L'échec n'est pas envisageable
Les composants essentiels de l'activité de Swift - l'information et la cybersécurité - sont gérés de manière active dans l'ensemble de l'organisation – du niveau du conseil d'administration , du PDG aux postes de direction et aux opérations.

Les mesures visant à protéger la sécurité de l'information de Swift sont étendues. Elles sont destinées à faire face aux situations extrêmes et à empêcher tout accès physique et logique non autorisé qui pourrait entraîner une perte de confidentialité, d'intégrité ou de disponibilité. Nos mesures incluent des contrôles physiques qui protègent nos locaux, et des contrôles logiques qui protègent contre tout accès non autorisé aux données et aux systèmes et qui englobent nos capacités de détection, de réaction et de récupération.

La sécurité physique de nos actifs informatiques et de nos données est assurée : en incorporant les niveaux les plus élevés de protection dans la conception et la construction de nos centres de données conçus spécialement ; en appliquant des contrôles rigoureux sur l'accès à ces sites fondé strictement sur les besoins de l'activité ; et en appliquant des contrôles stricts sur la gestion du matériel et des supports informatiques pendant toute la durée du cycle de vie.

La norme ISO/IEC 27002:2022 est une mise à jour de la norme ISO/IEC 27002:2013 publiée précédemment. Cette référence à la norme de sécurité de l’information est utilisée pour soutenir l’ISO 27001. Cette norme est publiée par l’Organisation internationale de normalisation (ISO) et la Commission internationale de l’électricité (CEI). La norme ISO 27002 est étroitement associée à la norme ISO 27001 en tant qu’ensemble de contrôles de soutien utilisés pour les ISMS et la manière dont les organisations peuvent choisir de les mettre en œuvre.

Il est important de noter que la norme ISO 27002 n’est pas une norme certifiable en soi. Elle sert de point de référence pour les contrôles de la sécurité de l’information, de la cybersécurité et de la protection de la vie privée qui sont fondés sur des normes de bonnes pratiques reconnues au niveau international pour les organisations qui envisagent d’obtenir la certification ISO 27001.

Cerner les principes relatifs au Système de Management de la Continuité d’Activité (SMCA) ;
Connaitre le contenu du Système de Management de la Continuité d’Activité (SMCA) ;
Prendre connaissance de l’essentiel des exigences de la norme 22 301 et l’ISO 31000 ;
Avoir une vue d’ensemble sur les étapes de gestion d’un projet de mise en place du SMCA ;
Savoir réaliser un diagnostic de l’existant et une analyse des écarts éventuels ;
Savoir réaliser un Business Impact Analysis et une appréciation des risques ;
Connaitre le contenu des différents plans (le plan de continuité d’activité, le plan de gestion de crise…) ;
Echanger avec des praticiens sur les bonnes pratiques en relation avec le sujet.

La PSSI constitue le principal document de référence en matière de SSI de l'organisme. Elle en est un élément fondateur définissant les objectifs à atteindre et les moyens accordés pour y parvenir.

La démarche de réalisation de cette politique est basée sur une analyse des risques en matière de sécurité des systèmes d'information.

Après validation par les différents acteurs de la sécurité de l'information de l'organisme, la PSSI doit être diffusée à l'ensemble des acteurs du système d'information (utilisateurs, exploitants, sous-traitants, prestataires…). Elle constitue alors un véritable outil de communication sur l'organisation et les responsabilités SSI, les risques SSI et les moyens disponibles pour s'en prémunir.

La sécurité du système d'information se base traditionnellement sur la mise en œuvre d'infrastructures à clés publiques (Public key infrastructure - PKI).

De l'avis des experts [archive], la mise en œuvre d'une infrastructure à clés publiques dans un monde ouvert n'est pas véritablement efficace sans certaines précautions. Dans les grandes organisations en réseau, il faut intégrer l'analyse de la sécurité des données dans une réflexion plus large sur le cadre juridique et la mise en œuvre de registres de métadonnées.

Par exemple, pour tout ce qui touche aux applications industrielles de la recherche (voir Dictionnaire de métadonnées pour le référentiel des publications CNRS [archive]), une réflexion approfondie s'impose sur l'utilisation du certificat électronique, par rapport aux éléments et raffinements employés.

I.PENTEST : audit de sécurité, redteam, purple team, quelles différences ?
1.Pentest ou test d’intrusion : mettons-nous d’accord
2.Pentest versus audit de sécurité : approche technique ou fonctionnelle
3.Pentest en mode Red Team : en conditions réelles
4.Pentest en mode Purple Team : le collaboratif en action

II.Le Pentest, un outil de réduction des risques
1.La notion de risques en sécurité
2.Le Pentest, une réponse opérationnelle pour votre démarche SSI
3.Les éléments d’un bon rapport d’audit

III.Méthodologie du Pentest
1.Greybox, le nouveau standard du pentest
2.Panorama des outils du Pentester par étape

IV.Le Pentester : qui est-il ? d’où vient-il ?

V.L’état d’esprit de l’auditeur et de l’audité
1.Le Pentest : ni une compétition ni une punition
2.L’échange comme principal facteur clé de succès
3.Audité, comment bien se préparer à un Pentest

VI.Le Pentest, et après ?
1.Le Pentest, un élément indispensable dans une démarche globale de sécurité en constante évolution

Les étapes de la mise en place d’un SMSI conforme à la norme ISO 27001
Une entreprise faisant le choix de la mise en conformité à la norme ISO 27001 de son SMSI devra respecter un certain nombre d’étapes. HeadMind Partners préconise une démarche en huit étapes.

