans le cadre de sa check-list de conformité au Règlement Général sur la Protection des données.

La norme ISO 27004 fournit des bonnes pratiques pour évaluer le niveau d’efficacité de son SMSI (système de management de la sécurité d’information). Il s’agit d’une exigence pour être certifié ISO 27001 et HDS, issue de la clause 9.1 « surveillance, mesures, analyse et évaluation ». L’organisation doit déterminer ce qu’il est nécessaire de surveiller, les méthodes, la fréquence, les responsabilités et les conditions d’analyse et de traitement des résultats. Au-delà de la certification ISO 27001, il est fondamental de mesurer son niveau afin de prendre les décisions de pilotage adéquates et de justifier les ressources, en particulier financières allouées à la cyber sécurité. D’autres documents fournissent des recommandations intéressantes comme le NIST 800–55 (performance measurement guide for information security) et la norme ISO 15939 (processus de mesure pour l’ingénierie des systèmes et du logiciel).

Christophe JOLIVET a coanimé à Bruxelles une présentation lors d'un conférence PECB sur les tendances juridiques et réglementaires dans le domaine de la cybersécurité. Directive NIS, Cyber Act, activités d'importances vitales, opérateurs de services essentiels, mécanismes de certification font partie des sujets abordés.

Retrouvez la vidéo de la conférence.

  Pour en savoir plus sur les 20 meilleures formations sur la sécurité des systèmes d’information, téléchargez gratuitement notre livre blanc ci-dessous :

Le NIST 800-70 est un guide destiné aux professionnels de la cybersécurité qui utilisent et développent des check-lists. Il s’agit de documents qui contiennent des instructions ou des procédures pour configurer un composant informatique dans son environnement opérationnel. Appelés aussi guides de durcissement, ils permettent de minimiser la surface d’attaque, réduire les vulnérabilités et limiter les impacts des attaques réussies.

Intégrer la sécurité dès la conception des logiciels, interfaces et nouveaux produits fait partie des bonnes pratiques reconnues par tous les experts. La norme ISO 19249 qui propose un catalogue de principes d’architecture et de conception est un des documents utilisables dans ce cadre. Ce référentiel est d’ailleurs cité dans le programme en vigueur de la certification individuelle CISSP. Il rejoint les méthodes de modélisation des menaces utilisées dans le développement logiciel et les normes ISO 27034 sur la sécurisation des applications ou encore le référentiel SSDF.

La sécurisation des API (interfaces) constitue un challenge important pour les équipes de développement. Dans les environnements Cloud, par construction fortement automatisés, le manque de sécurité des API est considéré comme une des principales menaces. OWASP publie son « top ten » des dix vulnérabilités de développement des API les plus critiques. Ce référentiel facilite la prise en compte de la sécurité dans le cycle de développement décrit dans les normes ISO 27034.

La France contribue activement à la définition d’un droit international dans le cyberespace. L’appel de Paris du 12 novembre 2018 pour la confiance et la sécurité dans le cyberespace et la publication en octobre 2019 par le ministère des Armées d’un texte « droit international appliqué aux opérations dans le cyberespace » témoignent de cette activité. Le terme « cyberopération » a une portée très large, il regroupe les actions de lutte informatique défensive (LID), de lutte informatique offensive (LIO) et de cyber renseignement. La définition d’un cadre international a des conséquences pour la sphère publique mais aussi pour de nombreux groupes privés avec de forts enjeux économiques et légaux. Par exemple, le contentieux entre Mondelez et son assureur dans le cas d’une attaque de type ransomware se focalise sur une clause d’exclusion liée à acte de guerre.

Les FSN (Fournisseurs de Service Numérique) correspondent aux entreprises de plus de 50 salariés ou qui réalisent plus de 10 millions de chiffre d’affaire et qui ont des activités dans le domaine du Cloud, des moteurs de recherches et des « market places ». Au sens de la loi européenne, le « market place » ou « place de marché en ligne » est un terme très vaste qui regroupe des activités comme le traitement de transactions, l'agrégation de données, le profilage d'utilisateurs, les magasins d'applications en ligne, la distribution numérique d'applications ou de logiciels émanant de tiers.

La norme ISO 27701 définit un cadre normatif pour la protection des données à caractère personnel. Elle apporte des compléments aux normes ISO 27001, pour les exigences et ISO 27002, pour les lignes directrices. Par ailleurs, la relation est faite en annexe avec d’autres référentiels normatifs ou légaux : ISO 29100 et ISO 29151, règlement général sur la protection des données (RGPD), ISO 27018 (voir première et deuxième partie)

Plusieurs études ainsi que les retours d’expériences des grands donneurs d’ordre mettent en avant le manque de ressources humaines en cybersécurité. CISO, architectes, chefs de projets, analystes SOC, spécialistes analyses de risques, auditeurs, investigateurs numériques : compétences et expériences attendues sont très différentes suivant les postes. Des référentiels existent pour décrire, catégoriser et mesurer les niveaux requis. Ils complètent à cet égard les nombreuses certifications professionnelles disponibles dans ce domaine, massivement utilisées depuis longue date aux Etats-Unis et depuis quelques années en Europe. Ces référentiels et certifications sont des sources très utiles pour les groupes de toute taille qui souhaite formaliser leur grille de métiers en cybersécurité et proposer à leurs employés des parcours de formation.

