O c t o b r e - N o v e m b r e - D é c e m b r e 2 0 1 3

M a i s a u s s i

L ’ a c t u d e s e x p e r t s

P C I - D S S 3 . 0U n e é v o l u ti o nm a i s p a s u n e r é v o l u ti o np a g e 8

L e S a l o nC A R T E S 2 0 1 3d u 1 9 a u 2 1 n o v e m b r e à P a r i sp a g e 7

L’e - l e a r n i n g s u rl e S M S I E x c l u s i v i t é H T Sp a g e 2 e t 3

02

LA SÉCURITÉDANS LE CLOUD

Conférence, formation et solutionP a g e s 4 , 5 e t 6

DOSSIER

MODULE N°1 : NOTIONS DE SYSTÈME DE MANAGEMENT DE LA SÉCURITÉ DE L'INFORMATIONLe Système de Management de la Sécurité de l'Information est un projet d'envergure et complexe: il est nécessaire d'en comprendre l'utilité et les avantages que peuvent en tirer chaque service avant de se lancer dans la conception d'un tel système de management.

MODULE N°2 : LA FAMILLE ISO/CEI 27000L'Organisation Internationale de Normalisation a créé une série de normes en collaboration avec le CEI afin de cadrer et détailler les différents processus organisationnels et techniques en termes de sécurité de l’information : des définitions du langage propre à ces normes, à la mise en œuvre du SMSI, ou encore à l’audit de ces systèmes de management, chaque norme a son utilité et est expliquée dans ce module.

MODULE N°3 : LA NORME ISO 27001La norme ISO 27001 formalise et spécifie les exigences en terme de Système de Management de la Sécurité de l'Information: Il est primordial de connaitre cette norme dans les moindres détails pour auditer ou implémenter un SMSI conforme à la présente norme.

Le parcours initial est composé de 6 modules de 20 minutes environ, soit approximativement 2 H de cours.

LES MODULES E-LEARNING SUR LE SMSI

1

2

3

MODULE N°4 : LES DOCUMENTS CLÉ D'UN SMSIPolitique du SMSI, PSSI, appréciation des risques ou encore déclaration d'applicabilité sont des documents fondamentaux quand un organisme tend à instaurer une politique et des procédures en terme de sécurité de l'information. Ce module détaille les attentes de la norme ISO/CEI 27001 en terme de documents nécessaires à la conformité du SMSI.

4

MODULE N°5 : NOTIONS DE MISE EN ŒUVRE D'UN SMSIRéaliser une analyse des écarts entre la norme et l’état actuel de l’organisme, définir des indicateurs de performance ou encore mettre en œuvre une gestion documentaire sont des éléments exigés par la norme ISO/CEI 27001. Ces différents processus sont introduits dans ce module afin de permettre une première compréhension globale du SMSI.

5

MODULE N°6 : NOTIONS TECHNIQUES INDISPENSABLES POUR UN SMSIDMZ, chiffrement, journaux de logs, ou encore VLAN: Parce que nombreux sont nos apprenants avec un background technique variable, ce module permet de se familiariser avec des notions qui peuvent sembler simples, mais essentielles, à l'audit ou l'implémentation d'un SMSI conforme et fonctionnel lors de contrôles de sécurité.

6

AGENDA & INFOPARCOURS E-LEARNING AVEC HTS

ÉTAPE SUIVANTE

PRÉSENTATION DE LA CARTE BANCAIREMODULE 12 CG 1-1 DESCRIPTION GÉNÉRALE DE LA CARTE BANCAIRE À PUCE

ÉTAPE SUIVANTE

1MOIS AVANTLA FORMATION

3

VOTRE PARCOURS E-LEARNINGen complément de la formation présentiel le

EXCLUSIVITÉ HTS

FORMATIONSCERTIFIANTESLSTI

ACTU

Une exclusivité HTS

RETROUVEZ TOUTES LES FORMATIONSHTS SUR NOTRE SITE WEB :

