Panorama de l avancement des travaux normatifs en matière de SSI Nouveaux thèmes de prospection



Documents pareils
ISO/CEI 27001:2005 ISMS -Information Security Management System

Opportunités s de mutualisation ITIL et ISO 27001

Club toulousain

Actuellement, de nombreux outils techniques et technologiques sont disponibles pour assurer la sécurité d un système d information.

SMSI et normes ISO 27001

Chapitre 7. Sécurité des réseaux. Services, attaques et mécanismes cryptographiques. Hdhili M.H. Cours Administration et sécurité des réseaux

Gestion du risque avec ISO/EIC17799

3 minutes. cybersécurité. avec Orange Consulting. pour tout savoir sur la. mobile, network & cloud. maîtrisez vos risques dans le cybermonde

Pourquoi se protéger? Croissance exponentielle des incidents Hades Security - Hadès Sécurité

Vector Security Consulting S.A

Information Security Management Lifecycle of the supplier s relation

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet

La sécurité dans les grilles

ISO/CEI NORME INTERNATIONALE. Technologies de l'information Techniques de sécurité Gestion des risques liés à la sécurité de l'information

Montrer que la gestion des risques en sécurité de l information est liée au métier

La sécurité IT - Une précaution vitale pour votre entreprise

Mise en œuvre de la certification ISO 27001

Sommaire Introduction Les bases de la cryptographie Introduction aux concepts d infrastructure à clés publiques Conclusions Références

ISO conformité, oui. Certification?

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet

L analyse de risques avec MEHARI

Vers un nouveau modèle de sécurité

Face aux nouvelles menaces liées aux cyber attaques et l évolution des technologies, comment adapter son SMSI? CLUB27001 PARIS 22 novembre 2012

Firewall IDS Architecture. Assurer le contrôle des connexions au. Sécurité 1

Orange Business Services. Direction de la sécurité. De l utilisation de la supervision de sécurité en Cyber-Defense? JSSI 2011 Stéphane Sciacco

La révolution de l information

Les marchés Security La méthode The markets The approach

Menaces informatiques et Pratiques de sécurité en France Édition Paris, 25 juin 2014

Conférence CRESTEL. Du risque SI aux risques business v1.0 09/03/2015

Bibliographie. Gestion des risques

Sécurité des Systèmes d Information Une politique simple pour parler à la Direction Générale De la théorie à la pratique

MV Consulting. ITIL & IS02700x. Club Toulouse Sébastien Rabaud Michel Viala. Michel Viala

Panorama général des normes et outils d audit. François VERGEZ AFAI

IDC Risk Management 2009 Quelles démarches pour satisfaire les exigences de la norme PCI DSS?

Cybersecurite. Leader européen - management des vulnérabilités - monitoring sécurité - Expertise as a service depuis 2007

ISO/IEC Comparatif entre la version 2013 et la version 2005

Les conséquences de Bâle II pour la sécurité informatique

ISO la norme de la sécurité de l'information

Symantec CyberV Assessment Service

Formation en SSI Système de management de la SSI

Sécurité informatique: introduction

Evaluation de l expérience tunisienne dans le domaine de l audit de la sécurité des systèmes d information

CobiT. Implémentation ISO 270. Pour une meilleure gouvernance des systèmes d'information. 2 e édition D O M I N I Q U E M O I S A N D

CRYPTOGRAPHIE. Chiffrement par flot. E. Bresson. SGDN/DCSSI Laboratoire de cryptographie

Système de Management Intégré Qualité, Sécurité et Environnement. Un atout pour l entreprise

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet JSSI INSA

Mise en place de la composante technique d un SMSI Le Package RSSI Tools BOX

ISO/IEC TR Première édition Numéro de référence ISO/IEC TR 90006:2013(F) ISO/IEC 2013

Approche Méthodologique de la Gestion des vulnérabilités. Jean-Paul JOANANY - RSSI

) ) ) ) Structure et optimisation des coûts de la conformité Analyse comparée de PCI DSS et ISO CNIS EVENT. 27 avril 2011.

