Label sécurité ITrust : ITrust Security Metrics

Documents pareils
Cybersecurite. Leader européen - management des vulnérabilités - monitoring sécurité - Expertise as a service depuis 2007

Présentation de la démarche : ITrust et IKare by ITrust

Jean-Nicolas Piotrowski, Dirigeant Fondateur d ITrust

Sécurité des Systèmes d Information Une politique simple pour parler à la Direction Générale De la théorie à la pratique

Mise en place de la composante technique d un SMSI Le Package RSSI Tools BOX

la sécurité change avec Orange développez vos activités en toute sérénité, nous protégeons vos systèmes d information

Gestion des vulnérabilités «Back to basic» ou nouvelle tactique face à l évolution des attaques?

DÉVELOPPER DES APPLICATIONS WEB SÉCURISÉES

e need L un des premiers intégrateurs opérateurs Cloud Computing indépendants en France

Panorama général des normes et outils d audit. François VERGEZ AFAI

Excellence. Technicité. Sagesse

Panorama de l'évolution du cloud. dans les domaines d'orchestration (cloud et virtualisation)

Catalogue Audit «Test Intrusion»

5 novembre Cloud, Big Data et sécurité Conseils et solutions

Gestion des Incidents SSI

Release Status Date Written by Edited by Approved by FR_1.00 Final 19/03/2014

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet JSSI INSA

Présentation CERT IST. 9 Juin Enjeux et Mise en Œuvre du DLP. Alexandre GARRET Directeur des Opérations ATHEOS agarret@atheos.


Mise en œuvre de la certification ISO 27001

Symantec Control Compliance Suite 8.6

CYBERSÉCURITÉ. Des capacités globales de cybersécurité pour une transformation numérique en toute confiance. Delivering Transformation. Together.

Des capacités de cybersécurité et de confiance numérique pour accélérer votre transformation digitale

Face aux nouvelles menaces liées aux cyber attaques et l évolution des technologies, comment adapter son SMSI? CLUB27001 PARIS 22 novembre 2012

dans un contexte d infogérance J-François MAHE Gie GIPS

Projet Sécurité des SI

Formations. «Règles de l Art» Certilience formation N SIRET APE 6202A - N TVA Intracommunautaire FR

Approche Méthodologique de la Gestion des vulnérabilités. Jean-Paul JOANANY - RSSI

Comment choisir la solution de gestion des vulnérabilités qui vous convient?

IDC Risk Management 2009 Quelles démarches pour satisfaire les exigences de la norme PCI DSS?

3 minutes. cybersécurité. avec Orange Consulting. pour tout savoir sur la. mobile, network & cloud. maîtrisez vos risques dans le cybermonde

mieux développer votre activité

La sécurité informatique d'un centre d imagerie médicale Les conseils de la CNIL. Dr Hervé LECLET. Santopta

Sécurisation du centre de services au sein du cloud computing La stratégie de sécurité de BMC pour l environnement SaaS LIVRE BLANC

Intégration de la cybersécurité aux systèmes de conduite industriels. Méthodes et pratiques

Livre blanc. SaaS : garantir le meilleur niveau de service. (2e partie)

Recommandations pour les entreprises qui envisagent de souscrire à des services de Cloud computing

Vers un nouveau modèle de sécurité

Réf. Module Public ciblé Durée Contenu. Décideurs du secteur Commerce ou des Institutions financières concernées par le paiement

Audits Sécurité. Des architectures complexes

HySIO : l infogérance hybride avec le cloud sécurisé

Gouvernance des mesures de sécurité avec DCM-Manager. Présentation du 22 mai 2014

VIGIPIRATE PARTIE PUBLIQUE OBJECTIFS DE CYBERSÉCURITÉ

Découvrir les vulnérabilités au sein des applications Web

Créer un tableau de bord SSI

Actuellement, de nombreux outils techniques et technologiques sont disponibles pour assurer la sécurité d un système d information.

La Sécurité des Données en Environnement DataCenter

Référentiel de qualification de prestataires de services sécurisés d informatique en nuage (cloud computing) - référentiel d'exigences

Les clauses «sécurité» d'un contrat SaaS

POLITIQUE SECURITE PSI - V3.2 VSI - 15/04/2014. L architecte de vos ambitions

AUDIT CONSEIL CERT FORMATION

Une protection ICT optimale. Du conseil à la gestion en passant par le développement et la mise en oeuvre

PASSI Un label d exigence et de confiance?

