mais aussi - hts-expert.com · pci-dss 3.0 une évolution mais pas une révolution page 8 le salon...
TRANSCRIPT
O c t o b r e - N o v e m b r e - D é c e m b r e 2 0 1 3
M a i s a u s s i
L ’ a c t u d e s e x p e r t s
P C I - D S S 3 . 0U n e é v o l u ti o nm a i s p a s u n e r é v o l u ti o np a g e 8
L e S a l o nC A R T E S 2 0 1 3d u 1 9 a u 2 1 n o v e m b r e à P a r i sp a g e 7
L’e - l e a r n i n g s u rl e S M S I E x c l u s i v i t é H T Sp a g e 2 e t 3
02
LA SÉCURITÉDANS LE CLOUD
Conférence, formation et solutionP a g e s 4 , 5 e t 6
DOSSIER
MODULE N°1 : NOTIONS DE SYSTÈME DE MANAGEMENT DE LA SÉCURITÉ DE L'INFORMATIONLe Système de Management de la Sécurité de l'Information est un projet d'envergure et complexe: il est nécessaire d'en comprendre l'utilité et les avantages que peuvent en tirer chaque service avant de se lancer dans la conception d'un tel système de management.
MODULE N°2 : LA FAMILLE ISO/CEI 27000L'Organisation Internationale de Normalisation a créé une série de normes en collaboration avec le CEI afin de cadrer et détailler les différents processus organisationnels et techniques en termes de sécurité de l’information : des définitions du langage propre à ces normes, à la mise en œuvre du SMSI, ou encore à l’audit de ces systèmes de management, chaque norme a son utilité et est expliquée dans ce module.
MODULE N°3 : LA NORME ISO 27001La norme ISO 27001 formalise et spécifie les exigences en terme de Système de Management de la Sécurité de l'Information: Il est primordial de connaitre cette norme dans les moindres détails pour auditer ou implémenter un SMSI conforme à la présente norme.
Le parcours initial est composé de 6 modules de 20 minutes environ, soit approximativement 2 H de cours.
LES MODULES E-LEARNING SUR LE SMSI
1
2
3
MODULE N°4 : LES DOCUMENTS CLÉ D'UN SMSIPolitique du SMSI, PSSI, appréciation des risques ou encore déclaration d'applicabilité sont des documents fondamentaux quand un organisme tend à instaurer une politique et des procédures en terme de sécurité de l'information. Ce module détaille les attentes de la norme ISO/CEI 27001 en terme de documents nécessaires à la conformité du SMSI.
4
MODULE N°5 : NOTIONS DE MISE EN ŒUVRE D'UN SMSIRéaliser une analyse des écarts entre la norme et l’état actuel de l’organisme, définir des indicateurs de performance ou encore mettre en œuvre une gestion documentaire sont des éléments exigés par la norme ISO/CEI 27001. Ces différents processus sont introduits dans ce module afin de permettre une première compréhension globale du SMSI.
5
MODULE N°6 : NOTIONS TECHNIQUES INDISPENSABLES POUR UN SMSIDMZ, chiffrement, journaux de logs, ou encore VLAN: Parce que nombreux sont nos apprenants avec un background technique variable, ce module permet de se familiariser avec des notions qui peuvent sembler simples, mais essentielles, à l'audit ou l'implémentation d'un SMSI conforme et fonctionnel lors de contrôles de sécurité.
