Utiliser un standard ou une norme de sécurité pour faciliter sa conformité PCI DSSLors de l’obtention de la certification PCI DSS après le moment d’euphorie vient une problématique que l’on avait mis de coté. Comment maintenir ma certification pour permettre son renouvellement. Votre QSA pense déjà à sa nouvelle mercedes et votre N+1 à N+10 veut…
Avoir une approche pragmatique de la présence d’un réseau sans fil dans un environnement PCI DSSCette question revient à chaque fois que l’on démarre le processus de certification avec les auditeurs QSA. « Avez vous un réseau Wifi qui communique avec vos composants PCI et qui transporte du PAN. J’utilise bien entendu le référentiel PCI DSS…
La journée de la SSI par l’OSSIRLe 10 Mars 2015 aura lieu la JSSI de l’OSSIR, cette année le thème sera « Quel avenir pour la souveraineté française en SSI ». Les conférenciers seront l’ANSII, l’Institut Français d’Analyse Stratégique, des experts indépendants (Nicolas Ruff, Stéphane Borzmeyer…) ainsi que le cabinet HSC, l’avocat Alain Bensoussan…
Peux-t’on encore faire confiance à TrueCrypt…Depuis la fin du projet Truecrypt en juin 2014, beaucoup de RSSI et de consultants sécurités se demande s’ils peuvent encore faire confiance à ce logiciel. La version 7.2 est fortement déconseillée suite à la découverte de Malware et la présence d’une clé ancienne de l’équipe de développement. Un projet…
Comment mettre en œuvre une plateforme WAP en 2015 ?Bonjour à tous, Pour une fois, je ne parlerai pas de PCI DSS, ni de SSI mais de téléphonie mobile des années 2000…Je viens de récupérer un bon vieux nokia 7110 qui permet de consulter l’Internet via le protocole WAP, un dérivé du XML. Je cherche…
Sécurité et Espionnage Informatique une menace réelle aujourd’huiDepuis quelques années, nous entendons parler de menace APT (Advanced Persistent Threat) ainsi que de Cyberespionnage sans réellement pouvoir identifier, évaluer la menace. Après un sondage auprès de différents RSSI / RSSO, il apparait que nous sommes avec un niveau d’information peu précis surtout en cas de demande…
Choisir le bon protocole de chiffrement pour PCI DSSAprès une réunion au sein du groupe cartes bancaires, j’ai eu l’occasion de rencontrer Jeremy King Directeur à l’International du PCI SSC pour échanger sur l’utilisation du protocole de chiffrement à utiliser sur une plateforme PCI DSS. La réponse fut brutale : « OpenSSL is broken and using…
Maintenir une politique qui adresse les informations de sécurité pour l’ensemble du personnelVoila enfin le dernier article sur les différences entre la version 2.0 et 3.0 du standard PCI DSS. La gestion d’une politique de sécurité des informations. Une politique de sécurité robuste définit la sécurité mise en oeuvre à l’échelle de l’entreprise et indique…
Tester régulièrement les processus et les systèmes de sécuritéLe chapitre 11 du standard PCI DSS apporte quelques exigences supplémentaires. Des vulnérabilités sont sans cesse découvertes par des individus malveillants et des chercheurs, et sont introduites avec tout nouveau logiciel dans le CDE. Les composants du système, les processus et les logiciels personnalisés doivent être fréquemment…
Effectuer le suivi et surveiller tous les accès aux ressources réseau et aux données du titulaireNous continuons notre aventure sur les différences de base entre la version 2.0 et 3.0 du standard PCI DSS. Le chapitre 10 axé sur la surveillance et le suivi de tous les accès aux ressources réseaux. Les mécanismes de journalisation…