Marc Paulet-deodis pour APRIM 1

Université de Lausanne

FORMATION FIBRE OPTIQUE

FedISA Congrès 2013 Table ronde du 17 mai "Certification d'un SAE*, normes et référentiels"

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet ISO 27001:2013

Cinq questions sur la vraie utilité de l'iso Alexandre Fernandez-Toro

Une protection ICT optimale. Du conseil à la gestion en passant par le développement et la mise en oeuvre

Nouveaux enjeux, Risque en évolution : Comment transformer la gestion du risque? Patrick Schraut Senior Manager Professional Services

L ASSURANCE QUALITÉ ET SÉCURITÉ DE VOTRE SYSTÈME D INFORMATION

Nouveau usages, nouvelle gestion des identités?

Conseils et préconisations de mutualisation ISO 2700x et ISO / ITIL Groupe de travail du Club Toulouse 3 Avril 2012

Sécurité Sanitaire des Aliments. Saint-Pierre, le 19 novembre Olivier BOUTOU. Les outils de la qualité sanitaire dans les pays du sud

Mise en œuvre d un système de management de la sécurité de l information (SMSI) au sein de l Ambassade du Royaume du Maroc à Tunis

INF4420: Sécurité Informatique

Recommandations sur les mutualisations ISO ISO & ISO ITIL

Release Status Date Written by Edited by Approved by FR_1.00 Final 19/03/2014

Graphes d attaques Une exemple d usage des graphes d attaques pour l évaluation dynamique des risques en Cyber Sécurité

HAUTE DISPONIBILITÉ DE MACHINE VIRTUELLE AVEC HYPER-V 2012 R2 PARTIE CONFIGURATION OPENVPN SUR PFSENSE

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet

- Couches - Éléments - Domaines - ArchiMate et les techniques du BABOK

ISO 2700x : une famille de normes pour la gouvernance sécurité

Qu est-ce qu un système d Information? 1

La sécurité applicative

Technologies de l information Techniques de sécurité Systèmes de management de la sécurité de l information Vue d ensemble et vocabulaire

LA PROTECTION DES DONNÉES

D ITIL à D ISO 20000, une démarche complémentaire

La politique de sécurité

ITIL : Premiers Contacts

Les systèmes CDMS. et les logiciels EDC

Archivage électronique - Règle technique d exigences et de mesures pour la certification des PSDC

I.T.I.L. I.T.I.L. et ISO ISO La maturité? La Mêlée Numérique 10. le 8 juin Luc Van Vlasselaer

Club ISO Juin 2009

Préparation à la certification LPIC-1 "Junior Level Linux Certification"

ITIL et les outils. À l ordre du jour. senté par Johanne L HeureuxL. Consultante. Mise en contexte Quelques exemples.

Windows Server 2008 Sécurité ADMINISTRATION ET CONFIGURATION DE LA SECURITE OLIVIER D.

MEMENTO Version

Club toulousain 7 février Couverture organisme national

La gestion des risques IT et l audit

curité des TI : Comment accroître votre niveau de curité

Référentiel ASUR. UE 1 : Enseignement général (132h) MCang = Anglais 30h Session 1 à 4 Anglais technique (en groupe de niveaux) TD 2h


PASSI Un label d exigence et de confiance?

Retour d'expérience sur le déploiement de biométrie à grande échelle

Retour d expérience PCI DSS OSSIR. Gérard Boudin. 8 avril 2014

Conception et Réalisation d une Application de Gestion de Sécurité d Information pour la Poste Tunisienne

Transcription:

Jean-ierre Lacombe Animateur Afnor CN SSI GE1-2 anorama de l avancement des travaux normatifs en matière de SSI Nouveaux thèmes de prospection www.fidens.fr jean-pierre.lacombe@fidens.fr

