Accueil de l'Académie
Blogs
Cyberday va Cyber Security Nordic 2024 !
Fait partie de la collection ISO 27001
Fait partie de la collection NIS2

Cyberday va Cyber Security Nordic 2024 !

Collection ISO 27001
Cyberday va Cyber Security Nordic 2024 !
Collection NIS2
Cyberday va Cyber Security Nordic 2024 !
Cyberday blog
Cyberday va Cyber Security Nordic 2024 !

Notre équipe Cyberday est entrée dans l'automne en pleine effervescence, et nous avons participé à l'événement Cyber Security Nordic les 29 et 30 octobre en tant que partenaire stratégique avec toute notre équipe. Dans ce blog, vous pourrez nous rejoindre à la suite de l'événement, entendre les faits marquants et avoir un aperçu des sujets abordés lors de l'événement.

L'événement Cyber Security Nordic 2024 s'est déroulé au Helsinki Expo and Convention Centre. La conférence annuelle se concentre sur des sujets essentiels en matière de cybersécurité, notamment la politique, l'économie, les menaces actuelles et les développements futurs dans ce domaine. L'événement rassemble des professionnels des technologies de l'information et de la cybersécurité, des dirigeants des secteurs public et privé et des responsables gouvernementaux.

Le programme de cette année comprenait des exposés, des discours et des discussions sur diverses questions telles que la cyber-résilience, la sécurité de la numérisation, les stratégies de prévention de la cybercriminalité et l'intersection de la géopolitique et de la cybersécurité. Le NIS2 a de nouveau fait parler de lui, notamment en ce qui concerne la sécurité de la chaîne d'approvisionnement, la gestion de la posture de sécurité et le NIS2 en général au niveau européen. L'événement a été l'occasion de partager des connaissances et de se tenir au courant des dernières tendances et des défis en matière de cybersécurité. Examinons de plus près quelques-uns des sujets abordés lors de l'événement. Nous avons créé ce billet pour donner un aperçu des thèmes d'actualité, également pour ceux qui n'ont pas pu assister à l'événement.

Les sujets brûlants de CSN 2024 🔥

Sécurité de la chaîne d'approvisionnement

Les attaques contre la chaîne d'approvisionnement se sont multipliées ces dernières années, faisant peser des risques considérables sur les organisations du monde entier. Il est important de se rappeler qu'une organisation est aussi sûre que son maillon le plus faible.

Les attaques contre la chaîne d'approvisionnement sont une forme de cyberattaque dans laquelle les attaquants s'infiltrent dans une organisation en exploitant des éléments moins sûrs de sa chaîne d'approvisionnement. Il peut s'agir de compromettre des mises à jour de logiciels, d'injecter des codes malveillants dans des produits tiers ou d'infiltrer des fournisseurs de services qui ont un accès sécurisé à des systèmes critiques. Les attaques contre la chaîne d'approvisionnement peuvent avoir des conséquences considérables, affectant non seulement l'organisation ciblée, mais aussi ses clients et ses partenaires.

La protection de la chaîne d'approvisionnement est un élément complexe mais essentiel de la cybersécurité moderne. En comprenant les menaces et en mettant en œuvre des protocoles de sécurité solides, les entreprises peuvent mieux se protéger contre ces voies d'attaque indirectes mais très efficaces. Les organisations qui collaborent de manière proactive avec leur chaîne d'approvisionnement pour améliorer leur posture de sécurité réduisent non seulement le risque d'attaque, mais favorisent également une culture de la sécurité qui profite à tous les membres de leur écosystème.

Lors de la conférence Cyber Security Nordic, le sujet a également été abordé sous l'angle des cadres d'exigences : De nouvelles exigences concernant la gestion de la chaîne d'approvisionnement sont actuellement émises par des cadres tels que DORA, CRA et NIS2, alors regardons de plus près ce que vous pourriez avoir besoin de savoir.

