NIS (Network and Information Security)
RGPD (Règlement général sur la protection des données)
PCI DSS (Payment Card Industry Data Security Standard)
ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information)
CNIL (Commission Nationale de l’Informatique et des Libertés)
LPM (Loi de Programmation Militaire)
Nous sommes tous concernés !
Scanner de vulnérabilités : recommandés / obligatoires on vous dit tout !
1. Scanner de vulnérabilités
Pour qui est-il obligatoire ?
Les obligations, les conseils et bonnes pratiques…
Les standards, agences, organisations et lois qui recommandant l’utilisation d’un scanner de vulnérabilités
2. 57% des cyber attaques visant les
entreprises exploitent des vulnérabilités
L’Union Européenne et le
gouvernement ont donc renforcé les
réglementations pour aider les
entreprises à mieux se protéger.
Graphique : Nombres de vulnérabilités en
2016 et 2017 - Securityboulevard.com
3. Les vulnérabilités sont référencées dans la base de données des CVE (Common Vulnerabilities
Exposure). Publiques, elles sont donc connues des hackers. C’est pourquoi agir sur la correction des
vulnérabilités en amont permet aux entreprises de lutter plus efficacement contre les cyberattaques.
Car une fois que la structure est attaquée, il est trop tard!
Graphique : Nombres et
types de vulnérabilités
OWASP Top 10
2014-2017
Securityboulevard.com
Authentication
Access
Control
XXE
Injection
Vulnérabilités : quels vecteurs d’attaques ?
4. Les standards, agences, organisations et lois recommandant l’utilisation d’un scanner de vulnérabilités
NIS
Directive “Network and
Information Security”
Directive européenne entrée
en vigueur le 19 juillet 2016.
Elle prévoit le renforcement
des capacités nationales de
cybersécurité et de la
cybersécurité d’opérateurs
issus de secteurs clés. Elle
établit un cadre formel de
coopération entre Etats
membres.
Réglementations européennes et internationales
RGPD
Règlement général sur la
protection des données
Règlement européen qui
devra être appliqué le 25
mai 2018 sous peine de
sanctions. Il permettra
d’assurer une sécurité
plus rigoureuse des
données utilisateurs en
renforçant leurs droits
ainsi que plus de
crédibilité aux régulations.
PCI DSS
Payment Card Industry Data
Security Standard
Norme de sécurité de l’industrie
des cartes de paiement est un
standard de sécurité des
données pour les principaux
acteurs de paiements (Visa,
MasterCard, American Express,
JCD,...) pour lutter contre les
utilisations frauduleuses des
cartes et offrir plus de sécurité
aux utilisateurs.
5. LPM
Loi de Programmation Militaire
(LPM 2014-2019 du 18/12/2013)
Loi établissant la planification
des dépenses militaires de
l’Etat. Révisée en 2015, elle
prévoit les actions de la nation
en termes de sécurité et
comporte un ensemble de
dispositions concernant la
cyberdéfense et la
cybersécurité.
Les standards, agences, organisations et lois recommandant l’utilisation d’un scanner de vulnérabilités
Réglementations françaises
CNIL
Commission Nationale de
l’Informatique et des Libertés
Autorité indépendante en
matière de protection des
données personnelles. Elle
accompagne les entreprises
dans leur mise en conformité et
sanctionne en cas d’infraction
et d’atteinte aux données
personnelles et libertés
individuelles.
ANSSI
Agence Nationale de la Sécurité
des Systèmes d’Information
L’ANSSI est l’autorité française
de la sécurité des systèmes
d’information. Elle a rédigé le
“guide d’hygiène informatique”
qui est la référence nationale
pour renforcer la sécurité de son
système d’information en
appliquant une liste de 42
mesures.
7. Opérateurs d’importance vitale
(OIV)
Article 22 : “[...] les opérateurs mettent en œuvre des systèmes qualifiés de
détection des événements susceptibles d'affecter la sécurité de leurs systèmes
d'information. [...]”