Livre blanc, août 2013 Par Peer1 et CompliancePoint Certification PCI DSS De la complexité à la simplicité

Tufin Orchestration Suite

ISO conformité, oui. Certification?

Une réponse concrète et adaptée pour valoriser votre engagement pour l environnement.

La sécurité applicative

MSP Center Plus. Vue du Produit

L'infonuagique, les opportunités et les risques v.1

LIVRE BLANC. Dix étapes essentielles pour une conformité continue : une stratégie complète de conformité

Menaces informatiques et Pratiques de sécurité en France Édition Paris, 25 juin 2014

Traçabilité et sécurité juridique Me Raphaël PEUCHOT, avocat, Ribeyre & Associés

Solution de gestion des journaux pour le Big Data

Le catalogue TIC. Solutions. pour les. Professionnels

ISO/CEI 27001:2005 ISMS -Information Security Management System

Audits de sécurité, supervision en continu Renaud Deraison

Solution de sauvegarde pour flotte nomade

Traitement des Données Personnelles 2012

Modèle MSP: La vente de logiciel via les services infogérés

Management de la sécurité des technologies de l information

ISO la norme de la sécurité de l'information

Indicateur et tableau de bord

L Expertise du Coffre-fort Bancaire au Service du Dossier Patient

Sécurité du cloud computing

2012 / Excellence. Technicité. Sagesse

Bienvenue au Club Logistique! Jeudi 05 décembre 2013

Auditabilité des SI et Sécurité

Politique de Sécurité des Systèmes d Information

AdBackup Laptop. Solution de sauvegarde pour flotte nomade. Société Oodrive

Industrie des cartes de paiement (PCI) Norme de sécurité des données Récapitulatif des modifications de

The Path to Optimized Security Management - is your Security connected?.

am2i» est une société Guyanaise spécialisée dans la prestation de services informatiques aux entreprises.

Auteur : Françoise NICOLAS, Responsable Qualité. Approuvé par : Michel ROUVELLAT, Président. Dernière date de mise à jour : 01 avril 2015

INTEGRATEURS. Pour un Accompagnement Efficace vers le Cloud SUPPORT DE FORMATION, INFORMATION, COMMUNICATION

Sécurité de bout en bout Une solution complète pour protéger les données et prévenir les risques

Comment protéger ses systèmes d'information légalement et à moindre coût?

Evolution de messagerie en Cloud SaaS privé

NOMADES ET SMARTPHONES EN ENTREPRISE EN TOUTE SÉCURITÉ PAR BERTRAND THOMAS ET JULIEN COULET

THEORIE ET CAS PRATIQUES

Mise en place d une politique de sécurité

EVault Endpoint Protection en détails : Gestion de l entreprise, Sauvegarde, Restauration et Sécurité

La sécurité des PABX Le point de vue d un constructeur Les mesures de sécurisation des équipements lors du développement et de l intégration

Sûreté de fonctionnement. Cyber-sécurité et sécurité informatique Similitudes d approche avec la sécurité fonctionnelle

La sécurité IT - Une précaution vitale pour votre entreprise

Bonnes pratiques de la gestion des identités et des accès au système d information (IAM)

Transcription:

ITrust Security Metrics : le label sécurité d ITrust 26 Septembre 2011 Label sécurité ITrust : ITrust Security Metrics Objet : Ce document présente le label de sécurité ITrust et formalise les conditions générales d utilisation et de vente du label.

