Point sur l'évolution des normes (Claire Albouy-Cossard, cnamts)



Yüklə 445 b.
tarix26.07.2018
ölçüsü445 b.
#58665



Point sur l'évolution des normes (Claire Albouy-Cossard, CNAMTS)

  • Point sur l'évolution des normes (Claire Albouy-Cossard, CNAMTS)

  • Retour d’expérience sur la cartographie des risques (Pierre Forget – Thalès) => Reporté

  • Inventaire des clubs, groupes et manifestations SSI en région

  • A.8 : Gestion des actifs

    • A.8.2 Classification de l’Information
  • Points divers :

    • Tour de table sur référentiel sécurité (volume, organisation…)
    • Prochaines dates






Point sur l'évolution des normes (Claire Albouy-Cossard, CNAMTS)

  • Point sur l'évolution des normes (Claire Albouy-Cossard, CNAMTS)

  • Retour d’expérience sur la cartographie des risques (Pierre Forget – Thalès) => Reporté

  • Inventaire des clubs, groupes et manifestations SSI en région

  • A.8 : Gestion des actifs

    • A.8.2 Classification de l’Information
      • A.8.2.1 Classification des informations
      • A.8.2.2 Marquage des informations
      • A.8.2.3 Manipulation des actifs
  • Points divers :

    • Tour de table sur référentiel sécurité (volume, organisation…)
    • Prochaines dates


Point sur l'évolution des normes (Claire Albouy-Cossard, CNAMTS)

  • Point sur l'évolution des normes (Claire Albouy-Cossard, CNAMTS)

  • Retour d’expérience sur la cartographie des risques (Pierre Forget – Thalès) => Reporté

  • Inventaire des clubs, groupes et manifestations SSI en région

  • A.8 : Gestion des actifs

    • A.8.2 Classification de l’Information
      • A.8.2.1 Classification des informations
      • A.8.2.2 Marquage des informations
      • A.8.2.3 Manipulation des actifs
  • Points divers :

    • Tour de table sur référentiel sécurité (volume, organisation…)
    • Prochaines dates


OSSIR/RéSIST

  • OSSIR/RéSIST

  • PRISSM

  • INSA/LAAS/CNRS

  • ANSSI

  • RTRA

  • AFCDP ?

  • I-BP ?



Historique

  • Historique

    • Le groupe RéSIST de l'OSSIR a été créé, à Toulouse, en novembre 2001 à la demande de Stéphane Aubert et Fabrice Prigent. A la mi-2003, le rôle d'animation de Stéphane Aubert a été repris par Pierre-Yves Bonnetain, de B&A Consultants.
  • Activités

    • Les réunions du groupe RéSIST sont bi-mensuelles, ouvertes à tous gratuitement (les personnes assistant régulièrement aux réunions seront conviées à adhérer à l'OSSIR) et proposent en général :
      • Présentations et exposés par des consultants, utilisateurs ou universitaires,
      • Présentations de solutions par des fournisseurs,
      • Suivi de l'actualité par un tour de table des évènements marquants.
      • Les réunions sont généralement orientées autour d'un thème principal et donnent lieu à des débats et discussions sur la sécurité.
  • Public visé

    • Responsable de sécurité informatique ou membres des services de sécurité informatique,
    • Administrateurs systèmes et réseaux,
    • Utilisateurs,
    • Universitaires.
  • Liste électronique

    • Pour être au courant des activités du groupe, inscrivez-vous à la liste "OSSIR RéSIST" en envoyant un message :
    • To: sympa@ossir.org Subject: subscribe resist Prénom Nom


A l’initiative de Midi-Pyrénées, Madeeli et du Conseil Régional, administrativement rattaché à DigitalPlace et Aerospace Valley, PRISSM (Think Tank dédié à la Cybersécurité ) a vu le jour en avril 2014.

  • A l’initiative de Midi-Pyrénées, Madeeli et du Conseil Régional, administrativement rattaché à DigitalPlace et Aerospace Valley, PRISSM (Think Tank dédié à la Cybersécurité ) a vu le jour en avril 2014.

  • PRISSM réunit tous les professionnels & décideurs, les clubs/associations de la cyber-sécurité de la région Sud. 60 entreprises régionales sont impliquées dans PRISSM.

  • Son objectif est de « Développer le marché et la présence des acteurs régionaux, leur visibilité et mettre leur croissance au service de la création d'emplois et de richesses »

  • Les membres permanents du cluster sont :

    • Coordination : Jean-Nicolas Piotrowski (ITrust)
    • Membres permanents du Comité de Pilotage : Didier Bosque et Bertrand Hasnier (Sopra Steria Groupe), Dominique Turpin (Great-X), Caroline De Rubiana-Duhaillier (Digitam – Commission cybersécurité de la Mêlée), Abdelmalek Benzekri (IRIT), Simon Bretin, Franck Lepecq (Aerospace Valley), Jerôme Maurel (Madeeli), Fredéric Lenfant et Thierry Mirouze (Sogeti), Jacques Sudres (CS SI)
  • 4 Ateliers : Cartographie des compétences, identification des besoins, amélioration de la sécurité des entreprises, formation à la SSI

  • Reprise de la journée Cyber@hack (auparavant organisée par l’Epitech et iTrust)



Réseau Thématique de Recherche Avancée

  • Réseau Thématique de Recherche Avancée

  • Créé par la loi de programme pour la recherche de 2006

  • Objectif : assembler, sur un thème donné, une masse critique de chercheurs de très haut niveau, autour d'un noyau dur d'unités de recherche géographiquement proches, afin d'être compétitif avec les meilleurs centres de recherche au niveau mondial.

