A LIRE ! La fonction sécurité du SI à l’heure de la remise en question. L’approche est originale mais sans doute pertinente.
Quoi de mieux, en effet, pour appréhender le rôle de la fonction sécurité du SI (SSI) dans l’entreprise de manière globale que d’interroger ceux qui se doivent d’avoir cette globalité d’approche, les responsables hiérarchiques des RSS et les dirigeants ? C’est la démarche retenue par le Cercle européen des RSSI. Le groupe de travail, qui a également consacré les 18 derniers mois à essayer d’y voir plus clair sur Une fonction reconnue.
A LIRE ! Sécurité des systèmes d'Information. Assises de la sécurité 2011 : les menaces font évoluer le métier de RSSI. Lors de l'évènement monégasque, il a finalement été moins questions des différents types d'intrusions ou de menaces, que de l'évolution du métier de RSSI ou de DSI devant la gestion des risques. Le directeur général de l'Anssi a tancé ces derniers en leur demandant de respecter les besoins fondamentaux. Les 11ème Assises de la sécurité se sont terminées avec finalement beaucoup de discussions sur les politiques et les solutions de sécurité plus que sur les menaces en elles-mêmes. Quelques ateliers se sont focalisés sur certaines intrusions ou méthodes de piratages.
Ainsi Fortinet est revenu sur quelques modus operandi comme le test de pénétration : « des clés USB contenant un ver ou un cheval de troie sont disséminées dans le parking d'une entreprise, il y a toujours quelqu'un qui en ramasse une et la met sur son ordinateur », précise Guillaume Louvet, responsable sécurité. Les DDOS ciblent les datacenters. Assises de la Sécurité 2011 : La sécurité du cloud de l'appréhension à l'intégration. La question de la sécurité du cloud est toujours importante, mais l'heure n'est plus aux hésitations, mais bien à l'intégration d'outils ou de solutions pour tirer bénéfice de cette branche de l'informatique. Sécurisation de l'hyperviseur, chiffrement des données, utilisation de liens sécurisés, etc. Parmi les nombreux sujets abordés aux assises de la sécurité, le cloud computing est devenu depuis quelques années une problématique récurrente.
Cette année, le discours des RSSI et des DSI a un peu changé. Ils ne perçoivent plus le cloud comme une menace sécuritaire, mais comme un atout pour certaines problématiques (stockage de données, environnement de développement, etc.). L'heure est donc à l'accompagnement de cette évolution avec différents outils et solutions, et cela à tous les niveaux.
A VOIR ! Peur du piratage ? Effacer ses traces sur le Web. Afin d’échapper aux intrusions informatiques, espionnages numériques, filtrages et autres flicages, voici un guide qui donne des parades aux citoyens paranos ou ayant des choses à se reprocher. Et si la vidéo ci-dessous d’une heure vous semble trop longue, je vous ai fait un résumé par écrit. La sécurité sur toutes les couches Dans la vidéo : Le coût de la cybercriminalité explose - Journal du Net Solutions. Sécurité du SI - ITIL ou ISO 27001 : que privilégier ? Il est désormais impossible de parler sérieusement de sécurité de l’information sans parler de processus.
Mais un processus, ça ne s’invente pas du jour au lendemain. Deux approches se sont alors imposées au cours de la dernière décennie : la norme ISO 27001 pour la sécurité du système d’information, et ITIL (IT Infrastructure Library) pour les services informatiques (avec sa version certifiante ISO 20000). Et il ne s’agit pas d’un effet de mode : certaines solutions de sécurité populaires ont probablement été conçues et mises sur le marché en bien moins de temps qu’il n’a fallu pour accoucher de ces deux normes ! ITIL et ISO 27001 sont donc là pour rester, mais peuvent-elles cohabiter ? Sont-elles même complémentaires, ou bien redondantes ? ITIL serait donc à mettre en oeuvre avant ISO ? Et ensuite parce que ITIL recense, via sa CMDB, les ressources informatiques de l’entreprise.