6
AGENDA & INFOPARCOURS E-LEARNING AVEC HTS
ÉTAPE SUIVANTE
PRÉSENTATION DE LA CARTE BANCAIREMODULE 12 CG 1-1 DESCRIPTION GÉNÉRALE DE LA CARTE BANCAIRE À PUCE
ÉTAPE SUIVANTE
1MOIS AVANTLA FORMATION
3
VOTRE PARCOURS E-LEARNINGen complément de la formation présentiel le
EXCLUSIVITÉ HTS
FORMATIONSCERTIFIANTESLSTI
ACTU
Une exclusivité HTS
RETROUVEZ TOUTES LES FORMATIONSHTS SUR NOTRE SITE WEB :
www.hts-expert.com
POURQUOI L’E-LEARNING?Dans le cadre des formations certifiantes, il est prévu un minimum de 20 à 40 heures de cours en présentiel selon le type de formation. L’examen LSTI est systématiquement organisé immédiatement en fin de session, ce qui concentre l’apprentissage sur seulement quelques jours. Fort de ce constat, les experts d’HTS ont imaginé une solution e-learning qui permettrait aux stagiaires de se familiariser avec le sujet
du Système de Management de la Sécurité de l’Information, en amont du stage habituel. Ces derniers disposent donc d’une approche ludique et interactive du SMSI, disponible un mois avant la formation, leur permettant d’appréhender les cours et l’examen dans des conditions plus confortables.
2
L’E-LEARNING SMSI
SMSI : Système de Management de la Sécurité de l’Information tel qu’il estd’écrit dans la norme ISO/CEI 27001
MODULE N°1 : NOTIONS DE SYSTÈME DE MANAGEMENT DE LA SÉCURITÉ DE L'INFORMATIONLe Système de Management de la Sécurité de l'Information est un projet d'envergure et complexe: il est nécessaire d'en comprendre l'utilité et les avantages que peuvent en tirer chaque service avant de se lancer dans la conception d'un tel système de management.
MODULE N°2 : LA FAMILLE ISO/CEI 27000L'Organisation Internationale de Normalisation a créé une série de normes en collaboration avec le CEI afin de cadrer et détailler les différents processus organisationnels et techniques en termes de sécurité de l’information : des définitions du langage propre à ces normes, à la mise en œuvre du SMSI, ou encore à l’audit de ces systèmes de management, chaque norme a son utilité et est expliquée dans ce module.
MODULE N°3 : LA NORME ISO 27001La norme ISO 27001 formalise et spécifie les exigences en terme de Système de Management de la Sécurité de l'Information: Il est primordial de connaitre cette norme dans les moindres détails pour auditer ou implémenter un SMSI conforme à la présente norme.
Le parcours initial est composé de 6 modules de 20 minutes environ, soit approximativement 2 H de cours.
LES MODULES E-LEARNING SUR LE SMSI
1
2
3
MODULE N°4 : LES DOCUMENTS CLÉ D'UN SMSIPolitique du SMSI, PSSI, appréciation des risques ou encore déclaration d'applicabilité sont des documents fondamentaux quand un organisme tend à instaurer une politique et des procédures en terme de sécurité de l'information. Ce module détaille les attentes de la norme ISO/CEI 27001 en terme de documents nécessaires à la conformité du SMSI.
4
MODULE N°5 : NOTIONS DE MISE EN ŒUVRE D'UN SMSIRéaliser une analyse des écarts entre la norme et l’état actuel de l’organisme, définir des indicateurs de performance ou encore mettre en œuvre une gestion documentaire sont des éléments exigés par la norme ISO/CEI 27001. Ces différents processus sont introduits dans ce module afin de permettre une première compréhension globale du SMSI.
5
MODULE N°6 : NOTIONS TECHNIQUES INDISPENSABLES POUR UN SMSIDMZ, chiffrement, journaux de logs, ou encore VLAN: Parce que nombreux sont nos apprenants avec un background technique variable, ce module permet de se familiariser avec des notions qui peuvent sembler simples, mais essentielles, à l'audit ou l'implémentation d'un SMSI conforme et fonctionnel lors de contrôles de sécurité.
