Normes & Directives

ISO 27001

La norme ISO 27001 est un cadre international pour la mise en place d'un système de management de la sécurité de l'information (SMSI). Elle définit les exigences pour protéger les informations contre les menaces et les risques.

Les avantages de la certification ISO 27001 sont nombreux :

Amélioration de la sécurité des informations.
Amélioration de la confiance des parties prenantes.
Amélioration de la conformité réglementaire.

La norme ISO 27001 est un outil important pour les organisations de toutes tailles et de tous secteurs d'activité. Elle permet de protéger les informations contre les cyberattaques et les violations de données.

Réalisez un Pentest ISO 27001

NIS 2

La directive NIS 2 est une nouvelle réglementation européenne qui renforce la sécurité des systèmes d'information. Elle s'applique aux opérateurs de services essentiels et aux fournisseurs de services numériques, et impose des exigences plus strictes en matière de gestion des risques, de notification des incidents et de coopération avec les autorités.

En résumé, NIS 2 vise à:

Protéger les infrastructures critiques et les données personnelles.
Renforcer la sécurité des systèmes d'information dans l'UE.
Améliorer la coopération entre les autorités compétentes des États membres.

Découvrez la Directive NIS 2

PCI DSS

La norme PCI DSS est un ensemble de normes de sécurité des données qui s'appliquent aux organisations qui stockent, traitent ou transmettent des données de titulaires de carte de paiement. Elle vise à protéger les données des titulaires de carte contre les cyberattaques et les violations de données.

Les organisations qui se conforment à la norme PCI DSS mettent en œuvre des mesures de sécurité telles que l'utilisation de pare-feu, le chiffrement des données sensibles, la mise en œuvre de contrôles d'accès et la formation des employés aux bonnes pratiques de sécurité.

La conformité à la norme PCI DSS est essentielle pour protéger les données des titulaires de carte et pour se conformer aux exigences réglementaires.

Découvrez la norme PCI DSS

MiCA

La norme MICA est un règlement européen qui encadre les crypto-actifs. Elle vise à protéger les investisseurs, à prévenir les abus de marché et à lutter contre la criminalité financière.

Les principales dispositions de la norme MICA sont les suivantes :

Les prestataires de services sur crypto-actifs (PSCA) seront soumis à un régime d'autorisation obligatoire.
Les émetteurs de stablecoins devront respecter des exigences strictes en matière de liquidité, de réserves et de gouvernance.
Les investisseurs en crypto-actifs seront mieux protégés contre les escroqueries et les fraudes.
Les PSCA devront mettre en place des mesures de lutte contre le blanchiment d'argent et le financement du terrorisme.

Découvrez le règlement MiCA

SecNumCloud

La norme SecNumCloud est une certification française qui atteste du niveau de sécurité des services cloud proposés par un prestataire.

Elle est basée sur la norme ISO 27001 et couvre les domaines suivants : la sécurité des infrastructures, des applications, des données, des opérations et des ressources humaines.

Les avantages de la certification SecNumCloud sont nombreux, notamment la réduction des risques de cyberattaques et le gain de confiance des clients et des partenaires.

En résumé, la norme SecNumCloud est une certification de sécurité des services cloud qui est basée sur la norme ISO 27001 et qui permet de réduire les risques de cyberattaques et de gagner la confiance des clients et des partenaires.

Découvrez la norme SecNumCloud

Obligations de l’ANS pour les ENS

Les Entreprises du Numérique en Santé (ENS) souhaitant certifier leur solution de téléconsultation doivent donc passer par un processus d’évaluation de la conformité de cette solution à des exigences portant sur la sécurité des systèmes d’information. La réalisation d’un test d’intrusion portant sur la solution candidate est notamment exigée.

Celui-ci donne lieu au remplissage d’un formulaire par l’auditeur qui permet de fixer le périmètre du test et atteste des résultats obtenus. Il constitue une preuve requise pour la certification de conformité au référentiel d'interopérabilité, de sécurité, et d'éthique des systèmes d’informations de téléconsultation.

Le test d’intrusion doit être réalisé par un prestataire d’audit, à la demande de l’éditeur. Afin de garantir les compétences du prestataire d’audit sélectionné et ainsi l’équité du processus, il est demandé de faire appel à un prestataire d'audit de la sécurité des systèmes d'information qualifié, ou PASSI.

Découvrez les obligations

ISO 19011

La norme ISO 19011 est une norme internationale qui fournit des lignes directrices pour l'audit des systèmes de management. Elle est publiée par l'Organisation internationale de normalisation (ISO).

L'objectif principal de la norme ISO 19011 est de fournir des lignes directrices pour l'audit des systèmes de management afin de :

Améliorer l'efficacité des systèmes de management.
Fournir une assurance aux parties intéressées que les systèmes de management sont conformes aux exigences établies.
Fournir une base pour l'échange d'informations entre les auditeurs.

Pour obtenir la certification ISO 19011, une organisation doit faire auditer son système de management par un organisme de certification accrédité. Si l'audit est réussi, l'organisme de certification délivrera à l'organisation un certificat ISO 19011.

Découvrez la norme ISO 19011

RGS

Le Référentiel général de sécurité (RGS) est une norme française qui définit les exigences de sécurité pour les systèmes d'information des autorités administratives.

Le RGS vise à protéger les données personnelles des citoyens et à garantir le bon fonctionnement des services publics. Il s'applique à tous les systèmes d'information des autorités administratives, qu'ils soient internes ou externes, centraux ou décentralisés.

Le RGS repose sur six principes fondamentaux :

L'intégrité : les informations doivent être exactes et complètes.
La confidentialité : les informations doivent être accessibles uniquement aux personnes autorisées.
L’authenticité : garantit que les informations sont exactes et complètes.
La disponibilité : les informations doivent être accessibles lorsque cela est nécessaire.
La traçabilité : les actions effectuées sur les informations doivent être traçables.
La résilience : les systèmes d'information doivent être capables de résister à des incidents de sécurité.

Découvrez la norme RGS

CYBERSCORE

Le Cyberscore est une mesure française qui vise à améliorer la cybersécurité des services numériques. Les plateformes qui répondent à certains critères doivent afficher un score de 0 à 5, reflétant leur niveau de sécurité. Le Cyberscore est attendu avec plusieurs avantages, mais il existe également des inconvénients potentiels.

Voici les principaux avantages du Cyberscore :

Augmentation de la sensibilisation à la cybersécurité chez les consommateurs.
Amélioration de la cybersécurité pour toutes les plateformes.
Réduction du risque de cybercriminalité.

DORA

DORA est un règlement européen qui impose aux entités financières de mettre en place un cadre de gouvernance et de contrôle interne pour la gestion des risques liés aux TIC. Il s'applique aux banques, aux compagnies d'assurance, aux gestionnaires d'actifs, aux prestataires de services de paiement et à d'autres entités financières désignées par les autorités de surveillance.

DORA vise à améliorer la résilience des entités financières aux cyberattaques et aux autres incidents liés aux TIC. Elle devrait contribuer à protéger les clients des entités financières et à renforcer la confiance dans le système financier de l'UE.