Chapitre V - Article 16 : “les entreprises doivent assurer le suivi, l’audit, le contrôle
et veiller à la sécurité des systèmes et des installations”
Article 25 - Protection des données dès la conception et protection des données
par défaut
Article 32 - Sécurité du traitement
Article 34 - Communication à la personne concernée d'une violation de données à
caractère personnel
Guide d’hygiène informatique - Mesure 38 : Procéder à des contrôles et audits
de sécurité réguliers puis appliquer les actions correctives associées
Guide la sécurité des données personnelles : Fiche n° 11 - Sécurité des
serveurs et des applications.
LPM
NIS
RGPD
ANSSI
CNIL
Un OIV
Qu’est ce que
c’est ?
Un OIV est une
organisation,
identifiée par l'État
comme ayant des
activités
indispensables ou
dangereuses pour
la population dans
les secteurs de la
santé, l’énergie,
l’industrie, les
transports, les
finances, les
activités militaires
ou judiciaires par
exemple.
8. Banques Assurances
Gestion d’un programme de gestion des vulnérabilités pour les Conditions 2.2 ; 6.1 ; 6.2 ; 6.6 ; 11.2 ; et 12.2.
Article 22 : “[...] les opérateurs mettent en œuvre des systèmes qualifiés de détection des événements
susceptibles d'affecter la sécurité de leurs systèmes d'information. [...]”
Chapitre V - Article 16 : “les entreprises doivent assurer le suivi, l’audit, le contrôle et veiller à la sécurité des
systèmes et des installations”
Article 25 - Protection des données dès la conception et protection des données par défaut
Article 32 - Sécurité du traitement
Article 34 - Communication à la personne concernée d'une violation de données à caractère personnel
Guide d’hygiène informatique - Mesure 38 : Procéder à des contrôles et audits de sécurité réguliers puis
appliquer les actions correctives associées.
Guide la sécurité des données personnelles : Fiche n° 11 - Sécurité des serveurs et des applications.
PCI DSS
LPM
NIS
RGPD
ANSSI
CNIL
9. Ecommerce
Gestion d’un programme de gestion des vulnérabilités pour les Conditions 2.2 ; 6.1 ; 6.2 ; 6.6 ; 11.2 ;
et 12.2.
Article 25 - Protection des données dès la conception et protection des données par défaut
Article 32 - Sécurité du traitement
Article 34 - Communication à la personne concernée d'une violation de données à caractère personnel
Guide d’hygiène informatique - Mesure 38 : Procéder à des contrôles et audits de sécurité réguliers
puis appliquer les actions correctives associées.
Guide la sécurité des données personnelles : Fiche n° 11 - Sécurité des serveurs et des
applications.
PCI DSS
RGPD
ANSSI
CNIL
10. Energie
Article 22 : “[...] les opérateurs mettent en œuvre des systèmes qualifiés de détection des événements
susceptibles d'affecter la sécurité de leurs systèmes d'information. [...]”
Chapitre V - Article 16 : “les entreprises doivent assurer le suivi, l’audit, le contrôle et veiller à la sécurité des
systèmes et des installations”
Article 25 - Protection des données dès la conception et protection des données par défaut
Article 32 - Sécurité du traitement
Article 34 - Communication à la personne concernée d'une violation de données à caractère personnel
Guide d’hygiène informatique - Mesure 38 : Procéder à des contrôles et audits de sécurité réguliers puis
appliquer les actions correctives associées.
Guide la sécurité des données personnelles : Fiche n° 11 - Sécurité des serveurs et des applications.
LPM
NIS
RGPD
ANSSI
CNIL
11. Établissements de santé
Chapitre V - Article 16 : “les entreprises doivent assurer le suivi, l’audit, le contrôle et veiller à la sécurité
des systèmes et des installations”
Article 25 - Protection des données dès la conception et protection des données par défaut
Article 32 - Sécurité du traitement
Article 34 - Communication à la personne concernée d'une violation de données à caractère personnel
Guide d’hygiène informatique - Mesure 38 : Procéder à des contrôles et audits de sécurité réguliers puis
appliquer les actions correctives associées.
