Quelles réglementations pour les OIV et OSE ? La multiplication des attaques et des menaces qui pèsent sur les systèmes d’information des organisations a poussé l’État français ainsi que l’Union Européenne à mettre en place des recommandations et règles à destination des entreprises privées et administrations publiques. Le niveau d’exigence de ces règles et recommandations varie en fonction de l’importance de l’organisation cible. Optionnelles pour des organisations considérées comme non sensibles, elles sont, à différents niveaux, obligatoires pour les OIV (Opérateurs d’Importance Vitale) et OSE (Opérateurs de Services… Lire plus >>
Secure Access Service Edge : un changement de paradigme Le monde des réseaux et de la sécurité des réseaux vit, comme toute autre technologie, sa révolution digitale. La traditionnelle vision du « réseau ‘interne’ d’entreprise » (« inside the firewall ») et du « réseau ‘externe’ Internet » a volé en éclats : Internet est devenu le réseau de l’entreprise étendue. Secure Access Service Edge : les tendances qui amènent à un changement de paradigme Le passage d’une architecture « centrée-réseau » (« network-centric ») à une architecture « centrée-utilisateur (« user-centric ») et « centrée-application » (« application-centric ») ». D’un côté, le cloud, et la décentralisation des… Lire plus >>
Rendre le poste d’administration incorruptible avec un terminal client léger durci Le terminal permettant aux administrateurs d’accéder au réseau d’administration est un élément clé de la sécurisation globale des systèmes d’information des organisations. Une éventuelle corruption de ce terminal est un risque majeur pour les entreprises. L’utilisation d’un terminal client léger durci communiquant avec des postes virtuels d’administration permet de tirer parti de l’architecture spécifique et sécurisée d’un terminal client léger durci tout en bénéficiant des fonctionnalités des solutions de PAM (Privileged Access Management) grâce à la virtualisation. Les prérequis à… Lire plus >>
Moindre privilège : un principe clé pour la sécurité du système d’information Le principe de moindre privilège consiste à limiter les droits / habilitations de tout individu sur le système d’information aux seules applications / données qui lui sont nécessaires dans le cadre de ses missions. Ce principe figure dans de nombreux guides relatifs à la cybersécurité, notamment dans les documents édités par l’ANSSI, que ce soit le PA-022 (recommandations relatives à l’administration sécurisée des systèmes d’information) ou le PG-040 (recommandations pour la mise en place de cloisonnement système) ou encore dans… Lire plus >>
VPN vs ZTNA Dès la démocratisation d’Internet, à la fin des années 1990, les VPN (Virtual Private Network) ont été utilisés par les entreprises pour donner à leurs collaborateurs des accès distants privés et sécurisés à leur système d’information. Aujourd’hui déployés dans de nombreuses organisations, les VPN n’en demeurent pas moins sans risque pour l’intégrité des systèmes d’information. Pour y pallier, les solutions de ZTNA (Zero Trust Network Access), bien plus sécurisées, sont amenées à remplacer progressivement les VPN au sein des organisations…. Lire plus >>
Authentification continue : quand l’analyse comportementale garantit votre identité De nos jours, de nombreuses méthodes d’authentification existent, la plus connue d’entre elles étant le couple login / mot de passe. Pour des accès au système d’information mieux sécurisés, de nombreuses organisations ont mis en place une authentification multifactorielle (MFA), notamment pour les administrateurs du SI. Mais une fois authentifiée, qu’est-ce qui garantit que c’est cette même personne, qui est toujours derrière l’écran, la souris, le clavier ? L’authentification continue : qu’est-ce que c’est ? L’authentification continue est une authentification permanente de l’utilisateur… Lire plus >>
ZTNA : retour sur le concept du Zero Trust Dans son Market Guide for Zero Trust Network Access (ZTNA) [01], le Gartner estime que d’ici 2022, 80% des nouvelles applications business ouvertes à un écosystème de partenaires seront accessibles à travers une solution de ZTNA. Et, toujours selon le Gartner, d’ici 2023, 60% des entreprises auront remplacé leurs accès distants VPN par des accès distants ZTNA. Le Zero Trust s’impose donc comme l’un des sujets clés des prochaines années pour les DSI et RSSI. ZTNA / Zero Trust :… Lire plus >>
Cybersécurité : un coût générateur d’économie Pour les organisations, le déploiement de solutions de cybersécurité représente un coût non négligeable et pourtant indispensable. L’enjeu est d’éviter les cyberattaques (internes ou externes à l’organisation) et donc leurs conséquences financières (parmi d’autres). Ce coût est néanmoins à mettre en perspective avec les économies potentiellement réalisées lorsqu’une cyberattaque échoue grâce aux solutions de cybersécurité déployées par l’organisation cible. Dans leur neuvième étude annuelle « The cost of Cybercrime » [01], Accenture Security et le Ponemon Institute se sont attelés à calculer… Lire plus >>
European Cybersecurity Act : Quel processus de certification ? En 2017, la Commission Européenne a publié un ensemble d’initiatives destinées à renforcer la résilience, la dissuasion et la défense de l’UE face aux cyberattaques. Parmi ces mesures, la proposition de règlement relatif à l’ENISA et à la certification des technologies de l’information et des communications en matière de cybersécurité (European Cybersecurity Act). Ce règlement donne à l’ENISA un mandat permanent et renforce ses compétences en matière de prévention, conseil et coopération. L’European Cybersecurity Act comporte également un deuxième volet… Lire plus >>
Zero Trust, paradigme d’une défense moderne et agile ? Pour tous ceux qui ont en charge la responsabilité et la gestion de l’infrastructure informatique d’une entreprise, il est à peu près clair que la technique des douves, c’est-à-dire la vieille idée de construire un fossé autour d’un château fort pour tenir les intrus à distance n’est plus d’actualité. C’est non seulement improductif mais aussi quasiment infaisable compte tenu du nombre et de la diversité des points d’entrée dans le SI de toute entreprise de taille raisonnable aujourd’hui, d’où la… Lire plus >>