ITIL ou ISO 27001 : que privilégier ?
Il est désormais impossible de parler sérieusement de sécurité de l’information sans parler de processus. Mais un processus, ça ne s’invente pas du jour au lendemain. Deux approches se sont alors imposées au cours de la dernière décennie : la norme ISO 27001 pour la sécurité du système d’information, et ITIL (IT Infrastructure Library) pour les services informatiques (avec sa version certifiante ISO 20000). Et il ne s’agit pas d’un effet de mode : certaines solutions de sécurité populaires ont probablement été conçues et mises sur le marché en bien moins de temps qu’il n’a fallu pour accoucher de ces deux normes ! ITIL et ISO 27001 sont donc là pour rester, mais peuvent-elles cohabiter ? ITIL serait donc à mettre en oeuvre avant ISO ? Et ensuite parce que ITIL recense, via sa CMDB, les ressources informatiques de l’entreprise. En pratique, cependant, cela peut-être l’inverse. « Cela dépend vraiment du métier de l’entreprise.
Assises de la Sécurité 2011 : La sécurité du cloud de l'appréhension à l'intégration
La question de la sécurité du cloud est toujours importante, mais l'heure n'est plus aux hésitations, mais bien à l'intégration d'outils ou de solutions pour tirer bénéfice de cette branche de l'informatique. Sécurisation de l'hyperviseur, chiffrement des données, utilisation de liens sécurisés, etc. Parmi les nombreux sujets abordés aux assises de la sécurité, le cloud computing est devenu depuis quelques années une problématique récurrente. Cette année, le discours des RSSI et des DSI a un peu changé. Ils ne perçoivent plus le cloud comme une menace sécuritaire, mais comme un atout pour certaines problématiques (stockage de données, environnement de développement, etc.). L'heure est donc à l'accompagnement de cette évolution avec différents outils et solutions, et cela à tous les niveaux. Les hyperviseurs deviennent une cible privilégiée Les hyperviseurs concentrent beaucoup l'attention des constructeurs et des équipementiers. Juniper est sur la même longueur d'onde.
Livres Blancs sur Programmez.com
Livres Blancs | Page d'accueil des Livres Blancs Derniers Livres blancs mis en ligne Superviser le datacenter pour en garder le contrôle - hp et vmware simplifient la gestion des infrastructures convergentesCatégorie : Systèmes-Réseaux Superviser le DATACENTER pour en garder le contrôle Un nombre croissant d’activités dépendent de ressources placées dans le centre de données. Une gouvernance d’infrastructures mixtesL’automatisation permet des économies d’énergieUne industrialisation indispensable pour le cloud HP et VMware simplifient la gestion des infrastructures convergentes. HP OneView, intégré à VMware vCenter, permet aux administrateurs d’industrialiser les services grâce à de nouvelles interactions très simples incluant les serveurs, le stockage et le réseau depuis les représentations virtuelles et physiques de l’infrastructure. Un réel confort de travail pour l’administrateurOneView concrétise la stratégie Software Defined Datacenter d’HPConsulter le livre blanc Aperçu du projet Le Défi
Tout sur le tunnel Ipsec
Cet article présente le fonctionnement du protocole IPsec, qui permet de créer des réseaux privés virtuels de manière conforme aux spécifications de l’IETF. Les services offerts par IPsec et leurs limitations y sont détaillés, de même que les problèmes d’interopérabilité, tant avec d’autres protocoles qu’entre applications différentes. Enfin, quelques implémentations sont présentées, et un rapide aperçu de leur conformité aux standards est donné. 1 – Introduction au protocole IPSec Le protocole IPsec est l’une des méthodes permettant de créer des VPN (réseaux privés virtuels), c’est-à-dire de relier entre eux des systèmes informatiques de manière sûre en s’appuyant sur un réseau existant, lui-même considéré comme non sécurisé. IPsec présente en outre l’intérêt d’être une solution évolutive, puisque les algorithmes de chiffrement et d’authentification à proprement parler sont spécifiés séparément du protocole lui-même. 2 – Les services offerts par IPsec 2.1 – Les deux modes d’échange IPsec
8 modules interactifs d’autoformation sur la sécurité informatique
Le Portail de la Sécurité Informatique (édité par l’Agence Nationale de la Sécurité des Systèmes d’Information) propose d’approfondir ou de rafraîchir des connaissances sur la sécurité informatique grâce à des modules interactifs d’autoformation en libre accès. Ces modules cherchent à couvrir progressivement l’essentiel des thèmes fondamentaux de la sécurité des systèmes d’information. Le portail précise : « Pour permettre un contenu pédagogique riche, ces modules utilisent la technologie Flash. Les tests interactifs des modules d’autoformation nécessitent en outre d’activer JavaScript pour pouvoir fonctionner. Il nous a été rapporté que ces modules ne fonctionnent pas sous Safari. » Parmi les modules d’autoformation intéressants dans un contexte d’apprentissage au sein d’un EPN (espace public numérique) : Authentification La demande d’authentification sur les sites internet, ou sur des systèmes d’information, est systématique. Certificats électroniques Mot de passe Signature numérique
Assises de la sécurité 2011 : les menaces font évoluer le métier de RSSI
Lors de l'évènement monégasque, il a finalement été moins questions des différents types d'intrusions ou de menaces, que de l'évolution du métier de RSSI ou de DSI devant la gestion des risques. Le directeur général de l'Anssi a tancé ces derniers en leur demandant de respecter les besoins fondamentaux. Les 11ème Assises de la sécurité se sont terminées avec finalement beaucoup de discussions sur les politiques et les solutions de sécurité plus que sur les menaces en elles-mêmes. Quelques ateliers se sont focalisés sur certaines intrusions ou méthodes de piratages. Ainsi Fortinet est revenu sur quelques modus operandi comme le test de pénétration : « des clés USB contenant un ver ou un cheval de troie sont disséminées dans le parking d'une entreprise, il y a toujours quelqu'un qui en ramasse une et la met sur son ordinateur », précise Guillaume Louvet, responsable sécurité. Les DDOS ciblent les datacenters
Sécurité - Un certificat SSL volé vise Google
Des pirates ont obtenu un certificat numérique valide pour n'importe quels services de Google à partir d'un fournisseur de certificats néerlandais a expliqué un chercheur en sécurité. Google a indiqué que les utilisateurs iraniens seraient les principales cibles. Un chercheur en sécurité a indiqué qu'un certificat d'authentification pour les sites Google a été volé et probablement utilisé. Les attaques « Man in the middle » pourraient également être lancées au moyen de spam avec des liens menant sur un site qui ressemble au vrai Gmail. Selon Roel Schouwenberg, le certificat SSL (secure socket layer) est valide, et a été émis par DigiNotar, une entreprise de certification néerlandaise. Le chercheur en sécurité et développeur Jacob Applebaum a confirmé lui aussi que le certificat était valide dans une réponse par courriel aux questions de nos confrères de Computerworld, tout comme Moxie Marlinspike chercheur sur SSL qui a posté sur Twitter « Oui, juste vérifié la signature, que pastebin.
[BE] Actualité "Informatique" parue dans les BE