Conférence CRESTEL. Du risque SI aux risques business v1.0 09/03/2015



Documents pareils
Dématérialiser les échanges avec les entreprises et les collectivités

FedISA Congrès 2013 Table ronde du 17 mai "Certification d'un SAE*, normes et référentiels"

RÉFÉRENTIEL GÉNÉRAL DE SÉCURITÉ

Mise en œuvre de la certification ISO 27001

Prestations d audit et de conseil 2015

Des capacités de cybersécurité et de confiance numérique pour accélérer votre transformation digitale

CYBERSÉCURITÉ. Des capacités globales de cybersécurité pour une transformation numérique en toute confiance. Delivering Transformation. Together.

PASSI Un label d exigence et de confiance?

Du 03 au 07 Février 2014 Tunis (Tunisie)

Actuellement, de nombreux outils techniques et technologiques sont disponibles pour assurer la sécurité d un système d information.

PASS v2.0 : solution d authentification unique basée sur les composants Shibboleth Service Provider v2.5.1 et Identity Provider v2.3.

LA SIGNATURE ELECTRONIQUE

Référentiel Général de Sécurité

5 novembre Cloud, Big Data et sécurité Conseils et solutions

PROGRAMME DE FORMATION

Archivage électronique - Règle technique d exigences et de mesures pour la certification des PSDC

LES IMPACTS SUR VOTRE SYSTEME DE FACTURATION DE LA SIGNATURE ELECTRONIQUE COMME OUTIL DE SECURISATION DE VOS ECHANGES DEMATERIALISES

PUBLIC KEY INFRASTRUCTURE. Rappels PKI PKI des Impôts PKI de la Carte de Professionnel de Santé

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet JSSI INSA

Panorama de l'évolution du cloud. dans les domaines d'orchestration (cloud et virtualisation)

ISO conformité, oui. Certification?

FORMATION SUR «CRYPTOGRAPHIE APPLIQUEE

METIERS DE L INFORMATIQUE

Certification électronique et E-Services. 24 Avril 2011

Panorama général des normes et outils d audit. François VERGEZ AFAI

Club Utilisateurs 2 ème Réunion, 8 Octobre 2014 International RFID Congress, Marseille. Diffusion Restreinte

Votre référentiel documentaire. STS.net Solution de gestion et de conservation des actifs documentaires de l entreprise

PRESENTATION 2009 L'ingénierie Documentaire

2012 / Excellence. Technicité. Sagesse

L Audit selon la norme ISO27001

SANS SEC 504 : Techniques de hacking, exploitation de failles et gestion des incidents

Autorité de Certification OTU

ACCOMPAGNEMENT A LA CERTIFICATION ISO 9001 DE L AGENCE POUR LA RECHERCHE ET L INNOVATION EN CHAMPAGNE-ARDENNE - CARINNA

EDC FAST CONTRAT LA DÉMATÉRIALISATION DES CONTRATS: ASSURANCE, BAIL, INTERIM,

TUV Certification Maroc

Politique de Référencement Intersectorielle de Sécurité (PRIS)

AUDIT CONSEIL CERT FORMATION

Excellence. Technicité. Sagesse

Vector Security Consulting S.A

Recommandations pour les entreprises qui envisagent de souscrire à des services de Cloud computing

Dossier de presse L'archivage électronique

accueil Ecole Supérieure du Numérique de Normandie

Processus 2D-Doc. Version : 1.1 Date : 16/11/2012 Pôle Convergence AGENCE NATIONALE DES TITRES SECURISÉS. Processus 2D-Doc.

Mettre en oeuvre l authentification forte. Alain ROUX Consultant sécurité

L IDENTITÉ NUMÉRIQUE MULTISERVICES EN FRANCE : LE CONCEPT IDÉNUM

Des modules adaptés aux réalités des métiers de la sécurité de l information

Une réponse concrète et adaptée pour valoriser votre engagement pour l environnement.

