Blog ENI : Toute la veille numérique !
Accès illimité 24h/24 à tous nos livres & vidéos ! 
Découvrez la Bibliothèque Numérique ENI. Cliquez ici
💥 Du 22 au 24 novembre : Accès 100% GRATUIT
à la Bibliothèque Numérique ENI. Je m'inscris !
  1. Livres et vidéos
  2. Cyber-résilience en entreprise
  3. résilience en entreprise
Extrait - Cyber-résilience en entreprise Enjeux, référentiels et bonnes pratiques (2e édition)
Extraits du livre
Cyber-résilience en entreprise Enjeux, référentiels et bonnes pratiques (2e édition)
1 avis
Revenir à la page d'achat du livre

Principaux référentiels et guides cyber

Introduction

Après avoir expliqué les grands enjeux du paysage de la cyber-sécurité, ce chapitre aborde une présentation globale des principaux référentiels et guides indispensables pour une meilleure compréhension du secteur. À tout le moins, il s’agit des documents les plus importants qui doivent être connus et devenir des points d’accès de référence tout au long du processus de maturité en cyber-sécurité.

Le référentiel de cyber-sécurité du NIST

L’agence gouvernementale américaine NIST (National Institute of Standards and Technology) est à l’origine en 2013 d’un des principaux cadres de travail - avec la norme ISO 27001 - pour aider tout type d’organisation dans la gestion des cyber-risques : le NIST CyberSecurity Framework 1.1 (appelé CFS, révision du 16 avril 2018) qui est considéré à ce jour comme une référence mondiale.

Ce référentiel contient principalement des normes de cyber-sécurité et une méthodologie pour implémenter et mettre en œuvre la cyber-sécurité en entreprise. Il s’inscrit dans une approche intégrale de la cyber-sécurité.

1. Structure du CSF (CyberSecurity Framework)

Le CSF est composé de trois parties :

  • Le core ou noyau, appelé Framework Core

  • Les niveaux de mise en œuvre, appelés Tiers

  • Les profils

a. Framework Core

Le noyau se base sur trois éléments :

Cinq fonctions de haut niveau

  • Identifier (Identify ID) : les organisations doivent identifier et gérer les actifs sensibles composant le système d’information à protéger, définir les rôles et responsabilités des parties prenantes de la cyber-sécurité et connaître les risques des métiers.

  • Protéger (Protect PR) : les organisations doivent mettre en œuvre les mesures permettant de protéger le domaine objet de l’étude. Il est donc nécessaire de gérer les accès aux actifs, de sensibiliser les collaborateurs, de mettre en œuvre des processus, politiques et procédures pour garantir le bon fonctionnement sécurisé du système d’information.

  • Détecter (Detect DE) : il s’agit pour les organisations de mettre en œuvre des systèmes d’identification des événements de cyber-sécurité (exemple : un anti-virus permet de détecter et d’identifier des virus informatiques).

  • Répondre (Respond RE) : il s’agit pour les organisations de mettre en œuvre des systèmes permettant de diligenter une ou n actions pour...

RGPD (règlement général sur la protection des données

1. Préambule

Une donnée personnelle se réfère à tout type d’information qui est spécifique à une personne dûment identifiée, par exemple le nom, le prénom, la date de naissance, le numéro de téléphone, l’adresse e-mail, le poids, la taille, les interventions médicales ou l’ADN.

Si la donnée présentée ne permet pas de remonter à un individu, elle ne peut pas être considérée comme une donnée personnelle. Par exemple, un fichier contenant uniquement des lignes de numéros séquentiels avec des dates de naissance ne permet en rien de remonter à un individu, sauf si un autre fichier du même système d’information contient des lignes avec le numéro séquentiel et le nom d’un collaborateur.

2. Définition

Le RGPD (ou GDPR en anglais pour General Data Protection Regulation) est le règlement européen qui encadre le traitement des données personnelles sur le territoire de l’Union européenne. L’idée générale est de protéger la vie privée des personnes concernées.

En vigueur depuis le 25 mai 2018, il s’applique à toutes organisations publiques ou privées traitant des données personnelles.

3. Articles du RGPD

Le RGPD dispose de 99 articles inclus dans onze chapitres :

Ch1 - Dispositions générales

Articles 1-4

Ch2 - Principes

Articles 5-11

Ch3 - Droits de la personne concernée

5 sections ; Articles 12-23

Ch4 - Responsable du traitement et sous-traitant

5 sections ; Articles 24-43

Ch5 - Transferts de données à caractère personnel vers des pays tiers ou à des organisations internationales

Articles 44-50

Ch6 - Autorités de contrôle indépendantes

2 sections ; Articles 51-59

Ch7 - Coopération et cohérence

3 sections ; Articles 60-67

Ch8 - Voies de recours, responsabilité et sanctions

Articles 77-84

Ch9 - Dispositions relatives à des situations particulières de traitement

Articles 85-91

Ch10 - Actes délégués...

Protection des données de santé à caractère personnel - certification HDS

La loi encadre l’hébergement de données de santé à caractère personnel à l’aide d’une certification, dite certification HDS, depuis juillet 2018. Un prérequis fort à cette certification est de disposer de la certification ISO 27001.

Un nouveau référentiel de certification HDS a été révisé et mis en concertation à la fin de l’année 2022 ; le nouveau référentiel de certification HDS opposable devrait voir le jour en juin 2023. Ce nouveau projet propose quelques améliorations notables :

  • Disparition du recours aux exigences de l’ISO 20000 et de l’ISO 27018. Tout est donc concentré sur l’ISO 27001.

