Philosophie securite informatique : normes, methodes, audit, conseil, chiffres, protection, risques, failles Philosophie securite informatique : normes, methodes, audit, conseil, chiffres, protection, risques, failles Philosophie securite informatique : normes, methodes, audit, conseil, chiffres, protection, risques, failles Services, prestations, audit, consulting, formations, enquetes, informations, tests, penetration-intrusion, expertise Services, prestations, audit, consulting, formations, enquetes, informations, tests, penetration-intrusion, expertise Services, prestations, audit, consulting, formations, enquetes, informations, tests, penetration-intrusion, expertise downloads-telechargements : RFC, etudes, documentation, buffer overflows, exploit, code, outils downloads-telechargements : RFC, etudes, documentation, buffer overflows, exploit, code, outils downloads-telechargements : RFC, etudes, documentation, buffer overflows, exploit, code, outils Olivier Combet Lyon, consultant independant, freelance Olivier Combet Lyon, consultant independant, freelance Olivier Combet Lyon, consultant independant, freelance

Methodologie, RSSI, iso, analyse de risque, NF logiciel Normes, analyses de risques et autres plans de conformité


Il y a souvent confusion entre norme de sécurité, de conformité et sécurité à proprement dit, concrète.

Les normes (ISO 27001, 17799 ou 27002), récompensent une méthode de management de la sécurité, des "bonnes pratiques". Une analyse de risque en amont est nécessaire (EBIOS, MEHARI). Cette mise en place constitue un projet de grande envergure, plus "lourd" à mettre en place, coûteux.
Si un plan de normage a l'avantage de mettre à plat les risques et leurs impacts, il n'est pas pour autant une garantie, et peut s'avérer assez inadapté aux besoins présents et concrets du socle technique si son approche est menée de manière purement procédurière. C'est encore plus vrai au niveau des PME (travail trop impactant et retour sur investissement improbable).

La simplicité doit être un maître mot. Plus les procédures sont compliquées, moins elles sont suivies, et plus les probabilités d'erreur d'administration sont fortes.

Firewall, antivirus, IDS, analyse de log, pare-feu, chiffrement Protection technique, solutions logicielles / matérielles


A l'inverse, il n'y a pas de couteau suisse de la sécurité.Les logiciels (Antivurus, anti-malware, firewall logiciel), comme les matériels spécialisés (chàssis firewall, IDPS, plateforme VPN,...) ne suffisent pas à sécuriser un système d'information.
Et s'ils doivent être combinés, intégrés avec cohérence, correctement paramétrés, ils sont fournis par des prestataires qui souvent ne sont pas experts en sécurité globale, et jamais impartiaux quant au choix des solutions.

Toute mise en place de solutions de sécurité doit avoir été choisie rigoureusement en amont, et venir se greffer à une politique globale. Elle doit répondre à un besoin - des risques - connus afin d'être adaptée et efficace.
Ceci fait, elle doit être : évaluée, rectifiée, surveillée, et évoluée de manière constante.

Il est indispensable d'auditer sa sécurité technique comme sa politique de manière répétée et de la valider ou la corriger en fonction.

Social engeneering, intrusion batiment,protection datacenter, evaluation des partenaires Autres méthodes


Beaucoup de facteurs critiques délaissés et oubliés sont à inclure dans la protection d'une entreprise :


retour