La sécurité des Réseaux Partie 7 PKI

PRESTATAIRES D AUDIT DE LA SECURITE DES SYSTEMES D INFORMATION

THEORIE ET CAS PRATIQUES

«Audit Informatique»

Politique de Certification Pour les Certificats de classe 0 et 4 émis par l autorité de certification Notaires PUBLIÉ

EXPERTISE COMPTABLE ACCOMPAGNEMENT COMPTABLE ET FINANCIER AUDIT CONSEIL

- CertimétiersArtisanat

ISO la norme de la sécurité de l'information

Présentation Application Coffre-fort électronique Cloud Access for Salesforce

«Audit Informatique»

) ) ) ) Structure et optimisation des coûts de la conformité Analyse comparée de PCI DSS et ISO CNIS EVENT. 27 avril 2011.

Fiche méthodologique Rédiger un cahier des charges

MEMENTO Version

MISE EN PLACE D UNE DEMARCHE CQP / CQPI AU SEIN D UNE BRANCHE

L ASSURANCE QUALITÉ ET SÉCURITÉ DE VOTRE SYSTÈME D INFORMATION

D ITIL à D ISO 20000, une démarche complémentaire

DEMATERIALISATION & ARCHIVAGE ELECTRONIQUE

Organisme de certification de personnes et d entreprises. Certification en technologies de l information et monétique.

ENJEUX JURIDIQUES DEMATERIALISATION DES CONTRATS A LA SOURCE 21 SEPTEMBRE 2012

Rapport de certification ANSSI-CSPN-2011/14. Fonctionnalités de pare-feu de StoneGate Firewall/VPN build 8069

Systèmes et réseaux d information et de communication

- CertimétiersArtisanat

2 ASIP Santé/DSSIS : Guide Pratique - Règles de sauvegarde des Systèmes d Information de Santé (SIS) Juillet 2014 V0.3

Pour le Développement d une Relation Durable avec nos Clients

Catalogue de services standard Référence : CAT-SERVICES-2010-A

CIMAIL SOLUTION: EASYFOLDER SAE

28/06/2013, : MPKIG034,

Club toulousain

ALDEA ET SYSTEMES D INFORMATION

La dématérialisation et après

La sécurité IT - Une précaution vitale pour votre entreprise

Information Technology Services - Learning & Certification. «Développement et Certification des Compétences Technologiques»

ANALYSE DE RISQUE AVEC LA MÉTHODE MEHARI Eric Papet Co-Fondateur SSII DEV1.0 Architecte Logiciel & Sécurité Lead Auditor ISO 27001

Conférence EDIFICAS. Le document électronique et sa valeur probante

Les outils «cloud» dédiés aux juristes d entreprises. Cadre juridique

Agrément des hébergeurs de données de santé. 1 Questions fréquentes

I partie : diagnostic et proposition de solutions

EJBCA PKI. Yannick Quenec'hdu Reponsable BU sécurité

ISO 27001:2013 Béatrice Joucreau Julien Levrard

Cinq questions sur la vraie utilité de l'iso Alexandre Fernandez-Toro

Consulter notre site : Network Telecom Security Solutions. en partenariat technique avec

Tremplins de la Qualité. Tome 2

Comment assurer la conformité des systèmes informatiques avec les référentiels et normes en vigueur

Gouvernance des mesures de sécurité avec DCM-Manager. Présentation du 22 mai 2014

CERTIFICATS ELECTRONIQUES SUR CLE USB


Présentation aux entreprises du numérique

CERTIFICATS ELECTRONIQUES SUR CLE USB CERTIGREFFE

LES ENJEUX JURIDIQUES ET TECHNIQUES DE LA DÉMATÉRIALISATION DES MARCHÉS PUBLICS

FORMULAIRE DE DECLARATION RESPONSABILITE CIVILE PROFESSIONNELLE DES EXPERTS IMMOBILIERS

Transcription:

Conférence CRESTEL Du risque SI aux risques business v1.0 09/03/2015 1

Bonnes pratiques de certification, de conformité En matière de SSI, la «perfection», un «système sans faille», est toujours l objectif recherché La question habituelle est : «En admettant que j y parvienne, comment puis-je en faire la démonstration?» COMMENT DONNER CONFIANCE A MES UTILISATEURS, MON MANAGEMENT, MES PARTENAIRES VIS-À-VIS DU NIVEAU DE SECURITE DE MON SI? SEULE REPONSE CONNUE A CE JOUR : EN MONTRANT DES «DIPLOMES» (des rapport d audit) PERMETTANT DE LES RASSURER A PRIORI Bien que nul système soit infaillible 2

