Guide de cybersécurité: pour les prestataires informatiques
Par Yann Pilpré
5/5
()
À propos de ce livre électronique
Il est destiné avant tout aux prestataires informatiques qui souhaitent monter leurs équipes en compétences pour atteindre le niveau adéquat en cybersécurité et répondre aux besoins de leurs clients.
Il est aussi utile pour les responsables informatiques souhaitant se former aux bonnes pratiques de cybersécurité dans leur entreprise.
Yann Pilpré
Yann Pilpré est président de YPSI SAS, entreprise de services numériques spécialisée dans la cybersécurité, la performance, la supervision et "Expert Cyber" depuis 2021. Il a été responsable des systèmes d'informations dans plusieurs structures comme Carl Zeiss, Barry Callebaut, le Parc du Futuroscope et Loeul et Piriot. Il est certifié par l'ESIC en élaboration de politiques de cybersécurité et en gestion des risques des systèmes d'information. Il a aussi contribué à l'élaboration du référentiel de formation Cyber pour les prestataires au sein du Campus Cyber de Nouvelle Aquitaine.
Lié à Guide de cybersécurité
Livres électroniques liés
Guide pour la Sécurité et la Sauvegarde des Ordinateurs Évaluation : 0 sur 5 étoiles0 évaluationLe guide pratique du hacker dans les tests d’intrusion IoT : Le livre indispensable pour identifiez les vulnérabilités et sécurisez vos objets intelligents Évaluation : 0 sur 5 étoiles0 évaluationCybersécurité et RGPD : protégez votre PME: Guide pratique pour sécuriser votre système informatique et vous conformer au RGPD Évaluation : 0 sur 5 étoiles0 évaluationLe secret de la cybersécurité : le guide pour protéger votre famille et votre entreprise de la cybercriminalité Évaluation : 0 sur 5 étoiles0 évaluationLe Guide Rapide Du Cloud Computing Et De La Cybersécurité Évaluation : 0 sur 5 étoiles0 évaluationWireshark pour les débutants : Le guide ultime du débutant pour apprendre les bases de l’analyse réseau avec Wireshark. Évaluation : 0 sur 5 étoiles0 évaluationWiFi hacking avec Kali Linux : le guide complet pour apprendre à pénétrer les réseaux WiFi avec Kali Linux et comment les défendre des hackers Évaluation : 0 sur 5 étoiles0 évaluationLes Essentiels du Piratage Informatique Évaluation : 2 sur 5 étoiles2/5Web hacking : apprenez à tester la sécurité des applications web comme un hacker pro avec kali linux Évaluation : 0 sur 5 étoiles0 évaluationFailles de sécurité et violation de données personnelles Évaluation : 0 sur 5 étoiles0 évaluationLe secret De La Cybersécurité: Le guide pour protéger votre famille et votre entreprise de la cybercriminalité Évaluation : 5 sur 5 étoiles5/5Hacking pour débutants : Le guide complet du débutant pour apprendre les bases du hacking avec Kali Linux Évaluation : 5 sur 5 étoiles5/5Introduction à l'informatique décisionnelle (business intelligence) Évaluation : 0 sur 5 étoiles0 évaluationLa vie dans le cyberespace Évaluation : 0 sur 5 étoiles0 évaluationHacking pour débutant Le guide ultime du débutant pour apprendre les bases du hacking avec Kali Linux et comment se protéger des hackers Évaluation : 0 sur 5 étoiles0 évaluationHacking pour débutant : le guide ultime du débutant pour apprendre les bases du hacking avec kali linux et comment se protéger des hackers Évaluation : 0 sur 5 étoiles0 évaluationISO27001/ISO27002: Un guide de poche Évaluation : 0 sur 5 étoiles0 évaluationWireless Hacking 101: Comment pirater Évaluation : 1 sur 5 étoiles1/5Piraté: Guide Ultime De Kali Linux Et De Piratage Sans Fil Avec Des Outils De Test De Sécurité Évaluation : 0 sur 5 étoiles0 évaluationHacking pour débutant : le guide complet pour débuter en cybersécurité avec Kali Linux et maîtriser l'art du hacking éthique. Évaluation : 0 sur 5 étoiles0 évaluationNeuf étapes vers le succès: Un aperçu de la mise en œuvre de la norme ISO 27001:2013 Évaluation : 0 sur 5 étoiles0 évaluationLe guide du test d'intrusion AD Évaluation : 0 sur 5 étoiles0 évaluationInitiation à l'écosytème Hadoop Évaluation : 5 sur 5 étoiles5/5Python pour les hackers : Le guide des script kiddies : apprenez à créer vos propres outils de hacking Évaluation : 5 sur 5 étoiles5/5Wi-Fi Hacking avec kali linux Guide étape par étape : apprenez à pénétrer les réseaux Wifi et les meilleures stratégies pour les sécuriser Évaluation : 0 sur 5 étoiles0 évaluation
