Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Scanner de vulnérabilités : recommandés / obligatoires on vous dit tout !

560 views

Published on

NIS (Network and Information Security)
RGPD (Règlement général sur la protection des données)
PCI DSS (Payment Card Industry Data Security Standard)
ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information)
CNIL (Commission Nationale de l’Informatique et des Libertés)
LPM (Loi de Programmation Militaire)
Nous sommes tous concernés !

Published in: Law
  • Be the first to comment

Scanner de vulnérabilités : recommandés / obligatoires on vous dit tout !

  1. 1. Scanner de vulnérabilités Pour qui est-il obligatoire ? Les obligations, les conseils et bonnes pratiques… Les standards, agences, organisations et lois qui recommandant l’utilisation d’un scanner de vulnérabilités
  2. 2. 57% des cyber attaques visant les entreprises exploitent des vulnérabilités L’Union Européenne et le gouvernement ont donc renforcé les réglementations pour aider les entreprises à mieux se protéger. Graphique : Nombres de vulnérabilités en 2016 et 2017 - Securityboulevard.com
  3. 3. Les vulnérabilités sont référencées dans la base de données des CVE (Common Vulnerabilities Exposure). Publiques, elles sont donc connues des hackers. C’est pourquoi agir sur la correction des vulnérabilités en amont permet aux entreprises de lutter plus efficacement contre les cyberattaques. Car une fois que la structure est attaquée, il est trop tard! Graphique : Nombres et types de vulnérabilités OWASP Top 10 2014-2017 Securityboulevard.com Authentication Access Control XXE Injection Vulnérabilités : quels vecteurs d’attaques ?
  4. 4. Les standards, agences, organisations et lois recommandant l’utilisation d’un scanner de vulnérabilités NIS Directive “Network and Information Security” Directive européenne entrée en vigueur le 19 juillet 2016. Elle prévoit le renforcement des capacités nationales de cybersécurité et de la cybersécurité d’opérateurs issus de secteurs clés. Elle établit un cadre formel de coopération entre Etats membres. Réglementations européennes et internationales RGPD Règlement général sur la protection des données Règlement européen qui devra être appliqué le 25 mai 2018 sous peine de sanctions. Il permettra d’assurer une sécurité plus rigoureuse des données utilisateurs en renforçant leurs droits ainsi que plus de crédibilité aux régulations. PCI DSS Payment Card Industry Data Security Standard Norme de sécurité de l’industrie des cartes de paiement est un standard de sécurité des données pour les principaux acteurs de paiements (Visa, MasterCard, American Express, JCD,...) pour lutter contre les utilisations frauduleuses des cartes et offrir plus de sécurité aux utilisateurs.
  5. 5. LPM Loi de Programmation Militaire (LPM 2014-2019 du 18/12/2013) Loi établissant la planification des dépenses militaires de l’Etat. Révisée en 2015, elle prévoit les actions de la nation en termes de sécurité et comporte un ensemble de dispositions concernant la cyberdéfense et la cybersécurité. Les standards, agences, organisations et lois recommandant l’utilisation d’un scanner de vulnérabilités Réglementations françaises CNIL Commission Nationale de l’Informatique et des Libertés Autorité indépendante en matière de protection des données personnelles. Elle accompagne les entreprises dans leur mise en conformité et sanctionne en cas d’infraction et d’atteinte aux données personnelles et libertés individuelles. ANSSI Agence Nationale de la Sécurité des Systèmes d’Information L’ANSSI est l’autorité française de la sécurité des systèmes d’information. Elle a rédigé le “guide d’hygiène informatique” qui est la référence nationale pour renforcer la sécurité de son système d’information en appliquant une liste de 42 mesures.
  6. 6. Tous les secteurs d’activités sont concernés !
  7. 7. Opérateurs d’importance vitale (OIV) Article 22 : “[...] les opérateurs mettent en œuvre des systèmes qualifiés de détection des événements susceptibles d'affecter la sécurité de leurs systèmes d'information. [...]” Chapitre V - Article 16 : “les entreprises doivent assurer le suivi, l’audit, le contrôle et veiller à la sécurité des systèmes et des installations” Article 25 - Protection des données dès la conception et protection des données par défaut Article 32 - Sécurité du traitement Article 34 - Communication à la personne concernée d'une violation de données à caractère personnel Guide d’hygiène informatique - Mesure 38 : Procéder à des contrôles et audits de sécurité réguliers puis appliquer les actions correctives associées Guide la sécurité des données personnelles : Fiche n° 11 - Sécurité des serveurs et des applications. LPM NIS RGPD ANSSI CNIL Un OIV Qu’est ce que c’est ? Un OIV est une organisation, identifiée par l'État comme ayant des activités indispensables ou dangereuses pour la population dans les secteurs de la santé, l’énergie, l’industrie, les transports, les finances, les activités militaires ou judiciaires par exemple.
  8. 8. Banques Assurances Gestion d’un programme de gestion des vulnérabilités pour les Conditions 2.2 ; 6.1 ; 6.2 ; 6.6 ; 11.2 ; et 12.2. Article 22 : “[...] les opérateurs mettent en œuvre des systèmes qualifiés de détection des événements susceptibles d'affecter la sécurité de leurs systèmes d'information. [...]” Chapitre V - Article 16 : “les entreprises doivent assurer le suivi, l’audit, le contrôle et veiller à la sécurité des systèmes et des installations” Article 25 - Protection des données dès la conception et protection des données par défaut Article 32 - Sécurité du traitement Article 34 - Communication à la personne concernée d'une violation de données à caractère personnel Guide d’hygiène informatique - Mesure 38 : Procéder à des contrôles et audits de sécurité réguliers puis appliquer les actions correctives associées. Guide la sécurité des données personnelles : Fiche n° 11 - Sécurité des serveurs et des applications. PCI DSS LPM NIS RGPD ANSSI CNIL
