|
|
 |
02 December 2011 - Hervé Schauer Consultants (HSC) qualifié OPQF pour ses formations informatiques
 |
HSC qualifié OPQF pour ses formations informatiques
|
 |
Paris, le 02 décembre 2011
L'OPQF, l'Office Professionnel de
Qualification des organismes de Formation a qualifié HSC le 26 octobre
dernier pour ses formations en informatique.
HSC, qui a obtenu l'an passé la qualification de l'OPQCM pour pouvoir délivrer
légalement du conseil juridique en informatique, vient le 26 octobre dernier,
d'être qualifié par l'OPQF, organisme de certification accrédité par le
COFRAC
et seul reconnu par l'état.
Cette qualification, obtenue dans le domaine "informatique" pour une durée de
quatre ans, reconnaît le professionnalisme et le sérieux d'HSC en tant
qu'organisme de formation. Elle atteste notamment du respect de la
réglementation, de l'adéquation des compétences et des moyens techniques et
humains mis en oeuvre aux actions de formation, de la satisfaction des clients
et de la pérennité financière d'HSC.
Hervé Schauer, directeur d'Hervé Schauer Consultants, se réjouit : Cette
qualification est la plus haute distinction possible pour un organisme de
formation et cela constitue une référence déterminante pour les
OPCA
[1], les professionnels, les clients et les pouvoirs
publics [2]. Je pense que cela représentera un critère
majeur dans le choix des formations HSC.
Le professionnalisme d'HSC a été apprécié par l'ISQ-OPQF au travers d'une
instruction rigoureuse conforme à la norme AFNOR NF X50-091 en quatre étapes :
recevabilité du dossier, analyse au fond de la demande par un expert de la
formation professionnelle continue appelé instructeur, émission d'un avis
collégial par une commission d'instruction et décision par le comité de
qualification.
La qualification OPQF vient ainsi distinguer la qualité des formations HSC,
elle préjuge d'une relation de confiance client/prestataire de formation et
elle est le gage d'une coproduction réussie et donc efficace.
Rappelons qu'HSC propose un large éventail de formations, tant dans le domaine
technique que sur les aspects organisationnels et juridiques de la sécurité des
systèmes d'information. Elles sont dispensées par des professionnels
expérimentés, et sont organisées régulièrement à Paris, en province et au
Luxembourg.
Retrouvez tout notre programme de formations sur
http://www.hsc-formation.fr/ et
notre catalogue en téléchargement sur
http://www.hsc-formation.fr/formations/cataloguehsc.pdf
A propos d'HSC
Fondée en 1989 par Hervé Schauer, HSC (Hervé Schauer Consultants), est une
société de conseil, d'audit, d'expertise et de formation en sécurité des
systèmes d'information. HSC est le pionnier de la formation en sécurité en
France, Hervé Schauer ayant créé en 1989 la première formation à la sécurité
Unix en 1990 la première formation à la sécurité TCP/IP. Plus de 3000
professionnels de la sécurité ont suivi une formation HSC.
A propos de l'ISQ-OPQF
Fondé en 1994 à l'initiative de la
FFP,
l'ISQ-OPQF est un organisme de qualification des entreprises de prestations
de services intellectuels, et le seul en France a délivrer la qualification
des formations reconnue par le Ministère du travail et de l'emploi
[3]. L'ISQ-OPQF est accrédité par le
COFRAC selon la norme
NF X50-091 sous le n° 4-0528. L'OPQF a une représentation tripartite qui
associe les prestataires de formation, les clients (entreprises et OPCA
[1]) et un représentant de l'Etat (Ministère du
travail et de l'emploi [2]).
[1] : Les
OPCA sont
les organismes de financement des formations continues professionnelles ;
[2] : Depuis le JO du 4 août 2006,
l'article 45-II du code des marchés publics permet au pouvoir adjudicateur
d'exiger un certificat de qualification professionnelle, vous pouvez donc
exiger un organisme de formations qualifié OPQF ;
[3] DGEFP : Délégation généralle à
l'emploi et à la formation professionnelle, voir la
présentation du gouvernement.
08 June 2011 - Hervé Schauer Consultants (HSC) / SCPP - SPPF - SACEM-SDRM - ALPA
Paris, le 8 juin 2011
HSC missionné pour auditer la sécurité de la plate-forme HADOPI.
Les ayants droit de la musique SCPP, SPPF, SACEM-SDRM et du cinéma
ALPA, ont confié conjointement à la société HSC une mission d'audit de
sécurité de la plate-forme dédiée à HADOPI hébergée par la société TMG.
La SCPP (Société Civile des Producteurs Phonographiques) est une société
civile de perception et de répartition des rémunérations perçues pour le
compte de ses membres auprès des utilisateurs de phonogrammes et de
vidéomusiques. La SCPP réuni plus de 1300 producteurs et administre un
répertoire de plus de 2 millions de titres enregistrés et plus de 25 000
vidéomusiques.
La SPPF (Société civile des Producteurs de Phonographes en France) est une
société civile de perception et de répartition de droits pour ses membres.
La SPPF a été créée par des producteurs indépendants et assure la
représentation et la protection de leur droits tant au niveau national
qu'international.
La SDRM (Société pour l'administration du Droit de Reproduction Mécanique des
auteurs, compositeurs et éditeurs) est une société civile de répartition
de droit pour ses membres. La SDRM a été créée en 1935 pour succéder à une
société commerciale défaillante et gérer le droit de reproduction.
La SACEM (Société des Auteurs, Compositeurs et Editeurs de Musique) est une
société civile, gérée par les créateurs et éditeurs de musique, qui protège,
représente et sert les intérêts des auteurs, compositeurs et éditeurs de
musique. Elle a pour mission de collecter les droits d'auteur en France et
de les redistribuer aux créateurs français et du monde entier.
La SACEM doit observer les flux d'oeuvres et doit communiquer à la HADOPI
les références des oeuvres téléchargées illicitement.
L'ALPA est l'Association de Lutte contre la Piraterie Audiovisuelle qui est
un organisme de défense professionnel.