6
AGENDA & INFOPARCOURS E-LEARNING AVEC HTS
ÉTAPE SUIVANTE
PRÉSENTATION DE LA CARTE BANCAIREMODULE 12 CG 1-1 DESCRIPTION GÉNÉRALE DE LA CARTE BANCAIRE À PUCE
ÉTAPE SUIVANTE
1MOIS AVANTLA FORMATION
3
VOTRE PARCOURS E-LEARNINGen complément de la formation présentiel le
EXCLUSIVITÉ HTS
FORMATIONSCERTIFIANTESLSTI
ACTU
Une exclusivité HTS
RETROUVEZ TOUTES LES FORMATIONSHTS SUR NOTRE SITE WEB :
www.hts-expert.com
POURQUOI L’E-LEARNING?Dans le cadre des formations certifiantes, il est prévu un minimum de 20 à 40 heures de cours en présentiel selon le type de formation. L’examen LSTI est systématiquement organisé immédiatement en fin de session, ce qui concentre l’apprentissage sur seulement quelques jours. Fort de ce constat, les experts d’HTS ont imaginé une solution e-learning qui permettrait aux stagiaires de se familiariser avec le sujet
du Système de Management de la Sécurité de l’Information, en amont du stage habituel. Ces derniers disposent donc d’une approche ludique et interactive du SMSI, disponible un mois avant la formation, leur permettant d’appréhender les cours et l’examen dans des conditions plus confortables.
2
L’E-LEARNING SMSI
SMSI : Système de Management de la Sécurité de l’Information tel qu’il estd’écrit dans la norme ISO/CEI 27001
Conférence sécurité du Cloud et protection des donnéesLes technologies intelligentes sont de plus en plus présentes dans notre vie de tous les jours. Elles ont apporté des changements considérables dans la façon dont les organisations et les consommateurs interagissent.
Qu’il s’agisse de nouvelles stratégies de croissance, d’innovations, des dernières tendances, vous obtiendrez de nouveaux éclairages sur les stratégies clé du domaine en assistant à la 28ème Conférence CARTES Secure Connexions le mardi 19 novembre 2013 au salon CARTE à Paris (cf. page 7)
Formation HTS « Sécurité du Cloud Computing »La formation a pour objectif de faire connaître l’ensemble des risques liés au cloud computing, d’analyser ces risques afin de les hiérarchiser, et enfin de donner aux stagiaires des solutions de sécurisation et des bonnes pratiques. A l’issue de la formation, les stagiaires auront les éléments pour choisir, utiliser, ou proposer une solution de cloud computing sécurisée. La méthode pédagogique retenue consiste à commencer par aborder les sujets les plus
techniques, afin de poser les bases du cloud computing, puis à prendre, au fil de la formation, de plus en plus de recul. Les sujets de sécurité organisationnelle sont ainsi traités à la suite des sujets techniques, pour enfin terminer sur les thèmes juridiques. Chaque thème est présenté par un consultant spécialiste du sujet. De nombreux exercices, permettant de mettre en pratique les connaissances, sont proposés aux stagiaires tout au long de la formation.
54
DOSSIER
14:0014:30
16:0016:30
16:3017:00
14:3015:00
15:0015:30
15:3016:00
PROTECTION DES DONNÉES PERSONNELLES DANS LE "CLOUD": UTILISER LES CONTRATS COMME OUTILS DE GESTION Mme Bénédicte DELEPORTE - Avocat - Deleporte Wentz Avocat, France
SÉCURITÉ DANS LE CLOUD : RÈGLES ET BONNES PRATIQUES M. Patrick DUBOYS - Directeur Grands Comptes - SSL-Europa, France
SÉCURITÉ DANS LE CLOUD DANS UN CONTEXTE DE CYBER MENACES M. Michael OSBORNE - Directeur du Groupe de Recherche Sécurité et Protection de la Vie Privée IBM Research, Suisse
MESSAGERIE SÉCURISÉE DANS LE CLOUD Mme Silke KRUEGER - Responsable Marketing - Giesecke & Devrient, Allemagne
UN TOKEN PERSONNEL POUR UN ACCÈS SÉCURISÉ À DES SERVICES "CLOUD" M. Carsten RUST - Directeur des Projets de R&D - Morpho, Allemagne
FORMATION HTSSÉCURITÉ DU CLOUD COMPUTING
À PARIS
Sécurité des Systèmes d’information
Monétique
Expertise Judiciaire
Sécurité Physique
4 pôles de compétencescomplémentaires
EchangeTransactionnels
ExpertiseJudiciaires
Personnes &Patrimoines
login Mot de pass
Qui sommes nous ?Accueil Formation ContactNos offres
Accueil
Qui somme nous?