Sécurité pour vous
Piraté: Guide Ultime De Kali Linux Et De Piratage Sans Fil Avec Des Outils De Test De Sécurité Évaluation : 0 sur 5 étoiles0 évaluationLe guide du hacker : le guide simplifié du débutant pour apprendre les bases du hacking avec Kali Linux Évaluation : 5 sur 5 étoiles5/5Hacking pour débutants : Le guide complet du débutant pour apprendre les bases du hacking avec Kali Linux Évaluation : 5 sur 5 étoiles5/5Apprendre Python rapidement: Le guide du débutant pour apprendre tout ce que vous devez savoir sur Python, même si vous êtes nouveau dans la programmation Évaluation : 0 sur 5 étoiles0 évaluationKali Linux pour débutant : Le guide ultime du débutant pour apprendre les bases de Kali Linux. Évaluation : 5 sur 5 étoiles5/5WiFi Hacking : Le guide simplifié du débutant pour apprendre le hacking des réseaux WiFi avec Kali Linux Évaluation : 3 sur 5 étoiles3/5Introduction au Darknet: Darknet 101 Évaluation : 4 sur 5 étoiles4/5Les Essentiels du Piratage Informatique Évaluation : 2 sur 5 étoiles2/5Comment analyser les gens : Introduction à l’analyse du langage corporel et les types de personnalité. Évaluation : 0 sur 5 étoiles0 évaluationPython Offensif : Le guide du débutant pour apprendre les bases du langage Python et créer des outils de hacking. Évaluation : 0 sur 5 étoiles0 évaluationPython pour les hackers : Le guide des script kiddies : apprenez à créer vos propres outils de hacking Évaluation : 5 sur 5 étoiles5/5Réseau Anonyme Tor 101: Une Introduction à la Partie la Plus Privée de l'Internet Évaluation : 2 sur 5 étoiles2/5Dark Python : Apprenez à créer vos outils de hacking. Évaluation : 3 sur 5 étoiles3/5Web hacking: apprenez à tester la sécurité des applications web comme un hacker pro avec kali linux Évaluation : 0 sur 5 étoiles0 évaluationBig data à l'âge Petabyte: l'Homo numericus sera-t-il libre ? Évaluation : 0 sur 5 étoiles0 évaluationWireless Hacking 101: Comment pirater Évaluation : 1 sur 5 étoiles1/5Wireshark pour les débutants : Le guide ultime du débutant pour apprendre les bases de l’analyse réseau avec Wireshark. Évaluation : 0 sur 5 étoiles0 évaluationCybercriminalité: Menaces Liées à La Navigation sur Internet et aux Réseaux Sociaux Évaluation : 5 sur 5 étoiles5/5WiFi hacking avec Kali Linux : le guide complet pour apprendre à pénétrer les réseaux WiFi avec Kali Linux et comment les défendre des hackers Évaluation : 0 sur 5 étoiles0 évaluationWi-Fi Hacking avec kali linux Guide étape par étape : apprenez à pénétrer les réseaux Wifi et les meilleures stratégies pour les sécuriser Évaluation : 0 sur 5 étoiles0 évaluationCertificat De Sécurité TLS/SSL Sous Linux Évaluation : 0 sur 5 étoiles0 évaluationPython pour les hackers : guide pratique pour créez des outils de test de pénétration puissants Évaluation : 0 sur 5 étoiles0 évaluationCloud, IoT, Cuivre, Cyber : 4 enjeux numériques qui vont dessiner le futur des entreprises Évaluation : 0 sur 5 étoiles0 évaluationNeuf étapes vers le succès: Un aperçu de la mise en œuvre de la norme ISO 27001:2013 Évaluation : 0 sur 5 étoiles0 évaluation
Avis sur Guide de cybersécurité
1 notation1 avis
- Évaluation : 5 sur 5 étoiles5/5livre presque parle de touts les volets , pour comprendre les en enjeux et gagner du temps
Aperçu du livre
Guide de cybersécurité - Yann Pilpré
LE GUIDE DE LA CYBERSÉCURITÉ
POUR LES
PRESTATAIRES INFORMATIQUES
Préface de Guy Flament
Tous droits de reproduction, d’adaptation et de traduction, intégralement réservés pour tous les pays.
L’auteur est seul propriétaire des droits et responsable du contenu de cet ouvrage.
