Agence nationale de la sécurité des systèmes d’information

S'abonner à flux Agence nationale  de la sécurité  des systèmes d’information
Mis à jour : il y a 43 min 12 sec

Sécurité numérique et économique : protégez-vous des risques avec le colloque SecNumeco de Marseille

jeu, 11/15/2018 - 11:10

Conjuguer sécurité économique et sécurité numérique n’est pas seulement indispensable au bon fonctionnement de chaque organisation : c’est un enjeu de souveraineté nationale.
SecNumeco rassemble les outils indispensables aux décideurs pour faire face aux risques, qui pèsent de manière indifférenciée sur les structures publiques et privées de toutes tailles et de tous secteurs, sont accentués par la transformation numérique.

SECNUMECO : POURQUOI ET COMMENT AGIR

Formidable levier de rayonnement et de croissance, la transformation numérique ouvre de nouvelles opportunités pour l’ensemble des acteurs de la société et, plus particulièrement, pour le secteur économique.
Cependant des menaces extrêmement variées et des risques majeurs pèsent sur les organisations de toutes tailles : captation illégale d’innovations, entrave à l’activité économique, fermeture d’entreprises, perte de compétitivité, rachat des fleurons économiques, perte de souveraineté.
Autant d’exemples qui illustrent encore la nécessité, pour les entreprises de toutes tailles, de relever les défis de la sécurité du numérique et de la protection économique.
Ce nouveau colloque SecNumEco, organisé le 5 décembre 2018 à Marseille, rassemblera des acteurs et professionnels de la sécurité numérique comme de la protection économique qui effectueront dans un premier temps l’état des lieux et des solutions en terme d’évaluation, de gestion et d’assurance du risque numérique. Dans un second temps, des témoignages concrets d’organisations de différentes tailles seront apportés en terme de gestion de leurs risques numériques et économiques.

 

Téléchargez le programme complet :

SECNUMECO Marseille – 5 décembre 2018

Informations pratiques et inscription:

Colloque SECNUMECO du 5 décembre 2018 de 9h00 à 12h30 :
Lieu : Salons de la Préfecture de Région Provence-Alpes-Côte-d’Azur, Place Félix Baret, 13006 Marseille (Plan d’accès )

Inscription avant le jeudi 28 novembre 2018.
Pour des questions d’organisation, le nombre de places est limité.

Pour plus d’information merci de vous adresser à paca[at]ssi.gouv.fr.

La France renforce son engagement pour la confiance et la sécurité dans le cyberespace

mer, 11/14/2018 - 15:25

Dans le domaine du numérique, certaines actions, même limitées, peuvent engendrer des conséquences majeures à plus grande échelle.

l’heure où la menace se globalise, la coopération à l’international, avec les acteurs privés, publics et de la société civile, s’impose plus que jamais comme une nécessité. Les initiatives à risque et les différents acteurs impliqués doivent ainsi être encadrés par des règlementations nationales et internationales, qui viseront à préciser les responsabilités de chacun pour assurer la stabilité du cyberespace.

C’est pour porter cette vision que la France s’est engagée cette semaine lors de la « semaine numérique de Paris » (Paris Digital Week), avec deux temps forts :

Une vision française pour la stabilité dans le cyberespace

Aux côtés des autorités françaises, l’ANSSI promeut le développement d’un cyberespace sûr, stable et ouvert et participe à ce titre activement aux discussions internationales sur la cybersécurité aux niveaux politique et normatif.

« Hack back », « gray zone », « active cyber defense », « passive cyber defense »,etc… La multiplicité et l’ambiguïté des concepts ne permettent pas une appréhension claire du sujet. Une catégorisation permettrait de partager plus efficacement sur la conception et de faire progresser le débat collectivement.
En outre, afin de permettre au cyberespace de demeurer une aire d’opportunités pour les États, les citoyens et les entreprises, la règlementation doit évoluer selon des règles et des normes partagées au niveau international, fondées sur le droit international existant et respectueuses des libertés fondamentales et des droits de l’Homme.

L’ « Appel de Paris pour la confiance et la sécurité du cyberespace » lancé par le Président de la République, le 12 novembre, lors du Forum sur la gouvernance de l’Internet participe à ces enjeux. 
Il renforce la coopération internationale et fédère la volonté des États, mais aussi de nombreux acteurs du secteur privé et de la société civile, à s’engager en faveur de la stabilité du cyberespace.

La France présentera cette ambition commune à l’international, notamment lors du Global Forum de l’OCDE, les 13 et 14 décembre 2018.

Un engagement collectif pour la stabilité du Cyberespace

Depuis plusieurs années, la France a fait du renforcement de la stabilité du cyberespace une de ses priorités, qu’elle partage à l’international avec ses partenaires.
La Revue stratégique de cyberdéfense (RSC), publiée le 12 février 2018, dresse un panorama de la cybermenace, formule des propositions d’amélioration de la cyberdéfense de la Nation et ouvre des perspectives visant à améliorer la cybersécurité de la société. Elle rappelle à ce titre le positionnement de la France contre « l’autorisation pour un acteur privé de mener des actions cyber offensives en réponse à une attaque dont il serait victime ».

En avril 2017, le Secrétariat général de la défense et de la sécurité nationale et l’ANSSI organisaient la conférence « Construire la paix et la sécurité internationales de la société numérique ». Une rencontre qui conviait des participants de tous horizons, pour engager la réflexion académique commune sur la préservation de la paix et de la sécurité internationale du cyberespace.