En 2011, le piratage informatique est devenu une actualité brulante, révélée au grand jour avec les piratages successifs de grandes entreprises et d'institutions gouvernementales dans le monde entier. Les entreprises prennent désormais conscience que la sécurité de leur système informatique est une réalité à prendre en compte... Parallèlement à ce constat, les experts en sécurité dressent un autre bilan : une grande partie des attaques informatiques pourraient être évitées si les bonnes pratiques dites de "bon sens" étaient systématiquement mises en place. Dans ce contexte, ITrust a décidé de réagir en créant le label sécurité ITrust Security Metrics. 1. Sécurisez vos Sites Web et Réseaux, Rassurez vos clients La délégation des moyens informatiques à un tiers (par exemple : la migration vers le Cloud), entraine une perte de contrôle du système d information et une augmentation des risques liés à la centralisation des données. L enjeu dans le cloud et l informatique étendue et distribuée pour le client est de pouvoir maitriser ses données externalisées par le contrôle des SLA et qualité de service, de la confidentialité et l intégrité de ses données. Le tout dans un contexte de conformité réglementaire important : CNIL, E-Privacy, DMP, HDS, SoX, Bale III, PCI, ISO 2700X/27001, HIPAA, SAS70. ITrust Security Metrics est un service proposé par ITrust pour établir de manière indépendante le niveau de sécurité d une architecture suivant des critères et objectifs basés sur des normes internationales. Le principe est de scanner, grâce à IKare, les sites Web et/ou réseaux de l entreprise, afin de détecter failles et vulnérabilités et de mener conjointement une politique sécurité, grâce l accompagnement des Ingénieurs sécurité ITrust. Un label est alors généré et affiché sur le site web de l entreprise afin de prouver à ses clients les efforts rigoureux qu elle entreprend pour maintenir un niveau de sécurité maximal. 2. Les Avantages Identification des vulnérabilités Supervision de l application des mises à jour systèmes 2

Vérification des contrôles de sécurité et d intégrité Reporting détaillé avec la solution IKare Réalisation de scans «à la demande» pour s assurer de la correction Traçabilité des corrections effectuées Accompagnement organisationnel par des Ingénieurs spécialisés en Sécurité Rassurement de vos clients sur vos efforts pour maintenir un niveau de sécurité maximal. 3. Description du label S appuyant d une part sur la solution logicielle SaaS, IKare (Monitoring de sécurité développé par ITrust, labellisé par Oséo), pour les scans de vulnérabilités et les contrôles de sécurité et d autre part sur les normes ISO 27001 et 27002 pour les bonnes pratiques en termes de gestion. Le label ITrust Security Metrics garantit que le système d information est configuré et exploité selon les meilleures pratiques de sécurité et conforme aux réglementations et l état de l art. ITrust Security Metrics est décliné en quatre niveaux de certification : Critères / Exigences Niveau 1 Niveau 2 Niveau 2+ Niveau 3 Niveau 4 Scan de Vulnérabilités via IKare 1/semaine 2/semaine 2/semaine 1/jour 1/jour Contrôle de sécurité via IKare 2/semaine 1/jour 1/jour 2/jour 2/jour Délais de correction des vulnérabilités 1 semaine 3 jours 3 jours 48H 24H Sécurité physique Gestion des actifs Gestion des communications et des opérations Contrôle d accès Gestion des incidents Politique de sécurité Organisation de la fonction sécurité Ressources humaines Reprise et continuité d activité Conformité Accréditation client ISO 27001 En savoir plus En savoir plus En savoir plus En savoir plus En savoir plus 3

IKare Technique Organisationnel 4. A qui est destiné le label ITrust Security Metrics Le label ITrust Security Metrics est proposé aux Editeurs, aux Hébergeurs de données et d applications, aux Cloud Providers afin de valoriser leurs processus et la qualité de leurs prestations. 5. Description de chaque niveau S appuyant d un coté sur la solution IKare pour les scans de vulnérabilités et les contrôles de sécurité et de l autre sur la norme iso 27001/2 pour les bonnes pratiques en terme de gestion, le label ITrust Security Metrics offre une vision globale de la sécurité ITrust Security Metrics propose quatre niveaux de certification : Niveau 1 : Un scan de vulnérabilité est effectué au moins une fois par semaine Un contrôle de sécurité est effectué au moins deux fois par semaine. Engagement : L utilisateur s engage à corriger les vulnérabilités critiques et hautes dans la semaine qui suit la découverte. En cas de non respect de cet engagement, un label vide est affiché en lieu et place du label niveau 1 sur le site tant que la correction n a pas été apportée. Niveau 2 : Un scan de vulnérabilité est effectué au moins deux fois par semaine Un contrôle de sécurité est effectué au moins une fois par jour. 4

Engagement : L utilisateur s engage à corriger les vulnérabilités critiques et hautes dans les 3 jours qui suivent la découverte. En cas de non respect de cet engagement, le label est «rétrogradé» vers le niveau 1 puis le label «vide» si rien n est fait dans les délais impartis. Niveau 2+ : Ce niveau répond aux mêmes exigences que celles du niveau 2 avec en plus les exigences issues des bonnes pratiques iso 27002 sur les thèmes de : - La sécurité physique - La gestion des actifs - La gestion des communications et des opérations. Niveau 3 : Un scan de vulnérabilité est effectué au moins une fois par jour Un contrôle de sécurité est effectué au moins deux fois par jour. Ce niveau reprend les exigences organisationnelles du niveau 2+ en y ajoutant les thèmes suivants : - contrôle d accès - gestion des incidents - politique de sécurité - organisation de la fonction sécurité - conformité. Engagement : 5