Le CISSP est la certification la plus reconnue dans le monde de la cybersécurité. L’examen est exigeant et demande un travail préparatoire soutenu quel que soit le mode choisi (voir les conseils de préparation). Le programme (Common Body of Knowledge) est revu tous les trois ans par l’(ISC)². Son contenu est très large. Il couvre de nombreux concepts, pratiques et techniques couramment utilisés en cybersécurité qu’un professionnel compétent doit connaitre, sans pour autant en être un expert. On dit souvent que le CISSP est « surfacique » : beaucoup de connaissances, jusqu’à la sécurité physique sont abordées sans être approfondies. Le champ des questions possibles est très large. Cet article est consacré au domaine 8 qui traite de la sécurité des développements applicatifs. Il représente 10 % du programme.

La gestion de la documentation en matière de protection des données personnelles est ardue, en particulier pour les multinationales soumises à des lois et des besoins métiers différents. Cet article propose une synthèse des fondamentaux à appliquer. Ces éléments sont détaillés dans nos formations préparant à la certification européenne CIPP/E de l'IAPP et à la certification DPO France mise en place par la CNIL. 

La certification HDS qui a remplacé la procédure d’agrément est obligatoire en France. Son contenu est détaillé dans un précédent article. La mise en conformité peut faire peur au premier abord car son périmètre couvre plusieurs normes et bonnes pratiques en termes de sécurité, de gestion des services informatiques et de protection des données à caractère personnel. Cet article propose quelques conseils pour aborder sereinement un projet de certification.

Le CISSP est la certification la plus reconnue dans le monde de la cybersécurité. L’examen est exigeant et demande un travail préparatoire soutenu quel que soit le mode choisi (voir les conseils de préparation). Le programme officiel (Common Body of Knowledge) est régulièrement revu par l’(ISC)². Son contenu est très large. Il couvre de nombreux concepts, pratiques et techniques couramment utilisés en cybersécurité qu’un professionnel compétent doit connaitre, sans pour autant en être un expert. On dit souvent que le CISSP est « surfacique » : beaucoup de connaissances, jusqu’à la sécurité physique sont abordées sans être approfondies. Le champ des questions possibles est très large. Cet article est consacré au domaine 7 qui traite de la sécurité des opérations. Il représente 13 % du programme..

Le RGPD (règlement européen sur la protection des données) impose dans son article 35 de réaliser un AIPD (ou Data Protection Impact Assessment) lorsqu’un traitement est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes concernées. Cet article donne des conseils pour mettre en œuvre cette activité d’une manière la plus pragmatique possible. Les référentiels et bonnes pratiques sont issus de plusieurs sources : ISO 29134 (guidance for privacy impact assessement), CNIL et les lignes directrices du WP29 (remplacé depuis l’entrée en application du règlement par le comité européen de la protection des données).

Le standard ISO 27018 fournit des bonnes pratiques pour la protection des données à caractère personnel hébergées par les services de Cloud publics. Il complète les clauses de l’ISO 27002 utilisées dans le cadre de la certification des systèmes de management de la sécurité de l’information (SMSI) ISO 27001. Reconnues et appliquées par tous les grands fournisseurs Cloud, notamment américains ces bonnes pratiques sont particulièrement importantes en France car elles sont intégrées à des exigences légales nationales. La plus connue est la certification des hébergeurs de données de santé (HDS) qui impose explicitement la conformité à des clauses de l’ISO 27018. Ces bonnes pratiques sont aussi très intéressantes pour les DPO (Data Protection Officer) pour formaliser les mesures de sécurité entre le responsable de traitement (Data Controller) et ses sous-traitants Cloud (Data Processor) en application du Règlement Général sur la Protection des Données (RGPD).

Voir la première partie pour le mode d’emploi du standard et l’adaptation des clauses existantes.

Le standard ISO 27018 fournit des bonnes pratiques pour la protection des données à caractère personnel hébergées par les services de Cloud publics. Il complète les clauses de l’ISO 27002 utilisées dans le cadre de la certification des systèmes de management de la sécurité de l’information (SMSI) ISO 27001. Reconnues et appliquées par tous les grands fournisseurs Cloud, notamment américains ces bonnes pratiques sont particulièrement importantes en France car elles sont intégrées à des exigences légales nationales. La plus connue est la certification des hébergeurs de données de santé (HDS) qui impose explicitement la conformité à des clauses de l’ISO 27018. Ces bonnes pratiques sont aussi très intéressantes pour les DPO (Data Protection Officer) pour formaliser les mesures de sécurité entre le responsable de traitement (Data Controller) et ses sous-traitants Cloud (Data Processor) en application du Règlement Général sur la Protection des Données (RGPD).