Avec la « semaine numérique de Paris » (Paris Digital Week), la France va plus loin pour créer les conditions d’un dialogue et d’une synergie entre toutes les parties prenantes en faveur de la stabilité du monde numérique… une responsabilité partagée, qui nécessite un engagement collectif.

Directive NIS – L’ANSSI accompagne les premiers opérateurs de services essentiels

jeu, 11/08/2018 - 18:40

La France a adopté une démarche progressive et qualitative de désignation des OSE afin de privilégier l’accompagnement et le suivi sur le long-terme.

Pour certains acteurs, cette réglementation est une première, il est donc primordial de les conseiller et de les guider afin d’assurer une mise en application cohérente et efficace des mesures de sécurité et autres obligations définies par la loi de transposition. Forte des enseignements tirés de la mise en œuvre du dispositif de cybersécurité de 2013 s’appliquant aux opérateurs d’importance vitale (OIV), la France a identifié 122 OSE au stade de l’échéance du 9 novembre 2018 fixée par la directive NIS. Ce chiffre, non définitif, sera amené à augmenter lors de futures identifications dont un nombre significatif, de l’ordre de quelques centaines, est d’ores et déjà en cours d’instruction.

« La démarche de la France, s’appuyant largement sur l’expérience positive des démarches conduites avec les opérateurs d’importance vitale depuis 2013, a pour ambition d’élever au juste niveau la sécurité des réseaux et des systèmes d’information, en national mais également à l’échelle européenne » assure Guillaume Poupard, Directeur général de l’ANSSI. Il complète : « Il n’est pas question d’être dans une logique de sanction mais avant tout de faire de la pédagogie auprès des OSE afin de provoquer une réelle prise de conscience de l’importance cruciale de la sécurité numérique, ainsi que de proposer des solutions concrètes et efficaces ».

 

Retour sur le dispositif de cybersécurité dédié aux OSE

C’est pour construire collectivement les conditions de sécurité indispensables à la transformation numérique de l’Union européenne que le Parlement européen et le Conseil de l’Union européenne ont adopté en juillet 2016 la directive Network and Information Security (NIS) visant à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information de l’Union européenne. La France a finalisé la transposition de la directive NIS en droit français avec la publication, le 29 septembre 2018, du dernier arrêté d’application portant sur les mesures de sécurité s’appliquant aux OSE.

L’un des volets du nouveau dispositif prévoit la définition et l’identification de nouveaux acteurs, essentiels pour la vie quotidienne des Français : les opérateurs de services essentiels (OSE). Un OSE fournit un service essentiel (SE) dont l’interruption aurait un impact significatif sur le fonctionnement de l’économie ou de la société. Ces OSE doivent garantir un socle minimal de cybersécurité pour se protéger d’une attaque cyber aux conséquences majeures sur le fonctionnement de l’économie et de la société.

L’ANSSI accompagne les OSE dans la mise en œuvre d’un dispositif de cybersécurité pour assurer leur protection (règles de sécurité, déclaration des incidents, etc.). La défense de ces opérateurs, privés ou publics, intervient en complémentarité du dispositif de cybersécurité des opérateurs d’importance vitale (OIV) introduit par la loi de programmation militaire (LPM) de 2013 face à l’augmentation en quantité et en sophistication des attaques informatiques.

Dans un premier temps, les OSE devront désigner un représentant auprès de l’ANSSI et identifier leurs systèmes d’information essentiels (SIE). Ils devront ensuite appliquer les règles de sécurité à leurs systèmes d’information essentiels et notifier à l’ANSSI les incidents de sécurité survenus sur ces systèmes.

Communiqué de presse – Directive NIS : l’ANSSI accompagne les premiers opérateurs de services essentiels

L’ANSSI et la DINSIC conjuguent leurs expertises pour la gestion agile de projets numériques sécurisés

jeu, 11/08/2018 - 16:17

Accompagner la transformation numérique, c’est aussi (voire surtout) développer le sentiment de responsabilité collective et individuelle et le transformer en actes. Cela suppose notamment de porter une attention toute particulière à chaque type de projet numérique et à la manière dont ils sont développés.
À ce titre, il importe que les équipes projet participent activement à la prévention du risque et au développement d’un espace numérique de confiance en appliquant, le plus tôt et le plus systématiquement possible, les principes de sécurité adéquats dans le cadre d’une gestion de projet agile. Pour les équipes de développement, ces principes contribuent également à ancrer l’idée que les mesures de sécurité servent la valeur livrée aux usagers et leur expérience utilisateur.

Si l’agilité et la sécurité font figure de duo gagnant, encore faut-il disposer des clés nécessaires pour intégrer ces pratiques combinées et encore trop souvent opposées. En s’appuyant sur leurs expériences respectives et celle des équipes en charge de ces développements, l’ANSSI et la DINSIC ont décidé de proposer une méthodologie de gestion de projet commune résolument pratique et concrète.

Le guide « Agilité et sécurité numériques – Méthode et outils à l’usage des équipes projet » issu de cette étroite coopération interministérielle se veut donc par essence participatif et a vocation à demeurer agile pour ne pas cesser d’épouser les besoins et la réalité des équipes auxquelles il s’adresse.

Découvrez la diversité des métiers de la Sécurité Numérique avec le panorama de l’ANSSI

ven, 10/26/2018 - 11:18

Spécialiste en gestion de crise Cyber, responsable de la sécurité des systèmes d’information, analyste, consultant « organisationnel » et « technique, administrateur ou encore architecte sécurité… Les métiers de la SSI sont riches et variés et représentent la diversité des expertises, parfois méconnues, qui émergent au sein d’un secteur en plein développement.