High Tech Security
Présentation
Les dirigeants
Nos partenaires
Nos OffresAudit
Conseil
Certification PCI-DSS
Formation
FormationAgenda des formations
Actualités ContactActualités hts High Tech Security
Campus Effiscience8 rue Léopold Sédar Senghor14460 Colombelles
Tél . +33(0)2 14 74 70 20Fax . +33(0)2 14 74 70 20
inscription à la newsletter
Nous suivre
Certifiantes
Qualifiantes
E-learning
Le Groupe HTS se positionne comme l'interlocuteur de référence des prestations liées à la sécurité du Système d'Information des entreprises et des collectivités locales...
En Savoir +
Systémesd’informations
Actualités
Rendez-vous sur l’agenda des formations : www.hts-expert.com
LA SÉCURITÉ DANS LE CLOUD
Sources : fr.cartes.com
Conférence sécurité du Cloud et protection des donnéesLes technologies intelligentes sont de plus en plus présentes dans notre vie de tous les jours. Elles ont apporté des changements considérables dans la façon dont les organisations et les consommateurs interagissent.
Qu’il s’agisse de nouvelles stratégies de croissance, d’innovations, des dernières tendances, vous obtiendrez de nouveaux éclairages sur les stratégies clé du domaine en assistant à la 28ème Conférence CARTES Secure Connexions le mardi 19 novembre 2013 au salon CARTE à Paris (cf. page 7)
Formation HTS « Sécurité du Cloud Computing »La formation a pour objectif de faire connaître l’ensemble des risques liés au cloud computing, d’analyser ces risques afin de les hiérarchiser, et enfin de donner aux stagiaires des solutions de sécurisation et des bonnes pratiques. A l’issue de la formation, les stagiaires auront les éléments pour choisir, utiliser, ou proposer une solution de cloud computing sécurisée. La méthode pédagogique retenue consiste à commencer par aborder les sujets les plus
techniques, afin de poser les bases du cloud computing, puis à prendre, au fil de la formation, de plus en plus de recul. Les sujets de sécurité organisationnelle sont ainsi traités à la suite des sujets techniques, pour enfin terminer sur les thèmes juridiques. Chaque thème est présenté par un consultant spécialiste du sujet. De nombreux exercices, permettant de mettre en pratique les connaissances, sont proposés aux stagiaires tout au long de la formation.
54
DOSSIER
14:0014:30
16:0016:30
16:3017:00
14:3015:00
15:0015:30
15:3016:00
PROTECTION DES DONNÉES PERSONNELLES DANS LE "CLOUD": UTILISER LES CONTRATS COMME OUTILS DE GESTION Mme Bénédicte DELEPORTE - Avocat - Deleporte Wentz Avocat, France
SÉCURITÉ DANS LE CLOUD : RÈGLES ET BONNES PRATIQUES M. Patrick DUBOYS - Directeur Grands Comptes - SSL-Europa, France
SÉCURITÉ DANS LE CLOUD DANS UN CONTEXTE DE CYBER MENACES M. Michael OSBORNE - Directeur du Groupe de Recherche Sécurité et Protection de la Vie Privée IBM Research, Suisse
MESSAGERIE SÉCURISÉE DANS LE CLOUD Mme Silke KRUEGER - Responsable Marketing - Giesecke & Devrient, Allemagne
UN TOKEN PERSONNEL POUR UN ACCÈS SÉCURISÉ À DES SERVICES "CLOUD" M. Carsten RUST - Directeur des Projets de R&D - Morpho, Allemagne
FORMATION HTSSÉCURITÉ DU CLOUD COMPUTING
À PARIS
Sécurité des Systèmes d’information
Monétique
Expertise Judiciaire
Sécurité Physique
4 pôles de compétencescomplémentaires
EchangeTransactionnels
ExpertiseJudiciaires
Personnes &Patrimoines
login Mot de pass
Qui sommes nous ?Accueil Formation ContactNos offres
Accueil
Qui somme nous?
