LOI DE PROGRAMMATION MILITAIRE. Présentation GUIDE z/os du 30 mars

Documents pareils
politique de la France en matière de cybersécurité

Intégration de la cybersécurité aux systèmes de conduite industriels. Méthodes et pratiques

POLITIQUE DE SÉCURITÉ DES SYSTÈMES D INFORMATION DE L ÉTAT. Version 1.0

VIGIPIRATE PARTIE PUBLIQUE OBJECTIFS DE CYBERSÉCURITÉ

CYBERSÉCURITÉ INDUSTRIELLE CONSTATS & SOLUTIONS

Référentiel de qualification de prestataires de services sécurisés d informatique en nuage (cloud computing) - référentiel d'exigences

L Agence nationale de la sécurité des systèmes d information

CYBERSÉCURITÉ. Des capacités globales de cybersécurité pour une transformation numérique en toute confiance. Delivering Transformation. Together.

Plan d intervention d urgence. en cas d attaque contre les systèmes d information. ou de faille technique des systèmes d information.

Data Breach / Violation de données

AUDIT CONSEIL CERT FORMATION

Des capacités de cybersécurité et de confiance numérique pour accélérer votre transformation digitale

L assurance et le risque Data. Clusir 25 avril 2012 Lyon François Brisson - Hiscox France

BULLETIN OFFICIEL DES ARMÉES. Édition Chronologique n 33 du 4 juillet PARTIE PERMANENTE Administration Centrale. Texte 2

GUIDE INTERMINISTERIEL SUR LES SYSTEMES D'INFORMATION ET APPLICATIONS SENSIBLES

Catalogue «Intégration de solutions»

Etude du cas ASSURAL. Mise en conformité du système d'information avec la norme ISO 17799

PRESENTATION DU STANDARD TIA (Télécommunications Industry Association) 942

Gestion des Incidents SSI

L analyse de risques avec MEHARI

Pourquoi se protéger? Croissance exponentielle des incidents Hades Security - Hadès Sécurité

Caisse Nationale de l'assurance Maladie des Travailleurs Salariés Sécurité Sociale

Auditer une infrastructure Microsoft

données à caractère personnel (ci-après "la LVP"), en particulier l'article 30 ;

Gestion des vulnérabilités «Back to basic» ou nouvelle tactique face à l évolution des attaques?

Gestion des mises à jour logicielles

GROUPE CS COMMUNICATION & SYSTEMES

Sécurité des Systèmes d Information Une politique simple pour parler à la Direction Générale De la théorie à la pratique

Présentation de la démarche : ITrust et IKare by ITrust

Division Espace et Programmes Interarméeses. État tat-major des armées

NOTE D INFORMATION. Conseils sur l autoévaluation en matière de cybersécurité

Orange Business Services. Direction de la sécurité. De l utilisation de la supervision de sécurité en Cyber-Defense? JSSI 2011 Stéphane Sciacco

sommaire dga maîtrise de l information LA CYBERDéFENSE

Panorama de l'évolution du cloud. dans les domaines d'orchestration (cloud et virtualisation)

L approche processus c est quoi?

Face aux nouvelles menaces liées aux cyber attaques et l évolution des technologies, comment adapter son SMSI? CLUB27001 PARIS 22 novembre 2012

I. Les entreprises concernées et l opération

Politique de Sécurité des Systèmes d Information

La cyberdéfense : un point de vue suisse

Gouvernance des mesures de sécurité avec DCM-Manager. Présentation du 22 mai 2014

INSTRUCTION INTERMINISTÉRIELLE

5 novembre Cloud, Big Data et sécurité Conseils et solutions

Menaces informatiques et Pratiques de sécurité en France Édition Paris, 25 juin 2014

Laboratoire de Haute Sécurité. Télescope réseau et sécurité des réseaux

Table des matières GUIDE D HYGIÈNE INFORMATIQUE

SÉCURITÉ DES SYSTÈMES D INFORMATION INDUSTRIELS

Infrastructure Management

Sécurité des systèmes informatiques Introduction

HySIO : l infogérance hybride avec le cloud sécurisé

Le Data Risk Center. Plateforme de pilotage et de gestion des risques Pilier I de la directive Solvabilité II

Rapport de certification ANSSI-CSPN-2011/14. Fonctionnalités de pare-feu de StoneGate Firewall/VPN build 8069