La démarche inédite, développée par l’ANSSI et ses interlocuteurs dans le cadre de label SecNumedu, présente de façon simple et concrète les grands métiers de la sécurité des systèmes d’information (SSI).

« Dans un monde où les technologies, les menaces et les usages sont en perpétuelle évolution, le marché de la cybersécurité offre de nombreuses opportunités de carrière. Ces nouveaux métiers vont permettre de répondre aux besoins d’aujourd’hui et d’anticiper ceux de demain », résume Guillaume Poupard, Directeur général de l’ANSSI.

Ce panorama prend en compte les évolutions du domaine ainsi que le résultat de nouvelles études sur ce sujet et en particulier :

  • la liste des métiers élaborée par l’OPIIEC en 2017 suite à une étude sur « les formations et les compétences en France sur la cybersécurité »
  • le document du NIST SP800-181 de novembre 2016

Cinq catégories de métiers ont été définies par le groupe de travail dans le cadre du label SecNumedu :

  • Pilotage, organisation et gestion des risques
  • Management de projets et cycle de vie
  • Opération et maintien en condition opérationnelle
  • Support et gestion des incidents
  • Conseil, audit et expertise

Et dans un domaine aussi mouvant et dynamique que la sécurité du numérique, ce panorama de métiers sera évidemment amené à évoluer très régulièrement.

Kit presse – Panorama des métiers de la sécurité du numérique

EBIOS Risk Manager passe à la pratique via le Lab organisé aux Assises de la SSI

ven, 10/19/2018 - 16:50

 Pour le lancement de sa nouvelle méthode d’analyse de risques EBIOS Risk Manager (EBIOS RM), lors des assises de la SSI, l’ANSSI et le Club EBIOS ont proposé un format pratique pour découvrir la méthode et la mettre en action, au cours d’un Lab.

Les premiers retours sont enthousiastes. Cette version de la méthode d’analyse de risques de référence est déjà perçue comme innovante, face aux enjeux du numérique pour les organisations.

UNE DÉMARCHE COLLABORATIVE ET ÉVOLUTIVE

Anticiper pour ne plus subir, c’est la promesse d’EBIOS Risk Manager. L’ANSSI propose un outil clé en main pour développer une vision partagée des risques numériques entre les décideurs et les responsables métiers.

Pour accompagner le développement d’EBIOS RM et ses usages, l’ANSSI s’engage dans la durée et mettra progressivement à disposition de l’ensemble des acteurs concernés (RSSI, directions métiers, risk managers…) des outils pour faciliter la mise en œuvre de la méthode au sein des organisations.

En complément du guide, vous retrouverez donc des « fiches méthode », des dispositifs de formation et un label de conformité pour des solutions logicielles conformes à la méthode.

Découvrez la nouvelle méthode EBIOS Risk Manager.

La France décroche la seconde place du challenge européen

jeu, 10/18/2018 - 18:02

Dans le cadre du mois européen de la cybersécurité, la France a participé pour la première fois à l’European Cybersecurity challenge, soutenue par l’Agence nationale de la sécurité des systèmes d’information (ANSSI) en lien avec l’association HackerZvoice.

Du 14 au 17 octobre 2018 à Londres, 17 équipes nationales concurrentes se sont mesurées à plusieurs séries d’épreuves variées : cryptographie, reverse engineering et recherche de vulnérabilité. Chaque équipe était composée de 10 joueurs, ainsi que 3 remplaçants, âgés de 14 à 25 ans et présélectionnés suite à un challenge organisé au niveau national.

Les joueurs de l’équipe France ont été sélectionnés lors du Wargame public de la Nuit du hack, en juin 2018.
L’équipe a été accompagnée et entraînée par trois professionnels de la cybersécurité, choisis comme « coachs » officiels de l’équipe, notamment lors d’un stage de préparation et de cohésion les 10 et 11 septembre 2018.

Découvrez la Team France

Pour sa première participation, la France a décroché avec succès la seconde place du challenge, derrière l’équipe allemande. Le Royaume-Uni arrive en troisième position du classement. Avec enthousiasme, détermination et bonne humeur, les joueurs français ont été dans le peloton de tête pendant les deux jours, misant sur les compétences individuelles mais aussi sur le travail en équipe.

Retrouvez les moments forts de l’équipe et de la compétition en suivant le #ECSC2018 .

Guillaume Poupard, Directeur général de l’ANSSI, s’est rendu à Londres pour féliciter l’équipe : « Ce succès à l’European Cybersecurity challenge illustre notre capacité à être performants devant toutes sortes de défis, à s’adapter et à rayonner au niveau international ».

Après cette première expérience réussie, la France participera à l’édition 2019 de l’European Cybersecurity challenge.
Rendez-vous l’an prochain (modalités de participation à venir) !

LE CHALLENGE EUROPÉEN

Lors de ce scénario fictif, qui prend la forme d’un « CTF », chaque équipe représente un prestataire privé de cybersécurité au service de clients des secteurs privés et publics, qui proposent des contrats (plus ou moins éthiques). Tout au long du challenge, chaque équipe doit remplir un maximum de contrats avec des niveaux de difficulté différents. L’objectif : définir une stratégie d’équipe pour allouer des ressources humaines et financières judicieusement, pour obtenir le meilleur score final, basé sur le montant d’e-coins mais aussi les points de réputation. L’équipe doit mettre à profit les différentes expertises de ses membres pour remplir collectivement un maximum de contrats : cryptographie, web, reverse engineering …

En savoir plus sur le challenge européen de cybersécurité

Communiqué de presse challenge européen cybersécurité

Anticipons grâce au management du risque cyber : l’ANSSI lance la méthode d’analyse de risque EBIOS Risk Manager

mer, 10/10/2018 - 14:09
EBIOS Risk Manager : comprendre pour décider

La transformation numérique bouleverse et enrichit nos activités en rendant les systèmes, dont nous dépendons, toujours plus évolutifs et interconnectés. Nous évoluons au sein d’écosystèmes particulièrement stimulants mais aussi complexes et mouvants. Les menaces n’échappent pas à ce constat, faisant de la sécurité numérique un véritable enjeu économique et stratégique.
Pour y faire face, l’ANSSI encourage la création et la mise en œuvre d’une politique de management des risques numériques complète, adaptée et intégrée au plus haut niveau des organisations. L’analyse de risque est au cœur de ce dispositif.

