Konformität über alles

infosecLa conformité aux normes, plus sécuritaire que la sécurité elle-même… Simple lapsus ou regrettable inflexion des concepts en sécurité de l’information ?

Le site HealthCare IT Security a publié la semaine dernière un article consacré à la sécurité moderne des entrepôts de données dans le secteur de la santé. Son auteur, Bill Kleyman, spécialiste des datacenters, y évoque les trois niveaux de sécurité essentiels en la matière :

  1. la sécurité physique, c’est à dire la protection des locaux qui abritent les serveurs et autres supports physiques d’information contre des attaques matérielles ;
  2. la sécurité logique, autrement dit la protection des informations et des systèmes d’information contre des attaques immatérielles ;
    Et il ajoute :
  3. la conformité aux standards, qu’il justifie de la façon suivante (je souligne) :

guillemetHaving the most secure platform out there still may not make you compliant. This is why it’s critical to work with a data center partner that can offer the full trifecta of physical, logical, and compliance-drive security.

Et de citer divers standards internationaux en sécurité de l’information : PCI, HIPAA/HITECH, SOC 1, SOC 2, Safe Harbor.

Et là, je tique.

Continuer la lecture de « Konformität über alles »

Protection de l’information : Pour une approche multi-dimensionnelle – et non multi-couche

infosecEn matière de sûreté dans des environnements complexes, il convient de résister à la tentation de multiplier dans l’urgence les protections. Il s’agit plutôt de se concentrer en premier lieu sur un nombre restreint de mesures, afin de parer aux risques les plus importants. Cela est valable aussi bien en sûreté physique qu’en sécurité de l’information, comme nous le montre un cas récent – et grave – de piratage informatique dans le secteur de la santé aux États-Unis.

On apprenait la semaine dernière que le deuxième groupe d’assurances de santé américain, la compagnie Anthem, avait subi une attaque informatique d’envergure. Les pirates auraient en effet eu accès aux informations personnelles de 80 millions (oui, quatre-vingts millions) d’Américains.

Bien que ce ne soit pas le premier événement du genre dans le secteur de la santé, le « hack » d’Anthem semble cette fois avoir constitué un véritable électrochoc. Il est vrai qu’il survient peu après un autre piratage emblématique de l’ampleur du problème, celui de Sony Pictures Entertainment.

Continuer la lecture de « Protection de l’information : Pour une approche multi-dimensionnelle – et non multi-couche »

Les zombies sèment la pagaille au ministère de la sécurité publique

Organiser des exercices de mesures d’urgence sur un scénario d’invasion de zombies n’est pas dilapider l’argent du contribuable. C’est une façon intelligente de dynamiser, de motiver et de mieux former les différents intervenants.

Formation par le jeu

La semaine dernière s’est tenu à Québec un colloque organisé sous l’égide du ministère québécois de la sécurité publique au cours duquel on donnait diverses formations en gestion des mesures d’urgence. À l’origine, l’un de ses ateliers devait consister en un exercice de table de 3 jours simulant une invasion de zombies.

Le ministre québécois de la sécurité publique, M. Stéphane Bergeron, s’était insurgé que l’on puisse gaspiller des fonds publics pour monter des projets aussi puérils, en précisant (toutes les occasions sont bonnes) que cette initiative avait été lancée par le précédent gouvernement :

guillemet_

Moi, sincèrement, si on m’avait posé la question (avant), j’aurais dit : il y a-tu moyen de trouver autre chose… Mais manifestement, il semble que mon prédécesseur était très à l’aise avec la thématique des zombies.

Continuer la lecture de « Les zombies sèment la pagaille au ministère de la sécurité publique »