L'AFAI promeut le référentiel Risk IT. Toute l'actualité "Gouvernance" Edition du 23/01/2012 - par Bertrand Lemaire Ce référentiel est depuis peu disponible en Français et gère l'ensemble des risques autour des systèmes d'information.
La gestion des risques IT va bien au delà de la seule sécurité technique. Pourtant, jusqu'à il y a peu de temps, les référentiels de bonnes pratiques se concentraient quasi-exclusivement sur la seule sécurité. L'Isaca, dont le chapitre français est l'Afai (Association française de l'audit et du conseil informatique), a publié un référentiel inspiré de Cobit en 2009, Risk IT. Les normes et référentiels de gestion des risques au sens large sont, de toutes les façons, très récentes : le référntiel de la Fédération Européenne des Associations de Risk Managers (FERMA 2003) ou le COSO ERM (Entreprise Risk Management, 2004) par exemples, suivis des normes ISO 31000 (principes du management du risque) et ISO 31010 (techniques d'évaluation du management du risque).
La Cour des Comptes souligne la défaillance de la gouvernance IT de la sécu. La Cour des Comptes vient de publier son rapport 2011 sur la sécurité sociale.
L'informatique y est certes un sujet limité mais cependant important. L'essentiel du rapport de la Cour des Comptes 2011 sur la sécurité sociale est bien sûr consacré à des sujets directement liés aux dépenses de santé. Mais la part de ce rapport sur l'organisation de la sécurité sociale est tout de même importante et l'informatique fait l'objet, comme toujours, d'une certaine attention de la haute juridiction. La gouvernance reste bien souvent défaillante. Les télécoms d'entreprise ont la sécurité qui flanche - Actualités RT Sécurité. Le 28/10/2011, par Didier Barathon, Sécurité, 419 mots Il existe deux grands types de fraude liés aux télécoms, l'un consiste à pirater les lignes téléphoniques de l'entreprise à l'international, l'autre à pirater le système d'information en pénétrant par les systèmes télécoms.
Les exemples sont éloquents et coûteux. Les entreprises se font pirater leurs lignes à l'international à destination de pays d'Afrique, d'Asie ou des Balkans. Dans un cas, c'est l'Afghanistan. Alerté l'opérateur de l'entreprise coupe les appels vers ce pays, trois jours après elle est piratée vers le Timor ! Plus inquiétant encore, les télécoms servent aux pirates à s'introduire dans le système d'information de l'entreprise. « On constate une méconnaissance des risques liés aux systèmes télécoms » note Guy Têtu, délégué général de la Ficome, « l'informatique s'est développée avec ses règles de sécurité, mais personne n'a vu que les autocoms sont devenus de véritables ordinateurs avec des disques durs.
RSA tire les leçons de son intrusion. L’entrée en matière est presque brutale : «imaginez ce scénario.
Vos employés sont visés par du phishing; ils reçoivent des courriels d’une entreprise et d’une personne, dans cette entreprise, qu’ils connaissent. Dans ces courriels, un logiciel malveillant armé d’un exploit 0-day. Le tout résultant en une menace avancée persistante active au coeur de votre infrastructure, avec de multiples couches de résilience. » Difficile de ne pas tomber dans le piège, en effet. 8 modules interactifs d’autoformation sur la sécurité informatique. Le Portail de la Sécurité Informatique (édité par l’Agence Nationale de la Sécurité des Systèmes d’Information) propose d’approfondir ou de rafraîchir des connaissances sur la sécurité informatique grâce à des modules interactifs d’autoformation en libre accès.
Ces modules cherchent à couvrir progressivement l’essentiel des thèmes fondamentaux de la sécurité des systèmes d’information. Le portail précise : « Pour permettre un contenu pédagogique riche, ces modules utilisent la technologie Flash. Les tests interactifs des modules d’autoformation nécessitent en outre d’activer JavaScript pour pouvoir fonctionner. Il nous a été rapporté que ces modules ne fonctionnent pas sous Safari. » Parmi les modules d’autoformation intéressants dans un contexte d’apprentissage au sein d’un EPN (espace public numérique) :
A LIRE ! Sécurité des systèmes d'Information. ITIL ou ISO 27001 : que privilégier ? Il est désormais impossible de parler sérieusement de sécurité de l’information sans parler de processus.
Mais un processus, ça ne s’invente pas du jour au lendemain. Deux approches se sont alors imposées au cours de la dernière décennie : la norme ISO 27001 pour la sécurité du système d’information, et ITIL (IT Infrastructure Library) pour les services informatiques (avec sa version certifiante ISO 20000). Et il ne s’agit pas d’un effet de mode : certaines solutions de sécurité populaires ont probablement été conçues et mises sur le marché en bien moins de temps qu’il n’a fallu pour accoucher de ces deux normes ! ITIL et ISO 27001 sont donc là pour rester, mais peuvent-elles cohabiter ? Sont-elles même complémentaires, ou bien redondantes ? ITIL serait donc à mettre en oeuvre avant ISO ? Et ensuite parce que ITIL recense, via sa CMDB, les ressources informatiques de l’entreprise. En pratique, cependant, cela peut-être l’inverse. « Cela dépend vraiment du métier de l’entreprise.
Peur du piratage ? 4 trucs pour effacer ses traces sur le Web — Actualité internationale : Titres de l'actualités. Afin d’échapper aux intrusions informatiques, espionnages numériques, filtrages et autres flicages, voici un guide qui donne des parades aux citoyens paranos ou ayant des choses à se reprocher. Et si la vidéo ci-dessous d’une heure vous semble trop longue, je vous ai fait un résumé par écrit. La sécurité sur toutes les couches Dans la vidéo : Ce qu’il faut savoir 0’00 » : Introduction 2’44 » : La sécurité par couche (matériel, système d’exploitation, logiciel) 16’19 » : Cryptez vos données 25’35 » : Adresses IP, mots de passe & cie : comment fonctionnent les réseaux informatiques Après la théorie, la pratique 34’27 » : Comment s’équiper pour démarrer 43’36 » : Les outils de chiffrement 46’58 » : Naviguer en proxy : utiliser le réseau Tor pour masquer son identité 53’09 » : Chatter dans l’anonymat avec le réseau IRC 55’38 » : Bitcoin, la monnaie privée du net 56’57 » : Freenet, un réseau parallèle à l’Internet mondial Commençons par un peu de théorie.
Le matériel ;