SlideShare une entreprise Scribd logo
Scanner de vulnérabilités
Pour qui est-il obligatoire ?
Les obligations, les conseils et bonnes pratiques…
Les standards, agences, organisations et lois qui recommandant l’utilisation d’un scanner de vulnérabilités
57% des cyber attaques visant les
entreprises exploitent des vulnérabilités
L’Union Européenne et le
gouvernement ont donc renforcé les
réglementations pour aider les
entreprises à mieux se protéger.
Graphique : Nombres de vulnérabilités en
2016 et 2017 - Securityboulevard.com
Les vulnérabilités sont référencées dans la base de données des CVE (Common Vulnerabilities
Exposure). Publiques, elles sont donc connues des hackers. C’est pourquoi agir sur la correction des
vulnérabilités en amont permet aux entreprises de lutter plus efficacement contre les cyberattaques.
Car une fois que la structure est attaquée, il est trop tard!
Graphique : Nombres et
types de vulnérabilités
OWASP Top 10
2014-2017
Securityboulevard.com
Authentication
Access
Control
XXE
Injection
Vulnérabilités : quels vecteurs d’attaques ?
Les standards, agences, organisations et lois recommandant l’utilisation d’un scanner de vulnérabilités
NIS
Directive “Network and
Information Security”
Directive européenne entrée
en vigueur le 19 juillet 2016.
Elle prévoit le renforcement
des capacités nationales de
cybersécurité et de la
cybersécurité d’opérateurs
issus de secteurs clés. Elle
établit un cadre formel de
coopération entre Etats
membres.
Réglementations européennes et internationales
RGPD
Règlement général sur la
protection des données
Règlement européen qui
devra être appliqué le 25
mai 2018 sous peine de
sanctions. Il permettra
d’assurer une sécurité
plus rigoureuse des
données utilisateurs en
renforçant leurs droits
ainsi que plus de
crédibilité aux régulations.
PCI DSS
Payment Card Industry Data
Security Standard
Norme de sécurité de l’industrie
des cartes de paiement est un
standard de sécurité des
données pour les principaux
acteurs de paiements (Visa,
MasterCard, American Express,
JCD,...) pour lutter contre les
utilisations frauduleuses des
cartes et offrir plus de sécurité
aux utilisateurs.
LPM
Loi de Programmation Militaire
(LPM 2014-2019 du 18/12/2013)
Loi établissant la planification
des dépenses militaires de
l’Etat. Révisée en 2015, elle
prévoit les actions de la nation
en termes de sécurité et
comporte un ensemble de
dispositions concernant la
cyberdéfense et la
cybersécurité.
Les standards, agences, organisations et lois recommandant l’utilisation d’un scanner de vulnérabilités
Réglementations françaises
CNIL
Commission Nationale de
l’Informatique et des Libertés
Autorité indépendante en
matière de protection des
données personnelles. Elle
accompagne les entreprises
dans leur mise en conformité et
sanctionne en cas d’infraction
et d’atteinte aux données
personnelles et libertés
individuelles.
ANSSI
Agence Nationale de la Sécurité
des Systèmes d’Information
L’ANSSI est l’autorité française
de la sécurité des systèmes
d’information. Elle a rédigé le
“guide d’hygiène informatique”
qui est la référence nationale
pour renforcer la sécurité de son
système d’information en
appliquant une liste de 42
mesures.
Tous les secteurs d’activités sont concernés !
Opérateurs d’importance vitale
(OIV)
Article 22 : “[...] les opérateurs mettent en œuvre des systèmes qualifiés de
détection des événements susceptibles d'affecter la sécurité de leurs systèmes
d'information. [...]”
Chapitre V - Article 16 : “les entreprises doivent assurer le suivi, l’audit, le contrôle
et veiller à la sécurité des systèmes et des installations”
Article 25 - Protection des données dès la conception et protection des données
par défaut
Article 32 - Sécurité du traitement
Article 34 - Communication à la personne concernée d'une violation de données à
caractère personnel
Guide d’hygiène informatique - Mesure 38 : Procéder à des contrôles et audits
de sécurité réguliers puis appliquer les actions correctives associées
Guide la sécurité des données personnelles : Fiche n° 11 - Sécurité des
serveurs et des applications.
LPM
NIS
RGPD
ANSSI
CNIL
Un OIV
Qu’est ce que
c’est ?
Un OIV est une
organisation,
identifiée par l'État
comme ayant des
activités
indispensables ou
dangereuses pour
la population dans
les secteurs de la
santé, l’énergie,
l’industrie, les
transports, les
finances, les
activités militaires
ou judiciaires par
exemple.
Banques Assurances
Gestion d’un programme de gestion des vulnérabilités pour les Conditions 2.2 ; 6.1 ; 6.2 ; 6.6 ; 11.2 ; et 12.2.
Article 22 : “[...] les opérateurs mettent en œuvre des systèmes qualifiés de détection des événements
susceptibles d'affecter la sécurité de leurs systèmes d'information. [...]”
Chapitre V - Article 16 : “les entreprises doivent assurer le suivi, l’audit, le contrôle et veiller à la sécurité des
systèmes et des installations”
Article 25 - Protection des données dès la conception et protection des données par défaut
Article 32 - Sécurité du traitement
Article 34 - Communication à la personne concernée d'une violation de données à caractère personnel
Guide d’hygiène informatique - Mesure 38 : Procéder à des contrôles et audits de sécurité réguliers puis
appliquer les actions correctives associées.
Guide la sécurité des données personnelles : Fiche n° 11 - Sécurité des serveurs et des applications.
