FIC 2019 : Qualifications PDIS, l’Anssi désigne les élèves méritants

L’Anssi aimerait y voir un peu plus clair, et elle entend trouver les partenaires qui vont l’y aider. Le directeur de l’agence nationale de sécurité des systèmes d’information a profité du FIC pour détailler les grands chantiers de l’Anssi pour l’année 2019 et a mis l’accent sur un sujet essentiel dès lors qu’il est question de sécurité informatique : la détection des attaques.

 

Ce n’est pas la première fois que l’Anssi évoque cette question. En réalité, le sujet est sur la table depuis plusieurs années : la LPM 2014-2019 a en effet mis en place une liste d’opérateurs d’importance vitale, qui doivent se soumettre à toute une série d’exigences réglementaires en matière de sécurité informatique. Pour accompagner ces exigences, c’est à l’Anssi de designer quels acteurs sont aujourd’hui en mesure de proposer des services disposant d’un niveau de qualité suffisant. « Pour nous, l’enjeu est de permettre aux offreurs de solutions et aux demandeurs de monter en gamme de manière parallèle. C’est un équilibre à trouver, on ne peut pas exiger des OIV qu’ils se dotent de prestataires de services certifiés puis leur présenter une liste vide », résumait Guillaume Poupard lors de sa conférence de presse.

Au royaume des aveugles, les borgnes sont rois

L’Anssi entend en effet se doter d’un écosystème de prestataires qualifiés et a révélé les premiers bénéficiaires de ses qualifications PDIS, pour Prestataire de Détection des Incidents de Sécurité. Un terme qui désigne notamment des sociétés proposant des services de type SOC (Security Operation Center) sur le marché. Parmi les heureux élus, on retrouve donc Orange Cyberdefense, Sopra Steria et Sogeti. Une première vague, mais d’autres attendent leur tour : le site de l’Anssi liste ainsi huit sociétés ayant officiellement entrepris le processus de qualification pour se voir labellisé PDIS et précise que la liste recense uniquement les entreprises ayant choisi de rendre publique leur candidature.

Si le terme peut paraître un peu barbare au premier abord, il désigne les entreprises qui sont capables de proposer des prestations conformes au « référentiel d’exigences applicables aux prestataires de détection des incidents de sécurité. » Un document publié initialement en 2015 par l’Anssi à titre expérimental puis remanié courant 2017 et qui regroupe toutes les exigences de l’agence pour les entreprises qui entendent proposer un service de détection qualifié par l’état. Et ça n’est pas une simple affaire de case à cocher, comme l’explique Jean Philippe Cassard, responsable de la conformité réglementaire chez Sopra Steria : «  Le référentiel, cela représente plus de 400 exigences à prendre en compte pour notre activité. Concrètement, nous avons été obligés de mettre en place un SOC PDIS séparé de notre SOC « traditionnel » pour pouvoir répondre au niveau d’exigence requise pour obtenir la qualification. »

Ce n’est donc pas vraiment une simple lubie d’entreprise qui voudrait pouvoir afficher fièrement une qualification de plus à son CV, Jean Philippe Cassard rappelle que les investissements nécessaires pour atteindre le niveau de sécurité exigé sont considérables, tant sur l’infrastructure qu’en termes de moyens humains mis en œuvre pour suivre le dossier. Pour prétendre toucher le marché des OIV et assurer le rôle de SOC auprès de ces clients d’un genre un peu particulier, c’est toute l’architecture qui doit être repensée avec la sécurité en ligne de mire. « Autant sur des qualifications PASSI, qui visaient plutôt les prestataires d’audit, l’essentiel des contrôles portait sur les personnes. Mais avec cette qualification, ce sont des questions liées à l’infrastructure et à l’architecture du système qui se posent » rappelle Arnaud Hess, directeur du développement cybersécurité chez Sopra Steria.

Un coût non négligeable et un travail de fourmi sont nécessaires, mais c’est à ce prix que les sociétés s’ouvrent une voie royale pour toucher les clients faisant partie de la catégorie des « opérateurs d’importance vitale. » Et si on pense évidemment à eux, ce ne sont pas les seuls en ligne de mire comme l’explique Jean Philippe Cassard : « C’est vrai que c’est un investissement important. Mais il faut voir que ça va structurer le marché : les entreprises qui vont vouloir prendre un SOC vont naturellement se tourner vers les prestataires qualifiés, même s’ils n’en ont pas forcément l’obligation. »

Certifier et choisir

Outre cette qualification PDIS, l’Anssi a aussi profité du FIC pour annoncer avoir remis la qualification de prestataire cloud (SecNumCloud) à la société Oodrive, et que Thalès et Gatewatcher devraient bientôt se voir labelliser de la même manière pour leurs sondes de détection. En favorisant l’écosystème et en labellisant les acteurs, l’Anssi tente donc de donner des ressources aux acteurs de la sécurité et de désigner l’excellence.

On pourrait s’étonner que l’ensemble des solutions aujourd’hui approuvées par l’Anssi soient françaises. Interrogé, Guillaume Poupard se défend de faire du favoritisme, mais rappelle certaines réalités : « ces certifications sont tout à fait ouvertes aux acteurs étrangers, mais ils se heurtent souvent à des limites évidentes, par exemple sur les questions liées à la territorialisation des données. » Comme à son habitude, l’Anssi ne veut pas faire de  géopolitique  et préfère le concret.

