ANSSI

Cartographie des systèmes d’information

La cartographie des systèmes d’information fait partie des prérequis à toute démarche de cybersécurité. Elle est indispensable en amont lors des analyses de risques, par exemple dans la méthode EBIOS Risk Manager ou le référentielde l'ISACA sur les risques IT. La cartographie participe aussi fortement à l’efficacité du processus de réponse à incident. On reconnait cette bonne pratique dans de nombreux référentiels comme le NIST 800-53, le NIST CSF (dans la fonction identifier), la CCM pour la sécurité des environnements Cloud ou encore l’ISO 27002 qui préconise des mesures de sécurité en application du SMSI ISO 27001. Pour les entités qui doivent se conformer au standard PCI DSS, la cartographie fait partie de l’exigence 2.4 (maintenir un inventaire des composants du périmètre PCI DSS). L’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) insiste sur ce point, en particulier pour les opérateurs d’importance vitale. L’agence a récemment mis à jour son guide pour établir cette cartographie.

Le référentiel SecNumCloud

Le référentiel SecNumCloud est proposé par l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) pour qualifier les prestataires de services de Cloud. Il peut être aussi utilisé comme un guide de bonnes pratiques en dehors de tout contexte réglementaire. Pour obtenir la qualification, les prestataires doivent appliquer toutes les exigences du référentiel. Cette initiative a pour objectif de renforcer la confiance entre les clients et les fournisseurs Cloud à l’instar de FedRamp aux Etats-Unis, du catalogue allemand C5ou encore du schéma de certification européen introduit par le CyberSecurity Act. Ces aspects conformité sont largement dans les certifications Cloud CCSP et CCSK.

Les référentiels de compétences en cybersécurité

Plusieurs études ainsi que les retours d’expériences des grands donneurs d’ordre mettent en avant le manque de ressources humaines en cybersécurité. CISO, architectes, chefs de projets, analystes SOC, spécialistes analyses de risques, auditeurs, investigateurs numériques : compétences et expériences attendues sont très différentes suivant les postes. Des référentiels existent pour décrire, catégoriser et mesurer les niveaux requis. Ils complètent à cet égard les nombreuses certifications professionnelles disponibles dans ce domaine, massivement utilisées depuis longue date aux Etats-Unis et depuis quelques années en Europe. Ces référentiels et certifications sont des sources très utiles pour les groupes de toute taille qui souhaite formaliser leur grille de métiers en cybersécurité et proposer à leurs employés des parcours de formation.

Sécurité des activités d'importance vitale

Le dispositif de sécurité des activités d’importance vitale (SAIV) est piloté en France par le SGDSN. Ce dispositif comprend des aspects liés à la sûreté, la sécurité physique et la cybersécurité. L’objectif est d’associer pouvoirs publics et entités publiques et privées, sur le périmètre de leurs activités les plus critiques pour la nation. La liste des entités OIV n’est pas publique. Les critères de désignation sont fixés par les ministères coordonnateurs. Plus récemment, des obligations ont été imposées par la directive NIS et ses transpositions nationales aux Fournisseurs de Service Numérique.