L’ANSSI lance la méthode d’analyse de risque EBIOS Risk Manager, dont l’objectif est de permettre aux dirigeants d’appréhender au juste niveau les risques cyber, au même titre que les risques stratégique, financier, juridique, d’image ou de ressources humaines.

Tout savoir sur la nouvelle méthode EBIOS Risk Manager.

« Le risque numérique doit être perçu comme un risque à part entière, qui nécessite la mise en place de mesures de sécurité adaptées aux besoins »

EBIOS Risk Manager offre une compréhension et une responsabilité partagées des risques numériques entre les décideurs et les acteurs opérationnels. Elle se déploie autour de trois valeurs fondamentales : la connaissance, l’agilité et l’engagement.

« EBIOS Risk Manager s’inscrit dans une démarche plus globale d’anticipation collective, qui, j’en suis convaincu, permettra d’élever le niveau de cybersécurité des organisations, en France et en Europe » confie Guillaume Poupard.

EBIOS, méthode d’analyse de risque française de référence

Initiée en 1995, EBIOS, méthode d’analyse de risque française de référence, permet aux organisations d’apprécier et de traiter les risques.
Pour accompagner les organisations, l’ANSSI modernise cette méthode d’analyse de risque pour prendre en compte l’environnement actuel et positionner la sécurité numérique au niveau des enjeux stratégiques et opérationnels des organisations.

Cette évolution tient compte de nombreux retours d’expérience des organisations (OIV, administrations, entreprises, associations) et fait converger concepts et normes internationales du système de management de la sécurité de l’information.

« La méthode EBIOS Risk Manager est le fruit d’un travail de deux années conduit par l’ANSSI et le Club EBIOS. Cette méthode moderne d’analyse des risques cyber est un outil pratique, pédagogique et collaboratif pour intégrer le numérique dans le management des risques. Elle permet de répondre aux nouveaux enjeux : la prolifération des menaces, l’émergence d’écosystèmes numériques complexes et le bouleversement numérique dans tous les secteurs d’activité » explique Guillaume Poupard, Directeur général de l’ANSSI.

La méthode EBIOS Risk Manager en 5 ateliers

La méthode EBIOS Risk Manager adopte une approche de management du risque qui part du plus haut niveau pour s’intéresser progressivement aux éléments métier et techniques, en étudiant les chemins d’attaque possibles.
La méthode se distingue donc par une synthèse entre conformité et scénarios. Selon EBIOS Risk Manager, la première étape consiste à bâtir un socle de sécurité solide en appliquant les référentiels de sécurité pertinents vis-à-vis de l’état de l’art et de la réglementation. La deuxième étape consiste à apprécier les risques en se concentrant sur les menaces intentionnelles et ciblées les plus dangereuses, à même de mettre à mal ce socle de sécurité.
Pour y parvenir, la méthode EBIOS Risk Manager se décline en cinq ateliers :

  • Atelier 1 : Cadrage et socle de sécurité
  • Atelier 2 : Sources de risque
  • Atelier 3 : Scénarios stratégiques
  • Atelier 4 : Scénarios opérationnels
  • Atelier 5 : Traitement du risque

Chacun peut ainsi s’approprier la méthode. En fonction du contexte et des outils déjà existants, les organisations peuvent mettre en place et adapter les ateliers à leurs besoins.

Une démarche collaborative et évolutive avec le label EBIOS Risk Manager

EBIOS Risk Manager est une méthode dynamique conçue pour être éprouvée, améliorée et discutée. Elle doit continuer de vivre et d’évoluer au contact d’une large communauté d’utilisateurs, déjà engagée dans cette démarche.
Le club EBIOS et le CLUSIF sont, à ce titre, des partenaires indissociables de cette démarche, garants de la reconnaissance, de l’utilisation et de l’animation de la méthode auprès de la communauté.

Afin d’outiller cette nouvelle méthode, l’ANSSI souhaite s’appuyer sur des partenaires externes, éditeurs de logiciel. Dans cette logique, l’ANSSI lancera en 2019 un label de conformité EBIOS Risk Manager, accessible à tout éditeur souhaitant développer une solution logicielle conforme aux principes et aux concepts de la méthode. Ce label de conformité vise à faciliter la création d’outils conformes aux attentes de l’ANSSI sur le plan méthodologique pour permettre aux utilisateurs de s’approprier les concepts et de réaliser des analyses de risques de bout en bout.
Plusieurs éditeurs se sont déjà rapprochés de l’ANSSI pour participer à l’expérimentation de la labellisation avant son lancement dans le cadre d’un accord de confidentialité.

Des dispositifs de formation EBIOS Risk Manager à venir

Le Centre de formation à la sécurité des systèmes d’information de l’ANSSI (CFSSI) dispensera dans les prochains mois une formation pour les administrations sur la méthode EBIOS Risk Manager.
En complément, des kits de formation à destination de formateurs externes à l’agence sont en cours d’élaboration avec le Club EBIOS, pour former et développer un réseau de formateurs en France et à l’international.
Ces différents dispositifs de formation favoriseront l’adoption de cette méthode d’analyse de risques par le plus grand nombre.