High Tech Security
Présentation
Les dirigeants
Nos partenaires
Nos OffresAudit
Conseil
Certification PCI-DSS
Formation
FormationAgenda des formations
Actualités ContactActualités hts High Tech Security
Campus Effiscience8 rue Léopold Sédar Senghor14460 Colombelles
Tél . +33(0)2 14 74 70 20Fax . +33(0)2 14 74 70 20
inscription à la newsletter
Nous suivre
Certifiantes
Qualifiantes
E-learning
Le Groupe HTS se positionne comme l'interlocuteur de référence des prestations liées à la sécurité du Système d'Information des entreprises et des collectivités locales...
En Savoir +
Systémesd’informations
Actualités
Rendez-vous sur l’agenda des formations : www.hts-expert.com
LA SÉCURITÉ DANS LE CLOUD
Sources : fr.cartes.com
6
À LA UNE
SALON CARTESECURE CONNEXIONS EVENT 2013
Solutions sécurisées pour le paiement, identi�cation et mobilité
Quels sont les avantages des solutions Cloud REX ROTARY ?
Qu’entendez-vous par Cloud Hybride ?
Vincent ANQUETILResponsable Consultant
Tél : 02 31 52 50 30 Port : 06 32 54 14 88Mail : [email protected]
CARTES, Secure Connexions Event 2013 est l’événement complet (salon, conférences, trophées) dédié entièrement aux Solutions Sécurisées pour le Paiement, l'Identification et la Mobilité. En intégrant toute sa chaîne de valeur, CARTES Secure Connexions est le seul événement permettant des synergies globales à un niveau humain et technologique, qui vous permettent de conclure des affaires et des partenariats.
Le Brésil a été désigné comme pays invité d'honneur pour le Salon CARTES Secure Connexions 2013, pour mettre l'accent sur le dévelop-pement des smart technologies dans le pays, une conférence présidée par Smart Card Alliance Latin America se tiendra le 21 novembre de 9h30 à 12h30 et portera sur le sujet suivant : « Building trust in mobile life», le thème principal de CARTES Secure Connexions 2013. Avant ce rendez-vous majeur pour le salon, CARTES décrit la situation actuelle des innovations dans les smart technologies au Brésil. Avec une population de plus de 180 millions d’habitants et une croissance économique durable, le Brésil offre de nombreuses opportunités pour l'industrie des cartes à puce. La demande de services à valeur ajoutée, la migration EMV, et les projets d'identification assurent la croissance du marché dans ce pays, le plus grand d’Amérique latine.
Le Brésil, Pays à l’honneur
Infos pratiques :CARTES SECURE CONNEXIONS EVENT 2013 Parc des Expositions de Paris-Nord Villepintedu 19 au 21 Novembre 2013.
Retrouvez toutes les infos sur le site web :HTTP://FR.CARTES.COM
7
Le transfert de compétences est apprécié par le client utilisa-teur, les ressources matérielles sont gérées par le prestataire externe, ce qui permet de soulager les équipes en charge du réseau ou à défaut, d’ouvrir la possibilité d’accès à certains types de services. Pour illustrer, les PME et TPE n’ont que très rarement accès à des outils de mobilité et de protection fiable des données. La gestion en interne de ce genre de possibilités implique un équipement lourd à gérer (compétences requises) et des investissements conséquents (serveur, licences TSE, …) Nos solutions de gestion de Cloud permettent un accès à l’ensemble des données de la structure en s’appuyant sur les ressources matérielles déjà en place.