NIS2

La NIS2 impose aux organisations de mettre en œuvre des mesures efficaces de gestion des risques qui tiennent compte de la cybersécurité de l'ensemble de leur chaîne d'approvisionnement. Il s'agit notamment de s'assurer que les fournisseurs et partenaires tiers respectent certaines normes de sécurité afin de protéger l'organisation et de réduire le risque global de la chaîne d'approvisionnement.

Le NIS2 encourage le partage des responsabilités et la transparence en exigeant des organisations qu'elles établissent une communication et une coopération claires à travers les réseaux de leur chaîne d'approvisionnement. Il s'agit de définir les rôles et les responsabilités dans les protocoles de sécurité afin que chaque entité comprenne son rôle dans le maintien de la sécurité. En encourageant une culture de responsabilité collective, le NIS2 vise à renforcer la sécurité globale des chaînes d'approvisionnement.

Pour en savoir plus sur la manière dont le NIS2 encourage une plus grande collaboration au sein de la chaîne d'approvisionnement, consultez notre autre article de blog ici.

DORA

Le Digital Operational Resilience Act (DORA) vise à renforcer la résilience numérique des entités financières et met fortement l'accent sur la gestion de la sécurité de la chaîne d'approvisionnement. La DORA reconnaît que les institutions financières s'appuient sur un réseau complexe de fournisseurs tiers et que ces relations présentent des risques uniques en matière de cybersécurité. Le DORA exige des entités financières qu'elles évaluent et gèrent les risques liés aux fournisseurs tiers de TIC, tels que les services en nuage, les vendeurs de logiciels et autres fournisseurs de technologie. Il s'agit notamment d'évaluer soigneusement ces fournisseurs et de s'assurer qu'ils respectent les normes de cybersécurité.

Les exigences de DORA visent à construire un secteur financier sûr et résilient en abordant les risques associés aux fournisseurs tiers de TIC. En garantissant la responsabilité des institutions financières et de leurs principaux fournisseurs tiers, DORA s'efforce d'établir un écosystème dans lequel la sécurité de la chaîne d'approvisionnement est essentielle à la résilience opérationnelle du système financier de l'UE.

Cyberday transforme les politiques en tâches claires pour en faciliter la gestion.

IA + cybersécurité = ? 

L'IA fait l'objet de nombreuses discussions dans le contexte de la sécurité de l'information, ce qui s'est reflété dans de nombreux aspects et présentations lors de l'événement, y compris la NDR axée sur l'IA, les perspectives d'avenir et les risques et opportunités de l'IA. Au fur et à mesure que l'IA s'installe plus ou moins progressivement dans la vie professionnelle et quotidienne, son importance pour la sécurité de l'information va également s'accroître. L'IA offre des opportunités, mais elle soulève également des inquiétudes. L'IA transforme la cybersécurité, créant à la fois de nouvelles opportunités pour renforcer les défenses et de nouveaux risques auxquels les organisations doivent faire face.

L'IA offre de multiples possibilités en matière de cybersécurité. L'IA peut par exemple identifier et analyser de grandes quantités de données à des vitesses bien supérieures aux capacités humaines, ce qui accélère la détection des menaces, des logiciels malveillants et de l'hameçonnage. L'IA peut également être utile pour améliorer la réponse aux incidents des organisations, en réduisant le temps de réponse et en minimisant l'impact global. Les possibilités de l'IA sont innombrables et il sera intéressant de voir ce que l'avenir nous réserve.

Mais lorsque nous parlons des possibilités offertes par l'IA, nous devons également évoquer les risques et les menaces. L'IA peut être utilisée pour stimuler diverses cyberattaques, et il ne fait aucun doute que les cybercriminels peuvent s'ingénier à "tromper" l'IA en la manipulant. L'IA n'est pas non plus infaillible : elle peut donner de fausses informations et induire en erreur. Enfin, et ce n'est pas la moindre des menaces mentionnées ici, l'IA suscite des inquiétudes quant à la confidentialité des données, en particulier des informations sensibles. Les organisations doivent veiller à ce que les données soient traitées conformément aux réglementations en matière de protection de la vie privée.