1. Etude d’opportunité
Réaliser un état des lieux des mécanismes de sécurité, identifier les parties intéressées du SMSI et leurs enjeux, afin de réaliser une étude d’opportunité de la mise en conformité. Ces éléments sont à valider obligatoirement par la Direction Générale.

2. Choix du périmètre du SMSI
Définir le périmètre, autrement dit les activités sur lesquelles s’appliquent le SMSI, et justifier le cas échéant les domaines exclus de ce périmètre.

3. Déclaration d’intention
Une fois le périmètre choisi, définir la stratégie de la sécurité de l’information afin d’impulser le projet de mise en conformité. Cette déclaration d’intention se formalise par la Politique de sécurité rédigée et signée par la Direction Générale.

4. Démarche d’analyse de risques
L’entreprise doit identifier les risques sur son périmètre. Pour ce faire, il est nécessaire de choisir une méthode d’évaluation des risques, adaptée au contexte et aux enjeux de l’entreprise.

5. Objectifs de sécurité
Le plan de traitement des risques doit orienter les objectifs de sécurité que souhaite atteindre l’entreprise. En effet, en fonction des risques identifiés, les mesures de sécurité peuvent varier.

Il est dès lors primordial d’organiser des réunions de suivi du projet afin d’optimiser la mise en place de ces mesures d’une part, et de garder la direction impliquée d’autre part.

6. Exploitation du SMSI
L’ensemble des mesures et processus de sécurité doivent vivre selon le modèle de la roue de Deming : Plan, Do, Check, Act.

ISO/IEC 27005 - Gestion des risques liés à la sécurité de l’information
Qu’est-ce que l’ISO/IEC 27005 ?
L'ISO / IEC 27005 fournit les lignes directrices pour l'établissement d'une approche systématique de la gestion des risques liés à la sécurité de l'information laquelle est nécessaire pour identifier les besoins organisationnels en matière de sécurité de l'information et pour créer un système efficace de management de la sécurité de l'information. De plus, cette norme internationale vient en appui des concepts ISO/IEC 27001 et est conçue pour aider à la mise en œuvre efficace de la sécurité de l'information basée sur une approche de gestion des risques.

En quoi la formation ISO/IEC 27005 est cruciale pour vous
L’ISO/IEC 27005 vous permet d'acquérir les compétences et l’expertise nécessaires pour lancer la mise en œuvre d'un processus de management des risques liés à la sécurité de l'information. Elle prouve que vous êtes en mesure d'identifier, d’apprécier, d'analyser, d'évaluer et de traiter les divers risques de sécurité de l'information auxquels font face les organisations. En outre, elle vous donne l’expertise nécessaire pour accompagner les organisations à hiérarchiser leurs risques et d'entreprendre des actions appropriées pour les réduire et les atténuer.

La formation offerte par PECB vous aidera à aligner correctement le système de management de la sécurité de l'information des organisations avec le processus de gestion des risques liés à la sécurité de l'information. De surcroit, une fois les certificats PECB Certified ISO/IEC 27005 obtenus, vous pourrez aider les organisations à améliorer continuellement leurs processus de gestion des risques liés à la sécurité de l'information ce qui assurera la réalisation des objectifs de l'organisation.

Les avantages de la certification ISO/IEC 27005 - Gestion des risques liés à la sécurité de l’information
La certification PECB ISO/IEC 27005 démontre que vous avez :

Obtenu les compétences nécessaires pour accompagner la mise en œuvre efficace d'un processus de gestion des risques liés à la sécurité de l'information au sein d'une organisation
Acquis l'expertise nécessaire pour gérer de façon responsable un processus de gestion des risques liés à la sécurité de l'information et assurer la conformité aux exigences légales et réglementaires
La capacité à gérer une équipe de sécurité de l'information et de management du risque
L’aptitude à aider une organisation à aligner ses objectifs du SMSI sur les objectifs du processus de Gestion des risques liés à la sécurité de l’information (GRSI).
Comment pouvons-nous vous aider à commencer une formation ISO/IEC 27005 ?
L'objectif de la formation PECB ISO / IEC 27005 est de vous aider à acquérir l'expertise nécessaire à la mise en œuvre d'un système de sécurité de l'information basé sur une approche de gestion des risques. Les experts de PECB vous guideront vers l'amélioration de la protection de la sécurité de l'information dans votre organisation.

Contactez-nous pour commencer vos démarches

Les formations certifiantes PECB ISO 27005 actuellement disponibles
Approfondissez vos compétences et votre expertise du système de management de la sécurité de l’information en participant aux formations certifiantes PECB ISO/IEC 27005. En cliquant sur un des liens ci-dessous, vous pourrez trouver la formation qui correspond le mieux à vos aspirations de carrière.

Ce programme a été conçu pour doter les entreprises de connaissances sur les tendances émergentes sur la cybercriminalité, le domaine de la cybersécurité et les répercussions des menaces de cybersécurité sur des institutions et la sécurité nationale en général. Ce cours étudiera le lien entre la cybercriminalité et d'autres crimes transnationaux ainsi que des contre-mesures pour contrer les cyber-menaces. Ce programme dotera les participants d’outils et de techniques permettant de protéger et sécuriser les systèmes ou infrastructures informatiques. Les participants étudieront également les mécanismes de cybergouvernance et les meilleures pratiques.