Les organisations d'ayants droit SCPP, SPPF, SACEM-SDRM, et ALPA ont confié
à la société TMG la recherche des adresses IP d'abonnés mettant à
disposition sans autorisation des contenus de leurs répertoires respectifs
ou appartenant à leurs membres.
TMG (Trident Media Guard) est une start-up nantaise proposant des services
de filtrage de contenu sur internet.
Un serveur de TMG, qui ne fait pas partie de la plateforme HADOPI, a été
exposé sur internet. Suite à cet incident, et bien que ce problème de
sécurité ait concerné un serveur sans aucune relation avec la plate-forme
dédiée à HADOPI, le principe de cette mission d'audit avait été convenu
entre les organisations d'ayants droit, la société TMG et la HADOPI dès
que le problème a été identifié, soit le 16 mai 2011.
Cette mission d'audit de sécurité est confiée à la société HSC.
HSC (Hervé Schauer Consultants) est une société de conseil, d'audit et
d'expertise en sécurité des systèmes d'information fondée en 1989. HSC est
reconnue pour ses compétences, son expertise technique, son indépendance,
et son objectivité. HSC est sélectionnée comme auditeur par ses clients pour
ses qualités, mais aussi pour sa neutralité, son autonomie et son
franc-parler vis-à-vis des parties prenantes.
HSC : Hervé Schauer - +33 141 409 700 - presse@hsc.fr - http://www.hsc.fr/
SCPP : Anouchka Roggeman - 01 41 43 03 07 - anouchka.roggeman@scpp.fr
SPPF : Valérie Thieulent - 01 53 77 66 55 - valerie.thieulent@sppf.com
SACEM/SDRM : Benoît Solignac - 01 47 15 87 89 - benoit.solignac.lecomte@sacem.fr
ALPA : Frédéric Delacroix - 01 45 22 07 07 - alpa@alpa.asso.fr
25 March 2011 - HSC propose les formations du SANS Institute en français
Paris, le 25 mars 2011
|
HSC propose les formations du SANS Institute en français
|
 |
Le SANS Institute (www.sans.org) a signé avec Hervé Schauer Consultants (HSC)
un partenariat, permettant à HSC de proposer les formations SANS en français.
Ce sont les consultants HSC instructeurs SANS qui sont les formateurs.
Le SANS Institute est l'institut le plus reconnu et la plus importante source
de formations et de certifications techniques à la sécurité des systèmes
d'information dans le monde.
Le SANS Institute développe, maintient et met à
disposition la plus grande collection de documents de recherche sur tous les
aspects de la SSI.
Il exploite le réseau d'alerte "Internet Storm Center".
Depuis 1998, chaque année, entre 4 et 10 consultants HSC suivent des formations
SANS aux USA.
En 2000, alors qu'Hervé Schauer était formateur lors du SANS d'Orlando sur le
cloisonnement de réseaux, il réitère auprès d'Alan Paller, CEO du SANS
Institute, sa recommandation de venir en Europe et en France faite en mai 1999.
Quand SANS se lance en Espagne en 2002, HSC relance et entame une négociation
pour collaborer. Cette négociation s'est concrétisée en 2010 et HSC est
désormais partenaire de SANS.
Andrew Smith, directeur EMEA du SANS Institue, témoigne :
"SANS respects Hervé Schauer for all his contributions to the global
infosec community. As we move our relationship with HSC forward in this
partnership, our shared goal is to combine our expertise and resources in
providing the best security training to meet the needs of the infosec community
in France."
Hervé Schauer, directeur d'Hervé Schauer Consultants, se réjouit :
"Les formations SANS sont sincèrement les meilleures formations techniques
que j'ai eu la chance de suivre. Je remercie SANS d'avoir sélectionné HSC comme
partenaire en France et ainsi permettre à mes consultants de proposer les
formations SANS en français."
Les formations SANS organisées par HSC sont dispensées par les consultants
HSC, avec la qualité et la rigueur qui font le succès des formations HSC
depuis 23 ans.
Ce sont les mêmes consultants qui donnent déjà les formations HSC à succès
comme les formations "Sécurité Windows", "Sécurité des Serveurs web" ou "Tests
d'Intrusion par la pratique", qui sont certifiés GIAC, qui animent les
formations SANS dispensées par HSC.
Les formations se déroulent dans les locaux d'HSC à Levallois-Perret.
HSC fournit le matériel des travaux pratiques qui doit habituellement être
apporté par les stagiaires chez SANS.
Les stagiaires auront la possibilité de passer un examen pour obtenir une
certification GIAC.
Les certifications GIAC (www.giac.org) sont la valeur ajoutée des formations
SANS : à chaque formation SANS correspond une certification GIAC.
Le Global Information Assurance Certification (GIAC) a été fondé en 1999 pour
valider les compétences des professionnels de la sécurité. Les certifications
GIAC garantissent que les certifiés ont les meilleures pratiques de la
profession, et les connaissances et compétences dans des domaines clés de la
SSI. Les certifications GIAC sont les certifications techniques en sécurité
les plus reconnues au monde, sans équivalent. Les certifications GIAC ne sont
souvent pas des certifications accessibles à tous, mais seulement aux réels
professionnels expérimentés, ce qui en fait une valeur sûre et reconnue dans
les CV.
HSC proposera petit à petit les principales formations techniques de SANS,
notamment celles des niveaux les plus élevés.
