Les travers de l’analyse de risque dans les grandes entreprises 13 juin 2013 | Jerome Saiz En brefA l’occasion du Forum CERT-IST 2013, Jean Larroumets (Fidens) a dressé le constat des mauvaises pratiques de l’analyse de risque au sein des grandes entreprises. Selon ses observations, les défauts les plus souvent rencontrées sont : Difficultés dans l’appréciation du … Continuer la lecture →
De la PGSSI à la réalité du terrain 13 juillet 2012 | Jerome Saiz Avoir une politique de sécurité des systèmes d’information, c’est bien. La décliner efficacement sur le terrain, c’est mieux. Mais comment passer de la généralité d’une PGSSI à la spécificité du terrain ? Marc Dovéro, RSSI du Conseil général des Bouches-du-Rhône, a appliqué une … Continuer la lecture →
ISO 27001 par conviction, PCI-DSS par pragmatisme 23 avril 2012 | Jerome Saiz Si l’on écoute la voie de la sagesse, il faudrait commencer par un projet ISO 27001 avant d’envisager la conformité PCI-DSS. La norme ISO mettra en place des mécanismes de suivi et d’amélioration permanente de la sécurité du Système d’Information … Continuer la lecture →
ITIL ou ISO 27001 : que privilégier ? 22 septembre 2011 | Jerome Saiz Il est désormais impossible de parler sérieusement de sécurité de l’information sans parler de processus. Mais un processus, ça ne s’invente pas du jour au lendemain. Deux approches se sont alors imposées au cours de la dernière décennie : la norme … Continuer la lecture →
Les six travaux du RSSI 17 mai 2011 | Jerome Saiz Six tables rondes, six thèmes d’actualité proches du quotidien des RSSI : le CSO Interchange 2011, organisé par SecurityVibes, a été l’occasion de mieux comprendre les préoccupations actuelles de la profession. Nous vous proposons de revenir sur cet événement avec … Continuer la lecture →
Vol de données : la série noire continue pour Sony 05 mai 2011 | Jerome Saiz Après le PlayStation Network, c’est au tour de la filiale Sony Online Entertainment d’annoncer un vol de données majeur. D’après l’email reçu aujourd’hui pas les joueurs (dont fait partie votre serviteur), « des informations personnelles […] ont pu être volées au … Continuer la lecture →
Evénement, incident, problème : de quoi parle-t-on exactement ? 07 avril 2011 | Jerome Saiz « De la précision dans les termes, de la précision » disait mon professeur à l’école de journalisme. Et il avait parfaitement raison : on ne peut comprendre, et encore moins transmettre, une idée si celle-ci est désignée par une multitude de … Continuer la lecture →
Quelle place pour le RSSI dans l’entreprise ? 22 mars 2011 | Jerome Saiz Débat éternel que celui de la position du RSSI dans la hiérarchie de l’entreprise ! Doit-il être rattaché à la Direction Générale ou, comme le fait remarquer un membre de SecurityVibes, n’est-ce là que pure vanité de la part du … Continuer la lecture →
Quoi de neuf dans les Groupes ? Certifications, WikiLeaks, rendez-vous… 04 février 2011 | Jerome Saiz Retour aux groupes SecurityVibes, avec cette semaine une moisson intéressante faite de débats, de rendez-vous, d’une touche de WikiLeaks et même d’une formation gratuite ! Le groupe du Club 27001 se pose la question des entreprises françaises certifiées ISO 27001 … Continuer la lecture →
2010 était l’année d’EBIOS. Ou de MEHARI. Ou des deux. 14 décembre 2010 | Jerome Saiz Impossible d’achever cette année sans revenir sur les méthodes EBIOS et MEHARI, toutes deux mises à jour en 2010 à l’occasion d’un étrange hasard du calendrier. Qu’est-ce que ces versions 2010 apportent de neuf ? Nous sommes allés poser la … Continuer la lecture →