Tour de table sur référentiel sécurité (volume, organisation…)
Prochaines dates
…
Point sur l'évolution des normes (Claire Albouy-Cossard, CNAMTS)
Point sur l'évolution des normes (Claire Albouy-Cossard, CNAMTS)
Retour d’expérience sur la cartographie des risques (Pierre Forget – Thalès) => Reporté
Inventaire des clubs, groupes et manifestations SSI en région
A.8 : Gestion des actifs
A.8.2 Classification de l’Information
A.8.2.1 Classification des informations
A.8.2.2 Marquage des informations
A.8.2.3 Manipulation des actifs
Points divers :
Tour de table sur référentiel sécurité (volume, organisation…)
Prochaines dates
…
Point sur l'évolution des normes (Claire Albouy-Cossard, CNAMTS)
Point sur l'évolution des normes (Claire Albouy-Cossard, CNAMTS)
Retour d’expérience sur la cartographie des risques (Pierre Forget – Thalès) => Reporté
Inventaire des clubs, groupes et manifestations SSI en région
A.8 : Gestion des actifs
A.8.2 Classification de l’Information
A.8.2.1 Classification des informations
A.8.2.2 Marquage des informations
A.8.2.3 Manipulation des actifs
Points divers :
Tour de table sur référentiel sécurité (volume, organisation…)
Prochaines dates
…
OSSIR/RéSIST
OSSIR/RéSIST
PRISSM
INSA/LAAS/CNRS
ANSSI
RTRA
AFCDP ?
I-BP ?
…
Historique
Historique
Le groupe RéSIST de l'OSSIR a été créé, à Toulouse, en novembre 2001 à la demande de Stéphane Aubert et Fabrice Prigent. A la mi-2003, le rôle d'animation de Stéphane Aubert a été repris par Pierre-Yves Bonnetain, de B&A Consultants.
Activités
Les réunions du groupe RéSIST sont bi-mensuelles, ouvertes à tous gratuitement (les personnes assistant régulièrement aux réunions seront conviées à adhérer à l'OSSIR) et proposent en général :
Présentations et exposés par des consultants, utilisateurs ou universitaires,
Présentations de solutions par des fournisseurs,
Suivi de l'actualité par un tour de table des évènements marquants.
Les réunions sont généralement orientées autour d'un thème principal et donnent lieu à des débats et discussions sur la sécurité.
Public visé
Responsable de sécurité informatique ou membres des services de sécurité informatique,
Administrateurs systèmes et réseaux,
Utilisateurs,
Universitaires.
Liste électronique
Pour être au courant des activités du groupe, inscrivez-vous à la liste "OSSIR RéSIST" en envoyant un message :
To: sympa@ossir.org Subject: subscribe resist Prénom Nom
A l’initiative de Midi-Pyrénées, Madeeli et du Conseil Régional, administrativement rattaché à DigitalPlace et Aerospace Valley, PRISSM (Think Tank dédié à la Cybersécurité ) a vu le jour en avril 2014.
A l’initiative de Midi-Pyrénées, Madeeli et du Conseil Régional, administrativement rattaché à DigitalPlace et Aerospace Valley, PRISSM (Think Tank dédié à la Cybersécurité ) a vu le jour en avril 2014.
PRISSM réunit tous les professionnels & décideurs, les clubs/associations de la cyber-sécurité de la région Sud. 60 entreprises régionales sont impliquées dans PRISSM.
Son objectif est de « Développer le marché et la présence des acteurs régionaux, leur visibilité et mettre leur croissance au service de la création d'emplois et de richesses »
Les membres permanents du cluster sont :
Coordination : Jean-Nicolas Piotrowski (ITrust)
Membres permanents du Comité de Pilotage : Didier Bosque et Bertrand Hasnier (Sopra Steria Groupe), Dominique Turpin (Great-X), Caroline De Rubiana-Duhaillier (Digitam – Commission cybersécurité de la Mêlée), Abdelmalek Benzekri (IRIT), Simon Bretin, Franck Lepecq (Aerospace Valley), Jerôme Maurel (Madeeli), Fredéric Lenfant et Thierry Mirouze (Sogeti), Jacques Sudres (CS SI)
4 Ateliers : Cartographie des compétences, identification des besoins, amélioration de la sécurité des entreprises, formation à la SSI
Reprise de la journée Cyber@hack (auparavant organisée par l’Epitech et iTrust)
Réseau Thématique de Recherche Avancée
Réseau Thématique de Recherche Avancée
Créé par la loi de programme pour la recherche de 2006
Objectif : assembler, sur un thème donné, une masse critique de chercheurs de très haut niveau, autour d'un noyau dur d'unités de recherche géographiquement proches, afin d'être compétitif avec les meilleurs centres de recherche au niveau mondial.
