La sécurité de l'information

securite-information


Bien comprendre les enjeux de la sécurité de l’information et les responsabilités liées à ces actifs informationnels.

En savoir +

SMSI : la bonne solution ?

Depuis plus de 10 ans, les Systèmes de Management de la Sécurité de l'Information (SMSI) se développent, est-ce une bonne solution ?

En savoir +

Le Plan de Reprise d'Activité dans le cloud : une application vedette du cloud ?

De nombreuses étude convergentes (Freeform Dynamics, ...) révèlent qu'environ 2/3 des entreprises européennes n'ont globalement pas confiance dans leur capacité à se relever d'un sinistre·ou d'un incident grave touchant leur Système d'Information.

Pire, près de 50 % des PME européennes (entre 250 et 1000 personnes) n'ont pas de Plan de Reprise d'Activité de leur système d'information ! 

L'arrivée des solution de PRA as a Service pour les PME, comme la solution de Nuabee va permettre de faire évoluer la prise en compte de Plan de Reprise d'Activité.

Le cloud comme solution de PRA : PRA-as-a-Service (PRAaaS)

L'idée est d'utiliser la simplicité du cloud computing et son modèle économique pour offrir une solution de secours informatique.

Lire la suite...

L'évolution dans le temps de la définition du risque

Le risque a longtemps signifié danger. D'ailleurs l'éthymologie de risque Risco (écueil, rocher escarpé) signifie "le risque que court une marchandise en mer." ... le mot risque, a longtemps gardé le sens de danger.

Puis de cette terminologie de danger, cette définition a évolué vers la combinaison d'un probabilité d'occurrence et de ses conséquences (ISO guide 73 V20002). C'est cette définition qui est encore souvent admise dans les entreprises actuellement.

l'ISO 31000 propose une nouvelle évolution de la définition du risque : l’effet de l’incertitude sur l’atteinte des objectifs. En effet toute entreprise voulant se développer doit prendre des risques, il est illusoire d'imaginer que l'on peut grandir sans prise de risque et cette prise de risque peut faire toute la différence entre réussite et échec.

Lire la suite...

Formations certifiantes : intérêt ou leurre

"Il est cependant un point où tout le monde s'entend, s'accorde déplorablement, disons-le : l'enseignement a pour objectif réel le diplôme ." Voici ce que disait Paul Valéry, en 1935, au sujet du baccalauréat. En effet, selon lui, le problème avec l'obsession des diplômes, c’est que le but de la formation devient son obtention, et non plus la formation de l’esprit.

Dans le domaine de la sécurité de l'information, on voit fleurir les formations certifiantes : ISO 27001 Lead Auditor, Risk Manager ISO 27005, CISSP ... Mais est-ce vraiment une bonne chose ?

Lire la suite...

Editorial

L'aversion aux risques est en évolution constante dans nos sociétés. Cela se traduit par une pléthore de lois, normes, règlements et codes de bonnes pratiques.

D'autre part la migration inéluctable vers le Cloud public (même si certaines entreprises resteront sur mes modèles hybrides) induit une évolution de la prise en compte des risques.

Pourtant, encore peu d'entreprises utilisent des méthodes éprouvées pour identifier de façon régulière leurs risques, en analyser leurs impacts potentiels sur leurs activités critiques, identifier les risques insupportables, choisir les mesures de sécurité les plus adaptées et les justifier vis à vis des enjeux business.

Cloud Computing : nouvelle solution miracle aux problématiques de sécurité des entreprises ?

Depuis plusieurs années, beaucoup d'enquêtes au niveau des DSI et de dirigeants d'entreprises indiquaient que la sécurité était le principal frein à l’adoption du Cloud public.

L'ANSSI a ainsi indiqué en octobre 2015 : “Le Cloud répond à un vrai besoin en matière de sécurité informatique. On accompagne les entreprises qui veulent aller vers le Cloud, comme le sens de l’histoire les y encourage, notamment pour les PME et les petites structures qui ne deviendront jamais experts en cybersécurité.»

Sur le modèle SaaS, la tendance est à la conformité de type ISO 27001, ISAE 3402. Mais il serait bien d'évoluer vers des référentiels plus ciblés et plus exigeants (de type ISO 27017, référentiel ANSSI, ...)

Sur le modèle IaaS, la sécurité des infrastructures est forcément assurée et contrôlée par le fournisseur de Cloud. Les grands Cloud publics présentent des éléments de sécurité forts pour les "parties basses" de l'architecture du SI (couches de virtualisation, gestion des intrusions, DDos, gestion des logs, ...

Maintenant en IaaS, les couches hautes seront toujours de la responsabilité des Clients (gestion des correctifs, authentification forte sur leurs applications, chiffrement des données, ...) et là il est urgent que les fournisseurs de Cloud public sachent proposer des briques de sécurité aaS à de tarifs très adaptés.