Travaux normatifs en matière de SSI! GE1 «Besoins généraux et méthodes» " Code de bonne pratique " Système de gestion de la sécurité de l information " Gestion de la sécurité / Gestion des risques " Sécurité réseau! GE2 «Techniques et mécanismes de sécurité»! GE3 «Critères d évaluation» " Critères communs " Security requirements for crypto modules " Security assessment of operational system

GE1 : ISO 17799 Fast track BS BS 7799 7799 ISO ISO 17799 17799 art art 1 ISO 17799 : Code de bonne pratique pour la gestion de la sécurité Recommandations pour mieux gérer la sécurité de l information Base commune de références, reconnue.mais pas une base de certification

GE1 : ISO 17799! ISO 17799 : base d élaboration de lignes directrices " olitique de sécurité " Organisation " Classification et contrôle des actifs " Sécurité du personnel " Sécurité physique, sécurité de l environnement " Gestion des communications et des opérations " Contrôle des accès " Développement et maintenance des systèmes " Gestion de la continuité des activités de l entreprise " Conformité Intérêts : #check list # comparaison des pratiques des entreprises

GE1 : ISMS ISMS Nouveau sujet de travail : Information Security Management System BS BS 7799-2 7799-2 Quèsaco? «ISO guide 72» Management System : système pour établir la politique et les objectifs, et pour atteindre ces objectifs (organisation, processus et ressources, méthode d évaluation de l atteinte des objectifs)

GE1 : ISMS! BS 7799-2 «IS Management art 2 : Specification for IS Management systems» " Objectif : Juger de la capacité des organisations à répondre aux besoins de sécurité " Identifie l ensemble des actions à réaliser sur chaque phase " Modèle DCA " lan : établir les objectifs conformément aux risques / exigences (correspondances objectifs / lignes directrices ISO 17799) " Do : implémenter et opérer les fonctionnalités et procédures " Check : gérer les incidents, les erreurs, auditer " Act : faire évoluer la politique et les moyens conformément aux besoins

GE1 : des GMITS à MICTS Rapport technique : Guidelines for the management of IT Security (13335) GMITS GMITS art art 1 à art art 5 MICTS MICTS art art 1 et et art art 2 GMITS GMITS art art 4 à art art 5 Standard International : Management of Information and Communications Technology Security art 1 : Concept and Models art 2 : Techniques for Information and Communications Technology Security risks

MICTS artie 2 High level risk assessment vs Detailed risk assessment Eléments sensibles Caractéristiques Menaces Vraisemblance Vulnérabilité des entités Faisabilité des menaces Impact Risques à retenir en priorité

GE1 : Sécurité réseau! Sécurité réseau (rapports techniques) Concepts / Besoins de sécurité / Techniques / Orientations en terme de solutions et de configuration " Security communications between networks using security gateways " Guidelines for the implementation, operation and management of Intrusion Detection Systems " Information security incident management " Securing remote access Base en terme de mode opératoire et de fonctionnalités pour les projets présentés ce matin Base de la partie «do» dans ISMS?

GE1 : Supports de ISMS ISMS ISO 17799 Bonnes pratiques IT Network security MICTS art 1 Concepts MICTS art 2 Analyse de Risques

GE2 : Techniques et mécanismes de sécurité! Sujets en révision "Non répudiation, authentification, modes opératoires des algorithmes de chiffrement,! Nouveaux sujets " Normalisation des algorithmes de chiffrement "Techniques asymétriques " Techniques symétriques (block cipher, stream cipher) " Générateur de pseudo alea et nombres premiers " Services d horodatage "Signature

Nouveaux thèmes nationaux! Thèmes de prospection français " En cours : reuve électronique "A venir : $ olitique d horodatage "Besoin important (archivage, preuve électronique, ) "Base ETSI % olitique de certification?

Un constat! Vers une reconnaissance des standards de sécurité "Critères communs, " ISO 17799, ISMS, Analyse de risques "Module cryptologique, " Techniques de chiffrement "reuve électronique "olitique d horodatage, Standard spécialisé à impact limité (outils) Standard répondant à des besoins du marché

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back