PCI DSS
LPM
NIS
RGPD
ANSSI
CNIL
Ecommerce
Gestion d’un programme de gestion des vulnérabilités pour les Conditions 2.2 ; 6.1 ; 6.2 ; 6.6 ; 11.2 ;
et 12.2.
Article 25 - Protection des données dès la conception et protection des données par défaut
Article 32 - Sécurité du traitement
Article 34 - Communication à la personne concernée d'une violation de données à caractère personnel
Guide d’hygiène informatique - Mesure 38 : Procéder à des contrôles et audits de sécurité réguliers
puis appliquer les actions correctives associées.
Guide la sécurité des données personnelles : Fiche n° 11 - Sécurité des serveurs et des
applications.
PCI DSS
RGPD
ANSSI
CNIL
Energie
Article 22 : “[...] les opérateurs mettent en œuvre des systèmes qualifiés de détection des événements
susceptibles d'affecter la sécurité de leurs systèmes d'information. [...]”
Chapitre V - Article 16 : “les entreprises doivent assurer le suivi, l’audit, le contrôle et veiller à la sécurité des
systèmes et des installations”
Article 25 - Protection des données dès la conception et protection des données par défaut
Article 32 - Sécurité du traitement
Article 34 - Communication à la personne concernée d'une violation de données à caractère personnel
Guide d’hygiène informatique - Mesure 38 : Procéder à des contrôles et audits de sécurité réguliers puis
appliquer les actions correctives associées.
Guide la sécurité des données personnelles : Fiche n° 11 - Sécurité des serveurs et des applications.
LPM
NIS
RGPD
ANSSI
CNIL
Établissements de santé
Chapitre V - Article 16 : “les entreprises doivent assurer le suivi, l’audit, le contrôle et veiller à la sécurité
des systèmes et des installations”
Article 25 - Protection des données dès la conception et protection des données par défaut
Article 32 - Sécurité du traitement
Article 34 - Communication à la personne concernée d'une violation de données à caractère personnel
Guide d’hygiène informatique - Mesure 38 : Procéder à des contrôles et audits de sécurité réguliers puis
appliquer les actions correctives associées.
Guide la sécurité des données personnelles : Fiche n° 11 - Sécurité des serveurs et des applications.
NIS
RGPD
ANSSI
CNIL
Industries
Article 22 : “[...] les opérateurs mettent en œuvre des systèmes qualifiés de détection des événements
susceptibles d'affecter la sécurité de leurs systèmes d'information. [...]”
Article 25 - Protection des données dès la conception et protection des données par défaut
Article 32 - Sécurité du traitement
Article 34 - Communication à la personne concernée d'une violation de données à caractère personnel
Guide d’hygiène informatique - Mesure 38 : Procéder à des contrôles et audits de sécurité réguliers puis
appliquer les actions correctives associées.
Guide la sécurité des données personnelles : Fiche n° 11 - Sécurité des serveurs et des applications.
LPM
RGPD
ANSSI
CNIL
Infrastructures numériques
Article 22 : “[...] les opérateurs mettent en œuvre des systèmes qualifiés de détection des événements susceptibles
d'affecter la sécurité de leurs systèmes d'information. [...]”
Chapitre V - Article 16 : “les entreprises doivent assurer le suivi, l’audit, le contrôle et veiller à la sécurité des
systèmes et des installations”
Article 25 - Protection des données dès la conception et protection des données par défaut
Article 32 - Sécurité du traitement
Article 34 - Communication à la personne concernée d'une violation de données à caractère personnel
Guide d’hygiène informatique - Mesure 38 : Procéder à des contrôles et audits de sécurité réguliers puis
appliquer les actions correctives associées.
Guide la sécurité des données personnelles : Fiche n° 11 - Sécurité des serveurs et des applications.
LPM
NIS
RGPD
ANSSI
CNIL
Envie de prendre les devants sur les vulnérabilités ?
Découvrez Elastic Detector
FONCTIONNALITÉS AVANCÉES
● Serveurs et réseaux détectés automatiquement
● Interface intuitive
● Scans des vulnérabilités en continu
● Rapport détaillés des failles et solutions de remédiation
● Indicateurs de risque (ANSSI, OWASP et PCI DSS)
NOUVEAUTES 2018
➔ Interface en français
➔ Indicateur de risque RGPD
➔ Amélioration du moteur de scan Web
Testez Elastic Detector
Analysez gratuitement 5 IP pendant 21 jours
A vous de jouer !
Des questions ? Contactez-nous
https://secludit.com
Sources
Guide de la CNIL : la sécurité des données personnelles
https://www.cnil.fr/sites/default/files/typo/document/Guide_securite-VD.pdf
Guide d’hygiène informatique de l’ANSSI
https://www.ssi.gouv.fr/uploads/2017/01/guide_hygiene_informatique_anssi.pdf
Règlement Européen sur la Protection des Données
https://www.cnil.fr/fr/reglement-europeen-protection-donnees
Industrie des cartes de paiement (PCI) Norme de sécurité des données :
https://fr.pcisecuritystandards.org/_onelink_/pcisecurity/en2frfr/minisite/en/docs/PCI_DSS_v3.pdf
V3.2 2016 => https://fr.pcisecuritystandards.org/_onelink_/pcisecurity/en2frfr/minisite/en/docs/PCI_DSS_v3-2_fr-FR.pdf
Directive NIS (Network and Information Security)
http://eur-lex.europa.eu/legal-content/FR/TXT/HTML/?uri=OJ:L:2016:194:FULL&from=FR
Loi relative à la programmation militaire pour les années 2014 à 2019
https://www.legifrance.gouv.fr/affichTexte.do;jsessionid=F8A2A995D7852785327EF613C9F9DB5C.tplgfr23s_1?cidTexte=JORFTEXT00002833882
5&dateTexte=29990101

