L actu des experts 02 Octobre-Novembre-Décembre 2013 DOSSIER LA SÉCURITÉ DANS LE CLOUD Conférence, formation et solution Pages 4, 5 et 6 Mais aussi L e-learning sur le SMSI Exclusivité HTS page 2 et 3 Le Salon CARTES 2013 du 19 au 21 novembre à Paris page 7 PCI-DSS 3.0 Une évolution mais pas une révolution page 8
ACTU L E-LEARNING SMSI Une exclusivité HTS POURQUOI L E-LEARNING? Dans le cadre des formations certifiantes, il est prévu un minimum de 20 à 40 heures de cours en présentiel selon le type de formation. L examen LSTI est systématiquement organisé immédiatement en fin de session, ce qui concentre l apprentissage sur seulement quelques jours. Fort de ce constat, les experts d HTS ont imaginé une solution e-learning qui permettrait aux stagiaires de se familiariser avec le sujet du Système de Management de la Sécurité de l Information, en amont du stage habituel. Ces derniers disposent donc d une approche ludique et interactive du SMSI, disponible un mois avant la formation, leur permettant d appréhender les cours et l examen dans des conditions plus confortables. SMSI : Système de Management de la Sécurité de l Information tel qu il est d écrit dans la norme ISO/CEI 27001 EXCLUSIVITÉ HTS VOTRE PARCOURS E-LEARNING en complément de la formation présentielle 1 M O IS AVA N T L A FO R M A TI O N PRÉSENTATION DE LA CARTE BANCAIRE MODULE 12 CG 1-1 DESCRIPTION GÉNÉRALE DE LA CARTE BANCAIRE À PUCE PARCOURS E-LEARNING AVEC HTS ÉTAPE SUIVANTE ÉTAPE SUIVANTE 2
LES MODULES E-LEARNING SUR LE SMSI Le parcours initial est composé de 6 modules de 20 minutes environ, soit approximativement 2 H de cours. 1 MODULE N 1 : NOTIONS DE SYSTÈME DE MANAGEMENT DE LA SÉCURITÉ DE L'INFORMATION 2 MODULE N 2 : LA FAMILLE ISO/CEI 27000 3 MODULE N 3 : LA NORME ISO 27001 4 MODULE N 4 : LES DOCUMENTS CLÉ D'UN SMSI 5 MODULE N 5 : NOTIONS DE MISE EN ŒUVRE D'UN SMSI 6 MODULE N 6 : NOTIONS TECHNIQUES INDISPENSABLES POUR UN SMSI Le Système de Management de la Sécurité de l'information est un projet d'envergure et complexe: il est nécessaire d'en comprendre l'utilité et les avantages que peuvent en tirer chaque service avant de se lancer dans la conception d'un tel système de management. L'Organisation Internationale de Normalisation a créé une série de normes en collaboration avec le CEI afin de cadrer et détailler les différents processus organisationnels et techniques en termes de sécurité de l information : des définitions du langage propre à ces normes, à la mise en œuvre du SMSI, ou encore à l audit de ces systèmes de management, chaque norme a son utilité et est expliquée dans ce module. La norme ISO 27001 formalise et spécifie les exigences en terme de Système de Management de la Sécurité de l'information: Il est primordial de connaitre cette norme dans les moindres détails pour auditer ou implémenter un SMSI conforme à la présente norme. Politique du SMSI, PSSI, appréciation des risques ou encore déclaration d'applicabilité sont des documents fondamentaux quand un organisme tend à instaurer une politique et des procédures en terme de sécurité de l'information. Ce module détaille les attentes de la norme ISO/CEI 27001 en terme de documents nécessaires à la conformité du SMSI. Réaliser une analyse des écarts entre la norme et l état actuel de l organisme, définir des indicateurs de performance ou encore mettre en œuvre une gestion documentaire sont des éléments exigés par la norme ISO/CEI 27001. Ces différents processus sont introduits dans ce module afin de permettre une première compréhension globale du SMSI. DMZ, chiffrement, journaux de logs, ou encore VLAN: Parce que nombreux sont nos apprenants avec un background technique variable, ce module permet de se familiariser avec des notions qui peuvent sembler simples, mais essentielles, à l'audit ou l'implémentation d'un SMSI conforme et fonctionnel lors de contrôles de sécurité. AGENDA & INFO FORMATIONS CERTIFIANTES LSTI RETROUVEZ TOUTES LES FORMATIONS HTS SUR NOTRE SITE WEB : www.hts-expert.com 3
DOSSIER LA SÉCURITÉ DANS LE CLOUD Conférence sécurité du Cloud et protection des données Les technologies intelligentes sont de plus en plus présentes dans notre vie de tous les jours. Elles ont apporté des changements considérables dans la façon dont les organisations et les consommateurs interagissent. Qu il s agisse de nouvelles stratégies de croissance, d innovations, des dernières tendances, vous obtiendrez de nouveaux éclairages sur les stratégies clé du domaine en assistant à la 28ème Conférence CARTES Secure Connexions le mardi 19 novembre 2013 au salon CARTE à Paris (cf. page 7) Sources : fr.cartes.com 14:00 14:30 PROTECTION DES DONNÉES PERSONNELLES DANS LE "CLOUD": UTILISER LES CONTRATS COMME OUTILS DE GESTION Mme Bénédicte DELEPORTE - Avocat - Deleporte Wentz Avocat, France 14:30 15:00 SÉCURITÉ DANS LE CLOUD : RÈGLES ET BONNES PRATIQUES M. Patrick DUBOYS - Directeur Grands Comptes - SSL-Europa, France 15:00 15:30 SÉCURITÉ DANS LE CLOUD DANS UN CONTEXTE DE CYBER MENACES M. Michael OSBORNE - Directeur du Groupe de Recherche Sécurité et Protection de la Vie Privée IBM Research, Suisse 15:30 16:00 4
