Facebook Twitter Newsletter Linkedin RSS

Portail de la presse

LSTI vient combler un vide dans la recherche de garanties de bonnes pratiques des dirigeants et des

lsti LSTI vient combler un vide dans la recherche de garanties de bonnes pratiques des dirigeants et des

Le 9 Novembre 2006

COMMUNIQUE DE PRESSE

Face à une prise en compte émergeante
de la sécurité de l’information par les entreprises françaises,
LSTI - 1
er organisme certificateur français spécialisé -
vient combler un vide dans la recherche de
garanties de bonnes pratiques des dirigeants et des RSSI.

LSTI sera présent au Salon Infosecurity les 22 et 23 Novembre

Cherchant à se prémunir face au développement des nouvelles législations en matière de sécurité financière, les dirigeants d’entreprises et les RSSI1 sont à la recherche de garanties de bonnes pratiques en matière de sécurité des systèmes d’information.

La France, qui n’avait pas cru à l’internationalisation d’une norme dans ce domaine en 1997, émerge avec un important retard alors que la certification du management de sécurité de l’information - qui constitue également un atout de compétitivité fort dans les appels d’offres et permet l’allègement de coûts et procédures d’audits clients importants - prend un essor fulgurant sur des marchés tels que le Japon, le Royaume Uni ou encore l’Allemagne.

Fondée par deux super spécialistes de la sécurité, du risk management et de la certification, LSTI est le premier et unique organisme certificateur français spécialisé dans la sécurité des technologies de l’information. Sa création vient combler un vide sur le marché français sur une double compétence en matière de sécurité et de certification.

Dans ce domaine, LSTI est le premier organisme de certification à être accréditée par le COFRAC - Comité Français d’Accréditations. A ce titre LSTI est reconnue au niveau international. LSTI a été le premier organisme de certification à délivrer un certificat BS7799-2 (ancêtre de l’ISO 27001) sur le territoire Français.

LSTI assure également la formation et la certification des auditeurs selon la norme ISO 27001. L’entreprise investit enfin dans la création de référentiels spécifiques dans de nouveaux domaines d’application : tels les sites de personnalisation de cartes à puces (5006) ou encore les logiciels embarqués pour le domaine de l’automobile ou de la santé.

La certification des systèmes de management de la sécurité :
une garantie de bonne pratique recherchée par les dirigeants d’entreprise

Les dirigeants d’entreprises et les RSSI sont aujourd’hui à la recherche de moyens leur permettant de limiter leur responsabilité contre les nouvelles législations en matière de sécurité financière ou de sécurité opérationnelle. Dans ce cadre la certification est en mesure de leur fournir une garantie de bonnes pratiques en matière de sécurité des systèmes d’information, laquelle constitue aussi un atout de poids dans les nouveaux appels d’offres et permet l’allègement de coûts et procédures d’audits clients lors des gains de marchés.

Les secteurs et acteurs concernés :
Toutes les entreprises, quelle que soit leur taille et leur secteur d’activité, ayant un tant soit peu de patrimoine à protéger - brevets, secrets de fabrication, produits de sécurité, partenariats avec des entreprises étrangères – sont concernées, ainsi que les sociétés manipulant des informations sensibles de leurs clients : hébergeurs, infogéreurs, archiveurs..

Enfin, les banques, les compagnies d’assurances, mais également les communautés urbaines, mairies, préfectures, ou encore les professions réglementées : avocats, notaires, huissiers, commissaires aux comptes, sont concernées par la sécurité des technologies de l’information (contexte décret 2004 du ministère de l’intérieur - Utilisation des 2 niveaux de signature : la standard et « présumée fiable »)

La France, une prise en compte tardive par rapport à l’international :
La France, qui n’avait pas cru à l’internationalisation d’une norme dans ce domaine en 1997, émerge avec un important retard alors que la certification des systèmes de management de la sécurité de l’information prend un essor fulgurant sur des marchés tels que le Japon, le Royaume Uni ou encore l’Allemagne.

La tendance est la même que celle qui a accompagnée la certification ISO 9000. Les chiffres sont parlants : 50 certificats début 2001, 1000 fin 2004 et une prévision d’au moins 2000 fin 2006 (source ISMS usergroup). Cet essor pourrait enfin traduire une mise en place de la culture sécurité de l’information dans les entreprises françaises.

En effet, la France accuse un retard important dans le domaine de l’intelligence économique. Il faut rappeler que la mise en place au niveau gouvernemental d’une autorité en la matière date de décembre 2005. Or la mise en place d’un système de management de la sécurité de l’information dans l’entreprise n’a-t-il pas un lien fort avec l’intelligence économique ?