HSC a sélectionné dans un premier temps deux formations haut de gamme parmi
les plus attendues par notre public :
- "Analyse inforensique avancée et réponse aux incidents" SANS FOR508 :
"Computer Forensics, Investigations and Incidence Responses"
permettant d'acquérir la certification GIAC GCFA (Certified Forensics Analyst)
Première session du 2 au 6 mai 2011
http://www.hsc-formation.fr/formations/forensic.html.fr
- "Tests d'intrusion par la pratique" SANS SEC560 : "Network Penetration Testing
& Ethical Hacking"
permettant d'acquérir la certification GIAC GPEN (Certified Penetration Tester)
A partir de la session du 26 au 30 septembre 2011 la formation HSC aux
tests d'Intrusion devient la version SANS.
http://www.hsc-formation.fr/formations/ethical_hacking.html.fr
Pour tout renseignement, et pour vous inscrire, contactez Elodie Helvin :
formations@hsc.fr -- +33 141 409 704
A propos d'HSC
Fondée en 1989, HSC (Hervé Schauer Consultants), est une société de conseil,
d'audit, d'expertise et de formation en sécurité des systèmes d'information. HSC est le pionnier
de la formation en sécurité en France, Hervé Schauer ayant créé en 1989 la première formation à
la sécurité Unix et en 1990 la première formation à la sécurité TCP/IP. Plus de 3000 professionnels
de la sécurité ont suivi une formation HSC.
A propos du SANS Institute
Fondé en 1989 par Alan Paller, le SANS (SysAdmin, Audit, Network, Security) Institute
est un organisme collaboratif qui propose des formations et des certifications en sécurité.
Plus de 165000 professionnels de la sécurité dans le monde ont suivi une formation SANS.
15 September 2010 - Premier livre français dédié à la norme ISO 27005
Paris, le 15 septembre 2010
 |
Premier livre français dédié à la norme ISO 27005 :
"Gestion des risques en sécurité de l'information,
mise en oeuvre de la norme ISO 27005",
par Anne Lupfer - 252 pages - 39,90 euros
La gestion des risques a parfois été le parent pauvre de la sécurité
de l'information. De nombreux organismes appliquent des mesures de sécurité
pour respecter un catalogue de mesures, pour être conforme à un référentiel,
ou pour faire comme les autres. Il ne savent pas nécessairement en quoi ces
dispositifs de sécurité réduisent des risques. L'avènement de la norme
ISO 27001 qui permet d'organiser sereinement sa sécurité des systèmes
d'information sous forme d'un système de management de la sécurité de
l'information (SMSI), impose une approche par la gestion des risques.
L'obligation de la réalisation d'une appréciation des risques est une
caractéristique fondamentale de l'ISO 27001 en opposition avec les approches
conformité comme SoX ou PCI-DSS. La norme ISO 27001 précise en un peu plus
d'une page ce que doit obligatoirement comporter une gestion des risques en
sécurité de l'information. C'était un peu léger et la norme ISO 27005 est
venue combler ce manque avec détail, tout en en allant plus loin, car
l'ISO 27005 s'applique non seulement aux SMSI mais à tout type de situation,
de manière autonome, comme par exemple la gestion des risques sur un système
embarqué.
La norme ISO 27005
La norme ISO 27005 est un guide définissant une méthode d'appréciation
des risques en sécurité de l'information. L'ISO 27005 a fait l'objet
d'un consensus international et elle permet une meilleure compréhension
mutuelle à travers le monde.
L'ISO 27005 apporte une nouveauté fondamentale par rapports aux méthodes
qui l'ont précédées comme EBIOS ou Mehari : la gestion des risques dans
la durée, dans le temps. Il ne s'agit plus de gérer les risques en y
travaillant dur quelques semaines, puis en recommençant son travail quelques
années plus tard, mais de gérer les risques en sécurité de l'information au
quotidien. Ce changement majeur est imposé par l'approche continue de
l'ISO 27001, mais il représente le principal changement par rapport aux
méthodes antérieures.
L'ISO 27005 est également la première méthode qui impose à la direction
générale d'être parfaitement informée, et lui impose de prendre ses
responsabilités en toute connaissance de cause, ce qui clarifie les
responsabilités et facilite les arbitrages budgétaires.
|
Le livre "Gestion des risques en sécurité de l'information"
Cet ouvrage est une aide indispensable à la compréhension et l'application
de la méthode ISO 27005. Comme beaucoup de normes, l'ISO 27005 est très
structurée mais peu didactique. Comment inventorier et valoriser des actifs ?
Comment identifier des menaces, des vulnérabilités, des scénarios d'incidents,
des conséquences ? Comment estimer et évaluer des niveaux de risque ? Quels
risques doivent être réduits ou transférés ? Comment donner à la direction
générale de quoi faire son arbitrage budgétaire ?
Au travers d'un schéma de toutes les activités décrites dans la norme,
le livre détaille chaque étape, avec des exemples et des scénarios
d'incidents réels qui reflètent le savoir-faire de l'auteur.
À qui s'adresse ce livre ?
Cet ouvrage est destiné à tous les responsables sécurité (RSSI) et
leurs équipes, et les personnes impliquées dans la mise en oeuvre ou
l'audit d'un SMSI. C'est également un livre utile aux DSI, responsables
et chefs de projet informatique, et les personnes devant analyser les risques
informatiques ou gérer des risques informatiques et en sécurité de
l'information dans leur projet. L'ISO 27005 demande à ce que le gestionnaire
de risque en sécurité de l'information s'aligne sur les risques opérationnels
ou industriels, aussi l'ouvrage est profitable aux gestionnaires de risques
désirant approfondir le volet sécurité de l'information. Enfin le livre
sera une aide précieuse à ceux qui souhaitent obtenir la certification
individuelle "ISO 27005 Risk Manager".
L'auteur Anne Lupfer
Anne Lupfer est entrée chez HSC avec une expérience de gestion des
risques dans l'assurance. Elle a créé la formation à la gestion des risques
en sécurité chez HSC et et a été une des premières à mettre en oeuvre
concrètement la méthode ISO 27005 en clientèle.
C'est à la fois son expérience sur le terrain et ses échanges avec les
stagiaires que nous avons eu le plaisir de préparer à la certification
ISO 27005 Risk Manager que vous retrouverez dans cet ouvrage. Anne Lupfer
est ingénieur diplômée de l'ECE, et elle a rejoint un grand groupe pour
lequel elle met à profit son expérience acquise en gestion des risques.
Séance de dédicaces le jeudi 7 octobre à 17h00
A l'occasion de la sortie de son livre, Anne Lupfer signera son ouvrage
lors d'une séance de dédicaces sur le stand HSC aux Assises de la Sécurité
au Grimaldi Forum à Monaco le jeudi 7 octobre à 17h00.