L utilisateur s engage à corriger les vulnérabilités critiques et hautes dans les 48H qui suivent la découverte. En cas de non respect de cet engagement, le label est «rétrogradé» vers le niveau 2. Niveau 4 : Un scan de vulnérabilité est effectué au moins une fois par jour Un contrôle de sécurité est effectué au moins deux fois par jour. Le périmètre supervisé par le label est conforme à la norme iso 27001. Engagement : L utilisateur s engage à corriger les vulnérabilités critiques et hautes dans les 24H qui suivent la découverte. En cas de non respect de cet engagement, le label est «rétrogradé» vers le niveau 3. 6. Fonctionnement L installation nécessite l ajout d un lien HTML sur le site institutionnel du client. Celui ci affiche le niveau du label de la cible et redirige sur une page spécifique à la cible sur le site ITrust qui liste les éléments de sécurité implémentés. Le label nécessite l installation du service IKare au sein de la cible pour effectuer les scans de vulnérabilités et les contrôles de sécurité. ITrust devra pouvoir accéder au service IKare afin d examiner les rapports et obtenir les dernières dates de scans (affichées sur la page spécifique du label) A partir du niveau 2+, ITrust accompagne le client à raison d un jour par mois pour valider et améliorer les exigences organisationnelles. 6

7. Liste des critères Critères / Exigences Moyens Sécurité physique Restriction de l accès physique Protection contre les risques environnementaux Protection contre les problèmes électriques Salle dédiée avec contrôle d accès Armoire verrouillée Alarmes Site distant de secours Protection incendie Climatisation Alimentation redondée Onduleur Gestion des actifs Inventaire matériel et logiciel Identification des propriétaires des ressources Classification des ressources en fonction du besoin de sécurité Gestion des communications et des opérations Sauvegarde / restauration Gestion des journaux Gestion des mises à jour Supervision de sécurité (assuré par les exigences de niveau 2) Ségrégation réseau Protection des communications externes Traçabilité Authentification forte VPN Correction et changement Responsabilités Contrôle d intégrité Gestion des prestations de service tierces Contrôle d accès Politique de contrôle d accès Cycle de vie des accès Accès réseau Enregistrement initial Politique de mots de passes Audit des droits d accès Suppression des droits Ségrégation réseau utilisateur / système Authentification utilisateur externe Journalisation firewall 7

Accès système Identifiant unique / utilisateur Journalisation des accès Gestion des incidents Reporting Gestion des journaux Procédure d alarme et réaction (escalade) Point de contact unique Audit Collecte (forensique) Politique de sécurité Politique de sécurité de l information Guidelines Procédures Organisation de la fonction sécurité RSSI Sécurité contractuelle avec les tiers accédant au système Ressources humaines Prise en compte du besoin de sécurité Procédures de sensibilisation et formation Procédure de départ Reprise et continuité d activité Procédure de PCA/PRA Test et validation Conformité Respect des règlementations et lois CNIL PCI DSS Package Telecom Respect des procédures de la politique Efficacité des dispositifs : Pentest, audit de configuration Accréditation ISO 27001 8

8. Conditions générales de vente et d utilisation Les conditions de vente seront où ont été transmises dans une proposition Technique et Financière. Le client reconnait avoir pris connaissance des conditions ci-dessus explicitées. Il s engage à respecter les délais de correction des failles de sécurité. Toute condition non respectée fera l objet d une rétrogradation du niveau à un niveau inférieur. Le client et ITrust ont le droit de communiquer sur le label. Le client se doit de conserver le logo du label sur son site et ses produits. ITrust s autorise à communiquer sur les clients qui utilisent son label. BON POUR AC C ORD J accepte et comprends le principe et les conditions du label ITrust Security Metrics explicités ci-dessus. Signature et date du Client et Bon pour accord pour mise en place du label 9

Immeuble Actys 1 55 Avenue l Occitane BP 67303 31673 Labège Cedex Tél. : 05.67.34.67.80 contact@itrust.fr www.itrust.fr www.ikare-monitoring.com Rejoignez-nous sur nos pages et groupes officiels. 10

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back