 

Communiqué de presse La méthode EBIOS Risk Manager

Assises de la SSI : la sécurité numérique est un enjeu économique et stratégique

mar, 10/09/2018 - 14:19

La 18e édition des Assises de la Sécurité à Monaco s’ouvre aujourd’hui , à l’occasion du Mois Européen de la Cybersécurité. Grand rendez-vous de la cybersécurité, cet évènement rassemble tous les acteurs du secteur et propose un programme varié, avec de nombreuses conférences thématiques consacrées aux enjeux de la sécurité du numérique.

Les temps forts de l’ANSSI :

Mercredi 10 octobre
– 11h30 : conférence d’ouverture de Guillaume Poupard « Anticipons pour ne plus subir ! »
– 12h45 : remise du prix Grand prix RSSI catégorie « Culture sécurité » par Guillaume Poupard ;
– 14h00 : conférence de presse « Anticipons grâce au management du risque cyber » ;
– 16h00 : ouverture du « Lab » EBIOS Risk Manager
Retrouver également l’ANSSI et ses partenaires sur place pour échanger et disposer des guides et ressources proposés par l’agence.

« Anticiper pour ne plus subir »

La transformation numérique bouleverse et enrichit l’ensemble de nos activités, en rendant les systèmes dont nous dépendons toujours plus évolutifs et interconnectés. Les menaces n’échappent pas à ce constat, faisant de la sécurité numérique un véritable enjeu économique et stratégique.
Le risque numérique doit être perçu comme un risque à part entière nécessitant la mise en place de mesures de sécurité adaptées aux besoins, au sein d’organisations dont la maturité permet aujourd’hui cette montée en puissance.

Pour relever ce défi, la France s’engage à l’échelle nationale et internationale et développe son expertise et son expérience, avec une réponse: la prévention du risque par l’anticipation collective.
La prévention des risques est une nouvelle étape à franchir pour les organisations. Une démarche que l’ANSSI encourage, avec la création et la mise en œuvre d’une politique de management des risques numériques complète, adaptée et intégrée au plus haut niveau des administrations et des entreprises. Avec la volonté d’offrir une compréhension et une responsabilité partagées des risques numériques entre décideurs et acteurs opérationnels.

EBIOS, méthode d’analyse de risque de référence

Pour accompagner les organisations, l’ANSSI modernise sa méthode d’analyse de risque EBIOS.
EBIOS Risk Manager propose un dispositif d’analyse de risque cyber modernisé, concret et collaboratif, qui tient compte des nombreux retours d’expérience et fait converger concepts et normes internationales relatives au système de management de la sécurité de l’information. Avec un mot d’ordre : comprendre pour décider !
L’objectif : permettre aux dirigeants d’appréhender ces risques.

Découvrez la nouvelle méthode EBIOS Risk Manager.

Une démarche collaborative et évolutive

EBIOS Risk Manager doit va évoluer au contact d’une large communauté de contributeurs, déjà engagée dans cette démarche.
Les partenaires de l’ANSSI, dont le Club EBIOS et le CLUSIF, sont également garants de la reconnaissance et de l’appropriation de la méthode par ses utilisateurs.

Nous vous proposons à ce titre de découvrir la nouvelle méthode EBIOS Risk Manager et ses ateliers durant les assises, avec un « Lab» dédié pendant l’évènement.

#TousSecNum Anticiper collectivement pour responsabiliser tous les acteurs

A l’heure où le Mois européen de la cybersécurité, rappelle que la sécurité est l’affaire et la responsabilité de tous, il est primordial de développer une approche concertée sur le plan national et européen :
– responsabilité de l’État dans la protection des citoyens et des infrastructures critiques, dans l’organisation de la défense et de la sécurité des systèmes d’information ;
– responsabilité des acteurs économiques dans la sécurité des produits et des services qu’ils proposent et dont le Visa de Sécurité assure la pertinence  ;
– responsabilité des citoyens dans l’exercice de leur vie numérique.

Face aux nouveaux enjeux du numérique, de nouvelles ambitions pour l’ANSSI

jeu, 10/04/2018 - 10:45


L’ANSSI a pour mission d’accompagner et de sécuriser le développement du numérique. Acteur majeur de la cybersécurité, par sa fonction d’administration centrale, mais aussi en tant que régulateur et opérateur, l’ANSSI accompagne, conseille et soutient tous les acteurs majeurs de la société au profit de la sécurité du numérique de la Nation.

Pour que la France reste souveraine en matière de sécurité numérique

Au-delà de sa mission historique de protection des systèmes d’information de l’État et des opérateurs critiques au niveau national, l’ANSSI, en tant qu’administrateur de la politique publique en matière de cybersécurité est là pour anticiper, veiller, sensibiliser, former et développer un écosystème vertueux à même de prévenir et de réagir aux attaques. Un modèle orienté sur la protection et la défense, qui est aujourd’hui reconnu au niveau international pour ses vertus et sa pertinence.

L’ANSSI – AUTORITÉ NATIONALE DE CYBERSÉCURITÉ

Pour répondre à ces missions, ainsi qu’aux défis de la transition numérique, l’ANSSI repense son organisation.
Cette nouvelle structuration permettra à l’agence d’entrer dans sa deuxième décennie sur des fondations solides, afin de toujours mieux anticiper les menaces de demain et de participer à la construction d’un espace numérique de confiance en accompagnant toutes les parties prenantes.
En se réinventant, l’ANSSI réaffirme sa volonté de construire un espace numérique sûr, stable et de confiance, mais aussi respectueux des souverainetés.