Ceux qui auront déjà acquis l'ouvrage sont invités à venir avec leur
exemplaire, et à titre exceptionnel le livre sera vendu sur le stand
HSC durant le salon.
A propos du livre "Gestion des risques en sécurité de l'information, mise
en oeuvre de la norme ISO 27005" :
Auteur : Anne Lupfer
Préface : Hervé Schauer
Editeur : Eyrolles
Code éditeur : G12593
Parution : septembre 2010
Prix : 39,90 euros
ISBN : 978-2-212-12593-1
A propos d'HSC
Fondée en 1989, HSC (Hervé Schauer Consultants), est une société de conseil,
d'audit et d'expertise en sécurité des systèmes d'information, pionnière de
la mise en oeuvre de la méthode ISO 27005 en France. HSC propose des
prestations de conseil et d'accompagnement à l'appréciation des risques
et à mise en place de SMSI. HSC est également le n°1 français sur les
formations certifiantes aux normes ISO 27001 et ISO 27005, et plus de
1500 professionnels de la SSI ont suivi une formation HSC.
HSC (Hervé Schauer Consultants)
Contact : Hervé Schauer
Courriel : presse@hsc.fr
Tél : +33 141 409 700
http://www.hsc.fr/
10 March 2010 - Nouvelle reconnaissance internationale pour LSTI : LSTI rejoint l'IPC.
Paris, le 10 mars 2010
|
LSTI est le premier organisme de certification de compétence en Europe à être
approuvé membre à part entière d'IPC pour ses certifications ISO 27001 Lead
Auditor et ISO 27001 Lead Implementer.
|
|
LSTI, premier à offrir des certifications de compétences sur les normes
ISO 27001 (Système de Management de la Sécurité de l'Information) et ISO
27005 (Management des risques en sécurité de l'information) en France,
est fier d'annoncer son entrée comme membre à part entière ("full
member") d'IPC, l'association internationale des certifications de
personnes.
Armelle Trotin, directrice de LSTI, précise :
"LSTI rejoint une association membre de l'IAF (International
Accreditation Forum, www.iaf.nu), dont l'objectif est de promouvoir la
certification de personnes au niveau international. Ainsi LSTI membre à
part entière de l'IPC rejoint la vingtaine d'organismes certificateurs
et registres de certificats de compétences membres de l'association.
Cela place LSTI au même niveau que l'IRCA ou RABQSA."
Céline Malidor, responsable qualité de LSTI, complète :
"Après l'obtention de notre accréditation par le COFRAC (autorité
d'accréditation française, membre d'IAF) en 2007, c'était l'étape suivante. LSTI
travaillait depuis plus d'un an à cette candidature. Face à des organismes qui
ont été approuvés par des certifications de compétences le plus souvent en
qualité, sur l'ISO 9001, c'était un challenge pour LSTI d'étrenner les critères
de l'IPC sur nos certifications de compétences sur l'ISO 27001, en sécurité de
l'information."
Hervé Schauer, directeur d'Hervé Schauer Consultants, organisme de
formation agréé par LSTI, se réjouit :
"LSTI est désormais le seul sur le marché à être la fois accrédité par le
COFRAC et approuvé par l'IPC pour des certifications de compétences ISO
27001. Nous sommes fiers de proposer ces certifications à nos
stagiaires, développées en France et reconnues dans le monde entier.
Comme les concurrents de LSTI ne sont pas accrédités sur leurs
formations ISO 27001, cela nous donne un avantage concurrentiel
indéniable. Je félicite LSTI pour ce nouveau succès.
A propos de l'IPC
IPC (International Personnel Certification Association),
www.ipcaweb.org,
anciennement IATCA (International Auditor and Training Certification
Association), est l'association internationale des certifications de
personnes.
L'objectif de l'IPC est de fournir la reconnaissance des personnes qui, ayant
démontré leur compétence auprès des schémas de certification approuvés par
l'IPC, peuvent améliorer la performance des organisations.
Pour accomplir sa mission, l'IPC travaille avec les parties prenantes,
établi des liaisons avec les organismes internationaux ayant les mêmes
objectifs stratégiques : ISO (organisation internationale de normalisation)
et IAF (International Accreditation Forum) et développe les accords
multilatéraux.
Les parties prenantes pour l'IPC sont les utilisateurs des certifications
de compétence : l'industrie et les services, les organismes de
certification et d'enregistrement, les régulateurs et les gouvernements,
etc. Le développement des compétences et des critères de certification par
l'IPC visent à servir leurs besoins.
L'aboutissement du travail de l'IPC est d'offrir à ses membres à part
entière et ses parties prenantes un accord multilatéral de reconnaissance
entre les organismes de certification de personnel. Cet accord est fondé
sur ses signataires ayant réussi à démontrer que leurs schémas de
certification ont été accrédités par un membre à part entière de l'IAF
conformément à la norme ISO 17024, et approuvé suivant les critères de
l'IPC. Ainsi la certification ISO 27001 Lead Auditor d'une personne dans
un pays, par un organisme de certification accrédité et membre à part
entière de l'IPC, a valeur dans le monde entier.
A propos de l'IAF :
IAF (International Accreditation Forum), www.iaf.nu, est l'association
internationale qui regroupe les 49 autorités nationales d'accréditation
de la planète. Le premier rôle de l'IAF est de garantir que les
autorités d'accréditation nationales n'accréditent que des organismes de
certification compétents, indépendants, impartiaux, et qui ne sont pas
sujets aux conflits d'intérêts. Le second rôle de l'IAF est de
développer les accords de reconnaissance multilatéraux. Ainsi la
certification ISO 27001 d'une entreprise dans un pays par un organisme
de certification accrédité a valeur dans le monde entier.