Mesures détaillées. La cybersécurité des systèmes industriels

Adresse 15 avenue du Hoggar Parc Victoria - Le Vancouver ZA de Courtaboeuf LES ULIS. Site web Téléphone

Mise en place de la composante technique d un SMSI Le Package RSSI Tools BOX

L hygiène informatique en entreprise Quelques recommandations simples

État Réalisé En cours Planifié

RÉFÉRENTIEL GÉNÉRAL DE SÉCURITÉ

la sécurité change avec Orange développez vos activités en toute sérénité, nous protégeons vos systèmes d information

LIVRET SERVICE. Portail Déclaratif Etafi.fr

Faits techniques et retour d'expérience d'une cellule d'expertise dans la lutte contre le code malveillant. EdelWeb / Groupe ON-X

L'AUDIT DES SYSTEMES D'INFORMATION

CONSEILS ORGANISATION GARDIENNAGE TELE SURVEILLANCE SURVEILLANCE

DU ROLE D UN BUREAU MILITAIRE AU SEIN D UNE MISSION PERMANENTE

PLAteforme d Observation de l InterNet (PLATON)

Conférence CRESTEL. Du risque SI aux risques business v1.0 09/03/2015

Agrément des hébergeurs de données de santé. 1 Questions fréquentes

Schéma Directeur de la Sécurité du Système d Information

Plan de Continuité d'activité Concepts et démarche pour passer du besoin à la mise en oeuvre du PCA

Défense et sécurité des systèmes d information Stratégie de la France

BULLETIN OFFICIEL DES ARMEES. Edition Chronologique n 20 du 3 mai 2013 TEXTE SIGNALE

Auditabilité des SI et Sécurité

CONVENTION REGISTRE - BUREAU D ENREGISTREMENT

Projet Sécurité des SI

Organisation de la Cyberse curite. E ric Jaeger, ANSSI/SDE/CFSSI Journe e SPECIF-Campus du 7 novembre 2014, CNAM, Paris

VIGIPIRATE DE VIGILANCE, DE PRÉVENTION ET DE PROTECTION FACE AUX MENACES D ACTIONS TERRORISTES. Partie publique du Plan gouvernemental

Règlement d INTERPOL sur le traitement des données

Les risques HERVE SCHAUER HSC

CONTEXTE GENERAL : CADRE DE REFLEXION ET D ACTION ET DOMAINES D INTERVENTION

Audit et expertise Wi-Fi

QUESTIONNAIRE Responsabilité Civile

Expérience professionnelle / stages en entreprise. Langues étrangères. Attestation sur l honneur

Mise en place d un Système de Management Environnemental sur la base de la Norme ISO SARRAMAGNAN Viviane

PROTOCOLE D ENTENTE ENTRE LA COMMISSION CANADIENNE DE SÛRETÉ NUCLÉAIRE. (représentée par le président) LE MINISTÈRE DE LA DÉFENSE NATIONALE

MINISTÈRE DU TRAVAIL, DES RELATIONS SOCIALES, DE LA FAMILLE, DE LA SOLIDARITÉ ET DE LA VILLE MINISTÈRE DE LA SANTÉ ET DES SPORTS ADMINISTRATION

CONTROLE GÉNÉRAL ÉCONOMIQUE ET FINANCIER

DU RISQUE DANS LES CADRES RÉGLEMENTAIRES*

PACK SKeeper Multi = 1 SKeeper et des SKubes

PRESTATAIRES D AUDIT DE LA SECURITE DES SYSTEMES D INFORMATION

Service Municipal d Accueil Postscolaire

La sécurité des systèmes d information

CYLINDRE ET BÉQUILLE ÉLECTRONIQUES À BADGE Aperio E100 & C100

Ce projet de loi fixe un plafond pour le budget de la Défense et un plancher pour le budget de l Aide internationale.

Stratégie nationale en matière de cyber sécurité

Connaître les Menaces d Insécurité du Système d Information

Une réponse adaptée aux besoins des entreprises de négoce.

