FAQ
Une question sur la gouvernance Cyber ? Cyber ETHIC vous répond.
Qu'est-ce que la gouvernance cyber ?
La gouvernance de la cybersécurité consiste à définir l’organisation, les rôles et responsabilités, les procédures, ressources et moyens humains et techniques afin de se protéger contre les atteintes à la sécurité des systèmes d’information, qu’elles soient d’origine accidentelle ou intentionnelle.
Elle s’appuie sur la stratégie ou les objectifs de sécurité globale de l’organisation.
Qu'est-ce que l'éthique dans la cyber ?
L’éthique dans la cybersécurité consiste à appliquer des principes d’éthique généraux à l’accompagnement des organisations dans leurs besoins de cybersécurité. Elle impose notamment le respect de principes de loyauté, d’intégrité, de professionnalisme, de partage et de bienveillance.
Elle garantie à l’organisation accompagnée de bénéficier de services respectant des valeurs morales et humaines.
Vous pouvez consulter la Charte Cyber ETHIC.
Qu'est-ce que l'ISO 27001 ?
L’ISO 27001 est la norme relative à la mise en œuvre d’un système de management de la sécurité des informations.
Elle permet d’aider à la définition d’une bonne gouvernance cybersécurité et propose notamment au travers de son annexe les mesures techniques, humaines et organisationnelles essentielles auxquelles les organisations doivent prêter attention.
Qu'est-ce qu'une approche par les risques ?
….
Qu'est-ce que le cyber score ?
Le Cyber Score est une mention obligatoire à afficher sur les sites des opérateurs de plateforme en ligne définis à l’article L111-7 du code de la consommation et des personnes qui fournissent des services de communications interpersonnelles non fondés sur la numérotation, dont l’activité dépasse un certain seuil.
Le Cyber Score est fixé par la loi n°2022-309 du 3 mars 2022 et est entré en vigueur le 01 octobre 2023, néanmoins le décret et l’arrêté devant fixé les modalités particulières d’application, notamment les seuils et exigences, n’ont pas encore été publié.
Qu'est-ce que NIS 2 ?
La directive Network and Information Security (NIS) est une directive européenne visant à améliorer le niveau de protection face aux menaces cyber des secteurs jugés stratégiques.
La version 2 de cette directive élargit les secteurs concernés (de 10 à 18) faisant passer le nombre d’organisation devant s’y conformer d’environ 300 à environ 15 000.
Les organisations des secteurs tels que la fourniture d’énergie, le traitement des eaux usées, les services postaux, la recherche, et bien d’autres sont concernés.
La directive doit être transposée au niveau national avant le 17 octobre 2024. La transposition fixera les règles spécifiques de mise en conformité à la directive en France.
Qu'est-ce que DORA ?
Le Digital Operational Resilience Act (DORA) est un règlement européen visant à renforcer la résilience opérationnelle de 20 types d’organisations du secteur financier.
Ce règlement impose principalement des mesures sur la gestion des incidents et la mise en œuvre de plan de continuité et reprise d’activité éprouvés. Le règlement s’intéresse également à la gestion des prestataires de services tiers.
Il entrera en vigueur le 17 janvier 2025.
Quelles normes cybersécurité pour les objets connectés ?
La directive européenne 2014/53/UE, dite RED (Radio Equipment Directive) réglemente la mise sur le marché des équipements radioélectriques dont les exigences en matière de sécurité sont définies par le règlement délégué (UE) 2022/30 d’octobre 2021.
Ces exigences sont détaillées depuis août 2024 dans 3 normes spécifiques :
- EN 18031-1:2024 Exigences de sécurité communes pour les équipements radio. Équipements radio connectés à Internet.
- EN 18031-2:2024 Exigences communes de sécurité pour les équipements radio. Équipements radio traitant des données, à savoir équipements radio connectés à Internet, équipements radio de puériculture, équipements radio pour jouets et équipements radios portables.
- EN 18031-3:2024 Exigences de sécurité communes pour les équipements radio. Équipements radio connectés à Internet traitant de la monnaie virtuelle ou de la valeur monétaire.
Les exigences de ces normes devraient entrer en application dans l’ensemble des pays membres de l’Union Européenne le 01 août 2025.
Cas particulier du Royaume Uni qui s’appuie sur une réglementation propre, le Product Security and Telecommunications Infrastructure Act 2022 (PSTI) imposant le respect :
- Du Product Security and Telecommunications Infrastructure (Security Requirements for Relevant Connectable Products) Regulations 2023
- D’une partie de la norme ETSI EN 303 645 V2.1.1 – Cyber Security for Consumer Internet of Things: Baseline Requirements de 2020
- D’une partie de la norme ISO/IEC 29147 :2018 relative à la divulgation des vulnérabilités (vulnerability disclosure)