Guide la sécurité des données personnelles : Fiche n° 11 - Sécurité des serveurs et des applications.
NIS
RGPD
ANSSI
CNIL
12. Industries
Article 22 : “[...] les opérateurs mettent en œuvre des systèmes qualifiés de détection des événements
susceptibles d'affecter la sécurité de leurs systèmes d'information. [...]”
Article 25 - Protection des données dès la conception et protection des données par défaut
Article 32 - Sécurité du traitement
Article 34 - Communication à la personne concernée d'une violation de données à caractère personnel
Guide d’hygiène informatique - Mesure 38 : Procéder à des contrôles et audits de sécurité réguliers puis
appliquer les actions correctives associées.
Guide la sécurité des données personnelles : Fiche n° 11 - Sécurité des serveurs et des applications.
LPM
RGPD
ANSSI
CNIL
13. Infrastructures numériques
Article 22 : “[...] les opérateurs mettent en œuvre des systèmes qualifiés de détection des événements susceptibles
d'affecter la sécurité de leurs systèmes d'information. [...]”
Chapitre V - Article 16 : “les entreprises doivent assurer le suivi, l’audit, le contrôle et veiller à la sécurité des
systèmes et des installations”
Article 25 - Protection des données dès la conception et protection des données par défaut
Article 32 - Sécurité du traitement
Article 34 - Communication à la personne concernée d'une violation de données à caractère personnel
Guide d’hygiène informatique - Mesure 38 : Procéder à des contrôles et audits de sécurité réguliers puis
appliquer les actions correctives associées.
Guide la sécurité des données personnelles : Fiche n° 11 - Sécurité des serveurs et des applications.
LPM
NIS
RGPD
ANSSI
CNIL
14. Envie de prendre les devants sur les vulnérabilités ?
Découvrez Elastic Detector
FONCTIONNALITÉS AVANCÉES
● Serveurs et réseaux détectés automatiquement
● Interface intuitive
● Scans des vulnérabilités en continu
● Rapport détaillés des failles et solutions de remédiation
● Indicateurs de risque (ANSSI, OWASP et PCI DSS)
NOUVEAUTES 2018
➔ Interface en français
➔ Indicateur de risque RGPD
➔ Amélioration du moteur de scan Web
Testez Elastic Detector
Analysez gratuitement 5 IP pendant 21 jours
15. A vous de jouer !
Des questions ? Contactez-nous
https://secludit.com
16. Sources
Guide de la CNIL : la sécurité des données personnelles
https://www.cnil.fr/sites/default/files/typo/document/Guide_securite-VD.pdf
Guide d’hygiène informatique de l’ANSSI
https://www.ssi.gouv.fr/uploads/2017/01/guide_hygiene_informatique_anssi.pdf
Règlement Européen sur la Protection des Données
https://www.cnil.fr/fr/reglement-europeen-protection-donnees
Industrie des cartes de paiement (PCI) Norme de sécurité des données :
https://fr.pcisecuritystandards.org/_onelink_/pcisecurity/en2frfr/minisite/en/docs/PCI_DSS_v3.pdf
V3.2 2016 => https://fr.pcisecuritystandards.org/_onelink_/pcisecurity/en2frfr/minisite/en/docs/PCI_DSS_v3-2_fr-FR.pdf
Directive NIS (Network and Information Security)
http://eur-lex.europa.eu/legal-content/FR/TXT/HTML/?uri=OJ:L:2016:194:FULL&from=FR
Loi relative à la programmation militaire pour les années 2014 à 2019
https://www.legifrance.gouv.fr/affichTexte.do;jsessionid=F8A2A995D7852785327EF613C9F9DB5C.tplgfr23s_1?cidTexte=JORFTEXT00002833882
5&dateTexte=29990101