mercredi 24 janvier 2018    || Inscription
BanniereNews
 
 
News Partenaires

2016 a été une année record en matière de failles de sécurité. De récentes études indiquent que le nombre de dossiers exposés a atteint les 4,2 milliards l'année dernière, contre seulement 1,1 milliard en 2013.

[Lire l'article...]

Enfin ! C’est avec sans nul doute un certain soulagement que les RSSI des OIV des secteurs concernés ont appris la publication de trois arrêtés sectoriels sur le secteur des produits de la santé, de la gestion de l’eau et de l’alimentation. L'annonce en a été faite par l'Anssi et le SGDSN. 

 

C’est après des discussions parfois âpres dans les groupes de travail que l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) et le SGDSN (Secrétariat Général de la Défense et de la Sécurité Nationale) ont annoncé conjointement, lundi dernier, la publication de trois arrêtés sectoriels concernant la gestion de l’eau, les produits de la santé et l’alimentation . Ces trois arrêtés sectoriels fixent les règles relatives à la sécurité des systèmes d’information des OIV (Opérateurs d’Importance Vitale) prévues par l’article 22 de la LPM (Loi de Programmation Militaire) du 18 décembre 2013. Ces règles prévoient notamment l’identification des systèmes d’importance vitale (SIIV), la notification des incidents de sécurité à l’ANSSI et les contrôles pour suivre la mise en place du dispositif. 

Une homologation de chaque SSIV

Parmi ces mesures, il est précisé dans les arrêtés que les OIV des secteurs concernés procèdent «  à l’homologation de sécurité de chaque système d’information d’importance vitale.[…]. L’homologation d’un système est une décision formelle prise par l’opérateur qui atteste que les risques pesant sur la sécurité de ce système ont été identifiés, et que les mesures nécessaires pour le protéger sont mises en œuvre. Elle atteste également que les éventuels risques résiduels ont été identifiés et acceptés par l’opérateur. Dans le cadre de l’homologation, un audit de sécurité du SIIV doit être réalisé […] ». 

Un calendrier à définir 

Concernant le calendrier, Guillaume Poupard, directeur de l’ANSSI, indique que les arrêtés concernant les autres secteurs industriels seront publiés dans le courant du deuxième semestre 2016, probablement aux alentours du mois d’octobre. L’industrie, les services financiers devraient, entre autres, ainsi suivre le pas.

Ce retard à l’allumage dans la publication des arrêtés s’explique par l’animation des discussions dans les groupes de travail, et par le fait que tous les secteurs ne sont pas « prêts au même niveau » justifie Guillaume Poupard. Pour autant, ce retard crispe parfois les entreprises qui étaient au taquet pour la publication des arrêtés, et voient leurs efforts, sinon réduits à néant, du moins prolongés jusqu'à une date ultérieure… ce qui n’est jamais bon pour la négociation des budgets de sécurité. 


Lire aussi à ce sujet notre commentaire :

Publication de trois arrêtés sectoriels LPM : le règne de l’expectative


Vous trouverez ci-après un accès direct aux arrêtés en version PDF.




Noter cet article (de 1 = Nul à 5 = Excellent) Valider

Billet d'humeur

Histoire vécue incroyable de RSSI (3)

Le rêve d’un « service premium gratuit » et de contrats de maintenance à vie sans payer (n°3 d’une longue série à venir.)

la rédaction 0 2762

Les histoires ci-dessous sont tirées de cas réels de comportements déviants d’utilisateur / utilisatrice, assez incroyables, mais complètement réelles.
Il est usuel d’exiger une qualité de service parfaite. Les produits doivent fonctionner et n’avoir aucun défaut. Le fournisseur doit apporter une réponse immédiate à tout, y compris pour fournir des services qu’il n’a jamais envisagés, et le tout gratuitement.
Des telles attentes reposent sur un malentendu dans lequel l’utilisateur est aussi fautif que le fournisseur. Que l’on soit avec un service de grande consommation, ou avec un service professionnel.

123


Événements SSI

FIC

Forum International de la Cybersécurité à Lille

la rédaction 0 1017

Le 10ème Forum International de la Cybersécurité occupe les 23 et 24 janvier 2018 le Grand Palais de Lille. Organisé par la Région Hauts-de-France et Euratechnologies, la Gendarmerie Nationale et CEIS.

UNIVERSITÉ DES DPO

12ème Université des DPO, anciennement Université des Correspondants Informatique & Libertés

la rédaction 0 400

La 12ème Université des DPO (Data Protection Officers), anciennement Université des CIL, l’événement incontournable des professionnels de la conformité à la loi Informatique et Libertés et au RGPD, a pour cadre le mercredi 24 janvier 2018 la Maison de la Chimie, à Paris. Organisée par l’AFCDP (Association Française des Correspondants à la protection des Données à caractère Personnel).

RENCONTRES AMRAE

L'intelligence des risques pour franchir de nouveaux caps

la rédaction 0 241

Les 26èmes Rencontres de l'AMRAE (Association française des professionnels de la gestion des risques et des assurances) ont lieu du 7 au 9 février 2018 à Marseille (parc Chanot) sur le thème : "l'intelligence des risques pour franchir de nouveaux caps". Organisées par l'AMRAE.;nement.<:p>

IT MEETINGS

Salon business de l'IT et de la sécurité informatique

la rédaction 0 1006

Le salon business de l'IT et de la sécurité informatique aura pour cadre à nouveau du 20 au 22 mars 2018 le palais des festivals et des congrès de Cannes. Organisé par Weyou Group.

DOCUMATION

Couplé avec le Data Intelligence Forum

la rédaction 0 896

Congrès et exposition Documation et Data Intelligence Forum, deux événements pour réussir sa digitalisation, du 20 au 22 mars 2018  à Paris Porte de Versailles. Organisé conjointement avec les salons Solutions RH, Solutions Intranet, Collaboratif et RSE et I-expo par Infopromotions.

SSI SANTÉ

6ème Congrès National de la Sécurité des SI de Santé

la rédaction 0 761

Le 6ème Congrès National de la Sécurité des SI de Santé a lieu du 3 au 5 avril 2018 au Mans avec pour thèmes : Europe & RGPD, cyber-insécurité, technologies & méthodes. Organisé par l'Apssis (Association Pour la Sécurité des Systèmes d'Information de Santé).

TESTS LOGICIELS

10ème Journée Française des Tests Logiciels

la rédaction 0 221

La 10ème Journée Française des Tests Logiciels se tient à Montrouge (Beffroi) le 10 avril 2018. Organisée par le CFTL (Comité Français des Tests Logiciels).

RSA CONFERENCE

Édition USA

la rédaction 0 1002

Dédiée à la sécurité de l'information, la RSA Conference USA se tient à San Francisco (Moscone Center) du 16 au 20 avril 2018. Organisée par RSA.

HACK IN PARIS

Cyber Security Conference

la rédaction 0 229

Pour sa 8ème édition la conférence Hack In Paris sur la sécurité IT se tient du 25 au 29 juin 2018 à Paris, Maison de la Chimie. Organisée par Sysdream.

BLACK HAT

Édition USA

la rédaction 0 204

Événement majeur mondial sur la sécurité de l'information la conférence Black Hat USA a lieu du 4 au 9 août 2018 à Las Vegas (Mandalay Bay). Organisé par UBM.

RSS