Infos SSL et sécurité réseaux

Archive mensuelles: juillet 2017

Appel à commentaires : Intégrer la sécurité numérique dans une démarche Agile

Dans le cycle de vie d’un système d’information, c’est dès le stade du projet, souvent développés selon une démarche Agile, que la sécurité se joue. L’approche Agile est une méthode de pilotage et de réalisation de projets qui se caractérise par un mode de développement :

  • à la fois itératif, incrémental et adaptatif, où le système se construit dans le temps au travers d’étapes de développements successives (« sprints ») ;
  • intégré, la conception (« built ») et la mise en production (« run ») étant regroupées à chaque « sprint ».

Les enjeux de management des risques numériques et d’homologation de sécurité doivent s’intégrer dans ce schéma, sans concession, au même titre que pour les systèmes développés selon un cycle en V.

 

Un guide de la sécurité pour la démarche Agile

Le guide « Intégrer la sécurité numérique dans une démarche Agile » a pour vocation d’aider les organismes publics et privés à intégrer la sécurité numérique dans un projet Agile, particulièrement dans le cadre d’une démarche d’homologation de sécurité.

Coproduit par l’Agence nationale de la sécurité des systèmes d’information (ANSSI) et la Direction interministérielle du numérique et des systèmes d’information et de communication (DINSIC), il propose une approche simple et pratique, adaptée au mode de développement Agile, pour analyser et traiter les risques numériques, construire une politique de sécurité du système et conduire une homologation.

Ce document s’accompagne d’un guide annexe qui présente les outils méthodologiques et les bases de connaissances nécessaires.

 

Un outil pour toutes les organisations

Le guide est utilisable par toute organisation, quelles que soient sa nature et sa taille.

Ce guide s’adresse plus particulièrement :

  • aux maîtrises d’ouvrage et aux maîtrises d’œuvre ;
  • aux chefs de projets SI ;
  • aux responsables de la sécurité des systèmes d’information (RSSI) ;
  • aux concepteurs, développeurs, exploitants de produits informatiques ;
  • aux producteurs et exploitants de services publics et privés ;
  • à la communauté Agile d’une façon générale.

 

Le guide « Intégrer la sécurité numérique dans une démarche Agile » est aujourd’hui soumis à commentaires.

Nous vous invitons à nous faire part de vos retours avant le 15 septembre via la plateforme de la DINSIC.

 

 

 

 

Powered by WPeMatico

Un an après l’entrée en application du règlement eIDAS, où en sommes-nous ?

europe_log2oLe règlement européen eIDAS est consacré à l’identification électronique et aux services de confiance.

L’ANSSI, désignée comme organe de contrôle par les autorités françaises, est désormais responsable de la supervision des prestataires de services de confiance, et en particulier de l’attribut du statut qualifié aux prestataires respectant les exigences spécifiées dans le règlement.

Le 1er juillet 2017 marquait la date d’expiration du délai de transition prévu par le règlement pour les prestataires qualifiés au titre de l’ancienne directive. Depuis, l’ensemble des prestataires de services de confiance qualifiés en France ont l’obligation, pour poursuivre leurs activités, de transmettre à l’ANSSI un rapport attestant leur conformité aux nouvelles exigences qui leur sont applicables.

 

 

Coordination et harmonisation européenne

Un an après l’entrée en application du règlement, deux organismes européens ont souhaité en établir un premier bilan. L’ANSSI a répondu présente pour partager son retour d’expérience.

etsi_logoL’ETSI (European Technical Standard Institute) organisme européen de standardisation, organisait du 12 au 16 juin à Sophia Antipolis, sa « semaine de la sécurité 2017 ».

Dans ce cadre, Romain Santini, chef de projet eIDAS à l’ANSSI et président de l’association FESA (Forum of European Supervisory Authorities for Trust Service Providers), a pu participer à deux tables tondes : «  Retours d’expérience d’organismes d’évaluation de la conformité, d’organismes nationaux d’accréditation et d’organes de contrôle », et « supervision et schémas d’audit pour les services d’envoi recommandé électroniques ». L’occasion de rappeler le besoin d’harmonisation des règles au niveau européen, passant par la définition de standards techniques appropriés et l’adoption de la législation secondaire prévue par le règlement.

 

enisa_logoL’ENISA, l’agence européenne chargée de la sécurité de l’information et des réseaux, organisait également, le 29 juin, le forum des prestataires de services de confiance. L’ANSSI a pu partager son expérience en participant à la table ronde « Un an après l’application du règlement – où en sommes-nous ? », en faisant la rétrospective des travaux menés en France sur l’année écoulée tout en rappelant l’enjeu d’une harmonisation des pratiques de l’ensemble des organes de contrôle désignés dans l’Union européenne.

 

 

eIDAS demain ?

Le règlement eIDAS vise en outre à instaurer un mécanisme de reconnaissance mutuelle des schémas d’identification électronique notifiés à la Commission européenne par les États membres pour l’accès aux services en ligne offerts par les organismes du secteur public des autres États membres. C’est en septembre 2018 que cette reconnaissance des schémas d’identification électronique deviendra obligatoire dans toute l’union.

 
frise_temporelle_eidas_2016-2018

 

Powered by WPeMatico

Rencontres Cybersécurité et Territoires les 6 et 7 juillet en Occitanie

L’ANSSI participera à la 3ème édition “Cybersécurité et Territoires” afin de rencontrer et de sensibiliser les visiteurs aux risques liés à l’usage de l’informatique et faire connaître les bonnes pratiques pour la sécurité du numérique.

Quel que soit leur envergure, les entreprises qui composent le tissu économique régional et les collectivités territoriales ne sont plus épargnées par la menace cyber. Pour les accompagner, l’ANSSI intervient au plus près des acteurs locaux et favorise la publication de guides pratiques et techniques à dispositions de la diversité des acteurs et de leurs besoins.

 

Au programme : des interventions d’experts, des démonstrations et des ateliers rythmeront ces deux journées

Cet événement permettra notamment à Yves Jussot, référent territorial ANSSI pour la région Occitanie, de revenir en détail sur les principales préconisations de l’ANSSI en matière de sécurité du numérique. Des précautions élémentaires facilement applicables, présentées notamment dans le guide des bonnes pratiques de l’informatique à l’usage des TPE et PME (corédigé par l’ANSSI et la CPME) et dans le nouveau guide d’hygiène informatique. L’occasion également de revenir sur le nouveau guide indispensable pour la rédaction d’une Charte d’utilisation des moyens informatiques et des outils numériques et sur la mise en place à venir en région Occitanie de la plate-forme d’assistance aux victimes d’actes de cyber malveillance : cybermalveillance.gouv.fr.

Toutes les bonnes pratiques pour la sécurité des entreprises

Inscriptions et programme de l’évènement

 

Powered by WPeMatico