13 RTRA au niveau national. La partie SSI fait partie de la Fondation Sciences et technologies pour l'aéronautique et l'espace (STAE), et plus particulièrement la chantier Sécurité et Vie Privé (SVP).
Public : Chercheurs, enseignants et tous ceux intéressés par les synergies Recherche Industrie
Agence Nationale de la SSI
Agence Nationale de la SSI
Autorité nationale chargée d’assurer la sécurité des systèmes d’information de l’État et de contribuer à celle des opérateurs nationaux d’importance vitale (OIV). Trois grandes missions :
Prévention de la menace par la réglementation, l’étude et l’anticipation des modes d’attaques, la définition de mesures de protection, l’assistance des administrations et des entreprises sensibles, et la certification/qualification de produits et services de confiance ;
Défense des systèmes d’information par la détection de failles et d’incidents et la réaction au plus tôt en cas de cyber-attaque ;
Information et sensibilisation des différents publics sur la nécessaire protection des environnements numériques par la promotion de bonnes pratiques de cybersécurité et la diffusion de recommandations techniques et méthodologiques tout en participant au développement de la formation à la sécurité des systèmes d’information.
S’est dotée d’un dispositif d’action visant à soutenir le tissu économique et les institutions à l’échelle régionale (présence à Toulouse pour l’Occitanie)
Association Française des Correspondants à la protection des Données à caractère Personnel
Association Française des Correspondants à la protection des Données à caractère Personnel
Objet de l’AFCDP :
développer une réflexion quant au statut et aux missions des correspondants à la protection des données personnelles
favoriser la concertation avec les entreprises et les pouvoirs
participer à toutes initiatives relatives à la protection des données personnelles
assurer une veille (technique, juridique, managériale, ...) sur les enjeux relatifs à la protection des données personnelles
informer et de sensibiliser sur les missions des correspondants à la protection des données personnelles
favoriser les relations avec la Commission Nationale de l’Informatique et des Libertés formuler des recommandations et des avis aux autorités publiques et aux acteurs de la protection des données personnelles ;
Sur Toulouse :
Groupe régional GTR-SOP animé par Gilles Trouessin
Créé par iBP fin 2016 => en cours de mise en place
Créé par iBP fin 2016 => en cours de mise en place
Objectif : créer un cluster d’innovation en sécurité digitale :
En fédérant tous les acteurs privés / publics autour d’une vision commune sur les besoins / usages en matière de cybersécurité
En créant un lieu de vie, d’échange et de partage de l’innovation avec un accès direct à cette vision et aux expertises qui la portent et peuvent la servir
En construisant un écosystème de proximité réunissant tous les savoir-faire et les outils clés pour concrétiser une idée & industrialiser une solution
Organisation pressentie :
Des «utilisateurs», grands groupes, disposés à échanger sur leurs problématiques de cybersécurité
Des «makers» de l’innovation et/ou la cybersécurité, intéressés par une démarche de co-construction durable et sur des sujets concrets
Des sponsors publics régionaux/nationaux objectivés sur le développement économique et sa sécurisation, en recherche d’outils accélérant leur travail de terrain
Touléco (quotidien régional de l ’économie) : Rencontres cybersécurité du grand sud (hôtel de région) , orientées décideurs
Touléco (quotidien régional de l ’économie) : Rencontres cybersécurité du grand sud (hôtel de région) , orientées décideurs
INSA/LAAS/CNRS : Journées Nouvelles Avancées en Sécurité des Systèmes d'Information (4ème édition prévue le 25 janvier), s'adresse à la fois aux étudiants de la spécialité Sécurité Informatique de Toulouse Ingénierie (TLS-SEC) , co-portée par l'N7, l'INSA et l'ENAC, et à tout public industriel et académique concerné par les problèmes de sécurité informatique.
Colloque Cyberdéfense : Une fois par an, organisé par la Direction Zonale du Renseignement et de la Sécurité de la Défense (ex DPSD) rassemble les acteurs de la sécurité de Défense, les OIV, les entreprises soumises à la PPST…
Toulouse Hacking Convention, organisée par TLS-SEC (ENSEEIHT, ENAC, INSA) , s’adresse aux professionnels, chercheurs et hackers.