Contenu connexe

Tendances

Le guide de l'hygiène informatique
Le guide de l'hygiène informatiqueLe guide de l'hygiène informatique
Le guide de l'hygiène informatique
NRC
 
Guide achat produits securite services confiance qualifies ANSSI 2015
Guide achat produits securite services confiance qualifies ANSSI 2015Guide achat produits securite services confiance qualifies ANSSI 2015
Guide achat produits securite services confiance qualifies ANSSI 2015
polenumerique33
 
Cybersécurité en 2018 : quelles sont les tendances ?
Cybersécurité en 2018 : quelles sont les tendances ?Cybersécurité en 2018 : quelles sont les tendances ?
Cybersécurité en 2018 : quelles sont les tendances ?
Kiwi Backup
 
Des cyberattaques massives menacent les systèmes de contrôle industriel
Des cyberattaques massives menacent les systèmes de contrôle industrielDes cyberattaques massives menacent les systèmes de contrôle industriel
Des cyberattaques massives menacent les systèmes de contrôle industrielfEngel
 
Guide d'hygiène informatique - ANSSI - 2014
Guide d'hygiène informatique - ANSSI - 2014 Guide d'hygiène informatique - ANSSI - 2014
Guide d'hygiène informatique - ANSSI - 2014
polenumerique33
 
Cybersécurité - Comment protéger ses activités ?
Cybersécurité - Comment protéger ses activités ?Cybersécurité - Comment protéger ses activités ?
Cybersécurité - Comment protéger ses activités ?
Alain EJZYN
 
La cybersécurité au service de votre stratégie digtitale - Adopte Une Stratég...
La cybersécurité au service de votre stratégie digtitale - Adopte Une Stratég...La cybersécurité au service de votre stratégie digtitale - Adopte Une Stratég...
La cybersécurité au service de votre stratégie digtitale - Adopte Une Stratég...
Ouest Online
 
Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015
Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015
Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015
Télécom Paris
 
Protéger ses données: mission impossible?
Protéger ses données: mission impossible?Protéger ses données: mission impossible?
Protéger ses données: mission impossible?
Antoine Vigneron
 
Analyse de risques en cybersécurité industrielle
Analyse de risques en cybersécurité industrielleAnalyse de risques en cybersécurité industrielle
Analyse de risques en cybersécurité industrielle
Patrice Bock
 
Présentation de la stratégie et de l'offre IBM Security
Présentation de la stratégie et de l'offre IBM SecurityPrésentation de la stratégie et de l'offre IBM Security
Présentation de la stratégie et de l'offre IBM Security
Serge Richard
 
Security intelligence overview_may 2015 - fr
Security intelligence overview_may 2015 - frSecurity intelligence overview_may 2015 - fr
Security intelligence overview_may 2015 - fr
Serge Richard
 
Workshop cyber jpme
Workshop cyber jpmeWorkshop cyber jpme
Workshop cyber jpme
Vanbreda Risk & Benefits
 
Cyberattaques : prenez de l’avance sur les cybercriminels
Cyberattaques : prenez de l’avance sur les cybercriminelsCyberattaques : prenez de l’avance sur les cybercriminels
Cyberattaques : prenez de l’avance sur les cybercriminels
EY
 
ANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PMEANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PME
polenumerique33
 
Sthack 2015 - Wilfrid "@WilfridBlanc" Blanc & Adrien Revol - Cybersécurité In...
Sthack 2015 - Wilfrid "@WilfridBlanc" Blanc & Adrien Revol - Cybersécurité In...Sthack 2015 - Wilfrid "@WilfridBlanc" Blanc & Adrien Revol - Cybersécurité In...
Sthack 2015 - Wilfrid "@WilfridBlanc" Blanc & Adrien Revol - Cybersécurité In...
StHack
 
IBM Security Intelligence Juin-2016
IBM Security Intelligence Juin-2016IBM Security Intelligence Juin-2016
IBM Security Intelligence Juin-2016
Serge Richard
 
Clusif 2014 scada panorama des referentiels sécurité système information ind...
Clusif 2014  scada panorama des referentiels sécurité système information ind...Clusif 2014  scada panorama des referentiels sécurité système information ind...
Clusif 2014 scada panorama des referentiels sécurité système information ind...
echangeurba
 
ETUDE DE LA CYBERSECURITE
ETUDE DE LA CYBERSECURITEETUDE DE LA CYBERSECURITE
ETUDE DE LA CYBERSECURITE
SINCLAIR JAZA FOLEFACK
 
Meetup Cybersécurité RGPD Conséquences dans l'Embarqué
Meetup Cybersécurité RGPD Conséquences dans l'EmbarquéMeetup Cybersécurité RGPD Conséquences dans l'Embarqué
Meetup Cybersécurité RGPD Conséquences dans l'Embarqué
Christian Charreyre
 

Tendances (20)

Le guide de l'hygiène informatique
Le guide de l'hygiène informatiqueLe guide de l'hygiène informatique
Le guide de l'hygiène informatique
 
Guide achat produits securite services confiance qualifies ANSSI 2015
Guide achat produits securite services confiance qualifies ANSSI 2015Guide achat produits securite services confiance qualifies ANSSI 2015
Guide achat produits securite services confiance qualifies ANSSI 2015
 
Cybersécurité en 2018 : quelles sont les tendances ?
Cybersécurité en 2018 : quelles sont les tendances ?Cybersécurité en 2018 : quelles sont les tendances ?
Cybersécurité en 2018 : quelles sont les tendances ?
 
