Club 27001 toulousain 27 janvier 2017 Couverture organisme national 1
Point sur l'évolution des normes (Claire Albouy-Cossard, CNAMTS) Ordre du jour Point sur l'évolution des normes (Claire Albouy-Cossard, CNAMTS) Retour d’expérience sur la cartographie des risques (Pierre Forget – Thalès) => Reporté Inventaire des clubs, groupes et manifestations SSI en région A.8 : Gestion des actifs A.8.2 Classification de l’Information A.8.2.1 Classification des informations A.8.2.2 Marquage des informations A.8.2.3 Manipulation des actifs Points divers : Tour de table sur référentiel sécurité (volume, organisation…) Prochaines dates …
ISO 2700x : une famille de normes Certification de SMSI ISO 27001:2013 SMSI ISO 27002:2013 Mesures de sécurité Correctif 2014 + Correctif 2015 Correctif 2014 + Correctif 2015 Stade approbation 50.20 ISO 27003:2010 Guide Implémentation ISO 27000:2016 Vocabulaire En révision ISO 27004:2016 Indicateurs SMSI Stade enquête 40.20 ISO 27005:2011 Gestion de risque ISO 27008:2011 Auditeurs des mesures de sécurité ISO 27007:2011 Audit de SMSI Les seules modifications sont sur la 27004, qui a été publiée, et sur la 27005, qui est officiellement passée en stade examen, qui précède normalement une révision ou un abandon de la norme. Sinon, il y a eu quelques avancées minimes de de stades, rien de très important. Publiée le 15/12/2016 Révision à venir ? Future ISO 31000 gestion du risque globale En révision Stade examen 90.20 Stade enquête40.00 En révision Stade comité 30.20
ISO 2700x : une famille de normes ISO 27013:2015 : Guide sur la mise en œuvre intégrée d'ISO/CEI 27001 et ISO/CEI 20000-1 ISO 27032:2012 : Lignes directrices pour la cybersécurité ISO 27035:2016 : Gestion des incidents de sécurité de l’information Partie 1: Principes de la gestion des incidents Partie 2: Lignes directrices pour planifier et préparer une réponse aux incidents ISO 27014:2013 : Gouvernance de la sécurité de l'information ISO 27017:2015 Code de pratique pour les contrôles de sécurité de l’information fondés sur l’ISO/IEC 27001 pour les services de nuage ISO 27018:2014 : Code pratique pour la protection PII dans les nuages publics agissant comme des processeurs PII PII : Personally Identifiable Information ISO 27009:2016 sur les applications sectorielles de la 27001
Point sur l'évolution des normes (Claire Albouy-Cossard, CNAMTS) Ordre du jour Point sur l'évolution des normes (Claire Albouy-Cossard, CNAMTS) Retour d’expérience sur la cartographie des risques (Pierre Forget – Thalès) => Reporté Inventaire des clubs, groupes et manifestations SSI en région A.8 : Gestion des actifs A.8.2 Classification de l’Information A.8.2.1 Classification des informations A.8.2.2 Marquage des informations A.8.2.3 Manipulation des actifs Points divers : Tour de table sur référentiel sécurité (volume, organisation…) Prochaines dates …
Point sur l'évolution des normes (Claire Albouy-Cossard, CNAMTS) Ordre du jour Point sur l'évolution des normes (Claire Albouy-Cossard, CNAMTS) Retour d’expérience sur la cartographie des risques (Pierre Forget – Thalès) => Reporté Inventaire des clubs, groupes et manifestations SSI en région A.8 : Gestion des actifs A.8.2 Classification de l’Information A.8.2.1 Classification des informations A.8.2.2 Marquage des informations A.8.2.3 Manipulation des actifs Points divers : Tour de table sur référentiel sécurité (volume, organisation…) Prochaines dates …
Organisations, clubs et évènements SSI en région OSSIR/RéSIST PRISSM INSA/LAAS/CNRS ANSSI RTRA AFCDP ? I-BP ? … Proposer régulièrement un débat autour de la mise en œuvre et des bonnes pratiques autour des différents objectifs proposés par l’ISO 27001 et 27002. Le faire plutôt par tête de chapitre (3 ème niveau), sauf pour certaine smesures techniques ou un zoom jusqu’au 4ème niveau semble nécessaire (par exemple A.9.4.3, gestion des mots de passe)
