Pour un éco­sys­tème de confiance

IT for Business - - ACTUALITÉS - PIERRE LAN­DRY

Ebios Risk Ma­na­ger, opé­ra­teurs de ser­vices es­sen­tiels, ré­fé­ren­tiel de pres­ta­taires d’in­fo­gé­rance cer­ti­fiés : l’agence na­tio­nale de la sé­cu­ri­té des sys­tèmes d’in­for­ma­tion avance tous azi­muts pour que les en­tre­prises prennent mieux en compte les risques nu­mé­riques.

Il est urgent de consi­dé­rer le risque nu­mé­rique au même rang que les autres risques. C’est en sub­stance le mes­sage que Guillaume Pou­pard, di­rec­teur de l’ans­si, a rap­pe­lé à l’oc­ca­sion des As­sises de la Sé­cu­ri­té qui se te­naient le mois der­nier à Mo­na­co. L’ob­jec­tif est que le RSSI ne soit plus seul à la tâche, ne prêche plus dans le dé­sert et ne serve pas de bouc émis­saire alors même que la ma­tu­ri­té des en­tre­prises sur la sé­cu­ri­té ne pro­gresse pas. Les mé­tiers, no­tam­ment, doivent se sen­tir concer­nés, comme ils le sont pour d’autres types de risques. Au-de­là du mes­sage, le di­rec­teur de l’ans­si n’ar­rive pas les mains vides. Mé­thode créée par l’ans­si dès 1995, Ebios (Ex­pres­sion des be­soins et iden­ti­fi­ca­tion des ob­jec­tifs de sé­cu­ri­té) se voit dé­sor­mais ou­tillée avec un Ebios Risk Ma­na­ger plus ac­ces­sible aux non spé­cia­listes, qui de­vrait per­mettre aux dif­fé­rentes per­sonnes concer­nées au sein du Co­dir de par­ler le même lan­gage et de construire en­semble une stra­té­gie ef­fi­cace de pro­tec­tion.

Au ni­veau na­tio­nal, au-de­là des opé­ra­teurs d’im­por­tance vi­tale (OIV), de nou­veaux ac­teurs vont être clas­si­fiés opé­ra­teurs de ser­vices es­sen­tiels (OSE) et de­voir se confor­mer à la di­rec­tive eu­ro­péenne NIS (Net­work and In­for­ma­tion Se­cu­ri­ty) de si­gna­le­ment des in­ci­dents de sé­cu­ri­té. Un pre­mière liste se­ra pu­bliée au mois de no­vembre.

Le di­rec­teur de l’ans­si a par ailleurs an­non­cé la cons­ti­tu­tion d’un nou­veau ré­fé­ren­tiel, PAMS (pres­ta­taires d’ad­mi­nis­tra­tion et de main­te­nance sé­cu­ri­sées), ve­nant com­plé­ter une liste de ré­fé­ren­tiels pour cer­tains tou­jours en cours d’éla­bo­ra­tion : PASSI (au­dit de la sé­cu­ri­té des sys­tèmes d’in­for­ma­tion), le plus four­ni ; PDIS (dé­tec­tion d’in­ci­dents de sé­cu­ri­té), dont les pre­mières cer­ti­fi­ca­tions se­ront an­non­cées dé­but 2019 ; ou en­core PSHE (ser­vices d’ho­ro­da­tage élec­tro­nique), PRIS (ré­ponse aux in­ci­dents de sé­cu­ri­té), etc. S’in­té­res­ser aux PAMS (en clair, les in­fo­gé­reurs) se jus­ti­fie par le fait qu’ils dis­posent de droits d’ac­cès éle­vés aux sys­tèmes - y com­pris in­dus­triels - et de­viennent par là-même des cibles pri­vi­lé­giées pour les at­ta­quants.

Ces pro­ces­sus de cer­ti­fi­ca­tion sont coû­teux, mais utiles pour éta­blir un éco­sys­tème de la confiance que les en­tre­prises ne man­que­ront pas de re­cher­cher.

Newspapers in French

Newspapers from France

© PressReader. All rights reserved.