www.hts-expert.com

POURQUOI L’E-LEARNING?Dans le cadre des formations certifiantes, il est prévu un minimum de 20 à 40 heures de cours en présentiel selon le type de formation. L’examen LSTI est systématiquement organisé immédiatement en fin de session, ce qui concentre l’apprentissage sur seulement quelques jours. Fort de ce constat, les experts d’HTS ont imaginé une solution e-learning qui permettrait aux stagiaires de se familiariser avec le sujet

du Système de Management de la Sécurité de l’Information, en amont du stage habituel. Ces derniers disposent donc d’une approche ludique et interactive du SMSI, disponible un mois avant la formation, leur permettant d’appréhender les cours et l’examen dans des conditions plus confortables.

2

L’E-LEARNING SMSI

SMSI : Système de Management de la Sécurité de l’Information tel qu’il estd’écrit dans la norme ISO/CEI 27001

MODULE N°1 : NOTIONS DE SYSTÈME DE MANAGEMENT DE LA SÉCURITÉ DE L'INFORMATIONLe Système de Management de la Sécurité de l'Information est un projet d'envergure et complexe: il est nécessaire d'en comprendre l'utilité et les avantages que peuvent en tirer chaque service avant de se lancer dans la conception d'un tel système de management.

MODULE N°2 : LA FAMILLE ISO/CEI 27000L'Organisation Internationale de Normalisation a créé une série de normes en collaboration avec le CEI afin de cadrer et détailler les différents processus organisationnels et techniques en termes de sécurité de l’information : des définitions du langage propre à ces normes, à la mise en œuvre du SMSI, ou encore à l’audit de ces systèmes de management, chaque norme a son utilité et est expliquée dans ce module.

MODULE N°3 : LA NORME ISO 27001La norme ISO 27001 formalise et spécifie les exigences en terme de Système de Management de la Sécurité de l'Information: Il est primordial de connaitre cette norme dans les moindres détails pour auditer ou implémenter un SMSI conforme à la présente norme.

Le parcours initial est composé de 6 modules de 20 minutes environ, soit approximativement 2 H de cours.

LES MODULES E-LEARNING SUR LE SMSI

1

2

3

MODULE N°4 : LES DOCUMENTS CLÉ D'UN SMSIPolitique du SMSI, PSSI, appréciation des risques ou encore déclaration d'applicabilité sont des documents fondamentaux quand un organisme tend à instaurer une politique et des procédures en terme de sécurité de l'information. Ce module détaille les attentes de la norme ISO/CEI 27001 en terme de documents nécessaires à la conformité du SMSI.

4

MODULE N°5 : NOTIONS DE MISE EN ŒUVRE D'UN SMSIRéaliser une analyse des écarts entre la norme et l’état actuel de l’organisme, définir des indicateurs de performance ou encore mettre en œuvre une gestion documentaire sont des éléments exigés par la norme ISO/CEI 27001. Ces différents processus sont introduits dans ce module afin de permettre une première compréhension globale du SMSI.

5

MODULE N°6 : NOTIONS TECHNIQUES INDISPENSABLES POUR UN SMSIDMZ, chiffrement, journaux de logs, ou encore VLAN: Parce que nombreux sont nos apprenants avec un background technique variable, ce module permet de se familiariser avec des notions qui peuvent sembler simples, mais essentielles, à l'audit ou l'implémentation d'un SMSI conforme et fonctionnel lors de contrôles de sécurité.

6

AGENDA & INFOPARCOURS E-LEARNING AVEC HTS

ÉTAPE SUIVANTE

PRÉSENTATION DE LA CARTE BANCAIREMODULE 12 CG 1-1 DESCRIPTION GÉNÉRALE DE LA CARTE BANCAIRE À PUCE

ÉTAPE SUIVANTE

1MOIS AVANTLA FORMATION

3

VOTRE PARCOURS E-LEARNINGen complément de la formation présentiel le

EXCLUSIVITÉ HTS

FORMATIONSCERTIFIANTESLSTI

ACTU

Une exclusivité HTS

RETROUVEZ TOUTES LES FORMATIONSHTS SUR NOTRE SITE WEB :

