LA CERTIFICATION
Un événement de l’atelier sécurité
La certification des technologies et des personnes …
… la conformité et la certification des organisations.
Jeudi 6 décembre 2007 à TELECOM Lille1 – école d’ingénieurs
Cité Scientifique – Rue Guglielmo Marconi – 59658 Villeneuve d'Ascq
Agenda :
13h30-14h00 : Accueil
14h00-14h30 : La parole à TELECOM Lille1 et à Forum ATENA
14h30-15h30 : Intervenants "état de l’art"
-
François Zamora (Groupe France Telecom)
La conformité et la certification des organisations, les normes ISO 27000 -
Mathieu Robert et Pascal Chour (DCSSI)
La certification des technologies, les Critères Communs -
Mauro Israel (Cyber Networks)
La certification des personnes, CISSP, ISO 27001 lead auditor
15h30-16h30 : Intervention des sponsors
- SILICOMP-AQL, ARKOON, BYWARD, NETASQ
16h30-17h45 : Table ronde interactive
-
Tous les intervenants répondent aux questions des participants,
avec également Paul Richy, vice-Président du groupe sécurité à l’AFNOR.
17h45 : Cocktail, échanges informels
Participation gratuite, inscription obligatoire (securite@forumatena.org)
www.forumatena.org
La parole aux intervenants état de l’art :
François Zamora travaille au sein de la Direction de la Sécurité du Groupe France Telecom. Il participe notamment à la définition et à la mise en oeuvre du système de management de la sécurité de l'information auprès des divisions opérationnelles et des fonctions support du groupe.
Il traitera de "La conformité et la certification des organisations" et en particulier de la famille des normes ISO 27000 :
« A l'heure où des normes de sécurité, en général issues des technologies de l'information et de la communication, émergent au service de la performance et du gouvernement de l'entreprise, on s'intéressera dans cette présentation à des clefs qui permettent de comprendre ce que signifient et ce qu'impliquent une position de conformité et une démarche de certification dans le cade du référentiel international actuel.
François Zamora travaille au sein de la Direction de la Sécurité du Groupe France Telecom. Il participe notamment à la définition et à la mise en oeuvre du système de management de la sécurité de l'information auprès des divisions opérationnelles et des fonctions support du groupe. »
Pascal Chour est responsable du centre de certification de la Direction Centrale de la Sécurité des Systèmes d'information (DCSSI). Il est en charge de la mise en oeuvre du schéma français d'évaluation et de certification et participe également à ce titre aux travaux sur les accords de reconnaissance internationaux.
Mathieu Robert est certificateur au sein de la DCSSI et responsable d'agrément (et en particulier, du suivi des compétences) des laboratoires d'évaluation "matériels et logiciels embarqués". Il participe à de nombreux groupes de travail internationaux en charges de l'application des critères sur les cartes à puce et autres dispositifs similaires (e-passeport, cartes bancaires…)
Ils présenteront "la certification des technologies" » et en particulier les Critères Communs :
« Les critères d'évaluation de la sécurité des technologies de l'information visant une reconnaissance internationale sont utilisés depuis plus de quinze ans (Europe avec les ITSEC, Monde avec les Critères Communs). Bien que faisant l'objet de certaines critiques (long, cher, abscons), ils tendent aujourd'hui à s'imposer, tant pour répondre aux besoins des Etats que du secteur privé. Cet exposé vise à faire le point sur leur usage, la portée des accords de reconnaissance, les réflexions sur des approches complémentaires, etc. »
Mauro Israel, expert en sécurité et Chief Security Officer de CYBERNETWORKS groupe NET2S, est Certified Lead Auditor ISO/IEC 27001. Il a effectué en quelque 25 ans, plus de 500 audits de sites tant en sécurité qu’en infrastructure télécoms et réseau, ou en tests d’intrusion. Il vous restituera à travers son expérience de terrain, l’intérêt d’une certification individuelle tant pour un élève ingénieur, que pour une SSII, ou pour une grande entreprise.
Il nous éclairera sur la certification des personnes :
La première étape pour que le train de la certification ISO27000 se mette en marche, est d’obtenir une masse critique de ressources humaines capables de mettre en œuvre cette norme ou de la vérifier. Cette présentation couvrira donc les différents profils qui interviennent dans le processus de certification, leur appellation, ainsi que le profil initial, et le cursus de formation à suivre pour y parvenir. Qui a intérêt à devenir « Lead Auditor » ? C’est quoi un « Lead Implementer » ? Combien cela prend-il de temps et combien cela coûte-t-il de se faire certifier ? Vous aurez des réponses précises et des arguments pour vous aussi devenir « Lead » et monter dans le train de l’ISO27K.