Le Code de la propriété intellectuelle et artistique n'autorisant, aux termes des alinéas 2 et 3 de l'article L.122-5, d'une part, que les copies ou reproductions strictement réservées à l'usage privé du copiste et non destinées à une utilisation collective
et, d'autre part, que les analyses et les courtes citations dans un but d'exemple et d'illustration, toute représentation ou reproduction intégrale, ou partielle, faite sans le consentement de l'auteur ou de ses ayants droit ou ayants cause, est illicite
(alinéa 1er de l'article L. 122-4). Cette représentation ou reproduction, par quelques procédés que ce soit, constituerait donc une contrefaçon sanctionnée par les articles L. 335-2 et suivants du Code de la propriété intellectuelle.
© 2023 Yann PILPRÉ
Tous droits réservés
ISBN : 978-2-3224-7984-9
Édition : BoD – Books on Demand, Norderstedt
À propos de l’auteur
Yann PILPRÉ est président de YPSI SAS, entreprise de services numériques spécialisée dans la cybersécurité, la performance, la supervision et Expert Cyber
depuis 2021. Il a été successivement responsable des systèmes d’information dans plusieurs structures comme Carl Zeiss, Barry Callebaut, Le Parc du Futuroscope puis Loeul et Piriot.
Il est certifié par l’ESIC en élaboration de politiques de cybersécurité et de l’ESCP en pilotage de projets innovants. Yann a aussi contribué à la réalisation du Référentiel de Compétences Cyber pour les Prestataires au sein d’un groupe de travail du Campus Régional de Cybersécurité et de Confiance Numérique de Nouvelle-Aquitaine.
PRÉFACE
Nul ne le conteste, les enjeux de cyberdéfense relèvent de la compétence régalienne de l’État. Est-ce à dire qu’il doit faire face, seul, à la menace ? Ayant passé quelques années au sein de l’Agence nationale de sécurité des systèmes d’information, Autorité nationale de défense des systèmes d’information et participé à la mise en œuvre du déploiement des délégué régionaux, je suis depuis longtemps persuadé que nous devons tous être acteur, chacun à notre niveau, de la cybersécurité de nos territoires.
Au premier plan de ces acteurs se trouvent les prestataires informatiques, sur lesquels reposent le plus souvent la sécurité de nos organisations régionales. Organisations sur lesquelles la pression s’est considérablement renforcée, de manière conjointe avec le rehaussement de la protection des plus gros opérateurs. Les attaquants tentent aujourd’hui de remonter la chaîne de sous-traitance en s’attaquant aux maillons les plus faibles.
Dans ce contexte, combiné à l’évolution des outils, techniques et modèles d’attaque, liée à l’industrialisation des moyens mis en œuvre par les groupes d’attaquants, les prestataires informatiques doivent impérativement renforcer leurs compétences en cybersécurité pour protéger notre tissu socio-économique.
Pour les y aider, il semblait essentiel de créer les repères nécessaires, afin de leur offrir un accompagnement vers le développement de ces nouvelles compétences.
C’est dans cet esprit que le Campus Cyber Nouvelle-Aquitaine, avec le GIP ACYMA (Cybermalveillance.gouv.fr), l’AFNOR et le concours de l’ANSSI a publié le référentiel de Compétences Cyber pour les prestataires, en mars 2023.
Complémentaire au référentiel, le présent guide vise à éclairer, avec méthode, le chemin à parcourir. Structuré et concis, il permettra à tous les prestataires de se familiariser avec les principaux concepts et outils nécessaires à l’élévation de la sécurité numérique des organisations qu’ils accompagnent.
Ce guide est le fruit de l’engagement de la société YPSI, membre du Campus cyber Nouvelle-Aquitaine et surtout de son dirigeant, Yann Pilpré, comme moi animé de la volonté de faire de notre région un territoire de confiance numérique.
Guy FLAMENT
Directeur du Campus régional de cybersécurité et de confiance numérique de Nouvelle-Aquitaine.
Présentation du Guide
La pandémie de COVID-19 a conduit les organisations à se transformer rapidement sur le plan numérique. Cependant, cette transition n'a pas toujours été suivie d'une sécurisation adéquate des infrastructures et d'un accompagnement par des prestataires compétents en cybersécurité, surtout dans un contexte géopolitique instable avec des crises économiques importantes.
Pour répondre à cette problématique, la création du label Expert Cyber
a été mise en place par la plateforme cybermalveillance.gouv.fr, permettant aux organisations d'identifier des prestataires qualifiés pour sécuriser leurs systèmes et les assister en cas d'attaque. Malgré cela, la pénurie de compétences en cybersécurité a nécessité la mise en place de nouvelles mesures pour augmenter le nombre de spécialistes dans ce domaine.
Ainsi, établi sur le cadre méthodologique du NIST CSF¹, un référentiel de compétences cyber pour les prestataires, couvrant les cinq activités principales de la cybersécurité et regroupant une cinquantaine de domaines de compétences pour les prestataires s'adressant aux TPE-PME, a été conçu par le Campus régional de cybersécurité et de confiance numérique de Nouvelle-Aquitaine², l’AFNOR³, Le GIP ACYMA⁴ et l’ANSSI⁵.