www.hts-expert.com

POURQUOI L’E-LEARNING?Dans le cadre des formations certifiantes, il est prévu un minimum de 20 à 40 heures de cours en présentiel selon le type de formation. L’examen LSTI est systématiquement organisé immédiatement en fin de session, ce qui concentre l’apprentissage sur seulement quelques jours. Fort de ce constat, les experts d’HTS ont imaginé une solution e-learning qui permettrait aux stagiaires de se familiariser avec le sujet

du Système de Management de la Sécurité de l’Information, en amont du stage habituel. Ces derniers disposent donc d’une approche ludique et interactive du SMSI, disponible un mois avant la formation, leur permettant d’appréhender les cours et l’examen dans des conditions plus confortables.

2

L’E-LEARNING SMSI

SMSI : Système de Management de la Sécurité de l’Information tel qu’il estd’écrit dans la norme ISO/CEI 27001

Conférence sécurité du Cloud et protection des donnéesLes technologies intelligentes sont de plus en plus présentes dans notre vie de tous les jours. Elles ont apporté des changements considérables dans la façon dont les organisations et les consommateurs interagissent.

Qu’il s’agisse de nouvelles stratégies de croissance, d’innovations, des dernières tendances, vous obtiendrez de nouveaux éclairages sur les stratégies clé du domaine en assistant à la 28ème Conférence CARTES Secure Connexions le mardi 19 novembre 2013 au salon CARTE à Paris (cf. page 7)

Formation HTS « Sécurité du Cloud Computing »La formation a pour objectif de faire connaître l’ensemble des risques liés au cloud computing, d’analyser ces risques afin de les hiérarchiser, et enfin de donner aux stagiaires des solutions de sécurisation et des bonnes pratiques. A l’issue de la formation, les stagiaires auront les éléments pour choisir, utiliser, ou proposer une solution de cloud computing sécurisée. La méthode pédagogique retenue consiste à commencer par aborder les sujets les plus

techniques, afin de poser les bases du cloud computing, puis à prendre, au fil de la formation, de plus en plus de recul. Les sujets de sécurité organisationnelle sont ainsi traités à la suite des sujets techniques, pour enfin terminer sur les thèmes juridiques. Chaque thème est présenté par un consultant spécialiste du sujet. De nombreux exercices, permettant de mettre en pratique les connaissances, sont proposés aux stagiaires tout au long de la formation.

54

DOSSIER

14:0014:30

16:0016:30

16:3017:00

14:3015:00

15:0015:30

15:3016:00

PROTECTION DES DONNÉES PERSONNELLES DANS LE "CLOUD": UTILISER LES CONTRATS COMME OUTILS DE GESTION Mme Bénédicte DELEPORTE - Avocat - Deleporte Wentz Avocat, France

SÉCURITÉ DANS LE CLOUD : RÈGLES ET BONNES PRATIQUES M. Patrick DUBOYS - Directeur Grands Comptes - SSL-Europa, France

SÉCURITÉ DANS LE CLOUD DANS UN CONTEXTE DE CYBER MENACES M. Michael OSBORNE - Directeur du Groupe de Recherche Sécurité et Protection de la Vie Privée IBM Research, Suisse

MESSAGERIE SÉCURISÉE DANS LE CLOUD Mme Silke KRUEGER - Responsable Marketing - Giesecke & Devrient, Allemagne

UN TOKEN PERSONNEL POUR UN ACCÈS SÉCURISÉ À DES SERVICES "CLOUD" M. Carsten RUST - Directeur des Projets de R&D - Morpho, Allemagne

FORMATION HTSSÉCURITÉ DU CLOUD COMPUTING

À PARIS

Sécurité des Systèmes d’information

Monétique

Expertise Judiciaire

Sécurité Physique

4 pôles de compétencescomplémentaires

EchangeTransactionnels

ExpertiseJudiciaires

Personnes &Patrimoines

login Mot de pass

Qui sommes nous ?Accueil Formation ContactNos offres

Accueil

Qui somme nous?

