Get Started for FREE
Sign up with Facebook Sign up with X
I don't have a Facebook or a X account
 Your new post is loading...
Your new post is loading...
Scoop.it!
Quel rapport y a-t-il entre la mise en oeuvre d’un SMSI (sytème de management de la sécurité de l’information) certifié ISO 27001 et la conformité au RGPD? Est-ce une solution pour répondre aux obligations réglementaires et légales? J’entends souvent cette question. Essayons-donc de voir quelle relation il peut y avoir entre les deux. Et essayons de comprendre en quoi la certification ISO 27001 peut vous aider à améliorer votre conformité. 
No comment yet.
Sign up to comment
Scoop.it!
Stéphane NEREAU's insight:
Evidemment, BSI vend de l’ISO 27001 et la suite de l’étude ne manque donc pas de préciser que les 63% d’entreprises interrogées a être soit certifiées soit à opérer en conformité avec ISO 27001 sont, quant à elles, largement plus confiantes dans les mesures déployées (78%). Des chiffres à prendre, donc, avec précaution, mais qui pourront néanmoins s’avérer utiles pour « vendre » des actions de sécurité tournées vers la fraude interne.
Scoop.it!
Plus de 9 services Cloud sur 10 utilisés par les entreprises en Europe font peser des risques de sécurité moyens à élevés sur ces organisations. Une étude choc qui tombe à pic pour Thierry Breton (Atos) et Octave Klaba (OVH). Co-pilotes du Cloud à la française, ces derniers préconisent dans leur rapport la création d’un label européen « Secure Cloud ».
Stéphane NEREAU's insight:
Seuls 9% des 2 105 services Cloud étudiés disposent de capacités de sécurité de classe entreprise, les 91% restant font peser des risques moyens ou élevés sur la sécurité des organisations. Par ailleurs, seuls 5% des services Cloud proposés en Europe sont certifiés ISO/IEC 27001, la norme internationale relative aux systèmes de management de la sécurité de l’information (SMSI). Pas plus de 12% utilisent le chiffrement de données stockées et 21% l’authentification multi-facteur.
Cellule IS's curator insight,
April 18, 2014 4:56 AM
Vers la création d’un label européen « Secure Cloud »?
Scoop.it!
Stéphane NEREAU's insight:
Par son expertise et son expérience en certification, AFNOR Certification met à disposition de ses clients une série de documents généraux et techniques. Ces guides précisent les correspondances entre les référentiels ISO 9001, ISO 20000-1 et ISO 270001 et expliquent de façon détaillée les impacts de la nouvelle version de la norme. Ils visent à aider les entreprises à mener à bien cette transition et à faciliter l’intégration de leur système de management.
Scoop.it!
Le Club 27001 a organisé le 18 septembre dernier une présentation des changements apportés par la version 2013 de la norme ISO 27001.
Stéphane NEREAU's insight:
La 22301 s'impose pour la continuité d'activité alors que le chapitre 14 de l'annexe A maigrit. Les normes 27036 prennent du poids pour la gestion des fournisseurs. Les normes 27034 prennent du poids pour la sécurité dans les développements (la 27034-1 est une reprise de travaux de Microsoft, mais il existe des -2, -3, -4, et -5 en préparation). Les normes 27035 prennent du poids pour la gestion des incidents. La norme 27017 va proposer des exigences spécifiques au Cloud. La norme IEC 62443 va s'imposer pour la sécurité des systèmes industriels. Le contrôle d'accès réseau qui se simplifie dans la nouvelle ISO 27001 est précisée dans la 27033. L'apparente simplification renvoie en réalité à une explosion d'une série d'autres normes, exigeantes, et spécifiques. A suivre...
|
Scoop.it!
Le Club 27001 (http://www.club-27001.fr/), association à but non lucratif, organise à Paris le mardi 24 mars 2015 sa huitième conférence annuelle autour des usages des normes ISO 2700X. Cette conférence se déroulera à Paris à l’espace Saint-Martin dans le cadre des GS-DAYS (http://www.gsdays.fr).
Stéphane NEREAU's insight:
La conférence annuelle du Club 27001 privilégie les retours d’expérience dans l’utilisation des normes de la série ISO 27000, qu’il s’agisse de la mise en oeuvre d’une des normes, leur usage y compris sans certification, les difficultés rencontrées et les intérêts perçus.
Scoop.it!
Une écrasante majorité - 99 % - des services Cloud stockent les données de leurs clients dans des pays où les règles de protection des données sont moins contraignantes qu’en Europe, ou ne disposent pas de capacités de sécurité de classe entreprise. Quand les deux facteurs ne sont pas réunis… C’est du moins ce que révèle une étude publiée par Skyhigh Networks et baptisée European Cloud adoption and risk report.
Stéphane NEREAU's insight:
« Les services Cloud permettent assurément aux entreprises d’être agiles, flexibles et efficaces, et les employés devraient être encouragé à les utiliser, » explique Rajiv Gupte, directeur général de Skyhigh Networks. « Mais de nombreux employés sont encore inconscients des risques associés à certains services Cloud et pourraient même compromettre la posture de sécurité globale de leur organisation. »
Scoop.it!
eaucoup de personnes pensent qu'un service certifié ISO27001 est sécurisé. Selon moi, ils sont dans le faux. Ceci dit, il ne faut pas leur jeter la pierre car comprendre l'esprit de cette certification n'est pas aussi immédiat que cela.
Stéphane NEREAU's insight:
Non. Clairement ISO27001 est une bonne norme. Avoir un système d'information certifié selon cette norme donne un niveau d'assurance que la sécurité est gérée de façon structurée et organisée dans une approche long terme. Un système certifié successivement de façon continue sur plusieurs années (genre 4 ou 5 ans) sera clairement plus mature qu'un système venant juste d'obtenir sa certification. Dans tous les cas, il est important de bien comprendre le périmètre (c'est-à-dire la "portée") qui a été certifié afin de ne pas se faire "avoir" par des personnes un peu trop marketing.
Scoop.it!
Stéphane NEREAU's insight:
Le domaine d’application a été simplifié afin de s’adresser à toutes les organisations. Les notions de PDCA et d’amélioration continue sont renforcées tout au long du document et l’importance de l’implication de la direction dans la mise en place d’un système de management de la sécurité de l’information est soulignée. Les parties intéressées sont prises davantage en compte. Un focus est réalisé sur les compétences, la sensibilisation et la formation des personnes. A noter que la norme limite sa portée à la continuité de la sécurité de l’information et ne porte plus d’exigences sur la continuité d’activité d’une organisation.
|
Le RGPD se concentre sur la confidentialité des données et la protection des informations personnelles. Il impose aux entreprises de déployer les moyens nécessaires pour obtenir un consentement explicite pour collecter des données et s’assurer que ces données sont traitées de manière légale. Toutefois, il ne donne pas les détails techniques sur la manière de maintenir un niveau de sécurité des données adéquat ou pour réduire les menaces internes et externes. A cet égard, ISO 27001 apporte des réponses : la norme fournit des orientations pratiques sur la manière de développer des politiques claires et complètes pour réduire les risques qui peuvent générer des incidents de sécurité.