login Mot de pass Accueil Qui sommes nous? Nos offres Formation Actualités Contact Le Groupe HTS se positionne comme l'interlocuteur de référence des prestations liées à la sécurité du Système d'information des entreprises et des collectivités locales... En Savoir + Accueil Nos Offres High Tech Security Audit Qui somme nous? Conseil Présentation Certification PCI-DSS Les dirigeants Nos partenaires Formation Formation Actualités Agenda des formations Actualités hts Certifiantes inscription à la newsletter Qualifiantes Nous suivre E-learning Contact High Tech Security Campus Effiscience 8 rue Léopold Sédar Senghor 14460 Colombelles Tél. +33(0)2 14 74 70 20 Fax. +33(0)2 14 74 70 20 16:00 16:30 MESSAGERIE SÉCURISÉE DANS LE CLOUD Mme Silke KRUEGER - Responsable Marketing - Giesecke & Devrient, Allemagne 16:30 17:00 UN TOKEN PERSONNEL POUR UN ACCÈS SÉCURISÉ À DES SERVICES "CLOUD" M. Carsten RUST - Directeur des Projets de R&D - Morpho, Allemagne Formation HTS «Sécurité du Cloud Computing» La formation a pour objectif de faire connaître l ensemble des risques liés au cloud computing, d analyser ces risques afin de les hiérarchiser, et enfin de donner aux stagiaires des solutions de sécurisation et des bonnes pratiques. A l issue de la formation, les stagiaires auront les éléments pour choisir, utiliser, ou proposer une solution de cloud computing sécurisée. La méthode pédagogique retenue consiste à commencer par aborder les sujets les plus techniques, afin de poser les bases du cloud computing, puis à prendre, au fil de la formation, de plus en plus de recul. Les sujets de sécurité organisationnelle sont ainsi traités à la suite des sujets techniques, pour enfin terminer sur les thèmes juridiques. Chaque thème est présenté par un consultant spécialiste du sujet. De nombreux exercices, permettant de mettre en pratique les connaissances, sont proposés aux stagiaires tout au long de la formation. FORMATION HTS SÉCURITÉ DU CLOUD COMPUTING À PARIS Rendez-vous sur l agenda des formations : www.hts-expert.com Systémes d informations Echange Transactionnels 4 pôles de compétences complémentaires Sécurité des Systèmes d information Monétique Expertise Judiciaire Sécurité Physique Expertise Judiciaires Personnes & Patrimoines 5
DOSSIER LE CLOUD HYBRIDE VU PAR REX ROTARY Quels sont les avantages des solutions Cloud REX ROTARY? Le transfert de compétences est apprécié par le client utilisateur, les ressources matérielles sont gérées par le prestataire externe, ce qui permet de soulager les équipes en charge du réseau ou à défaut, d ouvrir la possibilité d accès à certains types de services. Pour illustrer, les PME et TPE n ont que très rarement accès à des outils de mobilité et de protection fiable des données. La gestion en interne de ce genre de possibilités implique un équipement lourd à gérer (compétences requises) et des investissements conséquents (serveur, licences TSE, ) Nos solutions de gestion de Cloud permettent un accès à l ensemble des données de la structure en s appuyant sur les ressources matérielles déjà en place. Nous retrouvons le même genre de problématiques sur la sécurité des données : les sauvegardes sont peu ou pas effectuées, des tests de restauration ne sont quasiment jamais faits, les données ne sont pas cryptées, et le processus de sauvegarde implique de manière régulière une intervention humaine. Notre large gamme REX ROTARY SECURITY nous permet de mettre en avant des solutions simples d externalisation de données jusqu à la mise en place de Cloud privé. Qu entendez-vous par Cloud Hybride? Les services Cloud «classiques» sont généralement mis en place pour une volumétrie définie. L évolution exponentielle des besoins en capacité de stockage devient un vrai défi en terme de sécurité informatique et un vrai «casse-tête» pour les équipes en charge de l administration des réseaux. De plus, nombres de structures peuvent faire le choix de conserver les applications et données «critiques» au sein de leurs locaux afin de pallier à une défaillance du FAI. Pour répondre à ces exigences, notre gamme intègre des systèmes 100% autonomes, à volumétrie élevée. Ces solutions, lauréates du concours de l innovation