LSTI : 1erorganisme certificateur français spécialisé dans la sécurité de l’information :
Créée pour combler un vide qui a terme aurait mis nos entreprises dans la situation de se faire certifier par des organismes étrangers, LSTI est le premier organisme certificateur français spécialisé dans le domaine de la sécurité des technologies de l’information. LSTI offre une double compétence : sécurité et certification et répond également à des besoins en terme de certification de produits logiciels ou de services auxquels ne pouvaient ou ne voulaient pas répondre les organismes certificateurs déjà reconnus : création de référentiels spécifiques, développement de nouvelles applications.

A la tête de LSTI, 2 super spécialistes de la sécurité :
Armelle Trotin et Philippe Bouchet

Fondatrice et Présidente : Armelle Trotin.
Armelle Trotin a notamment assuré des fonctions au Secrétariat Général de la Défense Nationale (SGDN) direction du Premier ministre au titre de responsable du schéma d’évaluation et decertification français de la sécurité des technologies de l’information à la Direction Centrale de la Sécurité des Systèmes d’Information (DCSSI) . Elle a pratiqué la certification de produits avec tous les acteurs majors : Oberthur, SAGEM, GIE CB, EADS ou encore MATRA.

Armelle Trotin élabore le système documentaire de certification conformément au guide ISO 65 et à la norme EN NF 45011 et prépare le premier « shadow certification » du schéma français par les pairs étrangers : dans le cadre des accords de reconnaissance appelés CC MRA, les organismes signataires de cet accord peuvent demander à vérifier sur place le respect des exigences nées de l’accord par les organismes certificateurs signataires. Armelle Trotin sera, avec ses proches collaborateurs, l’artisan de la reconnaissance de la France (DCSSI) par ses pairs étrangers.

Elle est par ailleurs membre du comité exécutif de gestion de l'accord de reconnaissance international de certificats, Membre du projet international Critères Communs), animatrice d’un groupe d’experts à l’AFNOR , représentant de la France dans le groupe ISO WG3 relatif à la sécurité des systèmes d'information.

Directeur : Philippe Bouchet
Philippe Bouchet a été Directeur de la Sécurité d’Axalto pendant près de 7 ans. Ingénieur des télécommunications, il commence sa carrière dans le domaine militaire qu’il quittera pour prendre des responsabilités de responsable commercial à la CSEE Défense. Dans le cadre de ses fonctions chez Axalto,Il assurera l’animation de la Commission Sécurité de l’AFPC - Association des Fabricants et Personnalisateurs de Cartes – et animera la création du référentiel de certification innovant pour les sites de personnalisation de cartes à puce mis en place en 2006 par LSTI pour répondre aux besoins notamment de l’organisation sésam-Vital. Philippe Bouchet est également Président de la Commission de normalisation à l’AFNOR et représentant de la France à l’ISO. Il est à ce titre un acteur de première ligne participant aux grandes tendances internationales de la norme notamment dans le domaine de la privacy (protection des données personnelles).

LES CERTIFICATIONS
LSTI est le premier organisme de certification accrédité par le COFRAC - Comité Français d’Accréditations – association sous la tutelle du Ministère de l’industrie dans le domaine de la sécurité de l’information. A ce titre, les certificats LSTI couverts par l’accréditation sont reconnus au niveau international .

Un comité de certification pour garantir l’impartialité : Face aux risques que peut représenter, pour l’entreprise l’arbitrage de la certification LSTI a créé d’un Comité de Certification garantissant l’impartialité des décisions de certification. Composé de manière équilibrée de représentants des fournisseurs, des consommateurs, des pouvoirs publics et d’autorités qualifiées, il assure un contrôle sur le fonctionnement de la certification LSTI.

LES SYSTEMES DE MANAGEMENT

La certification de conformité des systèmes de management de la sécurité ou ISMS, Information

Security Management System : un essor fulgurant au niveau international

ISO/IEC 27001 la référence
La norme ISO/CEI 27001 est devenue la référence en matière de management de la sécurité de l'information. La certification de conformité à cette norme permet d'apporter des preuves tangibles aux textes réglementaires comme Sarbannes-Oxley, Bâle II, loi sur l économie numérique, exigences CNIL etc. Elle atteste la mise en place d’une politique opérationnelle de sécurité de l’information dans l’entreprise par la mise en place de procédures qui assurent la protection de l'information tant sur le plan organisationnel que sur le plan technique : sélection et formation du personnel, règles de classification et de manipulation de l'information, plan de de continuité d'activité, dispositifs techniques de protection contre la malveillance informatique, etc.

Pour répondre à la demande des entreprises, LSTI a créé un réseau d'auditeurs particulièrement compétents dans le domaine de la sécurité de l'information. Fort de ce réseau, LSTI peut intervenir sur l’ensemble des domaines d’activités en France comme à l’étranger.