High Tech Security

Présentation

Les dirigeants

Nos partenaires

Nos OffresAudit

Conseil

Certification PCI-DSS

Formation

FormationAgenda des formations

Actualités ContactActualités hts High Tech Security

Campus Effiscience8 rue Léopold Sédar Senghor14460 Colombelles

Tél . +33(0)2 14 74 70 20Fax . +33(0)2 14 74 70 20

inscription à la newsletter

Nous suivre

Certifiantes

Qualifiantes

E-learning

Le Groupe HTS se positionne comme l'interlocuteur de référence des prestations liées à la sécurité du Système d'Information des entreprises et des collectivités locales...

En Savoir +

Systémesd’informations

Actualités

Rendez-vous sur l’agenda des formations : www.hts-expert.com

LA SÉCURITÉ DANS LE CLOUD

Sources : fr.cartes.com

Conférence sécurité du Cloud et protection des donnéesLes technologies intelligentes sont de plus en plus présentes dans notre vie de tous les jours. Elles ont apporté des changements considérables dans la façon dont les organisations et les consommateurs interagissent.

Qu’il s’agisse de nouvelles stratégies de croissance, d’innovations, des dernières tendances, vous obtiendrez de nouveaux éclairages sur les stratégies clé du domaine en assistant à la 28ème Conférence CARTES Secure Connexions le mardi 19 novembre 2013 au salon CARTE à Paris (cf. page 7)

Formation HTS « Sécurité du Cloud Computing »La formation a pour objectif de faire connaître l’ensemble des risques liés au cloud computing, d’analyser ces risques afin de les hiérarchiser, et enfin de donner aux stagiaires des solutions de sécurisation et des bonnes pratiques. A l’issue de la formation, les stagiaires auront les éléments pour choisir, utiliser, ou proposer une solution de cloud computing sécurisée. La méthode pédagogique retenue consiste à commencer par aborder les sujets les plus

techniques, afin de poser les bases du cloud computing, puis à prendre, au fil de la formation, de plus en plus de recul. Les sujets de sécurité organisationnelle sont ainsi traités à la suite des sujets techniques, pour enfin terminer sur les thèmes juridiques. Chaque thème est présenté par un consultant spécialiste du sujet. De nombreux exercices, permettant de mettre en pratique les connaissances, sont proposés aux stagiaires tout au long de la formation.

54

DOSSIER

14:0014:30

16:0016:30

16:3017:00

14:3015:00

15:0015:30

15:3016:00

PROTECTION DES DONNÉES PERSONNELLES DANS LE "CLOUD": UTILISER LES CONTRATS COMME OUTILS DE GESTION Mme Bénédicte DELEPORTE - Avocat - Deleporte Wentz Avocat, France

SÉCURITÉ DANS LE CLOUD : RÈGLES ET BONNES PRATIQUES M. Patrick DUBOYS - Directeur Grands Comptes - SSL-Europa, France

SÉCURITÉ DANS LE CLOUD DANS UN CONTEXTE DE CYBER MENACES M. Michael OSBORNE - Directeur du Groupe de Recherche Sécurité et Protection de la Vie Privée IBM Research, Suisse

MESSAGERIE SÉCURISÉE DANS LE CLOUD Mme Silke KRUEGER - Responsable Marketing - Giesecke & Devrient, Allemagne

UN TOKEN PERSONNEL POUR UN ACCÈS SÉCURISÉ À DES SERVICES "CLOUD" M. Carsten RUST - Directeur des Projets de R&D - Morpho, Allemagne

FORMATION HTSSÉCURITÉ DU CLOUD COMPUTING

À PARIS

Sécurité des Systèmes d’information

Monétique

Expertise Judiciaire

Sécurité Physique

4 pôles de compétencescomplémentaires

EchangeTransactionnels

ExpertiseJudiciaires

Personnes &Patrimoines

login Mot de pass

Qui sommes nous ?Accueil Formation ContactNos offres

Accueil

Qui somme nous?

