« Nous remplissons déjà le premier engagement qui consiste à faire de la cybersécurité une priorité stratégique de notre Direction groupe. »
À l’occasion de ce Cybermoi/s 2023, événement de sensibilisation autour des enjeux de la cybersécurité organisé par l’Agence nationale de la sécurité des systèmes d’information (ANSSI), nous avons pour conviction de vous partager des informations cruciales, des conseils pratiques, et des perspectives essentielles sur les enjeux de la sécurité numérique.
De nos jours, la cybersécurité est devenue cruciale, qu’il s’agisse de protéger les informations personnelles ou de préserver la sécurité des entreprises. Il est important que vous soyez bien informés et préparés pour faire face aux défis actuels.
La Direction de TVH Consulting a souhaité ratifier la Charte Cyber aux côtés des 83 entreprises déjà engagées. À travers le respect des 8 engagements présents sur la charte, TVH Consulting souhaite mettre en place un cadre de cybersécurité vertueux et responsable. Nous nous engageons ensemble à promouvoir cette charte à tous les niveaux : interne, partenaires, fournisseurs, clients et ainsi fédérer notre écosystème aux bonnes pratiques de la cybersécurité.
Nous remplissons déjà le premier engagement qui consiste à faire de la cybersécurité une priorité stratégique de notre Direction groupe. Cet engagement vient renforcer l’acquisition de Fidens, spécialiste en cybersécurité, réalisée il y a tout juste 1 an.
Cette initiative témoigne de notre engagement envers la protection des données et la prévention des cybermenaces.
Pour échanger sur différents sujets, nous avons le plaisir de donner la parole à nos experts Fidens by TVH Consulting :
Conseil n°1 – Simon Guignouard, Directeur des opérations BU Cybersécurité : Renforcer rapidement la sécurité de votre SI
Dans le cadre de la ratification de la Charte Cyber, nous avons souhaité confier la mission de référent Cyber à Simon Guignouard, Directeur des opérations de la BU Cyber, Consultant en Sécurité des Systèmes d’Information depuis 15 ans et certifié Lead Auditor ISO-27001 et Lead Implementor ISO 27001.
En tant que référent cybersécurité, statut inhérent à sa fonction au sein du groupe, il a déjà publié de nombreux conseils dans notre dernier guide Cyber sur les mesures préventives pour la sécurité de votre SI. Voici quelques éléments clés qu’il partage :
- La première action pour se prémunir des risques pour votre SI est la sensibilisation des collaborateurs aux cybermenaces et leur formation aux bonnes pratiques de sécurité pour les transformer en maillon fort de la cybersécurité de l’entreprise.
- La mise en place d’une organisation cybersécurité basée sur une gestion des risques permet de prioriser les actions de réduction des risques en identifiant les mesures les plus efficaces.
- L’une des pierres angulaires de la sécurité du SI est la gestion des identités et des accès, et en particulier afin de lutter contre les menaces de phishing et d’usurpation d’identité, une approche MFA est un moyen très rapide pour faire diminuer fortement la probabilité de ces menaces.
- Réaliser des tests d’intrusion sur les applications et services externes ainsi que sur votre SI interne vous permet d’identifier rapidement les mesures techniques à mettre en œuvre pour élever la maturité cybersécurité de votre SI et ainsi décourager des cyber attaquants potentiels.
- Votre capacité à réagir rapidement en cas d’attaque est essentielle car les premières heures sont toujours les plus critiques et déterminantes. Il est donc indispensable de se préparer à une cyberattaque en mettant en place un plan de continuité et/ou de reprise d’activité, incluant une procédure de gestion de crise.
Alors, si vous souhaitez adopter une démarche proactive pour votre cybersécurité, il est temps de télécharger notre guide des mesures préventives.
CharteCyber – c’est bien ici le 2ème engagement recommandé par la Charte pour laquelle nous nous engageons également
Conseil n°2 – Sébastien, Consultant Cybersécurité : Sensibiliser à la Cybersécurité en entreprise
Aujourd’hui, l’un des enjeux les plus cruciaux est de faire de l’humain le maillon fort des enjeux cyber auxquels les entreprises sont confrontées. Et si je parle d’Être humain et non de collaborateur c’est bien que nous devons accompagner sur les bonnes pratiques de la cybersécurité comme un savoir de base, comme nous essayons de le faire dans d’autres domaines. Si nous prenons un peu de recul, voyons quelles approches sont adoptées aujourd’hui ?