En pratique, cependant, cela peut-être l’inverse. « Cela dépend vraiment du métier de l’entreprise. Sécurité - Un certificat SSL volé vise Google. Sécurité - Guide d'élaboration de politiques de sécurité des systèmes d'information (PSSI) Signature électronique. Les systèmes à clé publiques. Avril 2014 le principe du chiffrement à clé publique Le principe de chiffrement asymétrique (appelé aussi chiffrement à clés publiques) est apparu en 1976, avec la publication d'un ouvrage sur la cryptographie par Whitfield Diffie et Martin Hellman.
Dans un cryptosystème asymétrique (ou cryptosystème à clés publiques), les clés existent par paires (le terme de bi-clés est généralement employé) : Une clé publique pour le chiffrement ; Une clé secrète pour le déchiffrement. Ainsi, dans un système de chiffrement à clé publique, les utilisateurs choisissent une clé aléatoire qu'ils sont seuls à connaître (il s'agit de la clé privée). Comment gérer les périphériques mobiles d’une société sans mettre en danger la sécurité de ses données ? Mercredi 1 juin 2011 Notre manière de travailler a changé.
Les professionnels sont de plus en plus mobiles, tout comme leurs outils de travail (ordinateurs portables, Smartphones, iPad, etc.). Face à ce profond changement, les services IT des entreprises doivent s’adapter. Pour Frédéric Pierresteguy, directeur EMEA de LANDesk Software, les sociétés qui découvriront comment intégrer efficacement les solutions mobiles à leur écosystème actuel sortiront vainqueurs de cette bataille. Peut-on vraiment « parler de « Gestion de la mobilité » ou y-a-t-il une contradiction dans les termes mêmes ? La technologie du XXIè siècle soufflera bientôt 100 bougies. Sécurité des données : quels droits ? quelles obligations ? Contributions Paroles d'experts La sécurité des données est déjà encadrée depuis plusieurs années aux titres, notamment, de la Loi Informatique et Libertés, du Secret-Défense ou d'infractions connexes.
Une nouvelle réglementation, voulue plus répressive et étendue, est envisagée. Mais le remède pourrait être pire que le mal. Les entreprises qui possèdent des systèmes d'information toujours plus ouverts sur les réseaux publics comme internet sont victimes quasi quotidiennement de tentatives d'intrusion. Ainsi, lorsque les données détenues se rapportent à des personnes physiques, la loi informatique et libertés du 6 janvier 1978 impose au responsable du traitement une obligation générale de sécurité des données qu'il conserve. En dehors de législations spécifiques, c'est à l'entreprise de veiller à la confidentialité de ses données, sans qu'elle ne supporte, en la matière, de véritable obligation. La protection pénale contre l'atteinte aux données. Réseaux sociaux : des risques juridiques pour l'entreprise. Toute l'actualité "Juridique" Edition du 22/06/2011 - par Bertrand Lemaire Le cabinet international DS Avocats a organisé une réunion destinée à ses clients autour de la problématique des réseaux sociaux.
Si nul ne remet en cause les opportunités offertes par les réseaux sociaux pour les entreprises, il n'en reste pas moins qu'il existe des risques sérieux sur le plan juridique. La prise en compte de ces risques est une nécessité pour bien gérer l'irruption des organisations au sein des nouveaux outils sociaux en ligne. Virtualisation : 18 sites web incontournables. Serveurs, postes de travail, stockage : la virtualisation s'impose à tous les étages du système d'information.
Mais de quoi parle-t-on ? Quelle est la différence entre un VDI, un hyperviseur, un système d'exploitation hôte, une image serveur ou disque, un serveur virtuel, etc. ? Si vous ne vous sentez pas à l'aise avec ces termes, notre sélection de sites vous permettra de vous mettre à niveau. Pour prévenir la fraude informatique, Eiffage a déployé un SIEM. CLUSIF : gestion des incidents, n'attendez pas que l'incendie se déclare ! Le CLUSIF a publié en mai 2011 un document technique sur la « Gestion des incidents de sécurité du système d’information » (1).
Selon ce rapport, la gestion des incidents a pour objectif « la détection et le traitement des incidents. Le processus de gestion des incidents inclut en général la détection de l’incident, les analyses et diagnostics, la résolution de l’incident et/ou le rétablissement du service affecté. […] Elle est également un dispositif amont essentiel du PRA, car elle définit les procédures d’escalade qui permettent d’être plus réactif pour le déclenchement du plan de secours ».
Gestion des incidents : une organisation variable selon les entreprises.