Organisations et clubs SSI en région : OSSIR / RéSIST Historique Le groupe RéSIST de l'OSSIR a été créé, à Toulouse, en novembre 2001 à la demande de Stéphane Aubert et Fabrice Prigent. A la mi-2003, le rôle d'animation de Stéphane Aubert a été repris par Pierre-Yves Bonnetain, de B&A Consultants. Activités Les réunions du groupe RéSIST sont bi-mensuelles, ouvertes à tous gratuitement (les personnes assistant régulièrement aux réunions seront conviées à adhérer à l'OSSIR) et proposent en général : Présentations et exposés par des consultants, utilisateurs ou universitaires, Présentations de solutions par des fournisseurs, Suivi de l'actualité par un tour de table des évènements marquants. Les réunions sont généralement orientées autour d'un thème principal et donnent lieu à des débats et discussions sur la sécurité. Public visé Responsable de sécurité informatique ou membres des services de sécurité informatique, Administrateurs systèmes et réseaux, Utilisateurs, Universitaires. Liste électronique Pour être au courant des activités du groupe, inscrivez-vous à la liste "OSSIR RéSIST" en envoyant un message : To: sympa@ossir.org Subject: subscribe resist Prénom Nom
Organisations et clubs SSI en région : PRISSM A l’initiative de Midi-Pyrénées, Madeeli et du Conseil Régional, administrativement rattaché à DigitalPlace et Aerospace Valley, PRISSM (Think Tank dédié à la Cybersécurité ) a vu le jour en avril 2014. PRISSM réunit tous les professionnels & décideurs, les clubs/associations de la cyber-sécurité de la région Sud. 60 entreprises régionales sont impliquées dans PRISSM. Son objectif est de « Développer le marché et la présence des acteurs régionaux, leur visibilité et mettre leur croissance au service de la création d'emplois et de richesses » Les membres permanents du cluster sont : Coordination : Jean-Nicolas Piotrowski (ITrust) Membres permanents du Comité de Pilotage : Didier Bosque et Bertrand Hasnier (Sopra Steria Groupe), Dominique Turpin (Great-X), Caroline De Rubiana-Duhaillier (Digitam – Commission cybersécurité de la Mêlée), Abdelmalek Benzekri (IRIT), Simon Bretin, Franck Lepecq (Aerospace Valley), Jerôme Maurel (Madeeli), Fredéric Lenfant et Thierry Mirouze (Sogeti), Jacques Sudres (CS SI) 4 Ateliers : Cartographie des compétences, identification des besoins, amélioration de la sécurité des entreprises, formation à la SSI Reprise de la journée Cyber@hack (auparavant organisée par l’Epitech et iTrust)
Organisations et clubs SSI en région : RTRA STAE Réseau Thématique de Recherche Avancée Créé par la loi de programme pour la recherche de 2006 Objectif : assembler, sur un thème donné, une masse critique de chercheurs de très haut niveau, autour d'un noyau dur d'unités de recherche géographiquement proches, afin d'être compétitif avec les meilleurs centres de recherche au niveau mondial. 13 RTRA au niveau national. La partie SSI fait partie de la Fondation Sciences et technologies pour l'aéronautique et l'espace (STAE), et plus particulièrement la chantier Sécurité et Vie Privé (SVP). Public : Chercheurs, enseignants et tous ceux intéressés par les synergies Recherche Industrie