A propos de LSTI :
LSTI (www.lsti-certification.fr)
est un organisme de certification qui propose des certifications de systèmes de
management ISO 27001, des certifications de services ETSI TS 101 456 et ETSI TS 102 042,
des qualifications de service pour le RGS et la signature électronique et des
certifications de compétences pour les responsables d'audit ISO 27001,
les responsables d'implémentation ISO 27001, et les gestionnaires de risques
en sécurité de l'information ISO 27005.
LSTI (La Sécurité des Technologies de l'Information)
Contact : Armelle Trotin
Courriel : Armelle.Trotin@lsti.fr
Tél : +33 964 100 321
http://www.lsti-certification.fr/
A propos d'HSC :
HSC (Hervé Schauer Consultants), est une société de conseil et
d'expertise en sécurité des systèmes d'information depuis 1989, pionnier des
formations en français sur les normes ISO 27001 et ISO 27005. HSC a formé plus
de 1000 stagiaires aux formations certifiantes avec LSTI depuis 2005. HSC
propose également des prestations de conseil pour l'accompagnement à la mise en
place de SMSI et à la mise en conformité selon les référentiels réglementaires.
Ses consultants sont auditeurs de certification ISO 27001 pour plusieurs
organismes de certification.
HSC - Hervé Schauer Consultants
Mail: presse@hsc.fr
Tél: +33 141 409 700
http://www.hsc.fr/
|
|
23 November 2009 - Lancement du livre "Management de la Sécurité de l'Information" - 2e édition.
Paris, le 23 novembre 2009
 |
En dépit d'une panoplie d'outils et de techniques - en constante évolution et toujours plus
efficace -, de sécurisation et de protection du patrimoine informationnel des entreprises,
celles-ci sont encore et toujours victimes d'actes de malveillance.
DES NORMES POUR RATIONNALISER LA GESTION DE LA SÉCURITÉ DE L'INFORMATION
Les mesures de sécurité sont bien souvent déployées au jour le jour, sans orchestration ni attachement aux besoins réels de l'entreprise. La mise en place d'un système de management de la sécurité de l'information (SMSI) devient alors nécessaire. Les normes ISO 27001 et ISO 27002 se sont imposées comme référence en la matière.
LE GUIDE DE RÉFÉRENCE POUR L'AUDIT DE CERTIFICATION
Préfacé par l'expert incontournable de la sécurité du SI, Hervé Schauer, cet ouvrage explique la marche à suivre pour mettre en place un SMSI en appliquant la norme ISO 27001, à la lumière des recommandations de la norme ISO 27002. Cette seconde édition fait le point sur les nouvelles normes de la famille ISO 27000.
Puisant dans sa longue expérience en matière d'audit et de conseil, l'auteur insiste sur les pièges à éviter et la résolution des difficultés. Alexandre Fernandez-Toro livre ici un guide précieux, enrichi de retours d'expériences concrets de la préparation d'un audit de certification ISO 27001.
|
A qui s'adresse ce livre ?
RSSI, DSI et décideurs
Chefs de projet chargés de mettre en place un SMSI
Auditeurs dans le domaine de la conformité
Consultants et formateurs
A propos de l'auteur
Alexandre Fernandez-Toro (cabinet HSC) est auditeur de certification et assiste ses clients dans la mise en place des SMSI. Ancien professeur associé à l'Université, il assure aujourd'hui les formations relatives aux systèmes de management en sécurité. Par ailleurs, il aide ses clients à mettre en place une gouvernance de la sécurité des SI.
A propos de l'éditeur
Créées en 1925 les éditions Eyrolles occupent une position privilégiée sur le marché français du livre professionnel et technique avec les marques Éditions Eyrolles, Éditions d'Organisation, Éditions VM, Éditions GEP.
Editeur indépendant, le groupe Eyrolles est également diffuseur et libraire. Conçue pour les responsables informatiques, les développeurs, les responsables fonctionnels des entreprises, les étudiants en informatique ou en gestion, la collection Solutions d'entreprise présente les applications de ces nouvelles technologies en quatre parties : explication des concepts, mise en perspective de l'offre, conduite de projet et études de cas.
Pour plus d'information à propos des Editions Eyrolles, consulter : www.editions-eyrolles.com.
A propos d'HSC
HSC (Hervé Schauer Consultants), est une société de conseil et d'expertise
en sécurité des systèmes d'information depuis 1989, leader des formations
en français sur les normes ISO 27001. HSC propose également des prestations
de conseil pour l'accompagnement à la mise en place de SMSI et ses
consultants sont auditeurs de certification pour plusieurs organismes de
certification.
HSC - Hervé Schauer Consultants
Mail: presse@hsc.fr
Tél: +33 141 409 700
http://www.hsc.fr/
20 November 2007 - Sécurité des Technologies de l'Information - LSTI : première entreprise française accréditée pour la certification.
Paris, le 20 novembre 2007
|
|
LSTI, première entreprise française à obtenir l'accréditation par le
COFRAC pour son activité de certification de compétence « Lead Auditor
ISO 27001 » et « Responsable d'Implémentation ISO 27001 ».
|
|
LSTI a obtenu de la part du COFRAC (Comité Français d'Accréditation) la
première accréditation suivant la norme ISO/CEI 17024 pour sa certification
d'auditeurs des Systèmes de Management de la Sécurité de l'Information (SMSI).
L'accréditation a été prononcée fin Juin sous le dossier n°4-0091. En octobre
2007 celle-ci a été étendue à la certification d'implémenteurs des SMSI.
LSTI, organisme certificateur specialisé en sécurité de l'information reçoit le plus beau diplôme qui puisse être décerné à un organisme certificateur : l'accréditation. Cette accréditation atteste de la compétence des équipes de LSTI et des formateurs, de la rigueur de ses méthodes et du respect des critères relatifs à la certification (impartialité et indépendance). Il représente l'aboutissement d'un long travail en mené en partenariat avec les formateurs : Hervé Schauer Consultants, Fidens, Byward et Telindus Luxembourg.
Une formation "made in France" qui met fin au monopole du marché UK ...
