samedi 21 avril 2018    || Inscription
BanniereNews
 
 
News Partenaires

2016 a été une année record en matière de failles de sécurité. De récentes études indiquent que le nombre de dossiers exposés a atteint les 4,2 milliards l'année dernière, contre seulement 1,1 milliard en 2013.

[Lire l'article...]

Enfin ! C’est avec sans nul doute un certain soulagement que les RSSI des OIV des secteurs concernés ont appris la publication de trois arrêtés sectoriels sur le secteur des produits de la santé, de la gestion de l’eau et de l’alimentation. L'annonce en a été faite par l'Anssi et le SGDSN. 

 

C’est après des discussions parfois âpres dans les groupes de travail que l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) et le SGDSN (Secrétariat Général de la Défense et de la Sécurité Nationale) ont annoncé conjointement, lundi dernier, la publication de trois arrêtés sectoriels concernant la gestion de l’eau, les produits de la santé et l’alimentation . Ces trois arrêtés sectoriels fixent les règles relatives à la sécurité des systèmes d’information des OIV (Opérateurs d’Importance Vitale) prévues par l’article 22 de la LPM (Loi de Programmation Militaire) du 18 décembre 2013. Ces règles prévoient notamment l’identification des systèmes d’importance vitale (SIIV), la notification des incidents de sécurité à l’ANSSI et les contrôles pour suivre la mise en place du dispositif. 

Une homologation de chaque SSIV

Parmi ces mesures, il est précisé dans les arrêtés que les OIV des secteurs concernés procèdent «  à l’homologation de sécurité de chaque système d’information d’importance vitale.[…]. L’homologation d’un système est une décision formelle prise par l’opérateur qui atteste que les risques pesant sur la sécurité de ce système ont été identifiés, et que les mesures nécessaires pour le protéger sont mises en œuvre. Elle atteste également que les éventuels risques résiduels ont été identifiés et acceptés par l’opérateur. Dans le cadre de l’homologation, un audit de sécurité du SIIV doit être réalisé […] ». 

Un calendrier à définir 

Concernant le calendrier, Guillaume Poupard, directeur de l’ANSSI, indique que les arrêtés concernant les autres secteurs industriels seront publiés dans le courant du deuxième semestre 2016, probablement aux alentours du mois d’octobre. L’industrie, les services financiers devraient, entre autres, ainsi suivre le pas.

Ce retard à l’allumage dans la publication des arrêtés s’explique par l’animation des discussions dans les groupes de travail, et par le fait que tous les secteurs ne sont pas « prêts au même niveau » justifie Guillaume Poupard. Pour autant, ce retard crispe parfois les entreprises qui étaient au taquet pour la publication des arrêtés, et voient leurs efforts, sinon réduits à néant, du moins prolongés jusqu'à une date ultérieure… ce qui n’est jamais bon pour la négociation des budgets de sécurité. 


Lire aussi à ce sujet notre commentaire :

Publication de trois arrêtés sectoriels LPM : le règne de l’expectative


Vous trouverez ci-après un accès direct aux arrêtés en version PDF.




Noter cet article (de 1 = Nul à 5 = Excellent) Valider

Dossier

Droit d’accès et comptes à privilèges

Jacques Cheminat 0 9663
Equifax, Deloitte, Uber, les récentes violations de données ont souvent des techniques de piratages différentes, mais un élément commun, obtenir l’accès à des applications critiques comme les bases de données, les bases clients, les informations bancaires. En général ces programmes sont soumis à habilitation et rattachés à des comptes à privilèges. leur protection est donc une nécessité dans un monde de plus en plus ouvert et insécurisé. Dossier publié avec le concours de Kleverware.
RSS



Événements SSI

HACK IN PARIS

Pour sa 8ème édition la conférence Hack In Paris sur la sécurité IT se tient du 25 au 29 juin 2018 à Paris, Maison de la Chimie. Organisée par Sysdream.

BLACK HAT

Événement majeur mondial sur la sécurité de l'information la conférence Black Hat USA a lieu du 4 au 9 août 2018 à Las Vegas (Mandalay Bay). Organisé par UBM.

LES ASSISES

Grand rendez-vous annuel des RSSI, les Assises de la sécurité des systèmes d'information se tiennent à Monaco (Grimaldi Forum) du 10 au 13 octobre 2018. Organisées par DG Consultants.

TRUSTECH

Cet événement international dédié aux "technologies de la confiance" qui intègre désormais le salon Cartes Secure Connexions (jusqu'en 2015 celui-ci se tenait à Paris Villepinte) est organisé à Cannes (palais des festivals) du 27 au 29 novembre 2018. Organisé par Comexposium.

 

RSS