Your new post is loading...
Your new post is loading...
La seconde édition de la norme NF ISO/CEI 27002 dédiée à la sécurité de l’information pour toutes les organisations est disponible. Un document essentiel pour appréhender au mieux les démarches à implémenter afin de protéger ses données et adopter un management de la sécurité de l’information
Mettre en oeuvre un Plan de Continuité d’Activité est loin d’être une formalité : analyses des risques, connaissance précise des exigences métiers, cartographie des processus de l’entreprise, coordination avec les RH… Le PCA peut faire peur ! Il s’agit pourtant d’un volet essentiel à la stratégie sécurité de l’entreprise, améliorant considérablement sa résilience.
Dans cette cinquième partie, je m’attaque aux deux dernières « ex bonnes pratiques » relatives au management des Systèmes d’information, la démarche Maîtrise d’Ouvrage, Maîtrise d’Œuvre et les schémas directeurs.
Dans la première partie de cette série de billets, j’ai présenté les 10 « ex bonnes pratiques » à abandonner en 2014. Dans la deuxième partie, j’ai proposé trois NBP, « Nouvelles Bonnes Pratiques » concernant les postes de travail....
Dans ce premier texte publié en 2014, je vous propose d’identifier 10 « ex bonnes pratiques » qui sont devenues, aujourd’hui des « mauvaises pratiques ».Votre première, et difficile résolution, sera de prendre la décision d’abandonner définitivement ces mauvaises pratiques. Il faudra ensuite identifier les « nouvelles bonnes pratiques » à mettre en œuvre à partir de 2014. Ce sera fait dans la suite de cette série. Important : il ne s’agit pas de porter un jugement de valeur sur ces « ex bonnes pratiques ». Elles avaient leur raison d’être, hier ; aujourd’hui, dans un monde informatique qui a profondément changé, elles deviennent des freins très dangereux qui bloquent l’innovation et la performance des Systèmes d’Information.
Encore trop d'entreprises se font pirater leur système informatique. Alors qu'il suffit de presque rien pour éviter l'essentiel de ces actions malveillantes
Comment sensibiliser ses collaborateurs, fixer des règles d’utilisation, renfoncer la sécurité de son système d’information… Sur une plaquette de deux pages, la Gendarmerie nationale délivre quelques conseils pratiques de bon sens aux chefs d’entreprise. « Les cybercriminels s'intéressent à tout ce qui fait la valeur de votre entreprise : fichiers clients, réponses à des appels d'offres, données personnelles de vos salariés ou de vos fournisseurs. »
Les contrôles critiques ont été développés ces dix dernières années par de nombreux experts en cyber sécurité fédéraux et civils, des chercheurs, des experts militaires ainsi que des DSI et des DSSI fédéraux qui connaissent bien les cyber attaques.
L’année 2013 fût une année éprouvante sur le plan de la sécurité informatique : tandis que les entreprises devaient faire face à de nouvelles formes d’attaques ciblées et de plus en plus sophistiquées, la protection des données et de la vie privée a été sérieusement remise en cause suite à la révélation de pratiques douteuses de la part de certains gouvernements.
Le régulateur des données personnelles s'est intéressé aux cookies et demande aux acteurs du web de demander la permission aux Internautes avant d'installer ces petits logiciels espions. La CNIL propose également un outil pour visualiser les informations récoltées par les cookies.
Ce guide est composé de 10 fiches pratiques. Elles expliquent la démarche de sécurité SI (système d’information) et contiennent des recommandations sur des points clés que sont notamment la réalisation d’un diagnostic et le pilotage de la démarche avec le soutien de la Direction.
L’expertise d’industriels, de spécialistes de la santé, de la finance, de l’assurance est attendue pour élaborer ce guide AFNOR, dont la publication est attendue en 2014. Objectif : définir les meilleures pratiques pour prévenir et gérer la fuite de l’information. Prochaine réunion le 19 décembre.
|
On a longtemps cru qu’il était impossible de développer un logiciel malveillant capable d’attaquer les réseaux WiFi. Jusqu’à ce que ces chercheurs de l’Université de Liverpool testent en conditions réelles leur petit virus maison : Chameleon.
Il y a quelques jours, je déambulais dans les travées de de la foire du livre à Bruxelles, m'arrêtant de temps à autres sur un stand, réagissant à quelques couvertures attirant mon attention. Cette fois-là, alors que je posais la main sur un tas de cartes postales promotionnelles, je suis abordé par un responsable du stand qui s'avère rapidement être le patron de la maison d'édition. La conversation s'amorce de façon badine, l'éditeur m'invitant à prendre un exemplaire de son outil de "propagande". Même si je comprends bien être en face d'un amoureux des mots, qui aime les manipuler et jouer avec, je ne peux m'empêcher de rebondir sur l'utilisation du terme "propagande" à la place de publicité. Et là, surprise, mon, interlocuteur se met en mode confidence et me raconte ses difficultés et faiblesses en matière de "propagande".
Suite à l’appel à commentaires lancé le 03 octobre 2012, l’ANSSI publie la version finalisée du guide d’hygiène informatique. Ce document destiné aux entreprises présente 40 recommandations simples pour sécuriser leur(s) système(s) d’information.