TIC 2012, se présentent sous forme d un serveur de document réseau, solidaire d un caisson ignifugé installé dans les locaux du client. Les bénéfices sont multiples : disponibilité optimale, système de détection des pannes de disques durs, remontée des informations du parc informatique, sécurisation par encryptions au sein d un caisson approuvé par les services du SDIS (certificat de résistance en cas de dégât des eaux, incendie, vandalisme). Comment se faire conseiller sur la solution la plus adaptée? Dans le cadre du programme «transition numérique», vous pouvez-nous contacter pour établir un audit gratuit. interview de : Vincent ANQUETIL Rex Rotary Security Vincent ANQUETIL Responsable Consultant Tél : 02 31 52 50 30 Port : 06 32 54 14 88 Mail : vincent.anquetil@rex-rotary.fr 6
À LA UNE SALON CARTE SECURE CONNEXIONS EVENT 2013 Solutions sécurisées pour le paiement, identification et mobilité CARTES, Secure Connexions Event 2013 est l événement complet (salon, conférences, trophées) dédié entièrement aux Solutions Sécurisées pour le Paiement, l'identification et la Mobilité. En intégrant toute sa chaîne de valeur, CARTES Secure Connexions est le seul événement permettant des synergies globales à un niveau humain et technologique, qui vous permettent de conclure des affaires et des partenariats. Le Brésil, Pays à l honneur Le Brésil a été désigné comme pays invité d'honneur pour le Salon CARTES Secure Connexions 2013, pour mettre l'accent sur le développement des smart technologies dans le pays, une conférence présidée par Smart Card Alliance Latin America se tiendra le 21 novembre de 9h30 à 12h30 et portera sur le sujet suivant : «Building trust in mobile life», le thème principal de CARTES Secure Connexions 2013. Avant ce rendez-vous majeur pour le salon, CARTES décrit la situation actuelle des innovations dans les smart technologies au Brésil. Avec une population de plus de 180 millions d habitants et une croissance économique durable, le Brésil offre de nombreuses opportunités pour l'industrie des cartes à puce. La demande de services à valeur ajoutée, la migration EMV, et les projets d'identification assurent la croissance du marché dans ce pays, le plus grand d Amérique latine. Sources : fr.cartes.com Infos pratiques : CARTES SECURE CONNEXIONS EVENT 2013 Parc des Expositions de Paris-Nord Villepinte du 19 au 21 Novembre 2013. Retrouvez toutes les infos sur le site web : HTTP://FR.CARTES.COM 7
ZOOM PCI DSS 3.0 UNE ÉVOLUTION MAIS PAS UNE RÉVOLUTION HTS et PCI DSS Le standard PCI DSS (Payment Card Industry Data Security Standard) s adresse aux organismes qui capturent, transportent, stockent et/ou traitent des données de cartes bancaires. En tant que QSA habilités par le PCI Council, les experts d HTS accompagnent les organismes en vérifiant l ensemble des points de contrôles relatifs aux systèmes d information d un point de vue technique mais également organisationnel. Version 3 : Education et mise en place de politiques PCI DSS, actuellement en version 2, est désormais en développement pour sa version 3.0. La nouvelle version de ce standard en terme de sécurité des données bancaires sera plus axé sur l'éducation et la mise en place de politiques, plutôt que la mise en conformité avec la norme. Troy Leach, Chief Technology Officer du PCI Security Standard Council, a expliqué que l'objectif de cette nouvelle version permettra de vérifier qu'un processus est sécurisé, et non que la technologie pour le sécuriser est en place. En effet, avec un audit annuel, celui-ci espère qu'avec ces changements, l'organisme certifié régularisera ses processus de contrôle. Egalement, la nouvelle norme permettra d'obtenir plus de clarté en terme de contrôles et de mise en conformité avec l'ajout d'une troisième colonne: des exemples de risques concrets que le contrôle de sécurité tend à combler. Finalement, les principaux changements seront axés sur les mots de passe qui incluent l'option d'utiliser des passphrases d'au moins 7 caractères, des exigences plus strictes en terme de tests d'intrusion ou encore le Cloud, avec un accent sur la définition des responsabilités des différentes parties. Echéance 2014 PCI DSS en version 3.0 sera publié en novembre et applicable en janvier 2014, mais les organismes conformes à PCI DSS 2.0 auront un an pour se conformer à la nouvelle norme. Sources : www.eweek.com - by Sean Mickael Kerner - traduction des textes par : Romain Rousseau Consultant sécurité HTS Tél +33 (0)2 14 74 70 20 Fax +33 (0)2 14 74 70 21 www.hts-expert.com HTS France 2 rue Paul Louis Halley 14120 Mondeville HTS International Square de Meeûs 40 1000 Bruxelles - Belgique