Les prestataires informatiques peuvent alors faire monter leurs équipes en compétences pour atteindre le niveau adéquat en cybersécurité et répondre aux besoins de leurs clients.
Ce guide va vous permettre d'appréhender la cybersécurité à travers le cadre NIST CSF et ses différentes étapes, mais également aborder la cybersécurité par la pratique dans une vision Attaque/Défense, complétée par un aperçu de la réglementation en France.
Note de Lecture
Le terme "organisation a été préféré à
entreprise" dans l’ouvrage pour faciliter la lecture et l’adaptation aux structures privées, publiques ou associatives.
Le terme "prestataire" dans l’ouvrage désigne un acteur économique qui délivre des services d’intégration, d’installation ou de support dans le domaine informatique pour ses clients.
Certaines informations techniques et juridiques ont pu évoluer depuis la rédaction et la publication de ce guide (avril 2023). Veuillez vous reporter aux informations officielles des organismes ayant autorité sur la cybersécurité en France (ANSSI, CNIL⁶, cybermalveillance.gouv.fr) en cas de doute.
Échelle de Compétences des Prestataires
Maîtriser toute la chaîne de protection en cybersécurité demande un effort important pour le prestataire informatique et ce guide est fait pour vous aider à progresser dans cette démarche. L’objectif étant de vous familiariser avec plusieurs concepts pour atteindre le niveau expérimenté
et vous faire labelliser en tant qu’Expert Cyber
. Cela demandera de la pratique, du temps à consacrer pour vos équipes, mais vous pourrez à l’issue de ce processus justifier de compétences pour sécuriser vos clients et gérer des incidents de cybersécurité
LES EXPERTS CYBER
Les Experts Cyber sont des êtres éclairés,
Experts en défense de l'informatique et du réseau,
Leur vigilance et leur savoir-faire sans égalité,
Font face aux attaques qui se présentent en un écho.
Leurs yeux scrutent les lignes de code avec attention,
Ils détectent les faiblesses avec une acuité redoutable,
Leur connaissance de la sécurité sans concession,
Est un atout majeur pour toute entreprise respectable.
Ils protègent les données, les réseaux et les systèmes,
Contre les menaces qui les guettent à chaque instant,
Leur mission est de garantir la sécurité suprême,
Et d'éviter que les cybercriminels ne soient triomphants.
Ils sont les gardiens de la sécurité informatique,
Les protecteurs de la vie privée et de l'intégrité,
Leur expertise est un rempart contre les attaques maléfiques,
Et leur vigilance permet de garder la sérénité.
1 LE CADRE NIST CSF
Le cadre NIST de cybersécurité (NIST Cybersecurity Framework)⁷ ou NIST CSF est un ensemble de directives et de meilleures pratiques développées par le National Institute of Standards and Technology (NIST) pour aider les organisations à gérer les risques de cybersécurité. Il a été publié pour la première fois en 2014 et a été actualisé en 2021, en intégrant la partie la sécurité de la production logicielle (Software Supply Chain Security)
Le NIST CSF est une référence largement utilisée par les organisations pour évaluer et améliorer leur posture en matière de cybersécurité. Il peut être adapté en fonction des besoins spécifiques de chaque organisation et est applicable à tous les secteurs et tailles d'organisations.
Pour simplifier la lecture, nous utiliserons l’acronyme NIST pour nommer le NIST CSF.
1.1 POURQUOI CHOISIR CETTE MÉTHODE ?
Les principes du NIST sont largement acceptés et reconnus dans le monde de la cybersécurité, ce qui en fait une référence pour les organisations. Le respect de ces principes permet donc de répondre aux attentes et aux exigences des organisations en matière de sécurité. Le respect des principes du NIST permet de garantir une approche systématique et cohérente de la sécurité des systèmes d'information. Cela assure de mettre en place , par le prestataire, des mesures de sécurité efficaces et adaptées aux risques auxquels l'organisation est exposée.
Il assure aussi de se conformer à certaines réglementations en termes de sécurité, telles que le RGPD⁸ ou la directive NIS2⁹ en Europe. Enfin, il renforce la confiance des clients dans le prestataire de services informatiques, ce qui peut conduire à une fidélisation de la clientèle et à une augmentation de la réputation du prestataire ou de l’intégrateur.
Bien qu'il n'existe pas de certification NIST pour les prestataires, il leur est possible de justifier de ses compétences sur ces domaines en se labellisant Expert Cyber
via la plateforme cybermalveillance.gouv.fr par l'AFNOR.
1.1.1 LE LABEL EXPERTCYBER
Le label ExpertCyber
est un programme lancé par