Des cyberattaques massives menacent les systèmes de contrôle industriel
Des cyberattaques massives menacent les systèmes de contrôle industrielDes cyberattaques massives menacent les systèmes de contrôle industriel
Des cyberattaques massives menacent les systèmes de contrôle industriel
 
Guide d'hygiène informatique - ANSSI - 2014
Guide d'hygiène informatique - ANSSI - 2014 Guide d'hygiène informatique - ANSSI - 2014
Guide d'hygiène informatique - ANSSI - 2014
 
Cybersécurité - Comment protéger ses activités ?
Cybersécurité - Comment protéger ses activités ?Cybersécurité - Comment protéger ses activités ?
Cybersécurité - Comment protéger ses activités ?
 
La cybersécurité au service de votre stratégie digtitale - Adopte Une Stratég...
La cybersécurité au service de votre stratégie digtitale - Adopte Une Stratég...La cybersécurité au service de votre stratégie digtitale - Adopte Une Stratég...
La cybersécurité au service de votre stratégie digtitale - Adopte Une Stratég...
 
Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015
Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015
Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015
 
Protéger ses données: mission impossible?
Protéger ses données: mission impossible?Protéger ses données: mission impossible?
Protéger ses données: mission impossible?
 
Analyse de risques en cybersécurité industrielle
Analyse de risques en cybersécurité industrielleAnalyse de risques en cybersécurité industrielle
Analyse de risques en cybersécurité industrielle
 
Présentation de la stratégie et de l'offre IBM Security
Présentation de la stratégie et de l'offre IBM SecurityPrésentation de la stratégie et de l'offre IBM Security
Présentation de la stratégie et de l'offre IBM Security
 
Security intelligence overview_may 2015 - fr
Security intelligence overview_may 2015 - frSecurity intelligence overview_may 2015 - fr
Security intelligence overview_may 2015 - fr
 
Workshop cyber jpme
Workshop cyber jpmeWorkshop cyber jpme
Workshop cyber jpme
 
Cyberattaques : prenez de l’avance sur les cybercriminels
Cyberattaques : prenez de l’avance sur les cybercriminelsCyberattaques : prenez de l’avance sur les cybercriminels
Cyberattaques : prenez de l’avance sur les cybercriminels
 
ANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PMEANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PME
 
Sthack 2015 - Wilfrid "@WilfridBlanc" Blanc & Adrien Revol - Cybersécurité In...
Sthack 2015 - Wilfrid "@WilfridBlanc" Blanc & Adrien Revol - Cybersécurité In...Sthack 2015 - Wilfrid "@WilfridBlanc" Blanc & Adrien Revol - Cybersécurité In...
Sthack 2015 - Wilfrid "@WilfridBlanc" Blanc & Adrien Revol - Cybersécurité In...
 
IBM Security Intelligence Juin-2016
IBM Security Intelligence Juin-2016IBM Security Intelligence Juin-2016
IBM Security Intelligence Juin-2016
 
Clusif 2014 scada panorama des referentiels sécurité système information ind...
Clusif 2014  scada panorama des referentiels sécurité système information ind...Clusif 2014  scada panorama des referentiels sécurité système information ind...
Clusif 2014 scada panorama des referentiels sécurité système information ind...
 
ETUDE DE LA CYBERSECURITE
ETUDE DE LA CYBERSECURITEETUDE DE LA CYBERSECURITE
ETUDE DE LA CYBERSECURITE
 
Meetup Cybersécurité RGPD Conséquences dans l'Embarqué
Meetup Cybersécurité RGPD Conséquences dans l'EmbarquéMeetup Cybersécurité RGPD Conséquences dans l'Embarqué
Meetup Cybersécurité RGPD Conséquences dans l'Embarqué
 

Similaire à Scanner de vulnérabilités : recommandés / obligatoires on vous dit tout !

earlegal#7 - Sécurité informatique : entre obligations et opportunités. Comm...
earlegal#7 -  Sécurité informatique : entre obligations et opportunités. Comm...earlegal#7 -  Sécurité informatique : entre obligations et opportunités. Comm...
earlegal#7 - Sécurité informatique : entre obligations et opportunités. Comm...
Lexing - Belgium
 
Aspets juridiques des sécurité des systèmes d'information selon le code pénal...
Aspets juridiques des sécurité des systèmes d'information selon le code pénal...Aspets juridiques des sécurité des systèmes d'information selon le code pénal...
Aspets juridiques des sécurité des systèmes d'information selon le code pénal...
Hanen Bensaad
 
Presentation ansi
Presentation ansiPresentation ansi
Presentation ansi
Blidaoui Abdelhak
 
Guide securite vd cnil
Guide securite vd cnilGuide securite vd cnil
Cybersécurité - Directives Régionales et Lois Nationales
Cybersécurité - Directives Régionales et Lois NationalesCybersécurité - Directives Régionales et Lois Nationales
Cybersécurité - Directives Régionales et Lois Nationales
ssuser586df7
 
Internet Of Things Security
Internet Of Things SecurityInternet Of Things Security
Internet Of Things Security
Hamza Ben Marzouk
 
Techniques de Cryptographie
Techniques de CryptographieTechniques de Cryptographie
Techniques de Cryptographie
Alghajati
 