La nouvelle organisation de l’ANSSI:
  • une direction générale ;
  • une cellule d’anticipation cyber ;
  • une sous-direction administration, responsable de la programmation et de l’exécution des activités de soutien et d’administration de l’ANSSI ;
  • une sous-direction expertise, en charge de l’expertise technique, qui regroupe les laboratoires, une équipe d’assistante technique, un centre de formation à la sécurité des systèmes d’information et l’ensemble des activités liées aux produits de sécurité ;
  • une sous-direction du numérique, en charge de la mise à disposition au profit de l’État de solutions sécurisées et assurant le rôle de DNum de l’ANSSI et du SGDSN ;
  • une sous-direction opérations, responsable de la mise en œuvre de la fonction autorité de défense des systèmes d’information ;
  • une sous-direction stratégie, animant le dialogue, les relations extérieures, la coordination des interventions de l’agence et l’élaboration de la réglementation, et développement les méthodes de management de la sécurité numérique.

En savoir plus sur la nouvelle organisation de l’ANSSI

Le Mois européen de la cybersécurité 2018 – Ça commence aujourd’hui !

lun, 10/01/2018 - 12:43

Vous avez été le témoin ou la victime d’un acte de cyber malveillance ? Vous vous demandez à quoi servent les mises à jour, les sauvegardes ? Etc.
Le gouvernement mais aussi une dizaine de partenaires institutionnels mettront en lumière recommandations et astuces pour vous aider à devenir à votre tour acteur et actrice de votre sécurité numérique.
Vous ne vous sentez pas concernés par ces questions ?

Une Campagne 2018 en dessin

Pour  nous rappeler que nous sommes tous acteurs de la sécurité du numérique au quotidien, le dessinateur FiX va proposer tout au long du mois des illustrations d’anecdotes inspirées de la vie de tous les jours et transmises par les partenaires du Mois européen de la cybersécurité. Etes-vous sûr(e)s de ne pas vous reconnaitre ?

On résume

Tout ce que vous avez toujours voulu savoir sur le Mois européen de la cybersécurité est en ligne sur la rubrique dédiée à l’évènement :

Parce que la sécurité du numérique est un défi quotidien, tous les événements et supports mis en avant au cours du mois d’octobre sont disponibles et se réinventent tout au long de l’année. Renseignez-vous !

Dossier Presse – Mois Européen de la Cybersécurité 2018

ECSM 2018 – L’affiche de la campagne dessinée

Publication de l’arrêté des règles de sécurité s’appliquant aux opérateurs de services essentiels (OSE)

lun, 10/01/2018 - 10:16

La directive Network and Information System Security (NIS) vise à l’émergence d’une Europe forte et de confiance, qui s’appuie sur les capacités nationales des Etats membres en matière de cybersécurité, la mise en place d’une coopération efficace et la protection des activités économiques et sociétales critiques de la Nation, pour faire face collectivement aux risques de cyberattaques. Elle définit notamment le statut d’Opérateur de services essentiels (OSE), qui doivent identifier leurs systèmes d’information essentiels sur lesquels ils devront appliquer des règles de sécurité et déclarer à l’ANSSI les incidents de sécurité survenus. L’arrêté publié le 29 septembre 2018 précise ces règles de sécurité ainsi que leurs délais d’application.

Les règles sont les mêmes pour tous les opérateurs de services essentiels et s’inscrivent dans une véritable approche de management des risques, déclinée en quatre chapitres :

  • La gouvernance de la sécurité des réseaux et systèmes d’information ;
  • La protection de la sécurité des réseaux et systèmes d’information ;
  • La défense de la sécurité des réseaux et systèmes d’information ;
  • La résilience des activités.

Ces règles de sécurité sont conformes aux recommandations émises par le groupe de coopération créé dans le cadre de la Directive NIS et aux échanges duquel l’ANSSI prend une part active. Leur contenu est par ailleurs directement inspiré des règles mises en œuvre par les opérateurs d’importance vitales, règles élaborées en lien avec les opérateurs et les ministères concernés.

Une question concernant les OSE et leurs obligations ? Consultez notre foire aux questions.

J-3 : Soyez prêt-e-s pour l’édition 2018 du Mois européen de la cybersécurité !

ven, 09/28/2018 - 13:43

Le Mois européen de la cybersécurité, (ou ECSM) est une initiative européenne engagée par l’ENISA, qui vise à mobiliser l’ensemble de la population autour des enjeux de la sécurité numérique.

Ministères, associations, organisations professionnelles et autres acteurs clés … Tous sont des acteurs incontournables engagés dans cette campagne nationale pour partager avec leurs publics, tout au long du mois d’octobre, des conseils pour comprendre les défis de la transition numérique et entrer en action afin de se protéger efficacement au quotidien.

Au programme de l’ECSM, quatre semaines thématiques :

Avoir les bases
Connaitre les métiers
S’intéresser aux risques pour appliquer les bonnes pratiques
Comprendre les enjeux de demain

En savoir plus sur l’édition 2018 du Mois européen de la cybersécurité

LA PROGRAMMATION 2018

Au cours du mois d’octobre, de nombreux ateliers et conférences seront organisés sur l’ensemble du territoire français, à destination des chefs d’entreprises, des citoyens ou encore des étudiants. Au programme : des ateliers pour mieux comprendre le RGDP, la mise en scène du procès de l’Intelligence artificielle, une compétition européenne pour les jeunes talents de la SSI…

Retrouvez tous les grands moments du Mois européen de la Cybersécurité.
Si vous souhaitez y participer, renseignez-vous dès à présent sur les évènements ouverts au public proches de chez vous.

