Quelques mots sur la Sécurité des Systèmes d'Informations

Sécurité Archive

Bientôt la norme ISO 27002:2013

0
Publié dans Sécurité

Pour mémoire, la norme ISO/IEC 27002 (Information technology — Security techniques — Code of practice for information security controls) est un guide aidant à la définition/sélection de mesures de sécurité n’est pas un référentiel de certification (contrairement à ISO 27001 qui est un recueil d’exigences, à l’instar de l’ISO 9001 dans le domaine de la qualité) La première version date de 2005 et devrait être remplacée, d’ici la fin de cette année, par une nouvelle version ISO/IEC 27002:2013. Le brouillon de cette version est en appel à commentaires jusqu’à Mars 2013. Je vous propose de découvrir l’état actuel et la nouvelle structuration de ce document normatif (j’aborderai le fond, certaines nouvelles thématiques, dans de prochains articles). NB : La version française – « NF », n’étant évidemment pas encore

Lire l'article

Deux directives européennes publiées fin décembre 2009 concernent les fournisseurs de réseaux et d’accès aux réseaux (dont les FAI) qui auront l’obligation de notifier tout incident lié à une perte de confidentialité des informations qu’ils traitent (données clients principalement). Les transpositions en droit Français et donc leurs applications ne sont pas attendues avant mi-2011. La première directive oblige l’opérateur à notifier, aux autorités nationales compétentes, toute perte de confidentialité (vol, perte, divulgation d’informations), et sauf cas exceptionnel jugé d’utilité publique, les personnes physiques concernées ne seront pas informés. NB: en France, une proposition de Loi élaborée au Sénat au mois de novembre 2009 propose que la CNIL puisse être l’autorité recueillant ces notifications. La seconde directive impose, au delà de l’information de l’autorité nationale, une

Lire l'article

A l’instar de la norme ISO 9000 dans le registre de la qualité, la norme ISO 27001 (Système de management de la Sécurité des informations) se voit complétée depuis le 1er Mai 2009 de la norme ISO/IEC 27000:2009. Ce nouveau document donne un aperçu de la norme 27001 (notamment par une introduction à la notion de SMSI : système de management de la sécurité des informations) et du vocabulaire ad-hoc. On y trouvera les définitions de termes couramment usités tels que par exemple : évaluation de risques, analyse de risques, disponibilité, intégrité, confidentialité ou encore actif et actif informationnel. Elle est disponible gratuitement < ici > Pour mémoire, la norme 27001 est aujourd’hui de plus en plus adoptée, et d’ailleurs préconisée en France par le

Lire l'article