Earlegal #11 - Cybersécurité : quels défis pour votre entreprise ?
Earlegal #11 -  Cybersécurité : quels défis pour votre entreprise ?Earlegal #11 -  Cybersécurité : quels défis pour votre entreprise ?
Earlegal #11 - Cybersécurité : quels défis pour votre entreprise ?
Lexing - Belgium
 
Intelligence économique : Le monitoring
Intelligence économique : Le monitoringIntelligence économique : Le monitoring
Intelligence économique : Le monitoring
Khalifa Tall
 
Competitic sécurite informatique - numerique en entreprise
Competitic   sécurite informatique - numerique en entrepriseCompetitic   sécurite informatique - numerique en entreprise
Competitic sécurite informatique - numerique en entreprise
COMPETITIC
 
Copy of REGLEMENTATION DE L’INTERET AU MAROC .pdf
Copy of REGLEMENTATION DE L’INTERET AU MAROC .pdfCopy of REGLEMENTATION DE L’INTERET AU MAROC .pdf
Copy of REGLEMENTATION DE L’INTERET AU MAROC .pdf
aitomarnazha
 
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
lancedafric.org
 
Cybercriminalité: menaces et parades
Cybercriminalité: menaces et paradesCybercriminalité: menaces et parades
Cybercriminalité: menaces et parades
Antoine Vigneron
 
Cnil guide securite_personnelle
Cnil guide securite_personnelleCnil guide securite_personnelle
Cnil guide securite_personnelle
Dominique Gayraud
 
CNIL - Guide de la sécurité des données personnelles
CNIL - Guide de la sécurité des données personnellesCNIL - Guide de la sécurité des données personnelles
CNIL - Guide de la sécurité des données personnelles
Christophe Elut
 
Copy of PARTIE-1 Introduction à la cyber sécurité.pdf
Copy of PARTIE-1 Introduction à la cyber sécurité.pdfCopy of PARTIE-1 Introduction à la cyber sécurité.pdf
Copy of PARTIE-1 Introduction à la cyber sécurité.pdf
simogamer3
 
resume-theorique-m211-v1-0609-63247e4d68ea9_2.pdf
resume-theorique-m211-v1-0609-63247e4d68ea9_2.pdfresume-theorique-m211-v1-0609-63247e4d68ea9_2.pdf
resume-theorique-m211-v1-0609-63247e4d68ea9_2.pdf
FootballLovers9
 
Resume-theorique-M209-V1-version-provisoire-0909_2.pdf
Resume-theorique-M209-V1-version-provisoire-0909_2.pdfResume-theorique-M209-V1-version-provisoire-0909_2.pdf
Resume-theorique-M209-V1-version-provisoire-0909_2.pdf
FootballLovers9
 
earlegal #9 - Cyberattaque - Comment se préparer et bien s'assurer ?
earlegal #9 - Cyberattaque - Comment se préparer et bien s'assurer ?earlegal #9 - Cyberattaque - Comment se préparer et bien s'assurer ?
earlegal #9 - Cyberattaque - Comment se préparer et bien s'assurer ?
Lexing - Belgium
 
Web-conférence CYBER-RISQUES
Web-conférence CYBER-RISQUESWeb-conférence CYBER-RISQUES
Web-conférence CYBER-RISQUES
mcperthuis
 

Similaire à Scanner de vulnérabilités : recommandés / obligatoires on vous dit tout ! (20)

earlegal#7 - Sécurité informatique : entre obligations et opportunités. Comm...
earlegal#7 -  Sécurité informatique : entre obligations et opportunités. Comm...earlegal#7 -  Sécurité informatique : entre obligations et opportunités. Comm...
earlegal#7 - Sécurité informatique : entre obligations et opportunités. Comm...
 
Aspets juridiques des sécurité des systèmes d'information selon le code pénal...
Aspets juridiques des sécurité des systèmes d'information selon le code pénal...Aspets juridiques des sécurité des systèmes d'information selon le code pénal...
Aspets juridiques des sécurité des systèmes d'information selon le code pénal...
 
Presentation ansi
Presentation ansiPresentation ansi
Presentation ansi
 
Guide securite vd cnil
Guide securite vd cnilGuide securite vd cnil
Guide securite vd cnil
 
Cybersécurité - Directives Régionales et Lois Nationales
Cybersécurité - Directives Régionales et Lois NationalesCybersécurité - Directives Régionales et Lois Nationales
Cybersécurité - Directives Régionales et Lois Nationales
 
Internet Of Things Security
Internet Of Things SecurityInternet Of Things Security
Internet Of Things Security
 
Techniques de Cryptographie
Techniques de CryptographieTechniques de Cryptographie
Techniques de Cryptographie
 
Earlegal #11 - Cybersécurité : quels défis pour votre entreprise ?
Earlegal #11 -  Cybersécurité : quels défis pour votre entreprise ?Earlegal #11 -  Cybersécurité : quels défis pour votre entreprise ?
Earlegal #11 - Cybersécurité : quels défis pour votre entreprise ?
 