Tout au long de cette campagne d’information et de sensibilisation, les partenaires du Mois européen de la cybersécurité partageront également des clés de compréhension et d’actions pour protéger efficacement votre vie numérique. De nombreux kits de sensibilisation, des infographies ou des vidéos sont à consommer et à sans modération autour de soi !

Retrouvez dès à présent toutes les bonnes pratiques pour s’informer et se former à la sécurité du numérique dans la boite à outils.

#TousSecNum – Devenez VOUS AUSSI ACTEUR de la sécurité numérique

Convaincu(e) que les bonnes pratiques de la sécurité du numérique doivent être davantage connues de tous et toutes ? N’hésitez pas à suivre et à partager via le hashtag #TousSecNum pour participer à cette grande campagne nationale.

Et pour aller plus loin encore, participez-vous aussi à cette action de sensibilisation en arborant fièrement les couleurs de l’ECSM sur vos différents réseaux sociaux, grâce au kit de communication à votre disposition.

Dossier de Presse – Mois européen de la cybersécurité 2018

Contribuez au développement de CLIP OS : le système d’exploitation durci conçu par l’ANSSI

mer, 09/19/2018 - 19:17

Initialement conçu et développé depuis 2005 par l’ANSSI pour répondre aux besoins de l’administration, CLIP OS propose un ensemble de briques (outils et codes source) formant la base d’un système d’exploitation multi-niveau sécurisé.

 CLIP OS : pourquoi un système d’exploitation multi-niveau sécurisé ?

Basé sur un socle de confiance durci et maîtrisé, où la sécurité est prise en compte à tous les niveaux, il est capable de manipuler des informations de nature ou de sensibilité différentes (non protégé à diffusion restreinte) dans des environnements séparés. Ce socle durci peut être décliné sous de nombreuses formes, selon les besoins et les usages.

Une démarche participative

Avec la publication du code source et de la documentation de CLIP OS, l’ANSSI souhaite initier un projet collaboratif pour construire progressivement un système d’exploitation durci, capable de gérer des informations de plusieurs niveaux de confidentialité, basé sur le noyau Linux et un ensemble de logiciels open-source.

Développez CLIP OS !

S’il n’existe actuellement pas de version « prête à l’emploi » de CLIP OS pour les utilisateurs, l’ANSSI propose à chacun de contribuer au projet, pour son développement et son amélioration, afin de mieux répondre aux usages et aux besoins spécifiques de chaque déploiement.

L’ANSSI met à disposition de la communauté le code source du projet CLIP OS :
Pour archivage et référence : le code source et la documentation (en français) de la précédente version de CLIP OS (version 4) pour initier et faciliter les développements futurs.
Pour permettre un développement collaboratif : le code source et la documentation (en anglais) de la version en cours de développement de CLIP OS (version 5).

Encore au stade de version « Alpha », CLIP OS va s’enrichir sur la durée grâce aux développements réalisés par les équipes de l’ANSSI, ainsi qu’aux contributions de tous les acteurs qui souhaiteront s’impliquer dans ce projet.

En savoir plus sur CLIP OS

Vous pouvez directement retrouver les sources** et la documentation de CLIP OS sur le site du projet, ainsi que les moyens mis en place pour participer à son développement.

Clé publique OpenPGP du projet

 

Cette démarche s’inscrit dans le « plan pour une action publique transparente et collaborative » , mené par la direction interministérielle du numérique et du système d’information et de communication de l’État (DINSIC).

 

Communiqué de presse CLIP OS

 

* open-source : code source ouvert
** Les portions de code spécifiques au projet CLIP OS sont mises à disposition en open source, principalement sous licence LGPL 2.1+.

L’ANSSI présente à Singapour pour participer à la construction d’un cyberespace de confiance

lun, 09/17/2018 - 11:38

L’ANSSI est présente à Singapour cette semaine pour échanger avec ses partenaires locaux et internationaux. L’Agence s’investit au quotidien pour contribuer à la stabilité du cyberespace, renforcer ses alliances et partenariats, présenter le modèle français de cybersécurité et promouvoir le développement d’un cyberespace sûr, stable et ouvert. L’agence participe activement aux discussions internationales sur la cybersécurité aux niveaux politique et normatif, et œuvre de concert avec l’ensemble de ses partenaires face aux menaces émanant du cyberespace.

Rencontre à l’ambassade de France à Singapour

Cet échange, qui porte sur le renforcement de la coopération avec Singapour, est l’occasion pour Guillaume Poupard, directeur général de l’ANSSI et M. Marc ABENSOUR, Ambassadeur de France à Singapour, d’échanger sur la mise en œuvre de la feuille de route adoptée le 13 juillet dernier, qui porte sur le renforcement de la collaboration en matière d’innovation numérique, de gouvernance de l’Internet et de cybersécurité.

Intervention en ouverture de la Singapour International Cyber Week 2018 (SICW)

Événement de référence à l’échelle internationale, la SICW, organisée par la Cyber Security Agency (CSA) de Singapour, réunit du 18 au 20 septembre des autorités étatiques de l’association des nations de l’Asie du Sud-est (ASEAN) et tous leurs partenaires internationaux, autour des enjeux de la sécurité du numérique.

Intervenant en plénière d’ouverture, l’ANSSI, en tant qu’autorité nationale de sécurité et de défense des systèmes d’information, y présentera les conditions indispensables à la construction d’un cyberespace de confiance.