Les services Cloud « classiques » sont généralement mis en place pour une volumétrie définie. L’évolution exponentielle des besoins en capacité de stockage devient un vrai défi en terme de sécurité informatique et un vrai « casse-tête » pour les équipes en charge de l’administration des réseaux. De plus, nombres de structures peuvent faire le choix de conserver les applications et données « critiques » au sein de leurs locaux afin de pallier à une défaillance du FAI. Pour répondre à ces exigences, notre gamme intègre des systèmes 100% autonomes, à volumétrie élevée. Ces solutions, lauréates du concours de l’innovation TIC 2012, se présentent sous forme
d’un serveur de document réseau, solidaire d’un caisson ignifu-gé installé dans les locaux du client. Les bénéfices sont multi-ples : disponibilité optimale, système de détection des pannes de disques durs, remontée des informations du parc informa-tique, sécurisation par encryptions au sein d’un caisson approu-vé par les services du SDIS (certificat de résistance en cas de dégât des eaux, incendie, vandalisme) .Comment se faire conseiller sur la solution la plus adaptée ? Dans le cadre du programme « transition numérique », vous pouvez-nous contacter pour établir un audit gratuit.
Nous retrouvons le même genre de problématiques sur la sécurité des données : les sauvegardes sont peu ou pas effec-tuées, des tests de restauration ne sont quasiment jamais faits, les données ne sont pas cryptées, et le processus de sauve-garde implique de manière régulière une intervention humaine. Notre large gamme REX ROTARY SECURITY nous permet de mettre en avant des solutions simples d’externalisa-tion de données jusqu’à la mise en place de Cloud privé.
LE CLOUD HYBRIDE VU PAR REX ROTARY
DOSSIER
interview de : Vincent ANQUETIL Rex Rotary Security
Sources : fr.cartes.com
6
À LA UNE
SALON CARTESECURE CONNEXIONS EVENT 2013
Solutions sécurisées pour le paiement, identi�cation et mobilité
Quels sont les avantages des solutions Cloud REX ROTARY ?
Qu’entendez-vous par Cloud Hybride ?
Vincent ANQUETILResponsable Consultant
Tél : 02 31 52 50 30 Port : 06 32 54 14 88Mail : [email protected]
CARTES, Secure Connexions Event 2013 est l’événement complet (salon, conférences, trophées) dédié entièrement aux Solutions Sécurisées pour le Paiement, l'Identification et la Mobilité. En intégrant toute sa chaîne de valeur, CARTES Secure Connexions est le seul événement permettant des synergies globales à un niveau humain et technologique, qui vous permettent de conclure des affaires et des partenariats.
Le Brésil a été désigné comme pays invité d'honneur pour le Salon CARTES Secure Connexions 2013, pour mettre l'accent sur le dévelop-pement des smart technologies dans le pays, une conférence présidée par Smart Card Alliance Latin America se tiendra le 21 novembre de 9h30 à 12h30 et portera sur le sujet suivant : « Building trust in mobile life», le thème principal de CARTES Secure Connexions 2013. Avant ce rendez-vous majeur pour le salon, CARTES décrit la situation actuelle des innovations dans les smart technologies au Brésil. Avec une population de plus de 180 millions d’habitants et une croissance économique durable, le Brésil offre de nombreuses opportunités pour l'industrie des cartes à puce. La demande de services à valeur ajoutée, la migration EMV, et les projets d'identification assurent la croissance du marché dans ce pays, le plus grand d’Amérique latine.
Le Brésil, Pays à l’honneur
Infos pratiques :CARTES SECURE CONNEXIONS EVENT 2013 Parc des Expositions de Paris-Nord Villepintedu 19 au 21 Novembre 2013.
Retrouvez toutes les infos sur le site web :HTTP://FR.CARTES.COM
7
Le transfert de compétences est apprécié par le client utilisa-teur, les ressources matérielles sont gérées par le prestataire externe, ce qui permet de soulager les équipes en charge du réseau ou à défaut, d’ouvrir la possibilité d’accès à certains types de services. Pour illustrer, les PME et TPE n’ont que très rarement accès à des outils de mobilité et de protection fiable des données. La gestion en interne de ce genre de possibilités implique un équipement lourd à gérer (compétences requises) et des investissements conséquents (serveur, licences TSE, …) Nos solutions de gestion de Cloud permettent un accès à l’ensemble des données de la structure en s’appuyant sur les ressources matérielles déjà en place.
