Consultant Cryptographie

Piloter les projets pour répondre aux exigences :

Crypto :

7.1 Les entités financières précisent, dans les dispositions relatives à la gestion des clés cryptographiques visées à l'article 6, paragraphe 2, point d), les exigences relatives à la gestion des clés cryptographiques tout au long de leur cycle de vie, y compris la génération, le renouvellement, le stockage, la sauvegarde, l'archivage, l'extraction, la transmission, le retrait, la révocation et la destruction des clés.

7.2 Les entités F doivent identifier et mettre en œuvre des contrôles pour protéger les clés cryptographiques tout au long de leur cycle de vie contre la perte, l'accès non autorisé, la divulgation, et la modification. Les contrôles sont conçus en tenant compte des résultats de la classification des données et des processus d'évaluation des risques liés au TIC.

7.3 Les entités F élaborent et mettent en œuvre des méthodes permettant de récupérer les clés cryptographiques en cas de perte, de compromission ou d'endommagement des clés.

7.4 Les entités financières créent et tiennent un registre de tous les certificats et dispositifs de stockage des certificats pour au moins les actifs TIC soutenant des fonctions critiques ou importantes. Le registre doit être tenu à jour.

7.5 Les entités financières veillent à ce que les certificats soient renouvelés rapidement avant leur expiration.

Sécurité-réseau* :

13. Gestion de la sécurité du réseau

a) La séparation et la segmentation des systèmes et réseaux de TIC…

b) la documentation de l’ensemble des connexions réseau et des flux de données de l’entité financière;

c) l’utilisation d’un réseau distinct et spécifique pour l’administration des actifs de TIC;

d) la définition et la mise en oeuvre de contrôles d’accès au réseau afin de prévenir et de détecter les connexions au réseau de l’entité financière à partir de tout appareil…

e) le chiffrement des connexions au réseau transitant par des réseaux d’entreprise, des réseaux publics, des réseaux nationaux, des réseaux tiers et des réseaux sans fil…

f) une conception du réseau conforme aux exigences en matière de sécurité des TIC définies par l’entité financière, tenant compte des pratiques de pointe …

g) la sécurisation du trafic entre les réseaux internes et l’internet et d’autres connexions externes;

h) la définition des rôles et responsabilités et des étapes de la spécification, de la mise en œuvre, de l’approbation, de la modification et du réexamen des règles de pare-feu…

i) la réalisation d’examens de l’architecture du réseau et de la conception de la sécurité du réseau une fois par an, …, afin de détecter les vulnérabilités potentielles;

j) des mesures visant à isoler temporairement, si nécessaire, les sous-réseaux et les composants et dispositifs de réseau;

k) la mise en œuvre d’une configuration sécurisée de référence incluant tous les composants du réseau, et le renforcement du réseau et des dispositifs de réseau…

l) les procédures de limitation, de verrouillage et d’arrêt du système et des sessions à distance après une période déterminée d’inactivité;

m) pour les accords de services de réseau :i) l'indication et la spécification des mesures de sécurité… si ces services sont fournis par un prestataire intra-groupe de services…

* Les exigences réseau de DORA ne sont pas toutes citées ci-dessus, mais seront à traiter dans leur intégratlité

Activité Crypto :

- Rédige les expressions de besoin des projets de cryptographique (gestion automatisée des clés, registre des certificats et automatisation du cycle de vie des certificats)

- pilote les 3 projets précédemment cités (CoPro, CoPil)

- Participe à l’animation du Comité de pilotage crypto (MOA/MOE)

- Est force de proposition dans le traitement des activités opérationnels via les points de synchronisation hebdomadaires

- valide les recettes des livrables de la MOE crypto

- Complète les documents de la PSSI sur la cryptographie

- Définit la gouvernance la gestion des secrets cryptographique en interne LBP et avec la DSIBA,

Activité Sécurité-Réseaux et Zero Trust :

- Rédige les expressions de besoin des projets (Evolution de la gouvernance des matrice de flux ; Examen des architectures réseau)

- pilote les 2 projets précédemment cités (CoPro, CoPil)

- Participe à l’animation du Comité de pilotage sécurité réseau (MOA/MOE)

- Complète les documents de la PSSI sur le pilier réseau du Zero Trust