Dans cette quatrième partie, j’aborde les NBP, alternatives aux « ex bonnes pratiques » relatives aux applications : - 5 - Solutions intégrées
- 6 - Unicité des solutions
- 7 - Le tout ERP
- 8 - Applications Client / Serveur
Dans la première partiede cette série de billets, j’ai présenté les 10 « ex bonnes pratiques » à abandonner en 2014.Comme l’on fait remarquer de nombreux commentaires, l’important, après le diagnostic, c’est de définir les « nouvelles bonnes pratiques ». Dans cette deuxième partie, je vais aborder les trois NBP, « Nouvelles Bonnes Pratiques », qui remplacent les trois anciennes « ex » 1, 2 et 3 : - Postes de travail obèses.
- Master PC.
- Suites bureautiques obèses.
Aujourd’hui, les systèmes industriels sont fortement exposés aux cyberattaques car ils sont de plus en plus informatisés et interconnectés avec les systèmes d’information classiques et avec internet. Pour faire face à ces risques de cybercriminalité, l'Agence Nationale pour la Sécurité des Systèmes d'Information (ANSSI) a publié le 21 janvier 2014 un guide sur La cybersécurité des systèmes industriels. Ce guide expose des mesures non contraignantes visant à renforcer la cybersécurité des systèmes industriels.
Parce que votre temps est précieux, haikusages a sélectionné 33 outils permettant de vous faciliter la vie et de gagner du temps à chaque étapes clés du développement de votre produit, service ou startup. Pour aller plus loin, haikusages propose également quelques conseils vous permettant de lancer votre produit ou service avant même qu’il n’existe et ainsi recueillir un maximum de feedback en un temps très court.
Un système d’information est un ensemble complexe qui doit être piloté. L’expérience montre qu’un pilotage faible ou incertain peut se traduire par des pertes d’efficacité voir même des dégradations du système d’information. Dans les deux précédant messages (Voir sur ce blog le message du 1er Août 2013 : « Les bonnes pratiques enmatière de conception des systèmes d'information » et le message du 25 Octobre 2013 : « Les bonnes pratiques en matière de fonctionnement des systèmes d’information ») nous avons analysé les bonnes pratiques concernant la conception et le fonctionnement régulier des systèmes d'information.
Vous avez pris l’habitude de surfer sur le web sur votre smartphone ou votre tablette ? Mais avez-vous pensé à optimiser la sécurité de votre appareil ?
Cadeau pour les fêtes ! L’éditeur VMware présente « Le BYOD pour les nuls » en téléchargement gratuit sous forme de livre électronique.
La surveillance et l'espionnage sont les mamelles de l'informatique, et des télécommunications. Autant vous y faire. Le tout premier ordinateur a ainsi été conçu, pendant la seconde guerre mondiale, pour casser les codes secrets utilisés par les nazis. Son histoire est restée secrète jusqu'à la fin des années 70, et n'a officiellement été reconnue qu'en l'an 2000. Le traité UKUSA, signé en 1946 par le Royaume-Uni et les États-Unis afin d'espionner les télécommunications du bloc de l'Est n'a, lui, été reconnu qu'en juin 2010. La National Security Agency (NSA) américaine et son homologue britannique, le Government Communications Headquarters (GCHQ), n'ont par contre toujours pas officiellement reconnu à ce jour l'existence d'Echelon, le programme généralisé de surveillance et d'interception des télécommunications né d'UKUSA, dont ils sont mes maîtres d'oeuvres et qui leur permet aujourd'hui d'espionner toute entité pouvant porter atteinte à leurs intérêts militaires, sécuritaires, économiques ou politiques... "dissidents" politiques américains (tels que Martin Luther King, Jane Fonda ou Joan Baez) et multinationales européennes compris. L'existence de Frenchelon, le système espion français, n'a elle non plus toujours pas été reconnue, et l'on ne sait rien ou presque de ses cibles de prédilection.
Vous désespérez de faire décoller votre réseau social d'entreprise ? Profitez de la nouvelle année pour appliquer ces dix recommandations, vous en tirerez autant de bénéfices que vos collaborateurs.
|
Mots, chiffres, images, concepts, marques… Toutes ces données, souvent transmises par voie électronique, sont pour l’entreprise des éléments à protéger du mieux possible. Une sécurité de l’information efficace réduit les risques éventuels en protégeant l’organisation contre les menaces et les vulnérabilités.
Afin d’aider toutes les organisations, AFNOR publie la norme NF ISO/CEI 27002 qui permet de sélectionner les mesures nécessaires dans le cadre d’un processus de mise en œuvre d’un système de management de la sécurité de l’information (SMSI) selon la norme ISO/CEI 27001. On y trouve des bonnes pratiques de management de la sécurité de l’information, incluant la sélection, la mise en œuvre et la gestion de mesures de sécurité prenant en compte le ou les environnement(s) de risques de sécurité de l’information de l’organisation.
De l’orientation de la direction en matière de sécurité de l’information à la gestion des incidents liés à la sécurité de l’information en passant par la sécurité des communications, le développement et la maintenance des systèmes d’information… cette norme s’adresse aux organisations désireuses de sélectionner les mesures nécessaires dans le cadre du processus de mise en œuvre d’un système de management de la sécurité de l’information, de mettre en œuvre des mesures de sécurité de l’information largement reconnues et d’élaborer leurs propres lignes directrices de management de la sécurité de l’information.