C'est mi 2005 que la société Hervé Schauer Consultants (HSC) sollicitait LSTI pour développer cette activité de certification « ISO 27001 Lead Auditor » ; en effet, à cette époque, seul des sociétés Anglo saxonnes proposaient cette certification. Les auditeurs francophones devaient alors passer une semaine en Grand Bretagne pour suivre le cours et passer l'examen.
Armelle Trotin, fondatrice de LSTI :« La proposition d'Hervé Schauer m'a tout de suite emballée. Nous y réfléchissions depuis plusieurs mois déjà. Je savais la difficulté ou la réticence que beaucoup de personnes en France avaient à se déplacer pour suivre une semaine de cours en Anglais à un ryhtme soutenu. De plus, les formations dispensées étaient naturellement orientées dans la culture anglo saxonne de l'audit, qui ne correspondent pas à la culture latine.»
Un nouvel enjeu pour l'entreprise : pouvoir certifier ses bonnes pratiques en matière de sécurité de l'information
Un auditeur de SMSI sera capable de réaliser des audits selon la norme ISO/CEI 27001. Cette norme permet aux entreprises de démontrer la mise en oeuvre de bonnes pratiques et d'un processus d'amélioration continue en matière de sécurité de l'information. Pour cela il faut des auditeurs de certification et des auditeurs internes du SMSI, l'audit interne étant un des éléments clef dans le succès de la mise en oeuvre d'un SMSI.
Face à la demande croissante du marché , la certification : un véritable besoin
Armelle Trotin :« Cette certification répondait à un véritable besoin. Hervé Schauer Consultants reconnu pour son expertise et pour la valeur de ses formations a apporté toute de suite à ce projet une dimension très professionnelle. Nous avons été rapidement sollicités par d'autres formateurs et nous avons établit des partenariats à l'étranger. L'accréditation que nous avons obtenue permet à nos certifiés de revendiquer la valeur de leur certificat. Elle est aussi une manière pour nous de remercier nos partenaires pour la confiance qu'il nous ont accordée.»
La certification ISO 27001 Lead Auditor délivrée par LSTI sanctionne la formation de ces futurs auditeurs. LSTI a validé les programmes de formation ISO 27001 Lead Auditor des sociétés de formation et a validé la compétence et l'expérience des formateurs.
HSC : première société à lancer la formation ISO 27001 Lead Auditor avec la certification LSTI
Armelle Trotin :« Hervé Schauer Consultants disposait déjà d'auditeurs certifiés par une de ces sociétés britannique. Il a pris à sa charge l'élaboration de la formation et la commercialisation de ces formations certifiantes. Nous avons pour notre part développé le système de certification correspondant selon la norme ISO 17024 : mise en place d'un comité de certification indépendant dont les membres sont reconnus dans le domaine, élaboration des examens et des règles de fonctionnement de cette certification. En octobre 2005, nous assurions la première session.»
Pour Hervé Schauer « LSTI avait la plus grande expertise en certification des Systèmes de Management en Sécurité (SMSI), réunissant à la fois les compétences en sécurité des systèmes d'information, l'expérience de qualité au sens ISO 9000, et l'expérience rare de la certification en sécurité. » Il poursuit : « Après avoir essayé sans succès avec un organisme de certification britannique je n'ai pas hésité à me lancer avec LSTI à l'été 2005. Je pense que l'accréditation obtenue cette année est la reconnaissance légitime de la qualité et la rigueur de leur travail. »
La reconnaissance internationale de la certification d'auditeur.
Armelle Trotin : « Au départ je ne pensais pas que la formation ISO 27001 Lead Auditor aurait un tel succès. Face au développement de celle-ci et après notre accréditation pour la certification des systèmes de management il était nécessaire d'acquérir la reconnaissance internationale de notre certification d'auditeur. Cette accréditation était un véritable challenge vis-à-vis de nos certifiés et de nos partenaires. Nous n'avions pas le droit à l'échec. Nous avons donc développé tout notre talent et notre capacité de travail durant près d'un an pour obtenir cette accréditation ».
Hervé Schauer conclu pour HSC « Nous sommes très fiers que LSTI soient les premiers accrédités en France »
Temoignage du certifié ISO 27001 Lead Auditor
Martin Charron, directeur d'Auxilium Consulting Inc, conseil en gouvernance des systèmes d'informations après avoir été consultant en sécurité:« La norme internationale ISO 27001 couvre tous les aspects de la sécurité se l'information : la sécurisation des actifs étant de plus en plus une problématique pour les entreprises, la certification Lead Auditor devient un gage de confiance pour le client et s'inscrit dans une logique d'évolution des besoins en sécurité et du marché. C'est pour répondre à ce besoin que j'ai passé l'examen de certification Lead Auditor ISO 27001 en mai 2006 chez HSC. La qualité du contenu du cours ainsi que la disponibilité et le retour d'expérience des formateurs ont été déterminants pour la préparation à l'examen. L'approche typiquement européenne d'HSC me convenait mieux que les formations disponibles au Canada. Le traitement de la sécurité par les processus métier me parait plus adapté que l'approche orientée technique nord-américaine».
La certification ISO27001 : nouveau métier, nouvelles formations : perspectives d'évolution et chiffres
Armelle Trotin :« Nous avons lancé des démarches auprès d'autres organismes pour étendre encore cette reconnaissance. Nous allons également demander l'accréditation pour une autre certification développée avec Hervé Schauer Consultants et relative à l'implémentation de la norme ISO 27001 : Responsable d'implémentation ISO 27001 ou « ISO 27001 Lead Implementer » , dont la première session a eu lieu le 11 avril 2007».
Aujourd'hui, LSTI compte 333 personnes formées en France, en Suisse, au Luxembourg, au Maroc, en Tunisie et en Algérie.
Martin Charron :« Bien que la certification ISO 27001 soit somme toute assez récente, la sécuritsation des actifs des sociétés au travers de la démarche ISO est un besoin avéré, les entreprises sont très demandeuses même si elles attendent les retours d'expérience des autres pour lancer leur projet de certification ISO 27001».
