Les Assises de la sécurité sont l’occasion de vraiment se faire peur !! Activisme, Cybercriminalité, cyberespionnage, Cyberguerre …..
Chacun y va, et c’est justifié, de son couplet sur les risques, les menaces et surtout sur les conséquences toutes plus catastrophiques les unes que les autres. Heureusement, passée la crise d’angoisse, les intervenants évoquent les réponses. Des réponses qui reposent sur compréhension, stratégie, technologie et méthodologie.
Comprendre le principe des nouvelles menaces
On ne combat bien que ce que l’on connait bien et c’est bien là que le bât blesse. Les attaques prennent diverses formes, s’adaptent, se modifient et pour finir laissent la place à de nouvelles menaces toujours plus sophistiquées.
C’est une course de vitesse entre la menace et la défense. Pour la gagner il faut engranger toutes les connaissances qui peuvent l’être sur l’environnement et son contexte, constituer une base de connaissance intelligente mise à jour constamment et partagée entre tous les outils de sécurité.
La sécurité est une perpétuelle remise en cause, impossible de tout prévoir. Il faut donc des systèmes extrêmement réactifs et évolutif.
Des technologies qui doivent collaborer pour assurer une défense plus efficace
Les technologies sont bien sur clé dans la mise en place d’une stratégie de sécurité mais ne sont pas suffisantes. On voit aujourd’hui une évolution d’équipements spécialisés vers de nouveaux modèles de sécurité basés sur des plateformes évolutives et ouvertes qui limitnte la complexité et les risques de failles associées.
La sécurité demande avant tout de la rigueur et de la méthode et des certifications existent pour y aider
Des certifications pour garantir l’application des principes de sécurité
Avoir recours à une norme est un moyen volontaire qui s’inscrit dans la durée pour tendre à un objectif de performance, de développement et de prévention du risque.
Pour décrire les exigences de la mise en place d’un Système de Management et de Sécurité de l’Information(SMSI), autour des principes de disponibilité, d’intégrité et de confidentialité, la certification ISO 27001 (remise à jour en 2013) est indiscutablement très utile. S’ajoutent à cette certification des obligations dictées par les auditeurs experts selon l’activité, l’équipement et la taille de l’entreprise contrôlée.
La norme ISO 27001 ne certifie pas un niveau de sécurité, mais la manière de gérer la sécurité
Le fournisseur de Cloud OutScale obtient la certification ISO 27001-2013
OutScale se positionne en Europe comme l’une des premières entreprises spécialisées dans le Cloud à détenir la norme la plus aboutie en matière de sécurisation des données.
A l’occasion de l’annonce ce 2 octobre 2014 de la certification par OutScale , Matthieu Bouthors Responsable de l’étude pour la qualité et la sécurité chez Outscale explique que « La sécurisation des données ne consiste pas seulement à renforcer ses équipements ou à répondre favorablement à une liste d’exigences, les menaces contre les flux de données auxquelles sont exposées les entreprises sont en perpétuelle évolution. Il s’agit d’adapter nos méthodes de travail et nos services pour une surveillance constante et minutieuse ».
Outscale a souhaité également que BSI (en charge de réaliser l’audit d’OutScale) renforce son audit par une exigence de traçabilité des données transitant sur son Cloud. Cette démarche répond au besoin de plus en plus important des entreprises utilisatrices de services de Cloud, de contrôler à tout moment leurs flux de données.