Intelligence économique : Le monitoring
Intelligence économique : Le monitoringIntelligence économique : Le monitoring
Intelligence économique : Le monitoring
 
Competitic sécurite informatique - numerique en entreprise
Competitic   sécurite informatique - numerique en entrepriseCompetitic   sécurite informatique - numerique en entreprise
Competitic sécurite informatique - numerique en entreprise
 
Copy of REGLEMENTATION DE L’INTERET AU MAROC .pdf
Copy of REGLEMENTATION DE L’INTERET AU MAROC .pdfCopy of REGLEMENTATION DE L’INTERET AU MAROC .pdf
Copy of REGLEMENTATION DE L’INTERET AU MAROC .pdf
 
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
 
Cybercriminalité: menaces et parades
Cybercriminalité: menaces et paradesCybercriminalité: menaces et parades
Cybercriminalité: menaces et parades
 
Cnil guide securite_personnelle
Cnil guide securite_personnelleCnil guide securite_personnelle
Cnil guide securite_personnelle
 
CNIL - Guide de la sécurité des données personnelles
CNIL - Guide de la sécurité des données personnellesCNIL - Guide de la sécurité des données personnelles
CNIL - Guide de la sécurité des données personnelles
 
Copy of PARTIE-1 Introduction à la cyber sécurité.pdf
Copy of PARTIE-1 Introduction à la cyber sécurité.pdfCopy of PARTIE-1 Introduction à la cyber sécurité.pdf
Copy of PARTIE-1 Introduction à la cyber sécurité.pdf
 
resume-theorique-m211-v1-0609-63247e4d68ea9_2.pdf
resume-theorique-m211-v1-0609-63247e4d68ea9_2.pdfresume-theorique-m211-v1-0609-63247e4d68ea9_2.pdf
resume-theorique-m211-v1-0609-63247e4d68ea9_2.pdf
 
Resume-theorique-M209-V1-version-provisoire-0909_2.pdf
Resume-theorique-M209-V1-version-provisoire-0909_2.pdfResume-theorique-M209-V1-version-provisoire-0909_2.pdf
Resume-theorique-M209-V1-version-provisoire-0909_2.pdf
 
earlegal #9 - Cyberattaque - Comment se préparer et bien s'assurer ?
earlegal #9 - Cyberattaque - Comment se préparer et bien s'assurer ?earlegal #9 - Cyberattaque - Comment se préparer et bien s'assurer ?
earlegal #9 - Cyberattaque - Comment se préparer et bien s'assurer ?
 
Web-conférence CYBER-RISQUES
Web-conférence CYBER-RISQUESWeb-conférence CYBER-RISQUES
Web-conférence CYBER-RISQUES
 

Plus de SecludIT

Elastic Detector vu par un Ethical Hacker
Elastic Detector vu par un Ethical HackerElastic Detector vu par un Ethical Hacker
Elastic Detector vu par un Ethical Hacker
SecludIT
 
Sophia conf securite microservices - 2017
Sophia conf   securite microservices - 2017Sophia conf   securite microservices - 2017
Sophia conf securite microservices - 2017
SecludIT
 
Top 10 des meilleures pratiques de sécurité AWS - 2017-06-08
Top 10  des meilleures pratiques de sécurité AWS - 2017-06-08Top 10  des meilleures pratiques de sécurité AWS - 2017-06-08
Top 10 des meilleures pratiques de sécurité AWS - 2017-06-08
SecludIT
 
Securite docker generique 2017-03-16
Securite docker generique   2017-03-16Securite docker generique   2017-03-16
Securite docker generique 2017-03-16
SecludIT
 
Cloud workload protection for obs by seclud it
Cloud workload protection for obs by seclud itCloud workload protection for obs by seclud it
Cloud workload protection for obs by seclud it
SecludIT
 
Innovations dans la cybersecurite
Innovations dans la cybersecuriteInnovations dans la cybersecurite
Innovations dans la cybersecurite
SecludIT
 
Deployer son propre SOC !
Deployer son propre SOC ! Deployer son propre SOC !
Deployer son propre SOC !
SecludIT
 
La seule solution de surveillance continue et adaptative : Elastic Detector
La seule solution de surveillance continue et adaptative : Elastic DetectorLa seule solution de surveillance continue et adaptative : Elastic Detector
La seule solution de surveillance continue et adaptative : Elastic Detector
SecludIT
 
Microservices docker-security
Microservices docker-securityMicroservices docker-security
Microservices docker-security
SecludIT
 
The real cost of ignoring network security.
The real cost of ignoring network security.The real cost of ignoring network security.
The real cost of ignoring network security.
SecludIT
 

Plus de SecludIT (10)

Elastic Detector vu par un Ethical Hacker
Elastic Detector vu par un Ethical HackerElastic Detector vu par un Ethical Hacker
Elastic Detector vu par un Ethical Hacker
 
Sophia conf securite microservices - 2017
Sophia conf   securite microservices - 2017Sophia conf   securite microservices - 2017
Sophia conf securite microservices - 2017
 
Top 10 des meilleures pratiques de sécurité AWS - 2017-06-08
Top 10  des meilleures pratiques de sécurité AWS - 2017-06-08Top 10  des meilleures pratiques de sécurité AWS - 2017-06-08
Top 10 des meilleures pratiques de sécurité AWS - 2017-06-08
 
Securite docker generique 2017-03-16
Securite docker generique   2017-03-16Securite docker generique   2017-03-16
Securite docker generique 2017-03-16
 
Cloud workload protection for obs by seclud it
Cloud workload protection for obs by seclud itCloud workload protection for obs by seclud it
Cloud workload protection for obs by seclud it
 
Innovations dans la cybersecurite
Innovations dans la cybersecuriteInnovations dans la cybersecurite
Innovations dans la cybersecurite
 
Deployer son propre SOC !
Deployer son propre SOC ! Deployer son propre SOC !
Deployer son propre SOC !
 
La seule solution de surveillance continue et adaptative : Elastic Detector
La seule solution de surveillance continue et adaptative : Elastic DetectorLa seule solution de surveillance continue et adaptative : Elastic Detector
La seule solution de surveillance continue et adaptative : Elastic Detector
 
Microservices docker-security
Microservices docker-securityMicroservices docker-security
Microservices docker-security
 
The real cost of ignoring network security.
The real cost of ignoring network security.The real cost of ignoring network security.
The real cost of ignoring network security.
 