Organisations et clubs SSI en région : ANSSI Agence Nationale de la SSI Autorité nationale chargée d’assurer la sécurité des systèmes d’information de l’État et de contribuer à celle des opérateurs nationaux d’importance vitale (OIV). Trois grandes missions : Prévention de la menace par la réglementation, l’étude et l’anticipation des modes d’attaques, la définition de mesures de protection, l’assistance des administrations et des entreprises sensibles, et la certification/qualification de produits et services de confiance ; Défense des systèmes d’information par la détection de failles et d’incidents et la réaction au plus tôt en cas de cyber-attaque ; Information et sensibilisation des différents publics sur la nécessaire protection des environnements numériques par la promotion de bonnes pratiques de cybersécurité et la diffusion de recommandations techniques et méthodologiques tout en participant au développement de la formation à la sécurité des systèmes d’information. S’est dotée d’un dispositif d’action visant à soutenir le tissu économique et les institutions à l’échelle régionale (présence à Toulouse pour l’Occitanie)
Organisations et clubs SSI en région : AFCDP Association Française des Correspondants à la protection des Données à caractère Personnel Objet de l’AFCDP : développer une réflexion quant au statut et aux missions des correspondants à la protection des données personnelles favoriser la concertation avec les entreprises et les pouvoirs participer à toutes initiatives relatives à la protection des données personnelles assurer une veille (technique, juridique, managériale, ...) sur les enjeux relatifs à la protection des données personnelles informer et de sensibiliser sur les missions des correspondants à la protection des données personnelles favoriser les relations avec la Commission Nationale de l’Informatique et des Libertés formuler des recommandations et des avis aux autorités publiques et aux acteurs de la protection des données personnelles ; Sur Toulouse : Groupe régional GTR-SOP animé par Gilles Trouessin
Créé par iBP fin 2016 => en cours de mise en place Organisations et clubs SSI en région : Cluster d’innovation en sécurité digitale Créé par iBP fin 2016 => en cours de mise en place Objectif : créer un cluster d’innovation en sécurité digitale : En fédérant tous les acteurs privés / publics autour d’une vision commune sur les besoins / usages en matière de cybersécurité En créant un lieu de vie, d’échange et de partage de l’innovation avec un accès direct à cette vision et aux expertises qui la portent et peuvent la servir En construisant un écosystème de proximité réunissant tous les savoir-faire et les outils clés pour concrétiser une idée & industrialiser une solution Organisation pressentie : Des «utilisateurs», grands groupes, disposés à échanger sur leurs problématiques de cybersécurité Des «makers» de l’innovation et/ou la cybersécurité, intéressés par une démarche de co-construction durable et sur des sujets concrets Des sponsors publics régionaux/nationaux objectivés sur le développement économique et sa sécurisation, en recherche d’outils accélérant leur travail de terrain
Journées et conférences SSI en région: Touléco (quotidien régional de l ’économie) : Rencontres cybersécurité du grand sud (hôtel de région) , orientées décideurs INSA/LAAS/CNRS : Journées Nouvelles Avancées en Sécurité des Systèmes d'Information (4ème édition prévue le 25 janvier), s'adresse à la fois aux étudiants de la spécialité Sécurité Informatique de Toulouse Ingénierie (TLS-SEC) , co-portée par l'N7, l'INSA et l'ENAC, et à tout public industriel et académique concerné par les problèmes de sécurité informatique. Colloque Cyberdéfense : Une fois par an, organisé par la Direction Zonale du Renseignement et de la Sécurité de la Défense (ex DPSD) rassemble les acteurs de la sécurité de Défense, les OIV, les entreprises soumises à la PPST… Toulouse Hacking Convention, organisée par TLS-SEC (ENSEEIHT, ENAC, INSA) , s’adresse aux professionnels, chercheurs et hackers. Cyber@hack, anciennement organisée par l’Epitech et iTrust, maintenant par PRISSM, s’adresse aux étudiants, aux professionnels et aux hackers
