Symposium sur la sécurité des technologies de l'information et des communications

Résumé : La maintenance de l'assurance sécurité couvre les problématiques liées à la prorogation des résultats d'une expertise sécurité menée sur un Système d'Information -- par ex : audit technique de sécurité conduit de manière objective et répétable, évaluation de la sécurité des TI selon les Critères Communs -- sur une période de temps donnée, en prenant en compte les changements susceptibles d'affecter la valeur du résultat établi par l'expertise sécurité du SI. Les changements peuvent être de nature _interne_ : changement de configuration (paramètres ou version logicielle) de composants du système, ou _externe_ : apparition de vulnérabilités, nouvelles techniques d'attaque, occurrence d'intrusions (qu'elles aient été contrées ou non par les mesures de sécurité ayant fait l'objet de l'expertise).

Cet article présente un certain nombre de notions issues de notre compréhension de ce sujet, dans le but de permettre aux RSSI de mieux appréhender et planifier, dans une démarche de Système de Gestion de la Sécurité Informatique (ISMS), les activités et les mesures de maintenance de l'assurance sécurité. Les démarches de maintenance de l'assurance sécurité spécifiques au Schéma Français d'Évaluation et de Certification sont présentées à titre d'exemple.