Les «diplômes» SSI DIPLOMES DE PERSONNES Auditor/Lead Auditor ISO/CEI 27001 Implementer/Lead Implementer ISO/CEI 27001 Risk Manager ISO/CEI 27005 Auditor/Lead Auditor ISO/CEI 20000 Implementer/Lead Implementer ISO/CEI 20000 Auditor/Lead Auditor ISO/CEI 22301 Implementer/Lead Implementer ISO/CEI 22301 EBIOS Risk Manager DIPLOMES DE SYSTEMES OU D ENTREPRISES SMSI / ISO27001 Qualification RGS Certification ETSI PASSI Cloud Confidence 3 DIPLOMES DE PRODUITS Certification (conformité / CSP / Critères communs) Qualification RGS

SMSI ISO 27001 La norme ISO/CEI 27001 est une norme de maitrise du risque lié à la sécurité de l'information. Elle décrit, sous forme d'exigences, les pratiques (organisation, techniques, etc.) à mettre en place pour qu'une organisation puisse maîtriser efficacement le risque lié à l'information. Mettre en place un système de management du risque lié à sécurité de l'information, c'est se donner les moyens : d' identifier le risque, d' identifier l'information et les biens à protéger de traiter le risque après l'avoir évalué (acceptation du risque, transfert du risque ou mise en place de protections adaptées), de maintenir dans le temps la maîtrise de la sécurité ainsi obtenue et de l'améliorer. Intérêt et enjeux de cette certification La certification à cette norme permet d'apporter des preuves et des garanties aux clients, aux assureurs, aux actionnaires, aux partenaires, aux salariés, etc; que l'entreprise maitrise la sécurité de son information et des informations des tiers qu'elle manipule. 4

Certification ETSI & qualification RGS En France, en synthèse, le décret RGS définit trois niveaux de qualité pour la gestion des certificats électroniques : Qualification RGS * : certificats logiciels, remis sans face à face ; Qualification RGS ** : certificats sur cartes ou clés USB, remis avec face à face ; Qualification RGS *** : certificats qualifiés, remis sur supports qualifiés, avec face à face à toutes les étapes; Le R.G.S. (français) est compatible avec les normes ETSI (européennes) existantes et permettant d'attester de la qualité des infrastructures de confiance mises en œuvre : Certification ETSI 102 042 (LCP / NCP / NCP+) Certification ETSI 101 456 RGS *** ETSI 101 456 Certaines équivalences existent (ex : RGS ** = ETSI 102 042 NCP, RGS*** = ETSI 101 456) mais leur réciproque n'est pas toujours vraie. RGS ** ETSI 102 042 5

Bénéfices de la certification ou de la qualification La qualification RGS confère les 4 avantages suivants : La certification ETSI confère les 3 avantages suivants : Intégration automatique de l AC Racine dans les navigateurs et readers Diplôme attestant du niveau de sécurité de l infrastructure PKI Capacité d internalisation de la production de certificats serveurs (SSL) Capacité d internalisation de la production de certificats pour des téléservices administratifs français Simplification du déploiement Présentation d un niveau de qualité «reconnue» Économies d échelles, et simplification, accélération des procédures d acquisition Possibilité d éviter l acquisition de certificats personnels auprès d ACs tierces 6

Le contexte réglementaire des services de confiance évolue Directive Européenne 1999/93/CE Cadre juridique pour la signature électronique Transposition nationale Loi du 13 mars 2000 L écrit sous forme électronique est admis comme preuve, sous réserve de L identification de la personne dont il émane La conservation dans des conditions de nature à en garantir l intégrité Décret d application Décret 2001-272 30 mars 2001 Présomption de fiabilité de la signature électronique sécurisée, c est-à-dire sous réserve d utilisation D un dispositif sécurisé de création de signature électronique D un certificat électronique qualifié Cadre juridique permettant d améliorer le déploiement de la signature électronique, l interopérabilité et d autres services de confiance numérique Règlement eidas 7 Ex : «INTERDICTION de refuser un document au motif qu il est électronique Ex : nouveau cadre pour le «Recommandé Accusé Réception électronique»