Une approche française qui repose sur trois piliers :
la définition de règles communes et des responsabilités des acteurs étatiques et privés 
– le renforcement de la coopération entre les acteurs majeurs de la cybersécurité tels que les États, les organisations internationales, les entreprises, la société civile
– la transmission de l’expertise et de la connaissance

 

Approfondissement du programme de coopération en cybersécurité entre l’ANSSI et CSA

A l’occasion de la SICW, l’ANSSI et la cyber security agency (CSA) de Singapour renouvèlent leur partenariat par la signature d’un programme de coopération étendu en présence de Mounir Mahjoubi, Secrétaire d’État chargé du numérique, Janil Puthucheary, Ministre en charge des communications et de l’information à Singapour.
Avec une durée de validité portée de deux à cinq ans, le programme repose sur le partage de connaissances et d’expériences en matière de :
– gouvernance et de stratégie nationale ;
– protection et défense des systèmes d’information en particulier d’importance vitale ;
– évaluation et de certification des produits de sécurité ;
– exercices.

Participation au salon d’affaires GovWare

L’ANSSI participe également au volet industriel de la SICW, GovWare  .
Principal salon asiatique du numérique, il réunit des entreprises du secteur de la cybersécurité. L’occasion pour l’ANSSI, aux côtés de Mounir Mahjoubi, Secrétaire d’État chargé du numérique, d’aller à la rencontre des entreprises de confiance présentes sur le pavillon France.

L’ANSSI participe à la création d’une session nationale « Souveraineté numérique & cybersécurité » portée par l’INHESJ et l’IHEDN

jeu, 08/09/2018 - 11:30
Le programme de la formation

Répartie sur 10 semaines, cette formation sera l’occasion pour les candidats sélectionnés d’acquérir une culture des enjeux de cybersécurité et de souveraineté induits par la transformation numérique. Pour ce faire, la trentaine d’auditeurs assistera à des présentations académiques ainsi qu’à des échanges avec des personnels engagés dans le dispositif national de cybersécurité.

Les cours magistraux répartis en 8 séminaires de 2 jours (jeudi et vendredi) auront lieu au siège des instituts à l’École militaire à Paris. Une mission à l’étranger de 4 jours et un exercice de mise en situation de crise permettront également aux candidats de développer une vision stratégique « cyber » au service des intérêts de leur entreprise ou de leur administration.

 

L’ANSSI encourage les formations en sécurité des systèmes d’information

Un partenariat avec l’INHESJ et l’IHEDN a été mis en place par l’ANSSI en novembre 2014 et novembre 2015 dans l’objectif de développer les formations (continues ou initiales) en matière de sécurité des systèmes d’information. Partenaire et membre du comité de pilotage de cette session inédite, l’agence a participé à la construction du programme. À ce titre, plusieurs experts de l’agence interviendront devant les auditeurs lors de séminaires.

Outre ces deux partenariats, l’ANSSI intervient dans la définition et la mise en œuvre de la politique de formation à la SSI via son Centre de formation à la sécurité des systèmes d’information (CFSSI). Ce dernier propose des formations dispensées par des experts de l’agence au profit du personnel de l’État sous la forme de stages courts et d’un cycle long permettant d’obtenir le titre d’expert en sécurité des systèmes d’information (ESSI).

Retrouvez plus d’informations dans le dossier de présentation de la session  » Souveraineté numérique & cybersécurité « 

 

Un label EBIOS « Risk Manager » pour les solutions qui accompagneront la nouvelle méthode de management des risques numériques

ven, 08/03/2018 - 09:56

Depuis 1995, l’ANSSI et ses partenaires ont fait évoluer EBIOS, la méthode de référence pour l’analyse de risques relatifs à la sécurité du numérique. À la rentrée, une nouvelle version de la méthode EBIOS sera proposée pour répondre de façon agile, réaliste et collaborative aux évolutions de la menace, au plus près des besoins des organisations.

La méthode EBIOS évolue

Forte d’une expérience riche et d’une communauté d’utilisateurs et de contributeurs engagée au sein du Club Ebios, cette nouvelle édition de la méthode garantira une approche concrète et actuelle du management du risque numérique, adaptée à toutes les organisations.
EBIOS « Risk Manager » s’annonce comme la méthode d’analyse et de traitement indispensable pour permettre aux dirigeants d’appréhender le risque cyber, au même titre que d’autres menaces stratégiques pour leur organisation, avec une compréhension partagée entre le niveau décisionnel et opérationnel.

Une approche collaborative avec le Label « EBIOS RM »

Afin d’outiller cette nouvelle méthode, l’ANSSI souhaite s’appuyer sur des partenaires externes, éditeurs de logiciel. La mise à disposition d’une ou plusieurs solutions logicielles conformes à l’esprit de la méthode apparaît comme un complément attendu qui facilitera son adoption par le plus grand nombre.

Dans cette logique, l’ANSSI travaille à la création et à l’attribution d’un label de conformité EBIOS RM, accessible à tout éditeur souhaitant développer une solution logicielle conforme aux principes et aux concepts de la méthode EBIOS « Risk Manager ».

Les éditeurs sont dès à présent invités à se rapprocher de l’ANSSI (contact : ebios[at]ssi.gouv.fr) pour participer à l’expérimentation de la labellisation avant son lancement et disposer du cahier des charges dans le cadre d’un accord de confidentialité.

Liste des villes où nous intervenons

Interventions du Lundi au Vendredi de 9 heure à 18 heure , Samedi 9 heure à 12 heure.
Interventions en urgence (h+4 max) 7 jours sur 7, 24h sur 24.