En fin de compte, la clé du succès est la sensibilisation. L'une des voies possibles consiste à apprendre à exploiter les avantages de l'IA en matière de cybersécurité tout en gérant les risques. Idéalement, l'IA pourrait être utilisée non pas pour remplacer, mais pour soutenir l'élément humain dans la sécurité de l'information.

Cyber-résilience

Cyber Security Nordic a également abordé la question de la cyber-résilience, les discussions étant particulièrement axées sur la Finlande et les pays nordiques. La cyber-résilience est essentielle car aucune organisation ne peut être totalement immunisée contre les cyber-menaces. Une organisation résiliente peut éviter les dommages considérables causés par les incidents, continuer à servir ses clients avec un minimum d'interruption, protéger sa réputation et réduire ses pertes financières. Alors que les cybermenaces continuent d'évoluer, en particulier avec la complexité croissante des chaînes d'approvisionnement et des environnements de travail à distance, les organisations donnent la priorité à la résilience pour assurer leur sécurité et leur stabilité à long terme.

  • Gestion des risques: Une grande partie de la cyber-résilience consiste à identifier les menaces et les vulnérabilités potentielles, à évaluer leur impact et à mettre en œuvre des mesures pour atténuer les risques. Il s'agit notamment de procéder à une évaluation continue des risques pour garder une longueur d'avance sur les menaces émergentes et veiller à ce que tous les actifs, en particulier les actifs critiques, soient bien protégés.
  • Réponse aux incidents: Préparation d'une réponse rapide et efficace en cas d'incident. Les plans d'intervention en cas d'incident doivent inclure des protocoles spécifiques, assigner des rôles et des responsabilités et veiller à ce que les équipes d'intervention soient formées et prêtes à agir. L'objectif est de contenir et d'atténuer les dommages le plus rapidement possible.
  • Continuité des activités: Cet aspect se concentre sur le maintien des opérations pendant une attaque et sur la reprise rapide après l'attaque. Les plans de continuité des activités permettent de maintenir les fonctions essentielles, tandis que les plans de reprise après sinistre restaurent les données, les systèmes et les opérations après un incident.
  • Surveillance continue : La surveillance continue des systèmes à la recherche d'anomalies permet de détecter les incidents et d'y répondre rapidement. La veille sur les menaces permet aux organisations de rester informées des menaces nouvelles et émergentes, ce qui leur permet d'adapter leurs défenses en temps réel.
  • Tests réguliers: Par exemple, la simulation d'attaques, comme les tests de pénétration ou les exercices de réponse aux incidents, permet d'évaluer l'état de préparation et la résilience d'une organisation, d'identifier les faiblesses du plan de réponse et d'offrir des possibilités de l'affiner et de le renforcer.
  • Sécurité de la chaîne d'approvisionnement: Oui, le sujet que nous avons abordé précédemment est également un élément majeur de la cyber-résilience - il est essentiel de s'assurer que les vendeurs et partenaires tiers appliquent également des pratiques de cybersécurité rigoureuses.

Merci pour ces belles rencontres sur notre stand !

Nous tenons à remercier sincèrement toutes les personnes qui sont venues rencontrer notre équipe sur notre stand. 👏 Nous avons passé deux journées très actives et riches en discussions avec nos clients.

Voici quelques-uns des sujets qui ont le plus retenu l'attention de nos clients :

  • Automatisation et IA: en particulier, comment les utiliser au début du travail de conformité pour atteindre quelques premiers résultats, répondre aux questionnaires de sécurité envoyés par ses propres clients et, plus tard, comment affiner la maintenance et l'amélioration d'un SMSI.
  • l'évaluation de la sécurité des fournisseurs: Nous avons récemment lancé ces fonctionnalités qui ont manifestement suscité l'intérêt de nombreux responsables de la sécurité de l'information. Nous avons reçu de nombreuses idées sur la manière d'affiner les évaluations des fournisseurs et nous travaillons déjà à d'autres améliorations. 👍
  • Intégrations: Un grand nombre de nos utilisateurs qui ont déjà avancé dans la mise en place de leur SMSI souhaitaient avoir la possibilité d'intégrer davantage de contenu provenant de différents systèmes dans le SMSI afin de rationaliser le suivi, les mesures, la collecte de preuves et l'amélioration continue.

