Accompagnement stratégique et opérationnel
Nous élaborons des cahiers des charges détaillés pour vos projets informatiques, en prenant en compte les aspects techniques et fonctionnels. Nous vous garantissons ainsi des projets bien définis et respectant les besoins de votre entreprise.
La transposition de la directive NIS2 en droit national par les États membres est attendue pour septembre 2024 au plus tard. Néanmoins, il existe déjà de nombreuses lignes directrices sur les actions à mener, et leur mise en œuvre devrait préparer une bonne partie du travail. Elle s’adresse principalement aux Responsables de la Sécurité des Systèmes d’Information (RSSI), mais peut aussi être utile aux Délégués à la protection des données (DPO) et aux services juridiques.
La certification ISO 27001 décrit comment mettre en place un Système de Management de la Sécurité (SMSI). Ce standard de sécurité de l’information fait partie de la famille des normes de management ISO 27000 qui contiennent des recommandations des meilleures pratiques en management de la sécurité de l’information, par exemple pour l’évaluation des risques avec l‘ISO 27005.
La conformité réglementaire ou compliance (terme issu de la traduction anglaise regulatory compliance) consiste à s’assurer qu’une entreprise respecte les lois en vigueur régissant la façon dont elle exerce ses activités. Les réglementations exigent généralement que les entreprises respectent des mandats généraux ou spécifiques à un secteur. Par exemple, HIPAA, qui régit les données de santé, et PCI DSS, qui réglemente les responsables du traitement des cartes de paiement, exigent le traitement sécurisé des données personnelles des individus.
Compte-tenu du niveau des risques liés à la pression continue de la menace, une défaillance de la sécurité du système d'information pourrait entraîner des conséquences irréversibles sur la réalisation des objectifs stratégiques de l'organisme ou vis à vis du respect de ses obligations ou engagements. C’est pourquoi la PSSI (le référentiel final) doit être prise en compte et validée au niveau de responsabilité le plus élevé comme un instrument de gestion des risques SSI. La PSSI traduit la reconnaissance formelle de l'importance accordée par la direction générale de l'organisme à la sécurité de son ou ses systèmes d'information.
La mise en place d’une charte informatique dans une entreprise permet de fixer les règles d’utilisation des outils informatiques par les salariés, mais aussi de prévoir des sanctions en cas de violation de ces règles. Sa mise en oeuvre est par ailleurs recommandée par la Commission Nationale de l’Informatique et des Libertés (CNIL).
Les analyses de risques appliquées à la sécurité des SI, apparues en même temps que les SI eux-mêmes, sont maintenant de plus en plus répandues, que ce soit dans les entreprises privées ou dans les organismes publics. Un grand nombre de méthodologies existent, de même que des outils plus ou moins sophistiqués. De plus en plus de normes et de règlements nationaux ou sectoriels encadrent et/ou imposent la pratique de ces analyses.
La première étape pour se préparer à une crise : être au fait de ses propres vulnérabilités. Cela passe par des audits techniques et organisationnels. Il est également conseillé de déterminer les évènements susceptibles d’avoir les conséquences les plus importantes, mais aussi les plus probables. Cette approche par probabilités et impacts permet d’identifier des scénarios réalistes d’attaques desquels découlera toute la préparation d’avant crise.
Le Plan de Continuité Informatique (PCI) est plus spécifique que le PCA (Activité). Il s’agit de l’ensemble des architectures, moyens et procédures nécessaires pour assurer une continuité de fonctionnement des services informatiques. Le PCI est une sous partie du PCA. Quant au Plan de Reprise Informatique (PRI), il correspond à l’ensemble des processus qui permettront au SI de redémarrer après un sinistre ou un incident critique.
Disposer d’un responsable sécurité en interne, permet d’organiser et de gagner en maturité sur la protection de son système information. L’organisme dispose d’un référent en interne pour structurer sur le sujet de la sécurité et vers qui sont adressées l’ensemble des problématiques associées. Il sera en mesure de définir un bilan de santé régulier permettant à la direction d’avoir une vision claire de son niveau de sécurité et des actions à mener pour s’améliorer. Afin d’apporter des compétences dans la sécurité, nous proposons à nos clients différentes prestations : RSSI ponctuel externe ou accompagnement pour la cybersécurité.
Nous vous accompagnons dans la refonte de l'architecture de votre réseau pour le rendre plus performant et plus sûr, mais également dans la plannification et la mise en œuvre de transitions en douceur vers de nouvelles architectures.
Vous n’avez jamais effectué d’audit de sécurité ou d’intrusion ? Vous vous lancez dans la sécurisation de votre système d’information ?
Plutôt que de lancer un audit de sécurité classique avec une vision subjective de votre SI et de vos vulnérabilités, l’audit flash de sécurité va permettre d’identifier les principales vulnérabilités de votre SI en un minimum de jours.
Nous pouvons réaliser un audit de configuration de différentes briques tant logicielles que matérielles de votre système d’information. Ces audits visent à prévenir la présence de directives de configuration qui pourraient conduire à une diminution du niveau de sécurité tout en s’assurant que les configurations sont conformes avec l’architecture visée ou au regard de critères ou référentiels externes/internes.
Pour ces audits, la méthodologie est basée sur notre R&D ainsi que sur les guides de durcissement édités par l’éditeur de la solution auditée ainsi que ceux de l’ANSSI.
Le pentest, également appelé test d’intrusion en français, est une technique de piratage éthique consistant à tester la vulnérabilité d’un système informatique, d’une application ou d’un site web en détectant les failles susceptibles d’être exploitées par un hacker ou un logiciel malveillant.
Les différentes étapes de cette stratégie reposent sur l’identification des points de vulnérabilité et sur une tentative d’intrusion au cœur du système, permettant d’obtenir des informations clés pour améliorer la cybersécurité.