Dans le milieu scolaire, il arrive que la gendarmerie ou d’autres acteurs locaux interviennent dans les écoles pour aider les enfants à appréhender les risques liés à la protection de la vie privée, au harcèlement et encore tout un tas de sujets essentiels. Il y a de grandes chances pour que cette jeune génération acquière une certaine maturité en la matière et qu’elle soit armée pour l’avenir. D’autant plus que les technologies font partie intégrante de la vie quotidienne et professionnelle désormais.
Mais que faisons-nous réellement pour contribuer à la maturité de nos générations passées ? Nous ne faisons pas forcément les choses avec la bonne approche. Il faut se préparer aux risques numériques sans créer de la peur car comme le dit le dicton « La peur n’évite pas le danger ».
Au travers de programmes de sensibilisation, les organisations répondant aux exigences d’ISO 27001 par exemple, essayent d’apporter au mieux des réponses constructives autour de ce sujet. Le plus souvent ces réponses sont basées sur des règles et des recommandations définies selon des exigences qui profitent à l’organisation. Mais comment s’assurer que les collaborateurs y trouvent un intérêt personnel ?
Chez Fidens, nous avons une approche différente en abordant le sujet de la sensibilisation par la vision de l’intérêt personnel. Nous souhaitons que tout le monde soit plus à même de mieux gérer ses risques personnels pour améliorer leur maturité et réduire le risque de cyberattaques.
Nous avons pour ambition d’aider nos collaborateurs à être meilleurs dans la protection de leur vie personnelle, afin qu’ils y trouvent un intérêt. Cela à un double bénéfice car en étant sensibilisés, ils amèneront les bons réflexes et les bonnes pratiques au service de l’entreprise. C’est d’ailleurs ce que nous faisons régulièrement au travers de webinars de sensibilisation à la cybersécurité à l’ensemble de nos collaborateurs, respectant ainsi l’engagement n°1 de la Charte Cyber.
Après différents tests, discussions, échanges avec mes collègues, nous en sommes arrivés à cette conclusion : le risque fait partie de notre vie de tous les jours.
C’est pourquoi, bien que nous ne souhaitons pas imposer une analyse de risques aussi complexe que celle basée sur la méthode EBIOS-RM, nous reconnaissons qu’il est de notre responsabilité d’élever le niveau de conscience sur ces enjeux autour de la cybersécurité et que tout à chacun soit en capacité d’évaluer le risque qu’il accepte de prendre et quels sont les impacts associés.
Notre programme de sensibilisation « Sensibilisation à la Cybersécurité » est axé sur six thématiques. Ces thématiques sont celles qui doivent être abordées en entreprise, nous les avons simplement adaptées à l’intérêt de notre public.
- Reprendre le contrôle de votre vie privée
- Avoir un comportement #Cyberesponsable
- Gérer ses mots de passe de façon sécurisée
- Traiter votre téléphone comme s’il était un coffre-fort
- Se protéger contre les cyberattaques grâce aux mises à jour et aux antivirus
- Adopter les bons réflexes en matière de cybersécurité lors de vos déplacements
CharteCyber – c’est bien ici le 3ème engagement recommandé par la Charte pour laquelle nous nous engageons également
Conseil n°3 – Bénédicte, Responsable Formation : Investir dans votre avenir professionnel avec la sensibilisation à la Cybersécurité et les formations aux certifications ISO
Nous croyons que la sensibilisation à la cybersécurité et la formation à la certification ISO sont essentielles pour renforcer la sécurité de l’information au sein de votre organisation.
Une certification est bien plus qu’un simple bout de papier. Être certifié est un moyen de prouver vos compétences et vos connaissances, et contribue à renforcer votre crédibilité auprès de votre réseau professionnel et vos clients. C’est également un moyen puissant de prouver votre engagement envers l’excellence. C’est un investissement précieux dans votre avenir professionnel.