Source

Nous utilisons des cookies pour personnaliser le contenu et les publicités, pour fournir des fonctionnalités de médias sociaux et pour analyser notre trafic. Nous partageons également des informations sur votre utilisation de notre site avec nos partenaires de médias sociaux, de publicité et d'analyse qui peuvent les combiner avec d'autres informations que vous leur avez fournies ou qu'ils ont collectées lors de votre utilisation de leurs services. Vous consentez à nos cookies si vous continuez à utiliser notre site Web.
Cookies settings
Accepter
Privacy & Cookie policy
Privacy & Cookies policy
Cookie name Active

Qui sommes-nous ?

L’adresse de notre site Web est : https://www.banquegratuite.com

Cookies publicitaires Google

Nous utilisons des cookies pour faciliter la diffusion des annonces sur les sites Web de nos partenaires, tels que ceux diffusant des annonces Google ou membres d'un réseau publicitaire agréé par Google. Lorsqu'un utilisateur visite ce type de site, un cookie peut être placé dans son navigateur. Les fournisseurs tiers, y compris Google, utilisent des cookies pour diffuser des annonces en fonction des visites antérieures des internautes sur votre site Web ou sur d'autres pages. Grâce aux cookies publicitaires, Google et ses partenaires adaptent les annonces diffusées auprès de vos visiteurs en fonction de leur navigation sur vos sites et/ou d'autres sites Web. Cliquez ici pour savoir comment Google utilise les informations fournies par les cookies

Utilisation des données personnelles collectées

Commentaires

Quand vous laissez un commentaire sur notre site web, les données inscrites dans le formulaire de commentaire, mais aussi votre adresse IP et l’agent utilisateur de votre navigateur sont collectés pour nous aider à la détection des commentaires indésirables. Une chaîne anonymisée créée à partir de votre adresse de messagerie (également appelée hash) peut être envoyée au service Gravatar pour vérifier si vous utilisez ce dernier. Les clauses de confidentialité du service Gravatar sont disponibles ici : https://automattic.com/privacy/. Après validation de votre commentaire, votre photo de profil sera visible publiquement à coté de votre commentaire.

Médias

Si vous êtes un utilisateur ou une utilisatrice enregistré·e et que vous téléversez des images sur le site web, nous vous conseillons d’éviter de téléverser des images contenant des données EXIF de coordonnées GPS. Les visiteurs de votre site web peuvent télécharger et extraire des données de localisation depuis ces images.

Formulaires de contact

Cookies

Si vous déposez un commentaire sur notre site, il vous sera proposé d’enregistrer votre nom, adresse de messagerie et site web dans des cookies. C’est uniquement pour votre confort afin de ne pas avoir à saisir ces informations si vous déposez un autre commentaire plus tard. Ces cookies expirent au bout d’un an. Si vous avez un compte et que vous vous connectez sur ce site, un cookie temporaire sera créé afin de déterminer si votre navigateur accepte les cookies. Il ne contient pas de données personnelles et sera supprimé automatiquement à la fermeture de votre navigateur. Lorsque vous vous connecterez, nous mettrons en place un certain nombre de cookies pour enregistrer vos informations de connexion et vos préférences d’écran. La durée de vie d’un cookie de connexion est de deux jours, celle d’un cookie d’option d’écran est d’un an. Si vous cochez « Se souvenir de moi », votre cookie de connexion sera conservé pendant deux semaines. Si vous vous déconnectez de votre compte, le cookie de connexion sera effacé. En modifiant ou en publiant une publication, un cookie supplémentaire sera enregistré dans votre navigateur. Ce cookie ne comprend aucune donnée personnelle. Il indique simplement l’ID de la publication que vous venez de modifier. Il expire au bout d’un jour.

Contenu embarqué depuis d’autres sites

Les articles de ce site peuvent inclure des contenus intégrés (par exemple des vidéos, images, articles…). Le contenu intégré depuis d’autres sites se comporte de la même manière que si le visiteur se rendait sur cet autre site. Ces sites web pourraient collecter des données sur vous, utiliser des cookies, embarquer des outils de suivis tiers, suivre vos interactions avec ces contenus embarqués si vous disposez d’un compte connecté sur leur site web.

Statistiques et mesures d’audience

Utilisation et transmission de vos données personnelles

Durées de stockage de vos données

Si vous laissez un commentaire, le commentaire et ses métadonnées sont conservés indéfiniment. Cela permet de reconnaître et approuver automatiquement les commentaires suivants au lieu de les laisser dans la file de modération. Pour les utilisateurs et utilisatrices qui s’enregistrent sur notre site (si cela est possible), nous stockons également les données personnelles indiquées dans leur profil. Tous les utilisateurs et utilisatrices peuvent voir, modifier ou supprimer leurs informations personnelles à tout moment (à l’exception de leur nom d’utilisateur·ice). Les gestionnaires du site peuvent aussi voir et modifier ces informations.

Les droits que vous avez sur vos données

Si vous avez un compte ou si vous avez laissé des commentaires sur le site, vous pouvez demander à recevoir un fichier contenant toutes les données personnelles que nous possédons à votre sujet, incluant celles que vous nous avez fournies. Vous pouvez également demander la suppression des données personnelles vous concernant. Cela ne prend pas en compte les données stockées à des fins administratives, légales ou pour des raisons de sécurité.

Transmission de vos données personnelles

Les commentaires des visiteurs peuvent être vérifiés à l’aide d’un service automatisé de détection des commentaires indésirables.

Save settings
Cookies settings