D'autres mentions honorifiques vont à CRA (la loi européenne sur la cyber-résilience qui fixe des exigences en matière de cybersécurité pour les produits comportant des éléments numériques) et à la gestion de la sécurité de l'information dans les grands groupes, où l'unité centrale fait quelque chose et les filiales doivent faire le reste. Sur ce dernier point, nous avons également publié récemment les premières caractéristiques de.

Tous ces thèmes seront certainement poursuivis par notre équipe. Participez aux discussions, par exemple sur le forum d'idées de développement de la Cyberday Community, ou suivez les développements de notre équipe dans nos bulletins d'information hebdomadaires ! 

Notre message : ISO 27001 sous stéroïdes - survivre à la vague de tempête réglementaire

En tant que partenaire stratégique de l'événement Cyber Security Nordic, nous avons également eu l'occasion de monter sur scène et de donner une conférence. Notre PDG et cofondateur, Ismo Paananen, a pris la parole sur le thème suivant : "ISO 27001 sur les stéroïdes - survivre à la vague de tempête réglementaire" : ISO 27001 sous stéroïdes - survivre à la vague de tempête réglementaire.

Les organisations européennes sont confrontées à une vague de nouvelles réglementations en matière de cybersécurité. NIS2, DORA, CRA et bien d'autres créent une nouvelle demande pour que les organisations se conforment à la loi et aux exigences croissantes des clients. La réglementation n'affecte pas seulement les industries directement citées, mais aussi un grand nombre d'entreprises jouant un rôle dans la chaîne d'approvisionnement. ISO 27001 est l'approche éprouvée pour relever ces défis, mais la mise en œuvre doit être améliorée pour couvrir tous les aspects nécessaires. Ismo a présenté comment se conformer à toutes les exigences requises et même créer de la valeur commerciale en utilisant une approche allégée de la norme ISO 27001 avec des ajouts réglementaires.

Prouver la sécurité de l'information peut s'avérer difficile dans certaines situations, en l'absence d'une bonne vue d'ensemble. Des feuilles de calcul Excel à n'en plus finir, une législation implicite et d'innombrables pages de textes juridiques. Sans parler des défis que représentent le contrôle continu, le maintien de la conformité, la sensibilisation et la formation du personnel. Cyberday a entrepris de trouver une meilleure façon de procéder.

Le discours d'Ismo était un cercle complet : il a parlé de sa passion pour la sécurité et des défis auxquels les organisations peuvent être confrontées en matière de conformité, et de la façon dont Cyberday permet aux organisations de créer un plan unifié basé sur des cadres sélectionnés. Avec des solutions comme Cyberday, les organisations peuvent mieux se préparer à l'inconnu, garder un œil sur leurs mesures de conformité et de sécurité et sensibiliser leurs employés. C'était un plaisir de voir Cyberday présenté sur la scène principale, et la présentation perspicace d'Ismo a été très bien accueillie par le public. Merci à tous ceux qui étaient là pour l'écouter !

Nous avons également publié un article de blog : Naviguer dans le labyrinthe de la cybersécurité : maîtriser NIS2 avec l'aide d'ISO 27001 à l'occasion de l'événement, dans lequel nous abordons certains des mêmes thèmes que ceux discutés. Les directives telles que NIS2 peuvent exiger des procédures pour des domaines spécifiques de la sécurité de l'information, mais ne peuvent/veulent pas spécifier ce que ces procédures doivent être. Les normes volontaires telles que l'ISO 27001 peuvent aller plus loin et indiquer quelles pourraient être ces mesures suffisantes.