Certifiantes pour les publics expérimentés ou théoriques pour l’ensemble des collaborateurs, Fidens propose un catalogue de formations en Cybersécurité . Nos intervenants experts dans le domaine de la cybersécurité vous sensibilisent à la cybersécurité et vous préparent aux examens de certification PECB sur les normes ISO en vigueur. Ces Normes ISO représentent une étape clé dans le processus de gouvernance des Technologies de l’Information.
CharteCyber – c’est bien ici le 4ème engagement recommandé par la Charte pour laquelle nous nous engageons également
Conseil n°4 – Laurent, Consultant Cybersécurité Sénior : Se préparer à une éventuelle crise
Les attaques cyber représentent une menace croissante pour les organisations du monde entier et si elles sont mal gérées, leurs répercussions peuvent être dévastatrices, affectant gravement les opérations, la réputation et même la survie des organisations. La perte moyenne de CA suite à une cyberattaque est de 27 %. En revanche, une gestion de crise soigneusement planifiée et exécutée peut minimiser les pertes et favoriser une reprise rapide.
Pour vous aider à vous préparer au mieux, nous avons créé une check-list gestion de crise qui recense toutes les étapes clés à suivre avant, pendant et après la crise cyber. Ces étapes sont conçues pour vous guider à la gestion de crise d’une attaque cyber de manière ordonnée et efficace de la préparation à la récupération. Chaque étape est cruciale pour minimiser les dommages potentiels et assurer une reprise rapide à la normale.
Et pour se préparer à une éventuelle crise de façon plus ludique à travers un exercice de gestion de crise, nous vous avons concocté un jeu de cartes à télécharger et imprimer afin d’avoir toutes les cartes en main pour gérer efficacement votre crise cyber. Les règles sont simples : replacer les 16 étapes de la gestion de crise cyber dans l’ordre en 5 minutes en vous méfiant des 4 cartes qui ont piraté le jeu.
Après avoir progressé sur la « gestion de crise » avec ces deux ressources, je vous invite à lire mon article sur la stratégie de reprise d’activité pour aller plus loin.
CharteCyber – c’est bien ici le 5ème engagement recommandé par la Charte pour laquelle nous nous engageons également
Conseil n°5 – Guillaume, Consultant Cybersécurité : Anticiper le risque de cyberattaque lors des Jeux Olympiques et Paralympiques
Les grands évènements sportifs sont aujourd’hui de plus en plus dépendants des technologies de l’information et sont également propices aux innovations technologiques. Associés à une forte portée médiatique, ils deviennent des cibles attractives pour les cybercriminels.
Au-delà de l’organisation des jeux elle-même, c’est tout l’écosystème d’un tel évènement qu’il faut prendre en compte pour évaluer les risques liés à la cybercriminalité. Il va sans dire qu’une attaque directe sur le comité d’organisation ou un site de compétition aurait des conséquences désastreuses en termes d’image et de bon déroulement de la compétition.
Il est également primordial de garantir la sécurité des spectateurs, qui peuvent devenir la cible d’arnaques, notamment par le biais de faux siteweb proposant des billets contrefaits, permettant aux cybercriminels de recueillir des informations bancaires.
Dans ce contexte, les éditeurs de logiciels et fournisseurs de services numériques doivent être vigilants et pouvoir s’engager sur la stabilité et la sécurité de leurs applications car une cyberattaque lors d’un tel événement pourrait avoir des effets de bord qui pourraient perturber le bon déroulement des jeux lui-même.
En mai 2022, lors de la finale de la ligue des champions, des émeutes ont éclaté à l’entrée du stade car un grand nombre de spectateurs munis de billets contrefaits se sont vus refuser l’accès au stade. Restez donc vigilants et méfiez-vous des offres trop alléchantes.
Au cours d’une de mes missions, j’ai eu l’opportunité d’accompagner une société BtoB qui avait pour projet de déployer des services numériques pour faciliter le déplacement des sportifs et visiteurs pendant les Jeux Olympiques et Paralympiques de Paris 2024. Sa principale crainte était le potentiel chaos, comme des mouvements de foule ou des files d’attente interminables, qui pourrait résulter d’une cyberattaque rendant ses services indisponibles.
