En poursuivant votre navigation sur ce site, vous acceptez l’utilisation de cookies pour vous proposer des contenus et services adaptés à vos centres d’intérêts. En savoir plus et gérer ces paramètres. OK X
 
 

 

 

Dossiers

Cadres et contrôles de cybersécurité

Pat Pascal Le Digol, Country Manager France de WatchGuard

Publication: Août 2018

Partagez sur
 
Les données sont un atout précieux et sont un facteur énorme dans de nombreux marchés pour aider à la production et aux ventes...
 

L’interprétation des tendances et l’analyse des marchés émergents s’effectuent par corrélation des données. Il est tout aussi important de conserver ces données de manière appropriée, en particulier lorsqu’il s’agit de traiter des données personnelles ou sensibles. En outre, les questions de sécurité nationale doivent être traitées en toute sécurité et définies par des normes préétablies auxquelles il faut se conformer.

De nombreuses normes et cadres sont disponibles, chacun décrivant ce qu’il fait, mais ils s’orientent tous autour d’un aspect principal - le traitement approprié et sécurisé des données. Couvrons une vue d’ensemble de haut niveau de certains contrôles actuels qui doivent être respectés lors du traitement de certains ensembles de données :

Cadre commun de sécurité de l’Alliance pour l’information sur la santé - (HITRUST CSF)

Ce cadre est le plus largement adopté dans le secteur des soins de santé aux États-Unis. Il a été élaboré pour traiter de nombreux aspects de la sécurité, de la protection de la vie privée et des défis réglementaires auxquels les organisations sont confrontées. Incorporant les travaux fondamentaux d’autres normes connues (ISO, NIST, PCI, HIPAA, etc.), ce cadre de mise à l’échelle fonctionne avec les complexités variables des différentes organisations.

- Norme de sécurité des données de l’industrie des cartes de paiement (PCI DSS)

Il est impératif de traiter correctement l’information sur les paiements, car la fraude et le vol d’identité constituent une menace sérieuse. PCI DSS aide les commerçants et autres institutions financières à mettre en œuvre des normes et des politiques de sécurité, ainsi qu’à aider les fournisseurs à comprendre et à mettre en œuvre des normes pour les solutions de paiement sécurisé. Même avec l’introduction de nouvelles technologies, la sécurisation des transactions devrait rester au centre des préoccupations de certaines organisations, quelles que soient les options disponibles.

- Organisation internationale de normalisation (ISO/IEC) Série 27000

Il s’agit d’une famille de normes, dont l’ensemble est axé sur la gestion de l’information financière, de la propriété intellectuelle, des renseignements sur les employés et de l’information confiée par des tiers. La norme ISO/IEC 27001 est la plus connue en ce qui concerne les exigences relatives aux systèmes de gestion de la sécurité de l’information.

- Institut national des normes et de la technologie (NIST)

En février 2013, le président des États-Unis a reconnu que la sécurité nationale et économique des États-Unis dépendait de la fonction de son infrastructure critique. Ainsi, le décret exécutif 13636 a été formulé et le NIST a travaillé avec les parties prenantes pour créer le cadre. La publication spéciale 800-53 porte spécifiquement sur les contrôles de sécurité des systèmes et des organismes fédéraux participant aux programmes fédéraux et sur le traitement des renseignements personnels.

- Objectifs de contrôle pour les technologies de l’information et les technologies connexes (COBIT)

Plus orienté vers les grandes entreprises, COBIT est un cadre de gouvernance et de gestion de l’informatique visant à l’optimisation et à la croissance de l’entreprise. COBIT 5 est le seul cadre d’affaires pour la gouvernance et la gestion de l’informatique d’entreprise. Il intègre de nombreux principes, pratiques, outils analytiques et modèles acceptés à l’échelle mondiale pour aider à bâtir et à accroître la confiance dans les systèmes d’information.

« Étant donné le grand nombre de normes, il est difficile de savoir exactement laquelle utiliser. Il est bon de se rappeler que les normes peuvent être utilisées comme lignes directrices et peuvent être moulées pour mieux répondre aux besoins de votre organisation. Le respect des lignes directrices est fortement influencé par le nombre d’employés, l’activité exercée et le type de données utilisées. Les principales choses à garder à l’esprit sont les suivantes : tout comme nous ne voudrions pas que notre numéro de sécurité sociale soit en itinérance sur Internet, nous ne voudrions pas non plus que nos informations sur la santé ou d’autres informations financières circulent. Sur une plus grande échelle, les affaires menées avec le gouvernement fédéral ne devraient pas non plus être prises à la légère. Le GDPR, récemment adopté, impose à toute organisation qui recueille des données personnelles auprès d’un citoyen de l’UE de s’assurer que les données sont traitées correctement. » Emil Hozan.

http://www.watchguard.com/

Suivez MtoM Mag sur le Web

 

Newsletter

Inscrivez-vous a la newsletter d'MtoM Mag pour recevoir, régulièrement, des nouvelles du site par courrier électronique.

Email: