Bonnes pratiques et expertises IT
Rechercher

Comment évaluer la sécurité de son SI

32,00 € HT
soit 38,40 € TTC
Pour lire la suite de cet article :

Les vulnérabilités sont inhérentes à tout système d’information. Si l’objectif d’en faire l’inventaire exhaustif est louable, il n’en reste pas moins difficile à atteindre dès que le SI devient complexe. Pour limiter les potentielles conséquences graves des vulnérabilités, différents outils ont été développés pour les identifier, tels que la veille, les techniques de scan, les tests d’intrusion, le Bug Bounty, les Red Team, les audits techniques, etc.

Du fait de la complexité des systèmes d’information et, surtout, de la multiplicité des parties prenantes, la coopération s’impose pour mieux identifier et gérer les vulnérabilités. « La coopération est au cœur de la divulgation des vulnérabilités », estime Guillaume Vassault-Houlière, CEO de YesWeHack, qui est intervenu lors d’une conférence organisée par le Clusif (Club de la sécurité de l’information français), le 18 octobre 2018. Ce principe de coopération est défini, par la norme ISO/CEI 29147, comme « un processus par lequel les fournisseurs et les personnes qui découvrent des vulnérabilités peuvent travailler en collaboration pour trouver des solutions qui réduisent les risques associés à ces vulnérabilités. » La norme ISO/CEI 30111 précise, quant à elle, la procédure qui permet de coordonner les différents acteurs intervenant dans l’identification et la résolution d’une vulnérabilité :

  • Le chercheur, qui identifie la vulnérabilité.
  • Le rapporteur, qui avise le fournisseur de son existence.
  • Le fournisseur, qui créé ou entretient le produit vulnérable.
  • L’administrateur système, qui déploie des mesures correctives.
  • Le coordinateur, qui fédère la communauté.

Quand la sécurité devient collaborative

Ainsi, le concept de remontée coordonnée de vulnérabilité (CVD) a émergé pour réduire au maximum le risque, en veillant à ce que les vulnérabilités identifiées soient prises en compte. Il est donc nécessaire que suffisamment d’informations soient fournies aux entreprises pour évaluer la criticité des vulnérabilités de leurs systèmes. La création de canaux de confiance est primordiale pour cadrer le processus de remontée des vulnérabilités et éviter que les chercheurs soient assimilés à des hackeurs malveillants.

32,00 € HT
soit 38,40 € TTC
Pour lire la suite de cet article :

Best Practices propose des publications payantes.
Comparez nos différentes offres d'abonnement.

Dominique Herbert

Dominique Herbert

Consultant en systèmes d’information depuis plus de vingt ans, Dominique Herbert collabore à Best Practices sur les thématiques de gouvernance, d’organisation de la DSI et de stratégie SI.

Nos Ouvrages

  • Best Practices
Relations fournisseurs

    La relation avec les fournisseurs est probablement ce qu’il y a de plus complexe à gérer pour un DSI. Autant, pour les problématiques technologiques, on peut s’appuyer sur des standards, autant les interactions avec les fournisseurs, qui comportent une part d’incertitude, d’ambiguïté et de liens personnels, sont délicates à normaliser.

  • Best Practices Spotlight
Symposium Gartner 2018

    Ce numéro de Best Practices Spotlight regroupe l’essentiel des chiffres et des tendances qui ont été présentés lors du Symposium Gartner 2018, qui s’est tenu en novembre à Barcelone.

  • La sécurité du système d’information en 180 questions

    Les cyber attaques n’ont jamais occasionné autant de dégâts dans les entreprises. Comment mieux se protéger ? Ce guide pratique regroupe les 180 questions que doivent se poser les responsables sécurité et les DSI. Avec des réponses concrètes…

A ne pas manquer

  • Comment rater...
sa génération de leads

    Il existe un lien étroit entre le dynamisme commercial d'un éditeur de logiciels ou d'un intégrateur et la qualité des leads dont disposent les commerciaux pour maintenir leur performance. Mais il est très facile de ruiner votre performance commerciale.

  • Services managés : où en sont les entreprises françaises ?

    Best Practices a réalisé une enquête auprès des entreprises et organisations publiques françaises. Avec plusieurs objectifs : cerner les enjeux associés aux systèmes d’information, mesurer les usages des services managés les budgets associés.

  • Pour en savoir plus sur l’externalisation

    Pourquoi externaliser ? Quels sont les avantages et les inconvénients ? Comment définir les règles du jeu ? Quels sont les points de vigilance ? Quelles sont les dix questions que posent systématiquement les directions générales aux DSI ?

Best Practices

Informations

REMARQUE ! Ce site utilise des cookies et autres technologies similaires.

Si vous ne changez pas les paramètres de votre navigateur, vous êtes d'accord. En savoir plus

J'ai compris