Hervé Schauer : « En effet, alors que la certification des organismes démarre seuleument, le nombre de stagiaires inscrits à nos formations ISO 27001 a doublé en 2 ans, preuve que le marché a adopté la norme ISO 27001».
ISO 27001 Lead Auditor : Description
La certification « Lead Auditor » a pour objectif de former des auditeurs de systèmes de management de la sécurité selon la norme ISO 27001 « systèmes de management de la sécurité de l'information - exigences ». Cette formation est destinée aux RSSI (Responsables Sécurité des Systèmes d'information) des entreprises qui sont en première ligne lors d'audits de certification sur cette norme et souhaitent en connaître les règles, aux auditeurs internes et enfin aux consultants pour leur missions de conseil ou qui souhaitent se positionner en tant qu'auditeur pour un organisme certificateur. La formation dure 5 jours dont la dernière demi journée est consacrée à l'examen. Celui-ci est corrigé par LSTI qui délivre les certificats. La certification est valide quatre ans sous réserve d'une surveillance annuelle dont l'objectif est de s'assurer que le certifié maintien sa compétence en réalisant un minimum d'audits ou de formation.
Responsable d'implémentation ISO 27001, ou ISO 27001 Lead Implementer :
La certification « Responsable d'Implémentation » ou « Lead Implementer » a pour objectif de former des responsables de systèmes de management de la sécurité selon la norme ISO 27001. Cette formation est destinée aux RSSI qui sont généralement responsables des SMSI, de l'initiation du projet à sa gestion quotidienne, aux équipes de production qui mettent en oeuvre le SMSI et enfin aux consultants pour leur missions de conseil et d'assistance à la mise en place d'un SMSI. La formation dure 5 jours dont la dernière demi journée est consacrée à l'examen suivant les mêmes principes et les mêmes règles que la formation d'auditeur.
A propos de LSTI :
LSTI (La Sécurité des Technologies de l'Information) a été fondée en 2004 par Armelle Trotin, qui dirigeait auparavant le schéma d'évaluation et de certification français de la sécurité des technologies de l'information à la DCSSI (Direction Centrale de la Sécurité des Systèmes d'Information). LSTI propose des certifications de systèmes de management ISO 27001 et ISO 20000-1, des certifications de services ETSI TS 101 456 et ETSI TS 102 042, des qualifications de service pour la signature électronique et la PRIS et enfin des certifications de personnels pour les responsables d'audit ISO 27001 et les responsables d'implémentation ISO 27001.
Contact : Armelle Trotin, +33 130 615 060, www.lsti.fr
A propos d'HSC :
HSC (Hervé Schauer Consultants), est une société de conseil et d'expertise en sécurité des systèmes d'information depuis 1989, leader des formations en français sur les normes ISO 27001. HSC propose également des formations techniques et pratiques en sécurité ainsi que ISO 20000-1 Lead Auditor.
HSC - Hervé Schauer Consultants
Mail: presse@hsc.fr
Tél: +33 141 409 700
http://www.hsc.fr/
|
|
12 November 2007 - Premier livre français dédié aux Systèmes de Management de la Sécurité de l'Information.
Paris, le 12 novembre 2007
 |
Premier livre français dédié aux Systèmes de
Management de la Sécurité de l'Information : "Management de la sécurité de l'information,
Implémentation ISO 27001 et audit de certification", par Alexandre Fernandez-Toro - 350 pages - 39 euros.
La sécurité a été pendant longtemps le parent pauvre de l'informatique.
Or, si on sait sécuriser des serveurs Unix et Windows, protéger des
routeurs et configurer finement les pare-feu, de nombreuses sociétés sont
encore victimes d'actes de malveillance, et pour cause ! Les mesures de
sécurité sont souvent déployées au jour le jour, sans orchestration ni
attachement aux besoins réels de l'entreprise. C'est pourquoi il est bien
souvent nécessaire de mettre en place un Système de Management de la
Sécurité de l'information (SMSI).
La norme ISO 27001
La norme ISO 27001 permet aux entreprises de démontrer à leurs clients
qu'ils ont mis en oeuvre de bonnes pratiques en matière de sécurité de
l'information. Cette norme comble l'opacité entre les mondes de la
direction, des méthodes et celui de la technique car elle impose la mise
en place d'un système de management de la sécurité de l'information
(SMSI). Par sa démarche, elle permet de justifier les investissements
indispensables à la protection du patrimoine informationnel. Elle
garantit le maintien dans la durée du niveau de sécurité acquis. Elle
facilite les échanges avec les auditeurs externes (SoX, Bâle II, Cour
des comptes, etc). En somme, elle est le ciment qu'il manquait pour
sortir la SSI de sa bulle et la faire entrer dans une gouvernance globale.
|
Le livre "Management de la sécurité de l'information"
Cet ouvrage est une aide à la compréhension et l'application des normes
ISO 27001 et ISO 27002, qui se sont imposées comme références pour
l'organisation de la sécurité des systèmes d'information par la mise en
oeuvre d'un processus SMSI. S'appuyant sur la longue expérience de l'auteur,
cet ouvrage explique la démarche à suivre pour mettre en place un SMSI,
en insistant sur les pièges à éviter. Il est également un guide précieux
pour préparer l'audit de certification ISO 27001 d'un SMSI.
A qui s'adresse ce livre ?
Cet ouvrage est destiné à tous les responsables sécurité des grands
comptes et des PME, ainsi qu'à leurs équipes, et aux chefs de projet chargés
de mettre en place un système de management de la sécurité. Il est également
très utile aux métiers connexes, par exemples les équipes de production
et les professionnels d'ITIL désirant approfondir le volet sécurité,
aux spécialistes de la gouvernance des SI, et enfin à tous les services
contrôle interne, ou qualité, donc aux qualiticiens désirant élargir
leurs compétences dans les SMSI ou à tous les auditeurs dans le domaine
de la conformité (financière, légale, etc.).