Scanner de vulnérabilités : recommandés / obligatoires on vous dit tout !

  • 1. Scanner de vulnérabilités Pour qui est-il obligatoire ? Les obligations, les conseils et bonnes pratiques… Les standards, agences, organisations et lois qui recommandant l’utilisation d’un scanner de vulnérabilités
  • 2. 57% des cyber attaques visant les entreprises exploitent des vulnérabilités L’Union Européenne et le gouvernement ont donc renforcé les réglementations pour aider les entreprises à mieux se protéger. Graphique : Nombres de vulnérabilités en 2016 et 2017 - Securityboulevard.com
  • 3. Les vulnérabilités sont référencées dans la base de données des CVE (Common Vulnerabilities Exposure). Publiques, elles sont donc connues des hackers. C’est pourquoi agir sur la correction des vulnérabilités en amont permet aux entreprises de lutter plus efficacement contre les cyberattaques. Car une fois que la structure est attaquée, il est trop tard! Graphique : Nombres et types de vulnérabilités OWASP Top 10 2014-2017 Securityboulevard.com Authentication Access Control XXE Injection Vulnérabilités : quels vecteurs d’attaques ?
  • 4. Les standards, agences, organisations et lois recommandant l’utilisation d’un scanner de vulnérabilités NIS Directive “Network and Information Security” Directive européenne entrée en vigueur le 19 juillet 2016. Elle prévoit le renforcement des capacités nationales de cybersécurité et de la cybersécurité d’opérateurs issus de secteurs clés. Elle établit un cadre formel de coopération entre Etats membres. Réglementations européennes et internationales RGPD Règlement général sur la protection des données Règlement européen qui devra être appliqué le 25 mai 2018 sous peine de sanctions. Il permettra d’assurer une sécurité plus rigoureuse des données utilisateurs en renforçant leurs droits ainsi que plus de crédibilité aux régulations. PCI DSS Payment Card Industry Data Security Standard Norme de sécurité de l’industrie des cartes de paiement est un standard de sécurité des données pour les principaux acteurs de paiements (Visa, MasterCard, American Express, JCD,...) pour lutter contre les utilisations frauduleuses des cartes et offrir plus de sécurité aux utilisateurs.
  • 5. LPM Loi de Programmation Militaire (LPM 2014-2019 du 18/12/2013) Loi établissant la planification des dépenses militaires de l’Etat. Révisée en 2015, elle prévoit les actions de la nation en termes de sécurité et comporte un ensemble de dispositions concernant la cyberdéfense et la cybersécurité. Les standards, agences, organisations et lois recommandant l’utilisation d’un scanner de vulnérabilités Réglementations françaises CNIL Commission Nationale de l’Informatique et des Libertés Autorité indépendante en matière de protection des données personnelles. Elle accompagne les entreprises dans leur mise en conformité et sanctionne en cas d’infraction et d’atteinte aux données personnelles et libertés individuelles. ANSSI Agence Nationale de la Sécurité des Systèmes d’Information L’ANSSI est l’autorité française de la sécurité des systèmes d’information. Elle a rédigé le “guide d’hygiène informatique” qui est la référence nationale pour renforcer la sécurité de son système d’information en appliquant une liste de 42 mesures.
  • 6. Tous les secteurs d’activités sont concernés !
  • 7. Opérateurs d’importance vitale (OIV) Article 22 : “[...] les opérateurs mettent en œuvre des systèmes qualifiés de détection des événements susceptibles d'affecter la sécurité de leurs systèmes d'information. [...]” Chapitre V - Article 16 : “les entreprises doivent assurer le suivi, l’audit, le contrôle et veiller à la sécurité des systèmes et des installations” Article 25 - Protection des données dès la conception et protection des données par défaut Article 32 - Sécurité du traitement Article 34 - Communication à la personne concernée d'une violation de données à caractère personnel Guide d’hygiène informatique - Mesure 38 : Procéder à des contrôles et audits de sécurité réguliers puis appliquer les actions correctives associées Guide la sécurité des données personnelles : Fiche n° 11 - Sécurité des serveurs et des applications. LPM NIS RGPD ANSSI CNIL Un OIV Qu’est ce que c’est ? Un OIV est une organisation, identifiée par l'État comme ayant des activités indispensables ou dangereuses pour la population dans les secteurs de la santé, l’énergie, l’industrie, les transports, les finances, les activités militaires ou judiciaires par exemple.
  • 8. Banques Assurances Gestion d’un programme de gestion des vulnérabilités pour les Conditions 2.2 ; 6.1 ; 6.2 ; 6.6 ; 11.2 ; et 12.2. Article 22 : “[...] les opérateurs mettent en œuvre des systèmes qualifiés de détection des événements susceptibles d'affecter la sécurité de leurs systèmes d'information. [...]” Chapitre V - Article 16 : “les entreprises doivent assurer le suivi, l’audit, le contrôle et veiller à la sécurité des systèmes et des installations” Article 25 - Protection des données dès la conception et protection des données par défaut Article 32 - Sécurité du traitement Article 34 - Communication à la personne concernée d'une violation de données à caractère personnel Guide d’hygiène informatique - Mesure 38 : Procéder à des contrôles et audits de sécurité réguliers puis appliquer les actions correctives associées. Guide la sécurité des données personnelles : Fiche n° 11 - Sécurité des serveurs et des applications. PCI DSS LPM NIS RGPD ANSSI CNIL