Les services Cloud « classiques » sont généralement mis en place pour une volumétrie définie. L’évolution exponentielle des besoins en capacité de stockage devient un vrai défi en terme de sécurité informatique et un vrai « casse-tête » pour les équipes en charge de l’administration des réseaux. De plus, nombres de structures peuvent faire le choix de conserver les applications et données « critiques » au sein de leurs locaux afin de pallier à une défaillance du FAI. Pour répondre à ces exigences, notre gamme intègre des systèmes 100% autonomes, à volumétrie élevée. Ces solutions, lauréates du concours de l’innovation TIC 2012, se présentent sous forme
d’un serveur de document réseau, solidaire d’un caisson ignifu-gé installé dans les locaux du client. Les bénéfices sont multi-ples : disponibilité optimale, système de détection des pannes de disques durs, remontée des informations du parc informa-tique, sécurisation par encryptions au sein d’un caisson approu-vé par les services du SDIS (certificat de résistance en cas de dégât des eaux, incendie, vandalisme) .Comment se faire conseiller sur la solution la plus adaptée ? Dans le cadre du programme « transition numérique », vous pouvez-nous contacter pour établir un audit gratuit.
Nous retrouvons le même genre de problématiques sur la sécurité des données : les sauvegardes sont peu ou pas effec-tuées, des tests de restauration ne sont quasiment jamais faits, les données ne sont pas cryptées, et le processus de sauve-garde implique de manière régulière une intervention humaine. Notre large gamme REX ROTARY SECURITY nous permet de mettre en avant des solutions simples d’externalisa-tion de données jusqu’à la mise en place de Cloud privé.
LE CLOUD HYBRIDE VU PAR REX ROTARY
DOSSIER
interview de : Vincent ANQUETIL Rex Rotary Security
Sources : fr.cartes.com
HTS France2 rue Paul Louis Halley14120 Mondeville
HTS InternationalSquare de Meeûs 401000 Bruxelles - Belgique
Tél +33 (0)2 14 74 70 20Fax +33 (0)2 14 74 70 21www.hts-expert.com
ZOOM
PCI DSS 3.0UNE ÉVOLUTION MAIS PAS UNE RÉVOLUTION
HTS et PCI DSS
Version 3 : Education et mise en place de politiques
Echéance 2014
Le standard PCI DSS (Payment Card Industry Data Security Standard) s’adresse aux organismes qui capturent, transportent, stockent et/ou traitent des données de cartes bancaires. En tant que QSA habilités par le PCI Council, les experts d’HTS accompagnent les organismes en vérifiant l’ensemble des points de contrôles relatifs aux systèmes d’information d’un point de vue technique mais également organisationnel.
PCI DSS en version 3.0 sera publié en novembre et applicable en janvier 2014, mais les organismes conformes à PCI DSS 2.0 auront un an pour se conformer à la nouvelle norme.
Egalement, la nouvelle norme permettra d'obtenir plus de clarté en terme de contrôles et de mise en conformité avec l'ajout d'une troisième colonne: des exemples de risques concrets que le contrôle de sécurité tend à combler.
Finalement, les principaux changements seront axés sur les mots de passe qui incluent l'option d'utiliser des passphrases d'au moins 7 caractères, des exigences plus strictes en terme de tests d'intrusion ou encore le Cloud, avec un accent sur la définition des responsabilités des différentes parties.
PCI DSS, actuellement en version 2, est désormais en développement pour sa version 3.0. La nouvelle version de ce standard en terme de sécurité des données bancaires sera plus axé sur l'éducation et la mise en place de politiques, plutôt que la mise en conformité avec la norme.
Troy Leach, Chief Technology Officer du PCI Security Standard Council, a expliqué que l'objectif de cette nouvelle version permettra de vérifier qu'un processus est sécurisé, et non que la technologie pour le sécuriser est en place. En effet, avec un audit annuel, celui-ci espère qu'avec ces changements, l'organisme certifié régularisera ses processus de contrôle.
Sources : www.eweek.com - by Sean Mickael Kerner - traduction des textes par : Romain Rousseau Consultant sécurité HTS