Dispositifs permettant de donner un cadre règlementaire aux standards de la profession Le règlement eidas Article 12 Coopération et interopérabilité Article 29 Exigences applicables aux dispositifs de création de signature électronique qualifiés Article 32 Exigences applicables à la validation des signatures électroniques qualifiées Acte d exécution Acte d exécution Acte d exécution Normes applicables (EN xxx / ETSI TS xxx) Normes applicables (EN xxx / ETSI TS xxx) Normes applicables (EN xxx / ETSI TS xxx) 8

De nouveaux standards = de nouvelles possibilités de faire «certifier» son SI 6 thèmes couverts (et sous-thèmes associés) Au moins 5 documents par thème Environ 100 standards à venir! 9

La démarche de certification Renouvellement de la qualification (tous les 3 ans) Analyse des impacts et d opportunité Choix de la cible (ETSI / RGS) Mise à niveau de la PKI Rédaction des procédures associées Audit documentaire & technique Entretiens avec les responsables de la PKI Audit des procédures Audit terrain PRESTATAIRE CERTIFIE (QUALIFIÉ) ETAPE 1 Analyse des écarts, et plan d actions ETAPE 2 Mise à niveau ETAPE 3 Audit & obtention de la certification (qualification) Maintien de la qualification (annuel) 10

Les nouveaux types de labels SSI PASSI : Prestataires d audit de la sécurité des systèmes d information (PASSI) La qualification donne au client du PASSI l assurance de bénéficier d une prestation réalisée par du personnel disposant d un haut niveau de compétence et réalisée dans le respect de la déontologie attachée au type de prestation Activités qui peuvent faire l objet d une qualification sont : audit organisationnel et physique, audit d architecture audit de configuration audit de code source tests d intrusion Cloud Confidence : La certification «Cloud Confidence» a pour objectif de donner aux clients des prestataires de cloud un cadre de confiance et de transparence en ce qui concerne la protection des données qu ils confient à leurs prestataires Le référentiel d exigences est porté par l association www.cloudconfidence.eu De nouveaux labels encore à structurer (détection d intrusion, remédiation ) 11

SEALWeb est une société de conseil et d assistance à maîtrise d ouvrage, spécialisée dans les projets de dématérialisation à valeur probante et dans la sécurité des systèmes d'information. Domaines d'expertises : Les usages de la dématérialisation à valeur probante : Factures & commandes électroniques Signature de contrats, d actes légaux Appels d offres publics Dématérialisation des flux «backoffice» Souscriptions en ligne Jeux & votes électroniques Téléprocédures sécurisées & flux EDI Les infrastructures de confiance numérique : PKI Archivage & Coffre fort numérique Signature et preuve électronique Authentification, chiffrement, horodatage La sécurité des systèmes d information : 12 Référentiel documentaire sécurité (PSSI, PCA, FEROS) Audit & mise en conformité réglementaire Analyse de risques Aide au choix de produits et services (cahier des charges, appel d offres)

Nos interventions La méthodologie se décline en différents types d'interventions : Etudes Conseil Analyse des besoins Cahier des charges Définition de process métiers Expertise technique Validation de conformité aux standards et bonnes pratiques Spécifications & définition d architecture Analyse de ROI Signature / Authentification / Chiffrement Conduite de projets Plan projet (budget / délais) Suivi de la réalisation Recette fonctionnelle Formations Référentiel Général de Sécurité Réponse aux appels d offres publics Sécurisation de la contractualisation électronique Assistance à maîtrise d ouvrage Accompagnement de mise en œuvre Assistance au choix de produits Pilotage d appel d offres Référentiel documentaire Audits Audit technique & sécuritaire Audit des process et optimisation Préparation aux audits de conformité (RGS / ETSI) 13

Assistance à la mise en conformité SEALWeb assiste ses clients dans la préparation d audits réglementaires de leurs infrastructures de sécurité. Formation aux exigences Référentiels : IGC (RGS, ETSI) Audit interne Dossier d exigences Rédaction du référentiel documentaire à l attention de l auditeur Sectoriels (banque, assurance, professions réglementé, transport ) Métiers (factures, contrats, données de santé ) Préparation de l audit réglementaire 14 Assistance à l intégration des clés d ACs dans : Internet Explorer Mozilla Firefox Opera Adobe Reader

MERCI DE VOTRE ATTENTION! 15

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back