  • Obligation d’hébergement sur le sol européen ou pays respectant le RGPD.

    « Exigence n° 23 [EXI 23] Les lieux d’hébergement proposés au client par l’hébergeur doivent être localisés dans des pays membres de l’espace écono-mique européen, ou des pays assurant un niveau de protection adéquat au sens de l’article 45 du RGPD, à l’exclusion des autres dispositions prévues aux articles 46 et 47 du RGPD. » Source...

La bibliothèque ITIL

1. Organisation des services IT

a. Verbatim

Les services IT, au même titre que la gestion de projet ou le développement de logiciels, doivent être organisés afin de gérer en bonne intelligence l’intégralité de la chaîne de valeur concernée. En effet, la sphère d’influence informatique est tellement grande : achat, marketing, ventes, logistique, finance, RH, R&D - secteur privé, secteur public - Informatisation des processus métier - création de nouveaux produits, de nouveaux services. C’est la course au polyptique "Productivité - Réactivité - Rentabilité - Compétitivité".

Disposer d’une organisation formée et centrée sur ITIL contribue sans aucun doute à la cyber-résilience des produits et services.

Aucune société ne peut se passer de l’IT ; l’informatique est partout. Elle permet de produire davantage à moindre coût plus de choses ! L’informatique coûte cher, cela ne marche jamais et pourtant… il y en a partout, quel paradoxe !

b. De la culture projet à la culture service

La culture projet est la capacité de l’IT à mettre en œuvre de nouvelles fonctionnalités : projets d’entreprise, nouvelles technologies, évolutions réglementaires…

La culture service est la capacité de l’IT à rendre le service demandé : exploitation de services, suivi de la qualité des services, maîtrise des coûts…

c. Le besoin de référentiels de bonnes pratiques

Les directions des systèmes d’information (DSI) ont besoin de disposer de référentiels de bonnes pratiques : ITIL, COBIT (gouvernance IT, Control Objectives for IT, audit), CMMI (projets de développement), ISO xxx (management de la qualité)…

ITIL (Infrastructure Technology Information Library) - Version 3 de juin 2007 ou version 4 de février 2019 - est le référentiel pour la mise en œuvre d’une gestion des services informatiques. ITIL couvre la totalité du cycle de vie des services, c’est le référentiel standard de la gestion des services informatiques...

Le référentiel SecNumCloud

1. Objectif

L’ANSSI est l’autorité qui publie et exploite le référentiel SecNumCloud qui concerne les prestataires de cloud computing. L’idée est de délivrer un visa de sécurité à des prestataires français afin de proposer des services de cloud de confiance à des entreprises privées et publiques.

Ce référentiel, probablement l’un des plus poussés au monde en termes d’exigences de sécurité, comporte un ensemble de règles à respecter afin d’obtenir la qualification SecNumCloud sur le périmètre concerné (par exemple IaaS en cloud privé, PaaS, sauvegarde online, application spécifique en SaaS…).

La technique, le personnel du prestataire et la localisation des données client au sein de l’Union européenne font partie des grandes thématiques à traiter. Le référentiel s’intitule : « Prestataires de services d’informatique en nuage (SecNumCloud) - référentiel d’exigences - Version 3.2 du 8 mars 2022 ».

Il fait référence à quatre types d’activités d’hébergement : founiture de services SaaS (mise à disposition d’applications hébergées), fourniture de services PaaS (mise à disposition de plateformes d’hébergement d’applications), fourniture de services CaaS (Containers as a Service : mise à disposition d’outils permettant le déploiement et l’orchestration de conteneurs), fourniture de services IaaS (mise à disposition de ressources informatiques « abstraites »). Source : https://www.ssi.gouv.fr/uploads/2014/12/secnumcloud-referentiel-exigences-v3.2.pdf

Le référentiel en version 3.2 du 8 mars 2022 est disponible à l’URL : https://www.ssi.gouv.fr/uploads/2014/12/secnumcloud-referentiel-exigences-v3.2.pdf/

2. Principales exigences

SecNumcloud dispose de 226 exigences à couvrir (soit près du double de la 27001). Elle est basée à environ 75 % sur la norme ISO 27001.

Présentation des exigences : « 5. Politiques de sécurité de l’information et gestion...

Les guides de bonnes pratiques ANSSI

L’ANSSI publie depuis 2009 des guides à destination de tout public dans le but d’élever le niveau de maturité de la sécurité informatique des entreprises françaises. 

Cela dit, il peut s’avérer assez complexe de naviguer dans l’univers de la documentation produite afin de savoir ce qu’il est réellement utile d’utiliser et de mettre en œuvre et surtout dans quel ordre.

Les guides de bonnes pratiques de l’ANSSI sont disponibles gratuitement à l’adresse suivante :  https://www.ssi.gouv.fr/administration/bonnes-pratiques.

Ces documents sont de grande qualité et méritent d’être lus avec attention.

Les guides les plus populaires sont aussi ceux qui touchent le plus grand nombre de personnes :

  • Guide d’hygiène informatique (2017) : ce guide est à mettre entre toutes les mains. Il s’agit d’un précieux outil de communication pour toute DSI d’entreprise souhaitant passer en revue les 42 mesures d’hygiène informatique présentées. Ces 42 mesures sont décrites sous forme de conseils et déclinées selon deux options de niveau Standard/Renforcé. Les sections de ce guide couvrent les grandes thématiques de la cyber-sécurité :

  • Sensibilisation et formation

  • Connaissance...