New video from iCode Security Awareness Series 1 - Episode 1
lundi 9 mai 2016
lundi 2 mai 2016
Présentation de iCode Information Security
Nouvelle vidéo de présentation générale de iCode.
Security is not an option!
jeudi 21 avril 2016
iCode Enterprise Security Architecture Framework
La
sécurité du système
d’information est conçue afin de protéger
les actifs de l’entreprise. Le principal atout au sein d’une entreprise étant son système
d’information, si celui-ci
est compromis d’une quelconque façon,
il y aura une certaine forme d'impact voire des dommages
sur les affaires de l’entreprises.
Les avantages offerts par
la sécurité du système d'information nécessitent des investissements en temps,
efforts et argent. Investir dans la sécurité peut souvent être difficile à
justifier face à d'autres investissements. Mais la vraie valeur d’un actif
n’est parfois comprise et appréciée que si une fois un incident ait lieu.
La proposition de valeur
de la sécurité du système d'information doit prendre en compte et soutenir la
stratégie de l'entreprise.
Les processus de sécurité
sont la base sur laquelle la sécurité du système d'information repose pour son
efficacité et la réactivité aux incidents. Les processus de sécurité doivent
être définis, être ratifié par les structures de gouvernance pertinentes et
être continuellement mûris.
L'acquisition de
technologies de sécurité doit être considérée comme un moyen de soutenir et
d'automatiser les processus de sécurité définis. Bien qu'un certain nombre de
technologies aient besoin d’être mis en œuvre immédiatement, beaucoup de
technologies plus sophistiquées doivent être acquise une fois que tous les
autres aspects organisationnels aient été abordés de manière adéquate (par
exemple l'organisation, les personnes, les processus et la stratégie
d'entreprise).
La sécurité du système d'information ne peut être entreprise comme un rôle à temps partiel au sein de l'organisation. La gestion efficace de la sécurité de l'information exige souvent des changements à la structure organisationnelle ainsi que la création des rôles et des postes de travail. Cette structure organisationnelle doit refléter le contexte de l’entreprise et doit également inclure un niveau de séparation des fonctions permettant de fournir les garanties, freins et contrepoids nécessaires.
La sécurité du système d'information ne peut être entreprise comme un rôle à temps partiel au sein de l'organisation. La gestion efficace de la sécurité de l'information exige souvent des changements à la structure organisationnelle ainsi que la création des rôles et des postes de travail. Cette structure organisationnelle doit refléter le contexte de l’entreprise et doit également inclure un niveau de séparation des fonctions permettant de fournir les garanties, freins et contrepoids nécessaires.
Consciente
de tout cela, iCode a développé un cadre innovant appelé « iCode
Enterprise Security Architecture Framework » (ESAF) afin d’aider ses clients à bien
protéger leurs actifs et pour qu’ils ne soient pas vulnérables
aux diverses menaces tout en maîtrisant leurs coûts.
iCode
ESAF aide les
clients à prévenir contre les éventuels dommages aux actifs en construisant des contrôles de sécurité en blocs, une protection multicouche contre les menaces perçues, une organisation
efficace et une stratégie détaillée et rentable de mise en œuvre.
iCode ESAF comprend tous les types de contrôles :
iCode ESAF comprend tous les types de contrôles :
- organisationnels : incluant modèles d’organisation, politique, processus, rôles et responsabilités, procédures, programmes d’éducation, KGO, KPI, etc.
- Informationnels : incluant Modélisations des menaces, Classifications, SLA, etc.
- et techniques : Classifications, Modélisations des menaces, Modélisation de la confiance, standards techniques, services et technologies de sécurité, architecture des contrôles techniques, profils de sécurité, etc.
Nous
développons une architecture de sécurité efficace et prescriptive. Les normes
jouent un rôle très important dans son développement et sa mise en application.
Il existe
trois types de
standards:
· Les standards organisationnels auxquels les processus métiers
doivent se conformer,
· Les standards techniques auxquels les produits et leurs
implémentations doivent se conformer,
· Les standards produits ce sont les
offres spécifiques que le client a choisis
parmi des produits conformes aux
standards techniques.
Dans
le processus de développement de l’architecture les standards sont adoptés
selon :
·
la Conformité par rapport aux réglementations, politiques et normes en
vigueurs,
·
les Relations avec les standards existants au sein du client,
·
et les directions technologiques en général.
Les
Préférences de standards sont attribuées selon l’ordre suivant :
1. La préférence la plus
élevée est attribuée aux règlementations en vigueurs (de jure). Exemple : loi de commerce électronique,
loi de protection des données privées, loi de protection du dossier patient
médical, loi anti-terroriste, etc.
2. La deuxième préférence est
attribuée aux normes parrainées par des organismes de normalisation (de jure). Exemple : ISO 27001 27002 27005, PCI-DSS,
SAS70, SOX, IEEE, Bale, etc.
3. La deuxième préférence est
attribuée aux normes bénéficiant d'un soutien large au sein du marché (de
facto). Exemple : COBIT5, SABSA, OWASP, CSA, NIST,
TM Forum, etc.
4. La dernière préférence
étant attribuée aux standards propriétaires. Exemple : Cryptage Propriétaire.
Nous développons aussi un guide rentable et détaillée pour la mise en
œuvre de l’organisation, l'acquisition, le déploiement et l'exploitation d’éventuelles technologies
et services de sécurité dans le but
de traiter rapidement les vulnérabilités les plus flagrantes d'abord, puis
de passer en phases prioritaires
d'amélioration continue.
mardi 28 février 2012
iCode & Paloalto Networks ensemble pour présenter
"NEXT GENERATION FIREWALLS & MODERN THREATS"
à l'Hôtel le Concorde - Tunis - 27 Mars 2012
http://www.icodesecurity.com
lundi 27 février 2012
b
iCode et IMPERVA ensemble on présenté une conférence sur « Next Generation
Application & Data Security » le mardi
06/03/2012.
Inscription à :
Articles (Atom)