Cybersecurity Act : Qu’est-ce que cela va changer ? Après avoir été approuvé par le parlement européen le 12 mars 2019, le Cybersecurity Act est définitivement adopté suite à sa parution au Journal Officiel de l’Union Européenne le 7 juin 2019. Le Cybersecurity Act renforce l’Agence européenne pour la cybersécurité (ENISA) et établit un cadre européen de certifications des produits et services de cybersécurité. Un mandat permanent et des ressources supplémentaires pour l’ENISA Avec le Cybersecurity Act, l’ENISA, l’agence de l’Union Européenne pour la cybersécurité, créée en 2004, se… Lire plus >>
Une solution conforme certes mais efficace également Ne pas avoir de problèmes est le plus gros problème qui soit.Taiichi ÔNO Le lendemain de l’anniversaire de ma fille aînée, à peine remis du repas gargantuesque donc en pleine digestion depuis 24 heures, on m’a posé des questions (que j’estime pertinentes après réflexion) sur les objectifs finaux d’une évaluation de sécurité : « en quoi une évaluation prouve l’efficacité d’un produit ou d’une solution ? De quoi parles-tu exactement ? Pourquoi parler de conformité et d’efficacité ? En quoi une évaluation de sécurité prouve… Lire plus >>
Gestion des comptes à privilèges : 5 recommandations clés pour protéger votre SI En matière de sécurité informatique, les défaillances liées au facteur humain sont à prendre en considération. En effet, que ce soit par des actes involontaires (vol d’identifiant et de mot de passe après une opération de « social engineering » ou un phishing, perte d’un ordinateur sans partition chiffrée, etc.) ou par des actes prémédités, le facteur humain est bien souvent le premier mis en cause lors d’incidents de sécurité sur le SI. Si un utilisateur « normal » perd ou se… Lire plus >>
Circulez, y’a rien à voir ! ou pourquoi la « sécurité par l’obscurité » n’est pas une solution On ignore ce qui se cache dans l’obscurité.David Lynch L’annexe B1 du Référentiel Général de Sécurité (RGS) de l’ANSSI (Agence nationale de la sécurité des systèmes d’information) [02] ne mentionne pas directement le principe ci-dessus de Kerckhoffs mais les recommandations « RecomAlgoBloc-1 » et « RecomChiffFlot-2 » le sous-entendent de mon point de vue : « il est recommandé d’employer des algorithmes […] largement éprouvés dans le milieu académique ». En effet, ces deux recommandations indiquent clairement qu’il est nécessaire d’utiliser des systèmes étudiés par la communauté… Lire plus >>
TISAX®, un mécanisme de sécurité de l’information dans l’industrie automobile Le référentiel d’audit sécurité TISAX® permet l’acceptation mutuelle d’évaluations de la sécurité de l’information (réalisées par des tiers de confiance accrédités) dans l’industrie automobile et fournit un mécanisme commun d’évaluation pour, in fine, procéder à des échanges professionnels. Le référentiel TISAX® est déployé par les constructeurs Volkswagen, BMW, Audi, Porsche, Mercedes, Daimler. Des équipementiers comme Continental, Bertrand, Bosch, Magna Steyr utilisent également TISAX® pour vérifier leur sécurité informatique. L’idée générale est de créer de la plus-value suite à des échanges… Lire plus >>
Est-il possible d’externaliser l’administration de son SI ? Comme indiqué dans quelques-uns de mes articles publiés sur le blog de Systancia ([01], [02]) ou sur mon compte LinkedIn, la sécurité informatique n’est pas une alternative et se doit d’être un axe stratégique pour toute organisation. En effet, à mon sens, la sécurité informatique est essentielle et primordiale afin, entre autres, de protéger le patrimoine informationnel d’une organisation. Intéressons-nous aujourd’hui uniquement à l’externalisation (aussi appelée outsourcing) de l’administration d’un réseau ou d’une partie d’un réseau. En effet, par manque… Lire plus >>
Le PAM n’exclut pas le PAS Avant de commencer à jouer à un jeu de société, il est naturel de lire au préalable ses règles. Dans le cadre d’une prestation d’infogérance, il est important d’établir également entre les parties les « règles du jeu ». Dans [01], l’ANSSI précise à juste titre que, dans le cadre d’une infogérance, la sécurité ne doit pas être antinomique à l’externalisation. Pour une organisation (dont l’administration de son SI est confiée à un infogéreur), les risques intrinsèques sont généralement liés à la… Lire plus >>
Le concept de Cleanroom pour une administration sécurisée et sécurisante Un bastion est un ouvrage militaire lié à une fortification faisant saillie sur l’enceinte d’une place forte. Nous pouvons extrapoler, dans le domaine informatique, le terme « bastion » à un hôte exposé au réseau externe (non réputé de confiance). En règle générale, un bastion informatique vise à protéger un réseau ou une partie d’un réseau de menaces extérieures ; il constitue en conséquence l’élément le plus exposé, celui qui est susceptible de subir un maximum d’attaques de la part d’agents menaçants externes…. Lire plus >>
Authentification continue en Cybérie La sécurité est une affaire de compromis, d’équilibre entre confidentialité et commodité, entre contrôle et efficacité. Il serait certes facile de restreindre les accès à un SI afin de protéger les données sensibles de l’entreprise, mais il deviendrait impossible d’en faire un outil de productivité et de croissance, particulièrement à une époque où l’ouverture et la collaboration sont considérées comme des acquis. Simultanément, la maîtrise stricte et la supervision rigoureuse des utilisateurs dits « à pouvoir » revêt une importance capitale à… Lire plus >>
Télétravail : comment accéder à son SI d’entreprise de façon sécurisée de chez soi ? En me rendant au télétravail, je me suis fait télépincer pour excès de vitesse sur l’autoroute de l’information… et ça m’a couté une sacrée téléprune !Philippe GELUCK (« Le tour du chat en 365 jours ») Depuis l’ordonnance Macron de septembre 2017, tout salarié peut demander à effectuer du télétravail. En plus de bouleverser les règles managériales, le télétravail permet une organisation adaptée du temps professionnel par et pour un employé. Rappelons que, par définition, le télétravail est effectué en dehors des locaux… Lire plus >>