La norme ISO/IEC 27001 : 2005 a été publiée en octobre 2005 par l’ISO. Elle est basée sur la norme BS7799-2 et la remplace aujourd’hui. LSTI a été le premier organisme de certification à délivrer un certificat BS7799-2 en France et à être accrédité par le COFRAC.

LA QUALIFICATION DES PRESTATAIRES DE CERTIFICATION ELECTRONIQUE DE SIGNATURE QUALIFIEE
La signature électronique est entrée dans le quotidien notamment avec l’e-administration : télé-TVA, télé-impôts, télé-carte grise etc, et le nombre de ses prestataires est en très fort développement.

Selon le décret 2001-272 relatif à la signature électronique l’une des conditions dans lesquelles celle-ci est présumée fiable est que le certificat électronique utilisé soit qualifié - »niveau présumé fiable par les tribunaux. L’arrêté du 26 juillet 2004 relatif à la qualification des prestataires de services de certification électronique (PSCe) spécifie les exigences que doivent respecter ces prestataires pour que leurs certificats soient qualifiés. Tout prestataire de certification électronique peut demander à être qualifié. Tout prestataire qui fournit des services techniques à un prestataire de certification peut demander une attestation de conformité.

1er certificat de conformité française délivrée à la société KEYNECTIS :
LSTI vient de délivrer la première attestation de conformité française à la société KEYNECTIS - 1er opérateur français des services de confiance délivrant aux entreprises et organisations des certificats électroniques pour la sécurisation de leurs applications de dématérialisation des échanges et télé-procédures administratives. Elle permet à KEYNECTIS de proposer à ses clients - autorités de certification - des certificats permettant d’atteindre le niveau de « signature électronique qualifiée

LA QUALIFICATION DES PRESTATAIRES DE SERVICES DE CONFIANCE
dans le cadre des travaux de l’ADAE (PRIS).
Dans le cadre des échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives, tout prestataire de services de confiance peut demander à être qualifié « ordonnance n°2005-1516 du 8 décembre 2005 ». Cette qualification atteste de la conformité du service aux exigences du référentiel général de sécurité (RGS). Elle permet au prestataire de demander à être référencé par l'Etat.

Les exigences de chacun des niveaux du RGS sont définies dans la Politique de Référencement Intersectorielle de Sécurité (PRIS) et déclinées dans des PC-Types pour chaque service de certification électronique. LSTI vérifie le respect des exigences par des audits périodiques sur le site des prestataires. La qualification des produits dans le cas du RGS est du ressort de la DCSSI. Les premières qualifications dans le cadre du RGS devraient être publiées en décembre 2006.

PRODUITS

LSTI peut proposer également des services de certification produits selon sur les normes : ISO/IEC 15408 - ISO/IEC 19790 - ISO/IEC 19791 ; LSTI est en passe de signer des accords avec des laboratoires de renom dans ce domaine pour proposer des certifications de produits logiciels embarqués pour le domaine de l’automobile ou de la santé.

LES SERVICES : Référentiels spécifiques et nouvelles applications

LSTI 5006 : le référentiel de sécurité des sites de personnalisation de cartes à puce.
Les fabricants et personnalisateurs de cartes à puce sont soumis chaque année à un nombre d‘audits importants de leurs sites de production par les émetteurs, chacun de ces audits étant basé sur des référentiels propres à chaque émetteur. Un référentiel de certification pour les sites de personnalisation de cartes à puce. Le référentiel LSTI 5006, élaboré par un groupe d’experts, acteurs majeurs de l’industrie, des émetteurs et des pouvoirs publics sous l’égide de l’AFPC - Association des Fabricants et Personnalisateurs de Cartes – porte sur l’ensemble des exigences physiques, organisationnelles et techniques a été élaboré sous LSTI investit également dans ce domaine pour permettre aux prestataires (archiveurs, hébergeurs, etc ..) de disposer d’un moyen de prouver le respects des bonnes pratiques en matière de sécurité.

LA CERTIFICATION DE COMPETENCE

LEAD AUDITOR ISO/CEI 27001 : La certification « Lead auditor BS7799 » atteste la compétence des personnes à mener des audits sur la norme ISO/CEI 27001. LSTI a à ce jour certifié plus de 180 personnes en France et en Suisse Evitant ainsi aux entreprises françaises de devoir former leurs auditeurs internes outre-Atlantique. LSTI envisage de développer cette activité dans les pays francophones et va demander avant la fin de l’année 2006 l’accréditation sur cette activité.

EBIOS : LSTI développe la certification des praticiens de la méthode EBIOS, une méthodologie d’analyse de risque développée initialement par la direction centrale de la sécurité des systèmes d’information du 1er Ministre et pouvant être utilisée dans le cadre de la certification ISO 27001.

www.lsti.fr - contact : Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

Contact Presse : Marie Laure De Langhe
01 56 03 55 48 / 06 72 70 24 99 – Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

1Responsable de la sécurité des systèmes d’information