La sécurité IT - Une précaution vitale pour votre entreprise

Transcription:

Présentation GUIDE z/os du 30 mars 2017 JJGueudry@gmail.com 1

GÉNÉRALITÉS Pour faire face aux cyber menaces sur les Systèmes d Information d Importance Vitale (SIIV), l article 22 de la loi de programmation militaire et de son décret d application (*) impose désormais aux Opérateurs d Importance Vitale de renforcer la sécurité des SIIV qu ils exploitent Les OIV sont les opérateurs publics ou privés qui exercent des activités difficilement substituables ou remplaçables pour la nation, que ce soit sur des aspects économiques, sociaux, de défense ou de sécurité (**) Ces activités sont réparties dans un des 12 Secteurs d Activités d Importance Vitale (SAIV) dont celui de la finance. Les arrêtés sectoriels définissent les modalités d application du décret. Les SIIV, identifiés par les OIV, sont ceux qui supportent les processus vitaux des activités telles que définies ci-dessus (*) Loi n 2310-1168 du 18 décembre 2013 et décret d application du 27 mars 2015 (**) activité dont le dommage ou l indisponibilité ou la destruction par suite d un acte de malveillance, de sabotage ou de terrorisme risquerait, directement ou indirectement d obérer gravement le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la Nation ou de mettre gravement en cause la santé ou la vie de la population (***) exemples : activités militaires de l Etat, activités judiciaires ; santé; alimentation; communications électroniques; énergie; finance ;

GÉNÉRALITÉS Les obligations s appliquant aux OIV : L obligation de l OIV à notifier à l ANSSI les incidents sur ses systèmes d informations critiques L obligation de renforcer le niveau de sécurité des systèmes d information d importance vitale SIIV au sens LPM L obligation de l OIV à se soumettre à un contrôle ou à un audit de sécurité sur le périmètre de ses SIIV, et ce à la demande du Premier Ministre 3

REGLES LOI DE PROGRAMMATION MILITAIRE LES 20 REGLES Description 4 R1 R2 R3 R4 R5 R6 R7 R8 R9 R10 R11 R12 R13 R14 R15 R16 R17 R18 R19 R20 PSSI Homologation Cartographie MCO sécurité Journalisation Corrélation et analyse de journaux Détection Traitement des incidents de sécurité Traitement des alertes Gestion de crises Identification Authentification Droits d accès Comptes d administration SI d administration Cloisonnement Filtrage Accès à distance Installation services et équipements Indicateurs

IMPACTS DES RÈGLES Délais de mise en œuvre Quelques impacts : Règle 2 - Identification et homologation des SIIV retenus Sur la base d un audit de sécurité, vérifier l application et l efficacité des mesures de sécurité audit d architecture, audit de configuration, audit organisationnel et physique, tests de vulnérabilité et d intrusion Règle 3 - Cartographie Eléments de cartographie relatifs à : l architecture applicative (fonctionnalités, services), l architecture système (serveurs, composants), l architecture d administration, l architecture réseau (flux), la liste des comptes possédant des droits d accès privilégiés Enrichissement des révérenciels Outil d inventaire dynamique ( à confirmer lors de la publication de l arrêté) Utilisation d un outil pour les droits des comptes à privilèges SIIV Pour l architecture réseau va s appuyer sur un outillage de «gestion des flux» nécessaire aussi pour être en conformité avec la règle 17 Règle 7 Détection des incidents de sécurité Mettre en œuvre un système de détection qualifié de type «sonde d analyse de fichiers et de protocoles» de manière à pouvoir analyser l ensemble des flux échangés entre les SIIV et les systèmes d information tiers à ceux de l opérateur SIIV déjà existant : 3 ans SIIV en cours de construction ou avenir: 2ans 1 an 2 ans 5

* LOI DE PROGRAMMATION MILITAIRE IMPACTS DES RÈGLES- SUITE Règles structurantes LPM vis-à-vis du Data Center Délais de mise en œuvre Règle 15 et 18 - SI d administration et Accès à distance Les systèmes d'information d administration sont connectés aux ressources à administrer au travers d une liaison réseau physique utilisée exclusivement pour les opérations d'administration Les ressources matérielles et logicielles des systèmes d information d administration sont utilisées exclusivement pour réaliser des opérations d administration Un environnement logiciel utilisé pour effectuer des opérations d administration ne doit pas être utilisé à d autres fins, comme l accès à des sites ou serveurs de messagerie sur internet Règle 16 et 17 Cloisonnement et filtrage Règle 16 : Cloisonner les SIIV vis-à-vis de l extérieur et des autres systèmes non SIIV Règle 17 : Mettre en place des mécanismes de filtrage des flux de données circulant dans ses SIIV afin de bloquer la circulation des flux inutiles au fonctionnement Etablir et maintenir à jour une liste des règles de filtrage mentionnant l ensemble des règles en vigueur ou supprimées depuis moins d un an 2 ans 2 ans 6

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back