Des évolutions majeures - Les pratiques métiers et les organisations - Les contraintes réglementaires, légales et contractuelles - La concurrence industrielle et commerciale - Les technologies -; rendent de plus en plus complexe votre système d’information, la connaissance que vous en avez et sa gestion. Les attaques se multiplient pour atteindre une cible : l’information de votre entreprise. Les techniques d’attaque utilisent pour se réaliser, votre système d’information et ses faiblesses humaines et techniques. Une démarche globale de management de la sécurité de l’information devient indispensable. Elle permet de définir la façon de protéger et de gérer, l’information et le système d’information dans un souci d’amélioration continue de la sécurité.
Nous vous assistons dans la mise en place et la gestion de votre Système de Management de la Sécurité de l’Information (SMSI), dans la définition, l'implémentation et la validation de votre politique de sécurité. En fonction de votre contexte et contraintes, nous vous aidons à :
identifier vos besoins de sécurité,
concevoir les solutions appropriées,
mettre en oeuvre les dispositifs de sécurité,
maintenir votre niveau de sécurité.
Domaines d’investigation
Éléments stratégiques : Politique de SMSI
Enjeux métiers
Contraintes légales et règlementaires
Contraintes budgétaires
Grandes orientations de sécurité
Définition de l’organisation (rôles et responsabilités)
Choix et adaptation de la méthode d’analyse de risque ( Méthode, métriques, référentiels)
Identification et estimation des risques (étude des menaces et des vulnérabilités)
Choix du traitement du risque et validation des risques résiduels
Prise en compte de l’existant
Principes et règles de sécurité : Politiques de sécurité
Selon le guide de bonnes pratiques 27002 ou tout autre référentiel adapté au contexte de l’entreprise et au périmètre de l’étude.
Politique de sécurité
Organisation de la sécurité de l’information
Gestion des biens
Sécurité liée aux ressources humaines
Sécurité physique et environnementale
Gestion de l’exploitation et télécommunications
Contrôle d’accès
Acquisition, développement et maintenance des SI
Gestion des incidents liés à la SSI
Gestion du PCA
Conformité
Mise en œuvre : plan de traitement des risques
Plan de traitement du risque (actions à engager, ressources, responsabilités, priorités)
Calendrier précis
Mise en œuvre des contre-mesures
Définition du mode d’évaluation des mesures
Procédures de gestion et de suivi intégrant les rôles et responsabilités
Procédure de gestion et de traitement des incidents de sécurité
Détermination des indicateurs
Contrôle : procédure de surveillance et de contrôle
Procédure de réexamen du SMSI
Matrice de couverture des exigences de sécurité
Plan d’audit
Recommandations
Tableau de suivi des actions
Méthodologie
Enjeux
Analyse stratégique métier.
Éléments essentiels de la sécurité de
l’information et des SI.
Besoins
Identification des actifs à protéger.
Recueil et analyse des besoins de sécurité.
Risques
Identification et estimation des
risques (étude des menaces et des
vulnérabilités).
Objectif
Choix du traitement du risque.
Définition des objectifs de sécurité,
socle de la politique de SMSI et /ou
de la politique sécurité.
Exigences
Détermination des exigences
de sécurité applicables et des
référentiels de bonnes pratiques.
Application
Plan de traitement du risque :
principes de mise en œuvre, de
contrôle et de maintenance.
Tableau de bord
Procédures de gestion et de suivi
intégrant les rôles et responsabilités.
Définition et gestion des indicateurs.
Normes et standards
Normes : ISO 27001, 20000, 14000, 9001, 15408 ...
Standards: ISO 27002, RGS, PCI-DSS, défense en profondeur ...
Analyse de risques : EBIOS, ISO/27005, MEHARI, CRAMM