High Tech Security

Présentation

Les dirigeants

Nos partenaires

Nos OffresAudit

Conseil

Certification PCI-DSS

Formation

FormationAgenda des formations

Actualités ContactActualités hts High Tech Security

Campus Effiscience8 rue Léopold Sédar Senghor14460 Colombelles

Tél . +33(0)2 14 74 70 20Fax . +33(0)2 14 74 70 20

inscription à la newsletter

Nous suivre

Certifiantes

Qualifiantes

E-learning

Le Groupe HTS se positionne comme l'interlocuteur de référence des prestations liées à la sécurité du Système d'Information des entreprises et des collectivités locales...

En Savoir +

Systémesd’informations

Actualités

Rendez-vous sur l’agenda des formations : www.hts-expert.com

LA SÉCURITÉ DANS LE CLOUD

Sources : fr.cartes.com

6

À LA UNE

SALON CARTESECURE CONNEXIONS EVENT 2013

Solutions sécurisées pour le paiement, identi�cation et mobilité

Quels sont les avantages des solutions Cloud REX ROTARY ?

Qu’entendez-vous par Cloud Hybride ?

Vincent ANQUETILResponsable Consultant

Tél : 02 31 52 50 30 Port : 06 32 54 14 88Mail : vincent.anquetil@rex-rotary.fr

CARTES, Secure Connexions Event 2013 est l’événement complet (salon, conférences, trophées) dédié entièrement aux Solutions Sécurisées pour le Paiement, l'Identification et la Mobilité. En intégrant toute sa chaîne de valeur, CARTES Secure Connexions est le seul événement permettant des synergies globales à un niveau humain et technologique, qui vous permettent de conclure des affaires et des partenariats.

Le Brésil a été désigné comme pays invité d'honneur pour le Salon CARTES Secure Connexions 2013, pour mettre l'accent sur le dévelop-pement des smart technologies dans le pays, une conférence présidée par Smart Card Alliance Latin America se tiendra le 21 novembre de 9h30 à 12h30 et portera sur le sujet suivant : « Building trust in mobile life», le thème principal de CARTES Secure Connexions 2013. Avant ce rendez-vous majeur pour le salon, CARTES décrit la situation actuelle des innovations dans les smart technologies au Brésil. Avec une population de plus de 180 millions d’habitants et une croissance économique durable, le Brésil offre de nombreuses opportunités pour l'industrie des cartes à puce. La demande de services à valeur ajoutée, la migration EMV, et les projets d'identification assurent la croissance du marché dans ce pays, le plus grand d’Amérique latine.

Le Brésil, Pays à l’honneur  

Infos pratiques :CARTES SECURE CONNEXIONS EVENT 2013 Parc des Expositions de Paris-Nord Villepintedu 19 au 21 Novembre 2013.

Retrouvez toutes les infos sur le site web :HTTP://FR.CARTES.COM

7

Le transfert de compétences est apprécié par le client utilisa-teur, les ressources matérielles sont gérées par le prestataire externe, ce qui permet de soulager les équipes en charge du réseau ou à défaut, d’ouvrir la possibilité d’accès à certains types de services. Pour illustrer, les PME et TPE n’ont que très rarement accès à des outils de mobilité et de protection fiable des données. La gestion en interne de ce genre de possibilités implique un équipement lourd à gérer (compétences requises) et des investissements conséquents (serveur, licences TSE, …) Nos solutions de gestion de Cloud permettent un accès à l’ensemble des données de la structure en s’appuyant sur les ressources matérielles déjà en place.