  • 13 RTRA au niveau national. La partie SSI fait partie de la Fondation Sciences et technologies pour l'aéronautique et l'espace (STAE), et plus particulièrement la chantier Sécurité et Vie Privé (SVP).

  • Public : Chercheurs, enseignants et tous ceux intéressés par les synergies Recherche Industrie



Agence Nationale de la SSI

  • Agence Nationale de la SSI

  • Autorité nationale chargée d’assurer la sécurité des systèmes d’information de l’État et de contribuer à celle des opérateurs nationaux d’importance vitale (OIV). Trois grandes missions :

    • Prévention de la menace par la réglementation, l’étude et l’anticipation des modes d’attaques, la définition de mesures de protection, l’assistance des administrations et des entreprises sensibles, et la certification/qualification de produits et services de confiance ;
    • Défense des systèmes d’information par la détection de failles et d’incidents et la réaction au plus tôt en cas de cyber-attaque ;
    • Information et sensibilisation des différents publics sur la nécessaire protection des environnements numériques par la promotion de bonnes pratiques de cybersécurité et la diffusion de recommandations techniques et méthodologiques tout en participant au développement de la formation à la sécurité des systèmes d’information.
  • S’est dotée d’un dispositif d’action visant à soutenir le tissu économique et les institutions à l’échelle régionale (présence à Toulouse pour l’Occitanie)



Association Française des Correspondants à la protection des Données à caractère Personnel

  • Association Française des Correspondants à la protection des Données à caractère Personnel

  • Objet de l’AFCDP :

    • développer une réflexion quant au statut et aux missions des correspondants à la protection des données personnelles
    • favoriser la concertation avec les entreprises et les pouvoirs
    • participer à toutes initiatives relatives à la protection des données personnelles
    • assurer une veille (technique, juridique, managériale, ...) sur les enjeux relatifs à la protection des données personnelles
    • informer et de sensibiliser sur les missions des correspondants à la protection des données personnelles
    • favoriser les relations avec la Commission Nationale de l’Informatique et des Libertés formuler des recommandations et des avis aux autorités publiques et aux acteurs de la protection des données personnelles ; 
  • Sur Toulouse :

    • Groupe régional GTR-SOP animé par Gilles Trouessin


Créé par iBP fin 2016 => en cours de mise en place

  • Créé par iBP fin 2016 => en cours de mise en place

  • Objectif : créer un cluster d’innovation en sécurité digitale :

    • En fédérant tous les acteurs privés / publics autour d’une vision commune sur les besoins / usages en matière de cybersécurité
    • En créant un lieu de vie, d’échange et de partage de l’innovation avec un accès direct à cette vision et aux expertises qui la portent et peuvent la servir
    • En construisant un écosystème de proximité réunissant tous les savoir-faire et les outils clés pour concrétiser une idée & industrialiser une solution
  • Organisation pressentie :

    • Des «utilisateurs», grands groupes, disposés à échanger sur leurs problématiques de cybersécurité
    • Des «makers» de l’innovation et/ou la cybersécurité, intéressés par une démarche de co-construction durable et sur des sujets concrets
    • Des sponsors publics régionaux/nationaux objectivés sur le développement économique et sa sécurisation, en recherche d’outils accélérant leur travail de terrain


Touléco (quotidien régional de l ’économie) : Rencontres cybersécurité du grand sud (hôtel de région) , orientées décideurs

  • Touléco (quotidien régional de l ’économie) : Rencontres cybersécurité du grand sud (hôtel de région) , orientées décideurs

  • INSA/LAAS/CNRS : Journées Nouvelles Avancées en Sécurité des Systèmes d'Information (4ème édition prévue le 25 janvier), s'adresse à la fois aux étudiants de la spécialité Sécurité Informatique de Toulouse Ingénierie (TLS-SEC) , co-portée par l'N7, l'INSA et l'ENAC, et à tout public industriel et académique concerné par les problèmes de sécurité informatique.

  • Colloque Cyberdéfense : Une fois par an, organisé par la Direction Zonale du Renseignement et de la Sécurité de la Défense (ex DPSD) rassemble les acteurs de la sécurité de Défense, les OIV, les entreprises soumises à la PPST…

  • Toulouse Hacking Convention, organisée par TLS-SEC (ENSEEIHT, ENAC, INSA) , s’adresse aux professionnels, chercheurs et hackers.

