toute l'actualité "Juridique"

Les organisations privées et publiques ayant un rôle stratégique au niveau national peuvent se voir forcées d'appliquer des directives nationales de sécurité. Celles-ci ont des impacts sur l'informatique. Et ce n'est pas toujours simple de les appliquer...

Le 25 juin, le Cercle Européen de la Sécurité et des Systèmes d'Information a consacré son séminaire mensuel aux directives nationales de sécurité (DNS) dont certaines dispositions ont des impacts sur l'informatique. A ce jour, 234 opérateurs dans 12 secteurs d'activité ont été identifiés par les services gouvernementaux comme étant concernés, ce aussi bien dans l'industrie que les établissements publics. Mais les considérations liées au Secret Défense compliquent légèrement les choses... Pierre Lasbordes, député spécialiste des questions de sécurité, a tout d'abord rappelé de quoi il s'agissait exactement. Les DNS concernent les infrastructures critiques dans un secteur d'activité vital, autrement dit des services nécessaires pour répondre aux besoins essentiels du pays ou de la population. La définition est assez large pour inclure aussi bien les hôpitaux que la SNCF. Leur objet est de préserver la sécurité de ces infrastructures afin de garantir leur fonctionnement continu. Chaque secteur vital est rattaché à un ministère coordinateur qui rédige les directives nationales de sécurité (DNS) sous la coordination du secrétariat général du Gouvernement. Les DNS sont ensuite adressées à tous les opérateurs « d'importance vitale » qui ont l'obligation de les appliquer à leurs frais. Si le sujet visé par l'une ou l'autre de ces DNS est externalisé, l'opérateur est responsable de la bonne exécution des consignes par son sous-traitant. Bien entendu, l'Etat se réserve le droit d'auditer les dits opérateurs pour vérifier l'application des DNS. « Les DNS comprennent trois grandes familles de directives » a témoigné Sylvain Thiry, RSSI de la SNCF. Il détaille ainsi : « Tout d'abord, la gouvernance des risques externes. La démarche est très proche de l'ISO 27000, avec une analyse de risques, une politique de sécurité et des moyens à mettre en oeuvre. Ensuite, il y a les points d'importance vitale à protéger. Enfin, il y a les consignes Vigipirate qui sont très opérationnelles mais peuvent arriver à tout moment y compris en dehors des horaires ouvrés, ce qui implique de mettre en oeuvre une astreinte. » Pour les SI, les DNS concernent autant les risques logiques que physiques. « Il y a un accent sur la ToIP car celle-ci est moins fiable et sure que la téléphonie classique mais par contre l'accès à Internet ne semble pas avoir été pris en compte alors que beaucoup d'entreprises sont incapables de fonctionner sans celui-ci » prévient Sylvain Thiry. Il en déduit logiquement : « les DNS sont une faible part de la sécurité et ce serait une grosse erreur que de construire sa politique de sécurité en se basant sur celles-ci. Il faut juste intégrer les DNS à sa politique. Et le RSSI est évidemment le responsable pour tout ce qui concerne l'informatique. »

ACTUALITES A LA UNE Projets Auxia dématérialise ses factures entrantes en SaaS pour gagner en transparence 25/08/2010 17:51:38 - Bien que filiale du groupe Malakoff-Médéric depuis l'orée du siècle, Auxia dispose de son propre SI et sa DSI est assez (...) Techno Géolocaliser les serveurs virtuels dans le Cloud pour respecter la réglementation 31/08/2010 14:00:08 - EMC est en train de développer une technologie permettant de suivre et de vérifier la position des machines virtuelles (...) Chiffres-clés Le marché des logiciels et services repart en France Projets Le bailleur Côte D'azur Habitat dématérialise ses factures, ses dossiers et son courrier Projets Certicorps adopte la signature électronique pour lutter contre le travail illégal Gouvernance Le DSI acteur de l'intelligence économique Rendez-vous CIO.PDF 22 : le DSI entre intelligence économique et création de valeur >> Toute l'actualité
CONFERENCES DECISIONNEL 21/09/2010 De 8h30 à 14h00 au Pavillon Dauphine - Paris 16e Programme   Inscrivez-vous Toutes les conférences		AGENDA Université d'été «Les fondamentaux pour réussir les projets stratégiques à dominante SI» Du lundi 13 septembre 2010 au mercredi 15 septembre 2010 Jardins de Bagatelle, Paris en savoir plus Tout l'agenda
		CONTRIBUTIONS Les risques majeurs de la virtualisation Laurent Charvériat - Parole d'expert Directeur Général et co-fondateur d'I-Tracing Les multiples avantages de la virtualisation ne doivent pas faire oublier la sécurité (...) Maîtrise d'usage, une notion innovante Tru Dô-Khac - Parole d'expert Consultant indépendant en gouvernance IT et innovation Avec le développement des architectures SOA et du Cloud, les questions de propriété intellectuelle accèdent (...) Toutes les expertises

. Web-profils.com, la place de marché du conseil et de l'ingénierie