L’analyse de risque menée a permis de mettre en place les mesures adaptées visant à réduire les conséquences potentielles d’une telle situation. En amont de ce type de grand événement, une solide stratégie de cybersécurité est essentielle pour faire face aux menaces numériques émergentes. L’évaluation de la menace doit être au cœur de votre stratégie SMSI, permettant ainsi d’anticiper les scénarios potentiels d’attaques.
Tout cela souligne l’importance de maintenir une vigilance constante à tous les niveaux de l’organisation et ne pas penser que seul le comité d’organisation ou ses partenaires peuvent être la cible des cybercriminels.
CharteCyber – c’est bien ici le 6ème engagement recommandé par la Charte pour laquelle nous nous engageons également
Conseil n°6 – Karim, Consultant Cybersécurité : Collaborer avec des partenaires reconnus et des organismes de certification accrédités
Nous croyons en la nécessité de collaborer avec des partenaires éditeurs reconnus afin d’accéder aux dernières technologies, de renforcer la confiance de nos clients et de gérer efficacement les défis technologiques et de sécurité. C’est pourquoi nous avons établi des partenariats solides avec des entreprises renommées telles que Microsoft, SAP et Talend.
Notre engagement ne s’arrête pas là. Nous comprenons l’importance de la certification et de la formation de nos équipes pour faire face aux défis complexes de la cybersécurité. C’est pourquoi nous travaillons en étroite collaboration avec des organismes de certification accrédités tels que LRQA et PECB.
Grâce à ces partenaires, je suis certifié Lead Implementer 27001 et Lead Auditor 27001. Ces certifications m’ont permis d’accompagner des clients à la mise en place et l’évaluation de leur système de management de la sécurité de l’information (SMSI), conformément à la norme ISO 27001.
L’obtention de ces certifications, délivrées par des organismes reconnus à l’international, constitue une exigence essentielle pour la conduite de mes missions en tant que Consultant en Cybersécurité. Elles permettent d’authentifier et légitimer mes compétences en matière de sécurité de l’information. Notre engagement est de fournir des services de cybersécurité de la plus haute qualité.
CharteCyber – c’est bien ici le 7ème engagement recommandé par la Charte pour laquelle nous nous engageons également
Conseil n°7 – Laurent, Consultant Cybersécurité Sénior : Mettre en œuvre une certification ISO 27001
La charte cyber exige, au travers de son engagement n°8, de promouvoir autant que possible auprès de l’ensemble de ses parties prenantes les enjeux liés à la cybersécurité et les bonnes pratiques.
Quoi de mieux pour respecter cet engagement que de mettre en œuvre une certification ISO 27001, en appliquant les bonnes pratiques de l’ISO 27002 ?
Que vous ayez dans vos objectifs de mettre en place la certification ISO 27001 ou que vous souhaitez d’abord faire un état des lieux pour être capable de juger de votre niveau de maturité, de protection et de sécurité de votre SI, je vous recommande de choisir un référentiel comme l’ISO 27002.
En vous appuyant sur la dernière mise à jour du référentiel ISO 27002, vous vous assurez de déployer les mesures de sécurité pertinentes pour votre organisation. Elle n’est pas certifiante mais regroupe les bonnes pratiques qui aideront à mettre en place les mesures demandées par l’ISO 27001.
Si vous souhaitez vous faire accompagner pour la certification ISO 27001 ou un état des lieux vis-à-vis de l’ISO 27002, sachez que l’expérience des consultants permet d’appréhender la nouvelle mise en œuvre de ces normes, afin de vous guider efficacement.
CharteCyber – c’est bien ici le 8ème engagement recommandé par la Charte pour laquelle nous nous engageons également
TVH Consulting
Partenaire de référénce des éditeurs Microsoft, SAP et Talend, le groupe TVH Consulting est intégrateur expert de solutions ERP, Data, BI, CRM et Cybersécurité avec plus de 400 collaborateurs qui s’engagent sur 100% de réussite des projets IT.
Ces contenus pourraient vous intéresser :
Pour en savoir plus sur les contenus et outils de Business Intelligence, visitez le site :
Contact
22, rue Guynemer – B.P. 112
78 601 Maisons-Laffitte Cedex
- +33 (0)1 34 93 17 27
- +33 (0)1 34 93 49 49
- infos@tvhconsulting.com