Les services Cloud « classiques » sont généralement mis en place pour une volumétrie définie. L’évolution exponentielle des besoins en capacité de stockage devient un vrai défi en terme de sécurité informatique et un vrai « casse-tête » pour les équipes en charge de l’administration des réseaux. De plus, nombres de structures peuvent faire le choix de conserver les applications et données « critiques » au sein de leurs locaux afin de pallier à une défaillance du FAI. Pour répondre à ces exigences, notre gamme intègre des systèmes 100% autonomes, à volumétrie élevée. Ces solutions, lauréates du concours de l’innovation TIC 2012, se présentent sous forme

d’un serveur de document réseau, solidaire d’un caisson ignifu-gé installé dans les locaux du client. Les bénéfices sont multi-ples : disponibilité optimale, système de détection des pannes de disques durs, remontée des informations du parc informa-tique, sécurisation par encryptions au sein d’un caisson approu-vé par les services du SDIS (certificat de résistance en cas de dégât des eaux, incendie, vandalisme) .Comment se faire conseiller sur la solution la plus adaptée ? Dans le cadre du programme « transition numérique », vous pouvez-nous contacter pour établir un audit gratuit.

Nous retrouvons le même genre de problématiques sur la sécurité des données : les sauvegardes sont peu ou pas effec-tuées, des tests de restauration ne sont quasiment jamais faits, les données ne sont pas cryptées, et le processus de sauve-garde implique de manière régulière une intervention humaine. Notre large gamme REX ROTARY SECURITY nous permet de mettre en avant des solutions simples d’externalisa-tion de données jusqu’à la mise en place de Cloud privé.

LE CLOUD HYBRIDE VU PAR REX ROTARY

DOSSIER

interview de : Vincent ANQUETIL Rex Rotary Security

Sources : fr.cartes.com

6

À LA UNE

SALON CARTESECURE CONNEXIONS EVENT 2013

Solutions sécurisées pour le paiement, identi�cation et mobilité

Quels sont les avantages des solutions Cloud REX ROTARY ?

Qu’entendez-vous par Cloud Hybride ?

Vincent ANQUETILResponsable Consultant

Tél : 02 31 52 50 30 Port : 06 32 54 14 88Mail : vincent.anquetil@rex-rotary.fr

CARTES, Secure Connexions Event 2013 est l’événement complet (salon, conférences, trophées) dédié entièrement aux Solutions Sécurisées pour le Paiement, l'Identification et la Mobilité. En intégrant toute sa chaîne de valeur, CARTES Secure Connexions est le seul événement permettant des synergies globales à un niveau humain et technologique, qui vous permettent de conclure des affaires et des partenariats.

Le Brésil a été désigné comme pays invité d'honneur pour le Salon CARTES Secure Connexions 2013, pour mettre l'accent sur le dévelop-pement des smart technologies dans le pays, une conférence présidée par Smart Card Alliance Latin America se tiendra le 21 novembre de 9h30 à 12h30 et portera sur le sujet suivant : « Building trust in mobile life», le thème principal de CARTES Secure Connexions 2013. Avant ce rendez-vous majeur pour le salon, CARTES décrit la situation actuelle des innovations dans les smart technologies au Brésil. Avec une population de plus de 180 millions d’habitants et une croissance économique durable, le Brésil offre de nombreuses opportunités pour l'industrie des cartes à puce. La demande de services à valeur ajoutée, la migration EMV, et les projets d'identification assurent la croissance du marché dans ce pays, le plus grand d’Amérique latine.

Le Brésil, Pays à l’honneur  

Infos pratiques :CARTES SECURE CONNEXIONS EVENT 2013 Parc des Expositions de Paris-Nord Villepintedu 19 au 21 Novembre 2013.

Retrouvez toutes les infos sur le site web :HTTP://FR.CARTES.COM

7

Le transfert de compétences est apprécié par le client utilisa-teur, les ressources matérielles sont gérées par le prestataire externe, ce qui permet de soulager les équipes en charge du réseau ou à défaut, d’ouvrir la possibilité d’accès à certains types de services. Pour illustrer, les PME et TPE n’ont que très rarement accès à des outils de mobilité et de protection fiable des données. La gestion en interne de ce genre de possibilités implique un équipement lourd à gérer (compétences requises) et des investissements conséquents (serveur, licences TSE, …) Nos solutions de gestion de Cloud permettent un accès à l’ensemble des données de la structure en s’appuyant sur les ressources matérielles déjà en place.