Point sur l'évolution des normes (Claire Albouy-Cossard, CNAMTS) Ordre du jour Point sur l'évolution des normes (Claire Albouy-Cossard, CNAMTS) Retour d’expérience sur la cartographie des risques (Pierre Forget – Thalès) => Reporté Inventaire des clubs, groupes et manifestations SSI en région A.8 : Gestion des actifs A.8.2 Classification de l’Information A.8.2.1 Classification des informations A.8.2.2 Marquage des informations A.8.2.3 Manipulation des actifs Points divers : Tour de table sur référentiel sécurité (volume, organisation…) Prochaines dates …
A.8.2.1 Classification des informations Mesure : Il convient de classer les informations en termes de valeur, d’exigences légales, de sensibilité ou de leur caractère critique pour l’entreprise Préconisation de mise en œuvre : Il convient que la classification soit intégrée aux processus de l’organisation. Il convient que les résultats de la classification traduisent la valeur des actifs en fonction de leur sensibilité et de leur caractère critique… Il convient que les résultats…soient mis à jour … tout au long de leur cycle de vie Avez-vous classé vos informations Bien sûr : Je fais des piles en fonction de l’urgence. J’ai un coffre ou je mets tout ce qui est sensible Il y a une politique, mais personne ne la suit Oui, chaque propriétaire d’actif lui attribue une classification et c’est revu tous les ans …
A.8.2.2 Marquage des informations Mesure : Il convient d’élaborer et de mettre en œuvre un ensemble approprié de procédures pour le marquage de l’information conformément au plan de classification Préconisation de mise en œuvre : Les procédures de marquage doivent s’appliquer à l’information et aux actifs associés présentés sous un format physique ou électronique. Comment marquez vous l’information? J’ai un répertoire « sensible » sur le PC, et j’y mets tout. On met un « disclaimer » en bas de page pour indiquer que ça ne doit pas être reproduit Notre secrétaire a un tampon « Sensible » qu’elle met partout. On a des modèles de doc avec les différents marquages …
A.8.2.3 Manipulation des actifs Mesure : Il convient d’élaborer et de mettre en œuvre des procédures de traitement des actifs conformément au plan de classification Préconisation de mise en œuvre : Il convient de rédiger des procédures spécifiant comment manipuler, traiter, stocker et communiquer l’information en fonction de sa classification. Avez-vous des procédures de manipulation? Oui, c’est le secrétariat qui s’en occupe, mais je ne sais pas comment On a une plate-forme d’échange sécurisée Tous nos PC sont chiffrés, pas besoin de procédure Nous avons des espaces dédiés pour chaque niveau de classification, les documents papiers sont marqués, les copies sont enregistrées avec la liste des destinataires, l’ANSSI prend exemple sur nous. …
Point sur l'évolution des normes (Claire Albouy-Cossard, CNAMTS) Ordre du jour Point sur l'évolution des normes (Claire Albouy-Cossard, CNAMTS) Retour d’expérience sur la cartographie des risques (Pierre Forget – Thalès) => Reporté Inventaire des clubs, groupes et manifestations SSI en région A.8 : Gestion des actifs A.8.2 Classification de l’Information A.8.2.1 Classification des informations A.8.2.2 Marquage des informations A.8.2.3 Manipulation des actifs Points divers : Tour de table sur référentiel sécurité (volume, organisation…) Prochaines dates …
Vendredi 24 ou 17 mars (vacances de Pâques ensuite) Prochaines réunions Vendredi 24 ou 17 mars (vacances de Pâques ensuite) Lieu : ??? Sujets Positionnement de 27001 vis-à-vis d'autres référentiels tels que RGS, PCI-DSS, ISAE3402, HDS… Adéquation ou pas des standards actuels de la sécurité (27001 en particulier), alors qu'ils sont loin d'être matures en termes d'implémentation, face aux évolutions des modèles informatiques (Méthodes Agile, DevOps, Cloud Computing, BYOD, ...) Sécurité des objets connectés Comparaison des méthodes d'analyse de risques …