  • 9. Ecommerce Gestion d’un programme de gestion des vulnérabilités pour les Conditions 2.2 ; 6.1 ; 6.2 ; 6.6 ; 11.2 ; et 12.2. Article 25 - Protection des données dès la conception et protection des données par défaut Article 32 - Sécurité du traitement Article 34 - Communication à la personne concernée d'une violation de données à caractère personnel Guide d’hygiène informatique - Mesure 38 : Procéder à des contrôles et audits de sécurité réguliers puis appliquer les actions correctives associées. Guide la sécurité des données personnelles : Fiche n° 11 - Sécurité des serveurs et des applications. PCI DSS RGPD ANSSI CNIL
  • 10. Energie Article 22 : “[...] les opérateurs mettent en œuvre des systèmes qualifiés de détection des événements susceptibles d'affecter la sécurité de leurs systèmes d'information. [...]” Chapitre V - Article 16 : “les entreprises doivent assurer le suivi, l’audit, le contrôle et veiller à la sécurité des systèmes et des installations” Article 25 - Protection des données dès la conception et protection des données par défaut Article 32 - Sécurité du traitement Article 34 - Communication à la personne concernée d'une violation de données à caractère personnel Guide d’hygiène informatique - Mesure 38 : Procéder à des contrôles et audits de sécurité réguliers puis appliquer les actions correctives associées. Guide la sécurité des données personnelles : Fiche n° 11 - Sécurité des serveurs et des applications. LPM NIS RGPD ANSSI CNIL
  • 11. Établissements de santé Chapitre V - Article 16 : “les entreprises doivent assurer le suivi, l’audit, le contrôle et veiller à la sécurité des systèmes et des installations” Article 25 - Protection des données dès la conception et protection des données par défaut Article 32 - Sécurité du traitement Article 34 - Communication à la personne concernée d'une violation de données à caractère personnel Guide d’hygiène informatique - Mesure 38 : Procéder à des contrôles et audits de sécurité réguliers puis appliquer les actions correctives associées. Guide la sécurité des données personnelles : Fiche n° 11 - Sécurité des serveurs et des applications. NIS RGPD ANSSI CNIL
  • 12. Industries Article 22 : “[...] les opérateurs mettent en œuvre des systèmes qualifiés de détection des événements susceptibles d'affecter la sécurité de leurs systèmes d'information. [...]” Article 25 - Protection des données dès la conception et protection des données par défaut Article 32 - Sécurité du traitement Article 34 - Communication à la personne concernée d'une violation de données à caractère personnel Guide d’hygiène informatique - Mesure 38 : Procéder à des contrôles et audits de sécurité réguliers puis appliquer les actions correctives associées. Guide la sécurité des données personnelles : Fiche n° 11 - Sécurité des serveurs et des applications. LPM RGPD ANSSI CNIL
  • 13. Infrastructures numériques Article 22 : “[...] les opérateurs mettent en œuvre des systèmes qualifiés de détection des événements susceptibles d'affecter la sécurité de leurs systèmes d'information. [...]” Chapitre V - Article 16 : “les entreprises doivent assurer le suivi, l’audit, le contrôle et veiller à la sécurité des systèmes et des installations” Article 25 - Protection des données dès la conception et protection des données par défaut Article 32 - Sécurité du traitement Article 34 - Communication à la personne concernée d'une violation de données à caractère personnel Guide d’hygiène informatique - Mesure 38 : Procéder à des contrôles et audits de sécurité réguliers puis appliquer les actions correctives associées. Guide la sécurité des données personnelles : Fiche n° 11 - Sécurité des serveurs et des applications. LPM NIS RGPD ANSSI CNIL
  • 14. Envie de prendre les devants sur les vulnérabilités ? Découvrez Elastic Detector FONCTIONNALITÉS AVANCÉES ● Serveurs et réseaux détectés automatiquement ● Interface intuitive ● Scans des vulnérabilités en continu ● Rapport détaillés des failles et solutions de remédiation ● Indicateurs de risque (ANSSI, OWASP et PCI DSS) NOUVEAUTES 2018 ➔ Interface en français ➔ Indicateur de risque RGPD ➔ Amélioration du moteur de scan Web Testez Elastic Detector Analysez gratuitement 5 IP pendant 21 jours
  • 15. A vous de jouer ! Des questions ? Contactez-nous https://secludit.com
  • 16. Sources Guide de la CNIL : la sécurité des données personnelles https://www.cnil.fr/sites/default/files/typo/document/Guide_securite-VD.pdf Guide d’hygiène informatique de l’ANSSI https://www.ssi.gouv.fr/uploads/2017/01/guide_hygiene_informatique_anssi.pdf Règlement Européen sur la Protection des Données https://www.cnil.fr/fr/reglement-europeen-protection-donnees Industrie des cartes de paiement (PCI) Norme de sécurité des données : https://fr.pcisecuritystandards.org/_onelink_/pcisecurity/en2frfr/minisite/en/docs/PCI_DSS_v3.pdf V3.2 2016 => https://fr.pcisecuritystandards.org/_onelink_/pcisecurity/en2frfr/minisite/en/docs/PCI_DSS_v3-2_fr-FR.pdf Directive NIS (Network and Information Security) http://eur-lex.europa.eu/legal-content/FR/TXT/HTML/?uri=OJ:L:2016:194:FULL&from=FR Loi relative à la programmation militaire pour les années 2014 à 2019 https://www.legifrance.gouv.fr/affichTexte.do;jsessionid=F8A2A995D7852785327EF613C9F9DB5C.tplgfr23s_1?cidTexte=JORFTEXT00002833882 5&dateTexte=29990101