Les services Cloud « classiques » sont généralement mis en place pour une volumétrie définie. L’évolution exponentielle des besoins en capacité de stockage devient un vrai défi en terme de sécurité informatique et un vrai « casse-tête » pour les équipes en charge de l’administration des réseaux. De plus, nombres de structures peuvent faire le choix de conserver les applications et données « critiques » au sein de leurs locaux afin de pallier à une défaillance du FAI. Pour répondre à ces exigences, notre gamme intègre des systèmes 100% autonomes, à volumétrie élevée. Ces solutions, lauréates du concours de l’innovation TIC 2012, se présentent sous forme

d’un serveur de document réseau, solidaire d’un caisson ignifu-gé installé dans les locaux du client. Les bénéfices sont multi-ples : disponibilité optimale, système de détection des pannes de disques durs, remontée des informations du parc informa-tique, sécurisation par encryptions au sein d’un caisson approu-vé par les services du SDIS (certificat de résistance en cas de dégât des eaux, incendie, vandalisme) .Comment se faire conseiller sur la solution la plus adaptée ? Dans le cadre du programme « transition numérique », vous pouvez-nous contacter pour établir un audit gratuit.

Nous retrouvons le même genre de problématiques sur la sécurité des données : les sauvegardes sont peu ou pas effec-tuées, des tests de restauration ne sont quasiment jamais faits, les données ne sont pas cryptées, et le processus de sauve-garde implique de manière régulière une intervention humaine. Notre large gamme REX ROTARY SECURITY nous permet de mettre en avant des solutions simples d’externalisa-tion de données jusqu’à la mise en place de Cloud privé.

LE CLOUD HYBRIDE VU PAR REX ROTARY

DOSSIER

interview de : Vincent ANQUETIL Rex Rotary Security

Sources : fr.cartes.com

HTS France2 rue Paul Louis Halley14120 Mondeville

HTS InternationalSquare de Meeûs 401000 Bruxelles - Belgique

Tél +33 (0)2 14 74 70 20Fax +33 (0)2 14 74 70 21www.hts-expert.com

ZOOM

PCI DSS 3.0UNE ÉVOLUTION MAIS PAS UNE RÉVOLUTION

HTS et PCI DSS

Version 3 : Education et mise en place de politiques

Echéance 2014

Le standard PCI DSS (Payment Card Industry Data Security Standard) s’adresse aux organismes qui capturent, transportent, stockent et/ou traitent des données de cartes bancaires. En tant que QSA habilités par le PCI Council, les experts d’HTS accompagnent les organismes en vérifiant l’ensemble des points de contrôles relatifs aux systèmes d’information d’un point de vue technique mais également organisationnel.

PCI DSS en version 3.0 sera publié en novembre et applicable en janvier 2014, mais les organismes conformes à PCI DSS 2.0 auront un an pour se conformer à la nouvelle norme.

Egalement, la nouvelle norme permettra d'obtenir plus de clarté en terme de contrôles et de mise en conformité avec l'ajout d'une troisième colonne: des exemples de risques concrets que le contrôle de sécurité tend à combler.

Finalement, les principaux changements seront axés sur les mots de passe qui incluent l'option d'utiliser des passphrases d'au moins 7 caractères, des exigences plus strictes en terme de tests d'intrusion ou encore le Cloud, avec un accent sur la définition des responsabilités des différentes parties.

PCI DSS, actuellement en version 2, est désormais en développement pour sa version 3.0. La nouvelle version de ce standard en terme de sécurité des données bancaires sera plus axé sur l'éducation et la mise en place de politiques, plutôt que la mise en conformité avec la norme.

Troy Leach, Chief Technology Officer du PCI Security Standard Council, a expliqué que l'objectif de cette nouvelle version permettra de vérifier qu'un processus est sécurisé, et non que la technologie pour le sécuriser est en place. En effet, avec un audit annuel, celui-ci espère qu'avec ces changements, l'organisme certifié régularisera ses processus de contrôle.

Sources : www.eweek.com - by Sean Mickael Kerner - traduction des textes par : Romain Rousseau Consultant sécurité HTS