Cyber@hack, anciennement organisée par l’Epitech et iTrust, maintenant par PRISSM, s’adresse aux étudiants, aux professionnels et aux hackers
Point sur l'évolution des normes (Claire Albouy-Cossard, CNAMTS)
Point sur l'évolution des normes (Claire Albouy-Cossard, CNAMTS)
Retour d’expérience sur la cartographie des risques (Pierre Forget – Thalès) => Reporté
Inventaire des clubs, groupes et manifestations SSI en région
A.8 : Gestion des actifs
A.8.2 Classification de l’Information
A.8.2.1 Classification des informations
A.8.2.2 Marquage des informations
A.8.2.3 Manipulation des actifs
Points divers :
Tour de table sur référentiel sécurité (volume, organisation…)
Prochaines dates
…
Mesure : Il convient de classer les informations en termes de valeur, d’exigences légales, de sensibilité ou de leur caractère critique pour l’entreprise
Mesure : Il convient de classer les informations en termes de valeur, d’exigences légales, de sensibilité ou de leur caractère critique pour l’entreprise
Préconisation de mise en œuvre : Il convient que la classification soit intégrée aux processus de l’organisation. Il convient que les résultats de la classification traduisent la valeur des actifs en fonction de leur sensibilité et de leur caractère critique… Il convient que les résultats…soient mis à jour … tout au long de leur cycle de vie
Avez-vous classé vos informations
Bien sûr : Je fais des piles en fonction de l’urgence.
J’ai un coffre ou je mets tout ce qui est sensible
Il y a une politique, mais personne ne la suit
Oui, chaque propriétaire d’actif lui attribue une classification et c’est revu tous les ans
…
Mesure : Il convient d’élaborer et de mettre en œuvre un ensemble approprié de procédures pour le marquage de l’information conformément au plan de classification
Mesure : Il convient d’élaborer et de mettre en œuvre un ensemble approprié de procédures pour le marquage de l’information conformément au plan de classification
Préconisation de mise en œuvre : Les procédures de marquage doivent s’appliquer à l’information et aux actifs associés présentés sous un format physique ou électronique.
Comment marquez vous l’information?
J’ai un répertoire « sensible » sur le PC, et j’y mets tout.
On met un « disclaimer » en bas de page pour indiquer que ça ne doit pas être reproduit
Notre secrétaire a un tampon « Sensible » qu’elle met partout.
On a des modèles de doc avec les différents marquages
…
Mesure : Il convient d’élaborer et de mettre en œuvre des procédures de traitement des actifs conformément au plan de classification
Mesure : Il convient d’élaborer et de mettre en œuvre des procédures de traitement des actifs conformément au plan de classification
Préconisation de mise en œuvre : Il convient de rédiger des procédures spécifiant comment manipuler, traiter, stocker et communiquer l’information en fonction de sa classification.
Avez-vous des procédures de manipulation?
Oui, c’est le secrétariat qui s’en occupe, mais je ne sais pas comment
On a une plate-forme d’échange sécurisée
Tous nos PC sont chiffrés, pas besoin de procédure
Nous avons des espaces dédiés pour chaque niveau de classification, les documents papiers sont marqués, les copies sont enregistrées avec la liste des destinataires, l’ANSSI prend exemple sur nous.
…
Point sur l'évolution des normes (Claire Albouy-Cossard, CNAMTS)
Point sur l'évolution des normes (Claire Albouy-Cossard, CNAMTS)
Retour d’expérience sur la cartographie des risques (Pierre Forget – Thalès) => Reporté
Inventaire des clubs, groupes et manifestations SSI en région
A.8 : Gestion des actifs
A.8.2 Classification de l’Information
A.8.2.1 Classification des informations
A.8.2.2 Marquage des informations
A.8.2.3 Manipulation des actifs
Points divers :
Tour de table sur référentiel sécurité (volume, organisation…)
Prochaines dates
…
Vendredi 24 ou 17 mars (vacances de Pâques ensuite)
Lieu : ???
Sujets
Positionnement de 27001 vis-à-vis d'autres référentiels tels que RGS, PCI-DSS, ISAE3402, HDS…
Adéquation ou pas des standards actuels de la sécurité (27001 en particulier), alors qu'ils sont loin d'être matures en termes d'implémentation, face aux évolutions des modèles informatiques (Méthodes Agile, DevOps, Cloud Computing, BYOD, ...)