L'auteur Alexandre Fernandez-Toro
Alexandre Fernandez-Toro est consultant en sécurité depuis 7 ans et
dirige les activités ISO 27001 au sein d'HSC. Il est auditeur de
certification et conseille ses clients dans la mise en place des Systèmes
de Management de la Sécurité de l'Information (SMSI) et la gouvernance de
la sécurité des SI.
Ancien professeur associé à l'Université, il conçoit et assure les
formations HSC relatives aux systèmes de management en sécurité depuis
2004, en combinant ses qualités pédagogiques à sa double expérience
d'assistance pour la mise en oeuvre des SMSI et d'auditeur de certification.
Alexandre Fernandez-Toro était auparavant responsable de production dans un
environnement mainframe et il est ingénieur CNAM.
Séance de dédicaces le mercredi 21 novembre à 17h30
A l'occasion de la sortie de son livre, Alexandre Fernandez-Toro
signera son ouvrage lors d'une séance de dédicaces sur le stand HSC E.3
au salon Infosecurity au CNIT Paris-La Defense le mercredi 21 novembre à
17h30. Ceux qui l'auront déjà acquis sont invités à venir avec leur
exemplaire, et à titre exceptionnel l'ouvrage sera vendu sur le stand
d'HSC.
A propos d'Eyrolles
Le Groupe Eyrolles occupe une position privilégiée sur le marché français
du livre professionnel et technique avec ses marques Editions Eyrolles et
Editions d'Organisation. Si l'édition reste le coeur de son métier, il
est également diffuseur et libraire, dont l'une des principales librairies
spécialisées en France, la Librairie Eyrolles, boulevard Saint-Germain,
et de part le site marchand, eyrolles.com.
Eyrolles est un des leaders et un précurseur pour la publication de
livres sur les nouvelles technologies et notamment l'informatique.
Contact : Pierre-Georges Danset, presse@eyrolles.com, +33 144 411 154
- www.eyrolles.fr
Pour acheter l'ouvrage, utilisez le service de vente à distance d'Eyrolles au
0820 36 36 36 (0,12 EUR TTC/min).
A propos d'HSC
HSC (Hervé Schauer Consultants), est une société de conseil et d'expertise
en sécurité des systèmes d'information depuis 1989, leader des formations
en français sur les normes ISO 27001. HSC propose également des prestations
de conseil pour l'accompagnement à la mise en place de SMSI et ses
consultants sont auditeurs de certification pour plusieurs organismes de
certification.
HSC - Hervé Schauer Consultants
Mail: presse@hsc.fr
Tél: +33 141 409 700
http://www.hsc.fr/
14 September 2007 - HSC lance une nouvelle formation : Conduite pratique des Tests d'Intrusion.
Paris le 14 septembre 2007
HSC propose en janvier 2008 une nouvelle formation à la réalisation des
tests d'intrusion. Cette formation est proposée pour répondre aux demandes
des entreprises devant de plus en plus tester la sécurité de leurs systèmes
informatiques, et au constat que pour pouvoir construire un système sécurisé,
il est important de savoir comment opèrent les attaquants.
Alors qu'HSC réalise des tests d'intrusion depuis 1995, ce n'est
qu'aujourd'hui que la société propose de partager son expérience d'une
manière aussi approfondie. « Pour beaucoup de responsables, les techniques
d'intrusion sont encore mystérieuses et sont considérées avec méfiance »
indique Hervé Schauer. « Pourtant, la compréhension des techniques
d'intrusion utilisées par les pirates est indispensable. Sans cette
connaissance, les technologies de sécurité mises en place manquent souvent
de cohérence et d'efficacité : sans la maîtrise du mode opératoire des
attaquants, il y a une mauvaise appréciation des risques et beaucoup de
dépenses pour se protéger contre les mauvaises menaces. Et les systèmes
restent vulnérables. »
Cette formation permet d'apprendre et de mettre en pratique les techniques
d'intrusion les plus récentes sur les principales technologies du marché.
Elle s'adresse :
- aux experts en sécurité, consultants ou auditeurs internes dont le rôle est de vérifier la sécurité des systèmes informatiques ;
- aux administrateurs systèmes ou réseaux, chefs de projets, ou responsables sécurité voulant mieux comprendre les techniques des attaquants pour ainsi mieux sécuriser leurs systèmes.
Cette formation se distingue par son enseignement très pratique : chaque
stagiaire dispose d'un PC lui permettant de comprendre et de mettre en
pratique les techniques utiles pour la réalisation d'un test d'intrusion.
Pour Hervé Schauer, le leitmotiv de cette formation est : « Voici comment
les pirates intrusent vos infrastructures. Faites le avant vous même, sur
votre propre système d'information, vous sensibiliserez les responsables
et éviterez les mauvaises surprises » .
Contrairement aux formations habituelles en sécurité, il ne s'agit pas
d'énumérer les bonnes pratiques de sécurité à respecter, mais de comprendre
à quoi servent ces bonnes pratiques, les menaces qu'elle permettent de
limiter mais aussi celles qui ne sont pas couvertes. Car comme le
rappelle Renaud Feil, consultant et coordinateur de cette nouvelle
formation HSC : « Une architecture de sécurité bien pensée sur le papier
peut être mise en échec à la moindre erreur lors de l'implémentation ou
du déploiement. La meilleure façon de détecter ces erreurs est de réaliser
périodiquement des tests sur ces systèmes informatiques » .
La première session aura lieu à Paris du 21 au 25 janvier 2008.
Consultez le programme détaillé, les pré-requis, les informations sur
les formateurs de cette formation et les modalités d'inscription sur : http://www.hsc-formation.fr/formations/formations_ti.html.fr
HSC (Hervé Schauer Consultants) est une société de conseil et d'expertise
en sécurité des systèmes d'information proposant des formations depuis sa
création en 1989. HSC est le leader des formations techniques en sécurité
en français. HSC propose également des prestations de conseil, d'audit et
de tests d'intrusion, ainsi que des accompagnement à la démarche ISO 27001.
Contact : Hervé Schauer
HSC - Hervé Schauer Consultants
Mail: presse@hsc.fr
Tél: +33 141 409 700
http://www.hsc.fr/
|