  9. 9. Ecommerce Gestion d’un programme de gestion des vulnérabilités pour les Conditions 2.2 ; 6.1 ; 6.2 ; 6.6 ; 11.2 ; et 12.2. Article 25 - Protection des données dès la conception et protection des données par défaut Article 32 - Sécurité du traitement Article 34 - Communication à la personne concernée d'une violation de données à caractère personnel Guide d’hygiène informatique - Mesure 38 : Procéder à des contrôles et audits de sécurité réguliers puis appliquer les actions correctives associées. Guide la sécurité des données personnelles : Fiche n° 11 - Sécurité des serveurs et des applications. PCI DSS RGPD ANSSI CNIL
  10. 10. Energie Article 22 : “[...] les opérateurs mettent en œuvre des systèmes qualifiés de détection des événements susceptibles d'affecter la sécurité de leurs systèmes d'information. [...]” Chapitre V - Article 16 : “les entreprises doivent assurer le suivi, l’audit, le contrôle et veiller à la sécurité des systèmes et des installations” Article 25 - Protection des données dès la conception et protection des données par défaut Article 32 - Sécurité du traitement Article 34 - Communication à la personne concernée d'une violation de données à caractère personnel Guide d’hygiène informatique - Mesure 38 : Procéder à des contrôles et audits de sécurité réguliers puis appliquer les actions correctives associées. Guide la sécurité des données personnelles : Fiche n° 11 - Sécurité des serveurs et des applications. LPM NIS RGPD ANSSI CNIL
  11. 11. Établissements de santé Chapitre V - Article 16 : “les entreprises doivent assurer le suivi, l’audit, le contrôle et veiller à la sécurité des systèmes et des installations” Article 25 - Protection des données dès la conception et protection des données par défaut Article 32 - Sécurité du traitement Article 34 - Communication à la personne concernée d'une violation de données à caractère personnel Guide d’hygiène informatique - Mesure 38 : Procéder à des contrôles et audits de sécurité réguliers puis appliquer les actions correctives associées. Guide la sécurité des données personnelles : Fiche n° 11 - Sécurité des serveurs et des applications. NIS RGPD ANSSI CNIL
  12. 12. Industries Article 22 : “[...] les opérateurs mettent en œuvre des systèmes qualifiés de détection des événements susceptibles d'affecter la sécurité de leurs systèmes d'information. [...]” Article 25 - Protection des données dès la conception et protection des données par défaut Article 32 - Sécurité du traitement Article 34 - Communication à la personne concernée d'une violation de données à caractère personnel Guide d’hygiène informatique - Mesure 38 : Procéder à des contrôles et audits de sécurité réguliers puis appliquer les actions correctives associées. Guide la sécurité des données personnelles : Fiche n° 11 - Sécurité des serveurs et des applications. LPM RGPD ANSSI CNIL
  13. 13. Infrastructures numériques Article 22 : “[...] les opérateurs mettent en œuvre des systèmes qualifiés de détection des événements susceptibles d'affecter la sécurité de leurs systèmes d'information. [...]” Chapitre V - Article 16 : “les entreprises doivent assurer le suivi, l’audit, le contrôle et veiller à la sécurité des systèmes et des installations” Article 25 - Protection des données dès la conception et protection des données par défaut Article 32 - Sécurité du traitement Article 34 - Communication à la personne concernée d'une violation de données à caractère personnel Guide d’hygiène informatique - Mesure 38 : Procéder à des contrôles et audits de sécurité réguliers puis appliquer les actions correctives associées. Guide la sécurité des données personnelles : Fiche n° 11 - Sécurité des serveurs et des applications. LPM NIS RGPD ANSSI CNIL
  14. 14. Envie de prendre les devants sur les vulnérabilités ? Découvrez Elastic Detector FONCTIONNALITÉS AVANCÉES ● Serveurs et réseaux détectés automatiquement ● Interface intuitive ● Scans des vulnérabilités en continu ● Rapport détaillés des failles et solutions de remédiation ● Indicateurs de risque (ANSSI, OWASP et PCI DSS) NOUVEAUTES 2018 ➔ Interface en français ➔ Indicateur de risque RGPD ➔ Amélioration du moteur de scan Web Testez Elastic Detector Analysez gratuitement 5 IP pendant 21 jours
  15. 15. A vous de jouer ! Des questions ? Contactez-nous https://secludit.com
  16. 16. Sources Guide de la CNIL : la sécurité des données personnelles https://www.cnil.fr/sites/default/files/typo/document/Guide_securite-VD.pdf Guide d’hygiène informatique de l’ANSSI https://www.ssi.gouv.fr/uploads/2017/01/guide_hygiene_informatique_anssi.pdf Règlement Européen sur la Protection des Données https://www.cnil.fr/fr/reglement-europeen-protection-donnees Industrie des cartes de paiement (PCI) Norme de sécurité des données : https://fr.pcisecuritystandards.org/_onelink_/pcisecurity/en2frfr/minisite/en/docs/PCI_DSS_v3.pdf V3.2 2016 => https://fr.pcisecuritystandards.org/_onelink_/pcisecurity/en2frfr/minisite/en/docs/PCI_DSS_v3-2_fr-FR.pdf Directive NIS (Network and Information Security) http://eur-lex.europa.eu/legal-content/FR/TXT/HTML/?uri=OJ:L:2016:194:FULL&from=FR Loi relative à la programmation militaire pour les années 2014 à 2019 https://www.legifrance.gouv.fr/affichTexte.do;jsessionid=F8A2A995D7852785327EF613C9F9DB5C.tplgfr23s_1?cidTexte=JORFTEXT00002833882 5&dateTexte=29990101

×