Un nouveau Label Sécurité : ITrust Security Metrics

//Un nouveau Label Sécurité : ITrust Security Metrics

Un nouveau Label Sécurité : ITrust Security Metrics

Par | 2011-10-12T09:00:26+02:00 octobre 12th, 2011|Actus ITrust|

[Extrait du Communiqué Presse du 11/10/2011]

Pourquoi créer un label de sécurité indépendant ?

Contrairement aux Grands Comptes, les PME n’ont souvent pas les moyens financiers et humains afin d’avoir un bon niveau de sécurité. Il en va de même pour les hébergeurs et Cloud Providers (fournisseurs de plateformes et applications Cloud) qui tentent de mettre en place des architectures sécurisées, rendues inefficaces par l’apparition régulière de nouvelles failles applicatives par exemple.

Aujourd’hui, les seuls labels de sécurité indépendants qui existent sont américains : Verisign, McAfee, Trust Guard, etc. Or, nous constatons souvent que ces labels ne vont pas plus loin que le simple scan d’une url et des applications Web.

Les objectifs du label conçu par ITrust sont les suivants :

  • Mettre en place un outil de supervision réseau (IKare) pour détecter en temps réel l’apparition de nouvelles failles de sécurité et ainsi éviter l’exploitation de celles-ci par des pirates informatiques.
  • Proposer un accompagnement organisationnel de l’entreprise ; ITrust met son expertise à disposition de l’entreprise de manière régulière (1 à 2 jours par mois) afin d’implémenter les ‘bonnes pratiques’ de sécurité.
  • Afficher un label sur le site internet de l’entreprise (cf. logo ci-dessus) afin qu’elle puisse prouver les efforts qu’elle consent pour maintenir un niveau de sécurité optimal.
  • Répondre aux réglementations relatives à la sécurité et au respect de la vie privée telle que l’Ordonnance du 24 Août 2011 qui oblige les Opérateurs télécoms (et éventuellement les Hébergeurs et Cloud Providers) à notifier les failles de sécurité de leur réseau à la CNIL.

Le label ITrust Security Metrics

Le label « ITrust Security Metrics » est composé de quatre niveaux, chacun suivant un certain nombre de règles imposées par ITrust.

Ces règles s’appuient sur les « bonnes pratiques » et les normes internationales de sécurité telles que l’ISO 27001 :
Critères / Exigences
Niveau 1
Niveau 2
Niveau 2+
Niveau 3
 Niveau 4
Scan de Vulnérabilités via IKare
1/semaine
2/semaine
2/semaine
1/jour
1/jour
Contrôle de sécurité via IKare
2/semaine
1/jour
1/jour
2/jour
2/jour
Correction des vulnérabilités
Dans la semaine
Dans les 3 jours
Dans les 3 jours
Dans les 48H
Dans les 24H
Sécurité physique
x
x
x
Gestion des actifs
x
x
x
Gestion des communications et des opérations
x
x
x
Contrôle d’accès
x
x
Gestion des incidents
x
x
Politique de sécurité
x
x
Organisation de la fonction sécurité
x
x
Ressources humaines
x
x
Reprise et continuité d’activité
x
x
Conformité
x
x
Accréditation client ISO 27001
x

Le label apposé sur le site internet client renvoie vers une page de description des contrôles de sécurité mis en place par l’entreprise : fréquence des scans de vulnérabilités, conformité ISO 2700x, audits, etc.

Si ces règles ne sont pas respectées, ITrust rétrograde voire supprime le label jusqu’à ce que l’entreprise effectue les corrections nécessaires.

Témoignage client

« Actuellement dans une démarche qualité sur notre système d’information, Prooftag était à la recherche d’un outil permettant de gérer de manière simple et centralisé le niveau de sécurité de son infrastructure. Etant déjà utilisateur de la solution Centreon pour la supervision de nos infrastructures critiques, notre choix s’est naturellement porté sur le module « IKare for Centreon » proposé par ITrust.

La mise en place de la solution IKare nous permet de réduire considérablement le temps passé sur la partie détection des vulnérabilités et de nous concentrer sur leur résolution ainsi que sur l’évolution de nos services.  IKare permet également d’obtenir une supervision du niveau de sécurité en quasi temps réel sur la même interface de gestion que notre monitoring d’infrastructure.

Pour finir ce label permet d’informer les utilisateurs et clients du niveau de sécurité optimal que Prooftag s’emploie à maintenir sur l’ensemble de ses prestations, notamment sur notre site de contrôle en ligne www.prooftag.com. »

 Stéphane Martinez, Administrateur Système et Réseau, Prooftag.

Le rôle d’IKare

IKare est une solution de supervision sécurité, qui a été lancé sur le segment que l’on appelle « Vulnerability Assessment ». La solution audite le réseau interne d’une entreprise et/ou les serveurs frontaux de l’entreprise en externe, via internet (serveurs attaquables de l’extérieur et qui hébergent notamment les services web de l’entreprise). Elle est basée sur la technologie scanner, non intrusive pour le système d’information cible. IKare est labellisé par Oseo.
Selon le niveau de certification souhaité par le client, ITrust impose un ou plusieurs scans par jour/semaine avec un délai de correction des vulnérabilités, comme le montre le tableau ci-dessus.