Cyber Security Nordic, en collaboration avec FISC et FiBAN, a organisé Pitch Finland Cyber Security, un concours de pitch à la recherche de solutions pionnières ayant un potentiel de croissance internationale. Le concours est ouvert aux entreprises, équipes et organisations de cybersécurité. Nous avons eu l'honneur de figurer parmi les cinq finalistes. Nous avons reçu de très bons commentaires sur notre présentation, et cela n'aurait pas pu mieux se passer. Félicitations également à Siren Anti-Cheat pour sa solution intéressante et bravo à l'équipe gagnante !

Dernières réflexions

Dans l'ensemble, la participation de Cyberday à l'événement a été un grand succès, et notre équipe a eu l'occasion de rencontrer ses connaissances et ses partenaires, ainsi que de nouveaux contacts. Pendant ces deux jours, nous avons pu écouter de nombreux discours intéressants, rencontrer d'autres représentants de l'industrie, ainsi que faire connaissance et faire équipe avec notre propre personnel. Peut-être nous reverrons-nous l'année prochaine ! Si vous n'avez pas eu l'occasion de nous rencontrer lors de l'événement, ou si vous souhaitez en savoir plus, nous sommes là ! Notre équipe se fera un plaisir de vous aider par le biais du chat situé dans la bulle du coin droit, par courriel à l'cyberday ou en réservant un court appel téléphonique au moment qui vous conviendra le mieux ici.

Rendez-vous à Cyber Security Nordic 2025 ! ⭐️

Rédigé par
Cyberday
31.10.2024
@
LinkedIn

Contenu de l'article

Autres articles sur le même thème

Voir la collection ISO 27001
Voir la collection complète de NIS2

Autres articles de blog

Partager l'article

Autres contenus similaires de Academy

Blogs

Les 10 non-conformités les plus fréquentes lors des audits ISO 27001

Les audits et les non-conformités poussent les organisations à l'amélioration continue. Mais avant votre première certification ISO 27001, il est bon de connaître les non-conformités les plus courantes, afin de les éviter lors de votre audit de certification.
18.2.2025

J'ai reçu une demande d'entretien pour un audit ISO 27001 - à quoi dois-je m'attendre ?

Dans ce blog, nous parlerons de l'importance de la participation des employés dans le processus d'entretien d'audit, des raisons pour lesquelles les auditeurs apprécient les points de vue des employés, et nous examinerons les questions qui peuvent être posées lors d'un entretien ISO 27001.
13.2.2025

Liste de contrôle de la conformité et de la certification ISO 27001

Vous souhaitez vous assurer que vous répondez aux exigences de la norme ISO 27001 ? Cette liste de contrôle présente des étapes clés clairement ordonnées qui guident votre organisation dans la mise en place d'un SMSI et la mise en conformité avec la norme ISO 27001.
6.2.2025

Commencez dès aujourd'hui

Commencez gratuitement, dans votre environnement familier des équipes.
Si vous avez d'abord des questions, prenez rendez-vous avec nous.

Commencer un essai gratuit de 14 jours
Réserver une réunion
Comment cela fonctionne-t-il ?
RésuméTâches et assurance de la sécuritéFlux de travail de documentationDirectives pour les employésModèles de rapport
Cas d'utilisation
Par cadreTous les cadresISO 27001Directive NIS2NIST CSFCSA CCMISO 27701GDPRISO 27017ISO 27018
Par méthodeGestion du risque cybernétiqueSensibilisation des employésRapport de conformitéGestion des contrôlesGestion des actifsDocuments de politique dynamiqueGestion de la vie privée
Ressources
AcadémieWebinarsBlogArticles d'aideCours vidéoBibliothèque de contenuRésumés hebdomadaires d'informationsS'abonner à l'AcadémieLaissez un commentaireProgramme de partenariatTeamConditions d'utilisationPolitique de confidentialité
Contactez nous
+358 10 231 6010
team@cyberday.ai
L'application fonctionne dans :
Connu en Finlande sous le nom de Digiturvamalli
© Cyberday Inc. Kalevantie 2 33100 Tampere, Finlande
Cyberday.ai - Améliorer et certifier votre cybersécurité