  • Cyber@hack, anciennement organisée par l’Epitech et iTrust, maintenant par PRISSM, s’adresse aux étudiants, aux professionnels et aux hackers



Point sur l'évolution des normes (Claire Albouy-Cossard, CNAMTS)

  • Point sur l'évolution des normes (Claire Albouy-Cossard, CNAMTS)

  • Retour d’expérience sur la cartographie des risques (Pierre Forget – Thalès) => Reporté

  • Inventaire des clubs, groupes et manifestations SSI en région

  • A.8 : Gestion des actifs

    • A.8.2 Classification de l’Information
      • A.8.2.1 Classification des informations
      • A.8.2.2 Marquage des informations
      • A.8.2.3 Manipulation des actifs
  • Points divers :

    • Tour de table sur référentiel sécurité (volume, organisation…)
    • Prochaines dates


Mesure : Il convient de classer les informations en termes de valeur, d’exigences légales, de sensibilité ou de leur caractère critique pour l’entreprise

  • Mesure : Il convient de classer les informations en termes de valeur, d’exigences légales, de sensibilité ou de leur caractère critique pour l’entreprise

    • Préconisation de mise en œuvre : Il convient que la classification soit intégrée aux processus de l’organisation. Il convient que les résultats de la classification traduisent la valeur des actifs en fonction de leur sensibilité et de leur caractère critique… Il convient que les résultats…soient mis à jour … tout au long de leur cycle de vie
  • Avez-vous classé vos informations

    • Bien sûr : Je fais des piles en fonction de l’urgence.
    • J’ai un coffre ou je mets tout ce qui est sensible
    • Il y a une politique, mais personne ne la suit
    • Oui, chaque propriétaire d’actif lui attribue une classification et c’est revu tous les ans


Mesure : Il convient d’élaborer et de mettre en œuvre un ensemble approprié de procédures pour le marquage de l’information conformément au plan de classification

  • Mesure : Il convient d’élaborer et de mettre en œuvre un ensemble approprié de procédures pour le marquage de l’information conformément au plan de classification

    • Préconisation de mise en œuvre : Les procédures de marquage doivent s’appliquer à l’information et aux actifs associés présentés sous un format physique ou électronique.
  • Comment marquez vous l’information?

    • J’ai un répertoire « sensible » sur le PC, et j’y mets tout.
    • On met un « disclaimer » en bas de page pour indiquer que ça ne doit pas être reproduit
    • Notre secrétaire a un tampon « Sensible » qu’elle met partout.
    • On a des modèles de doc avec les différents marquages


Mesure : Il convient d’élaborer et de mettre en œuvre des procédures de traitement des actifs conformément au plan de classification

  • Mesure : Il convient d’élaborer et de mettre en œuvre des procédures de traitement des actifs conformément au plan de classification

    • Préconisation de mise en œuvre : Il convient de rédiger des procédures spécifiant comment manipuler, traiter, stocker et communiquer l’information en fonction de sa classification.
  • Avez-vous des procédures de manipulation?

    • Oui, c’est le secrétariat qui s’en occupe, mais je ne sais pas comment
    • On a une plate-forme d’échange sécurisée
    • Tous nos PC sont chiffrés, pas besoin de procédure
    • Nous avons des espaces dédiés pour chaque niveau de classification, les documents papiers sont marqués, les copies sont enregistrées avec la liste des destinataires, l’ANSSI prend exemple sur nous.


Point sur l'évolution des normes (Claire Albouy-Cossard, CNAMTS)

  • Point sur l'évolution des normes (Claire Albouy-Cossard, CNAMTS)

  • Retour d’expérience sur la cartographie des risques (Pierre Forget – Thalès) => Reporté

  • Inventaire des clubs, groupes et manifestations SSI en région

  • A.8 : Gestion des actifs

    • A.8.2 Classification de l’Information
      • A.8.2.1 Classification des informations
      • A.8.2.2 Marquage des informations
      • A.8.2.3 Manipulation des actifs
  • Points divers :

    • Tour de table sur référentiel sécurité (volume, organisation…)
    • Prochaines dates


  • Vendredi 24 ou 17 mars (vacances de Pâques ensuite)

    • Lieu : ???
    • Sujets
      • Positionnement de 27001 vis-à-vis d'autres référentiels tels que RGS, PCI-DSS, ISAE3402, HDS…
      • Adéquation ou pas des standards actuels de la sécurité (27001 en particulier), alors qu'ils sont loin d'être matures en termes d'implémentation, face aux évolutions des modèles informatiques (Méthodes Agile, DevOps, Cloud Computing, BYOD, ...)
      • Sécurité des objets connectés
      • Comparaison des méthodes d'analyse de risques



Yüklə 445 b.

Dostları ilə paylaş:




Verilənlər bazası müəlliflik hüququ ilə müdafiə olunur ©muhaz.org 2022
rəhbərliyinə müraciət

    Ana səhifə