CYBERSÉCURITÉ ET CONTINUITÉ D'ACTIVITÉ
Mesurer les enjeux business, identifier les risques, mettre en œuvre des mesures de sécurité du S.I
Objectifs
Analyser le niveau de sécurité de l’entreprise
- Enjeux: Comprendre la stratégie de l’entreprise, identifier pourquoi et pour qui la sécurité est importante
- Niveau de sensibilisation des collaborateurs : Lancer de fausses campagnes d’hameçonnage (phishing) pour mesurer le niveau de sensibilisation des collaborateurs
- Mesures de sécuritéorganisationnelles : Evaluer le niveau de conformité de l’organisation par rapport aux référentiels de sécurité (ISO 270002, Guide d’hygiène de l’ANSSI, etc.)
- Règles essentielles: Analyser la pertinence des systèmes de protections par rapport aux principes élémentaire de sécurité
- Sécurité technique: Identifier la résilience de l’architecture mise en œuvre face aux enjeux de sécurité
Analyser les risques
- Analyse des besoins métiers: Accompagnement des métiers dans l’expression de leurs besoins de sécurité
- Evaluation des menaces : Comprendre les menaces qui pèsent sur l’entreprise et son activité
- Valorisation du risque : Identifier les risques SI de l’entreprise sur la base de méthodes conformes à l’ISO 27005 (Ebios 2010, Mehari et Ebios RM)
- Plan de traitement des risques : définir un plan de traitement des différents risques identifiés
Structurer et piloter la démarche sécurité
- Politique de sécurité : Définir les objectifs à atteindre, et l’organisation à mettre en place
- Procédures de sécurité : Formaliser les règles de sécurité à mettre en œuvre
- Plan de contrôle : Mettre en place un contrôle régulier des règles définies.
- Tableau de bord : Mesurer et rendre compte de l’avancée du projet à la Direction
Assurer la continuité / reprise d’activité
- Cartographie : Identifier les processus, les applicatifs et les actifs supports critiques pour l’entreprise
- Mesures de prévention : Identifier et mettre en œuvre les mesures qui permettent d’éviter le sinistre
- Mesures curatives : Identifier et mettre en œuvre les mesures qui permettent de réduire l’impact du sinistre
- Gestion de crise : Mettre en place une organisation pour gérer le plus efficacement possible un sinistre
- Tests : Vous accompagner pour tester de façon régulière différents scénarios de sinistres
Livrables
- Audit de sécurité précisant les vulnérabilités et axes d'amélioration
- Indicateurs de conformité avec des référentiels sécurité
- Cartographie des risques
- Politique de sécurité
- Tableaux de bords sécurité
- Plan d'actions pluriannuel incluant les coûts humains et financiers
- Plan de reprise d'activité
- Plan de continuité d'activité
Demande de livrable
Cas d'application
Mise en oeuvre d'une démarche sécurité
- Entreprise ayant toujours traité la sécurité d'un point de vue technique
- Reprise en main du pilotage de la démarche sécurité par la Direction
- Proposition d'un plan d'actions pour mettre en oeuvre un Système de Management de la Sécurité
RSSI externalisé
- Structure ayant conscience de ses lacunes en sécurité
- Pas de temps consacré au pilotage des projets sécurité
- Prise en main du pilotage du plan d'action sécurité
- Animation de la cellule de gouvernance sécurité
Exigences de sécurité Groupe
- Cas d'une filiale devant intégrer les exigences de sécurité du groupe
- Mesure des écarts, mise en oeuvre d'un plan d'actions
- Pilotage de la démarche de mise en conformité
Gains client
- Prise de conscience du niveau de sécurité
- Maîtrise des risques
- Alignement stratégies entreprise & sécurité
- Feuille de route sécurité
- Définition de règles de sécurité et contrôle de leur application
- Tableau de bord sécurité
La cybersécurité c'est d'abord bien maîtriser son Système d'Information. Pour une action de cybersécurisation efficace, il faut accepter de remettre à plat l'existant plutôt que d'ajouter des strates successives de sécurité.
