La migration d’applications ou d’infrastructures dans le Cloud, qu’il soit public ou privé, nécessite d’intégrer le plus en amont possible la cybersécurité. La question des certifications se pose : certifications, qualifications ou homologations des systèmes d’information mais aussi montée en compétence des collaborateurs travaillant sur les différents projets. Ce domaine évolue rapidement, cet article propose une synthèse des principales certifications.
Le manque de ressources humaines en cybersécurité est une réalité qui se vérifie aux Etats-Unis comme en Europe. Le déséquilibre entre l’offre et la demande semble se creuser. La majorité des professionnels du secteur estiment ne pas disposer de suffisamment de ressources. Les raisons avancées sont le manque de personnes qualifiées et disponibles, des exigences mal comprises par la direction, des budgets insuffisants, la difficulté à retenir les personnes en place et l’absence d’informations sur les évolutions de carrière.
Face à ce constat, le CISO (Chief Information Security Officer) / RSSI (Responsable Sécurité Système d’Information) qui fait face à la nécessité d’étoffer ses équipes doit travailler sur plusieurs axes.
Christophe JOLIVET a coanimé à Bruxelles une présentation lors d'un conférence PECB sur les tendances juridiques et réglementaires dans le domaine de la cybersécurité. Directive NIS, Cyber Act, activités d'importances vitales, opérateurs de services essentiels, mécanismes de certification font partie des sujets abordés.
Retrouvez la vidéode la conférence.
Pour en savoir plus sur les 20 meilleures formations sur la sécurité des systèmes d’information, téléchargez gratuitement notre livre blanc ci-dessous :
En cybersécurité, la détection des événements suspects et la mise en œuvre de réactions adaptées est une tâche incontournable mais ardue. Les obstacles à surmonter sont nombreux : collecter et remonter des informations fiables, faire le tri entre les faux positifs et les indicateurs pertinents, disposer de l’expertise adaptée pour qualifier les incidents, mettre en place les bonnes réactions, communiquer au bon moment… Une vision focalisée seulement sur les moyens (services d’un SOC, outils de centralisation et de corrélation des logs, sondes de détection des intrusions, outils CTI, SOAR…) ne peut pas être efficace si elle ne s’inscrit pas dans une démarche organisée. Les normes ISO 27035 peuvent apporter une aide pour évaluer sa capacité à répondre aux incidents et améliorer son organisation. Sont abordés dans cet article à titre d’exemples, trois composants à évaluer.
Le référentiel cybersécurité du NIST américain (National Institute of Standards and Technology) est abondamment utilisé. Conséquence de la loi de 2014 « Cybersecurity Enhancement Act », ce référentiel avait pour objectif initial de définir un socle de mesures de sécurité pour protéger les infrastructures vitales et l’économie américaines. Il s’est imposé comme standard international incontournable de la cybersécurité au même titre que les normes ISO 2700 et le catalogue NIST 800-53 pour tous les domaines d’activités. Il est au programme des certifications individuelles en sécurité comme le CISSP, ou le CCSP.
Le standard PCI DSS (Payment Card Industry Data Security Standard) est développé par PCI pour renforcer la sécurité des données de titulaires de cartes bancaires. PCI a été fondée par American Express, Discover, JCB International, MasterCard et Visa. PCI DSS s’applique aux entités qui traitent des cartes de paiement, que ce soit en tant que commerçants, acquéreurs, émetteurs ou prestataires de services et plus généralement à toutes les entités qui stockent, traitent ou transmettent les données « cartes bancaires ». Ce standard est au programme du CISSP, notamment dans le domaine 1 ainsi que des certifications de sécurité du Cloud CCSP et CCSK. Le standard PCI DSS a été revu en mars 2022 : voir les principaux changements entre PCI DSS v4 et v3.2.1.
La détection des événements suspects et la qualification des incidents de sécurité sont des éléments clés du processus de réponse aux incidents de sécurité (voir quelques recommandations ici et ici), que l’on retrouve dans la série de normes ISO 27035. Les CISO/RSSI doivent intégrer cette capacité de détection et de réponse à leur politique de sécurité. L’investigation numérique ou « digital forensics » est une discipline spécifique de la cybersécurité, avec ses compétences et ses outils. Cet article dresse un aperçu des bonnes pratiques disponibles dans cette matière qui, si elle reste très ardue techniquement doit être mieux comprise et intégrée aux processus de réponse et réaction aux incidents.
Plusieurs études ainsi que les retours d’expériences des grands donneurs d’ordre mettent en avant le manque de ressources humaines en cybersécurité. CISO, architectes, chefs de projets, analystes SOC, spécialistes analyses de risques, auditeurs, investigateurs numériques : compétences et expériences attendues sont très différentes suivant les postes. Des référentiels existent pour décrire, catégoriser et mesurer les niveaux requis. Ils complètent à cet égard les nombreuses certifications professionnelles disponibles dans ce domaine, massivement utilisées depuis longue date aux Etats-Unis et depuis quelques années en Europe. Ces référentiels et certifications sont des sources très utiles pour les groupes de toute taille qui souhaite formaliser leur grille de métiers en cybersécurité et proposer à leurs employés des parcours de formation.
La plupart des groupes vivent au quotidien des transformations digitales structurantes. L’objectif est de développer le business avec des outils performants et sécurisés, de le faire vite, avec agilité et en maitrisant les coûts. Il faut créer de la valeur et la protéger. La sécurité doit évidemment accompagner cette transformation, sans la freiner mais avec des garanties que les risques sont traités et sous contrôle. On a de plus en plus besoin de professionnels de la sécurité qui participent activement aux phases de conception et de développement afin d’intégrer la sécurité de manière continue aux différents projets. Le travail des architectes sécurité est facilité si un cadre méthodologie est défini et adapté aux besoins et au contexte business de l’entité. Cet article examine comment utiliser le référentiel SABSA pour mettre en place ce cadre et faciliter le travail des architectes sécurité au sein des programmes de transformation (migrations vers des plateformes Cloud publics et privés, agilité dans les cycles de développement logiciel, initiatives « big data », test des technologies blockchain, utilisation des containers, développement d’API pour automatiser l’orchestration…).