La parole aux sponsors :
Silicomp-AQL inclut un CESTI (Centre d’Evaluation de la Sécurité des Technologies de l’Information) :
SILICOMP-AQL s’appuie sur ses compétences en Critères Communs, son statut de CESTI (Centre d’Évaluation de la Sécurité des Technologies de l’Information) agréé par la DCSSI, sa maîtrise du Schéma Français d’Évaluation et de Certification et son approche de la sécurité des systèmes d’information pour réaliser des évaluations de la sécurité des systèmes d’information. Cette démarche comporte l’évaluation de la cible de sécurité et l’évaluation du produit
En outre, SILICOMP-AQL dispose d’un pôle de compétences sécurité, fort d’une soixantaine de spécialistes qui interviennent pour des clients très divers : industriels, défense, administrations, banques, assurances, PME.
ARKOON est un constructeur d’appliances de sécurité, certifiées Critères Communs par l’organisme officiel en France, la DCSSI
La conformité au standard international (Critères Communs) est un axe majeur pour Arkoon. La consultation de la Cible de Sécurité d’une Certification Critères Communs est en effet pour les clients grands comptes, administrations ou PME, le meilleur moyen d’obtenir l’assurance que le produit répond de manière sûre aux objectifs de sécurité qu’ils se sont fixés d’atteindre.
Arkoon a donc mis en place les ressources et moyens pour certifier et maintenir le certificat sur ses produits actuels et les nouvelles versions de ses produits. Par ailleurs, Arkoon a également engagé un nouveau programme pour augmenter le niveau d’assurance de ses produits, sans réduire le périmètre de la Cible de Sécurité. Arkoon est convaincu que les Critères Communs, norme récente, s’imposeront comme un référentiel incontournable dans notre monde et est prêt non pas à suivre le mouvement mais bien au contraire à l’accompagner voir à le précéder. Dès à présent, Arkoon a engagé une démarche de certification de niveau EAL3+ sur ses produits Firewall et VPN IPSec.
BYWARD organisme de formation et de conseils autour de l’ISO 27001 :
Cabinet d’audit, de conseil et de formation, BYWARD est spécialisé dans le Management de la Sécurité de l’Information conformément aux normes et référentiels ISO27000.
Accompagnant ses clients de l’implémentation à la certification de leur système, BYWARD se devait de mettre en œuvre et faire certifier son propre Système de Management donnant la garantie à ces clients que leur information est protégée et faisant ainsi la démonstration de son savoir-faire. Le SMSI de la société BYWARD est donc en cours de certification conformément à la norme ISO/IEC 27001:2005 par LSTI.
NETASQ est un constructeur d’appliances de sécurité, certifiées Critères Communs par l’organisme officiel en France, la DCSSI
NETASQ est un acteur européen majeur du marché de la sécurité informatique avec plus de 35 000 boîtiers tout en un vendus (UTM). Les produits conçus par NETASQ intègrent un moteur d’analyse temps réel de haute technologie, l’ASQ qui offre une vraie prévention contre les menaces grâce à de nombreuses détections comportementales et génériques. Les UTMs NETASQ regroupent évidemment les fonctions indispensables de sécurité et de communication: Firewall, prévention d’intrusion, VPN IPSec et VPN SSL, PKI, anti-virus, anti-spam et filtrage web.
La certification EAL2+ des UTMs sur une cible pertinente (Firewall, VPN, prévention d’intrusion, logs et administration) crée une base solide de confiance pour NETASQ et ses clients.
TELECOM Lille1 – école d’ingénieurs :
www.telecom-lille1.eu/
TELECOM Lille1 est une grande école d’ingénieurs publique habilitée par la CTI, membre du GET (Groupe des Ecoles des Télécommunications) et de la Conférence des Grandes Ecoles.
Accessible aux bacheliers S et STI (formation initiale), aux Bac+2 (formation par apprentissage) et aux professionnels en activité (formation continue), TELECOM Lille1 compte aujourd’hui 600 élèves et diplôme chaque année 150 ingénieurs en sciences et technologies des systèmes d’information et de communication. Installée sur 9000 m2 au sein du campus de Lille1, elle développe plusieurs axes de recherche dans les domaines de l’informatique, des réseaux et des communications.
Nous formons des ingénieurs en sciences et technologies des systèmes d’information et de communication. Accueillir les événements du Forum ATENA nous permet d’enrichir notre enseignement par un focus sur une technologie à la pointe.
Découvrir les attentes des entreprises pour mieux coller au marché des TIC, s’appuyer sur l’expérience et la compétence des industriels et des spécialistes du domaine est indispensable. Les échanges entre professionnels, étudiants-futurs acteurs du métier et enseignants-chercheurs de l’école ne peuvent qu’être fructueux !
Bertrand Bonte, Directeur de TELECOM Lille1