Accompagnement global Cybersécurité

Gouvernance, Risques et Conformité : comment déployer une gouvernance de la sécurité ?

Parmi les solutions de cybersécurité, établir et mettre en place une gouvernance cyber est essentiel pour protéger les données de l’entreprise et de ses clients. Parmi nos clients, nous avons observé 3 raisons principales qui les poussent à être accompagnés par les équipes Fidens dans cette démarche :

La sécurité des données : mettre en place des mesures de sécurité adéquates pour protéger ces données contre les attaques de hackers.
La conformité réglementaire : de nombreuses lois et réglementations exigent que les entreprises protègent les données de leurs clients et employés. L’entreprise doit être en conformité avec ces règles.
La continuité des activités : en cas d’attaque cyber, une entreprise peut être perturbée, voire même paralysée. Il est possible d’en minimiser les impacts en cas d’incident par la gouvernance.

–

Les équipes Fidens déploient votre gouvernance cybersécurité par l’analyse de risques et la conformité

Établir un cadre de gestion des exigences normatives

Faites-vous accompagner pour vos certifications
ISO 27001 / ISO 27701 / HDS / RGPD

Que ce soit pour répondre à des exigences de vos partenaires, faciliter la gestion de la sécurité des actifs sensibles, ou encore tout simplement protéger vos données, nous pouvons vous accompagner en choisissant d’adopter un cadre générique comme la famille de normes ISO/IEC 27001 ou des normes exigées par les organismes de réglementation pertinents telles que Hébergeur de données de Santé (HDS), Payment Card Industry Data Security Standard (PCI – DSS) ou encore l’exigence imposée par le Règlement sur la protection des données (RGPD) de l’Union européenne.

Les experts Fidens vous apportent un accompagnement optimal durant chaque phase du projet et vous aident à maximiser les chances d’obtention de ces certifications exigeantes et reconnues internationalement.

Norme ISO 27001

ISO 27001

La norme ISO 27001 est le standard international en matière de Cybersécurité. S’appuyant sur des exigences normatives, elle permet la mise en place d’un Système de Management de la Sécurité de l’Information (SMSI) et aide à protéger le cœur d’activité et à améliorer la réputation de votre organisation.

Norme ISO 27701

ISO 27701

Extension de l’ISO 27001, l’ISO 27701 permet aux organisations de concilier les exigences en matière de sécurité de l’information avec celles applicables en matière de protection de la vie privée. Une fois votre organisation certifiée, vous apporterez la preuve du respect des exigences et recommandations en matière de protection des données à caractère personnel, auprès de vos clients, des autorités et du grand public.

Norme HDS : Hébergeur de données de santé

HDS

La certification Hébergeur de Données de Santé (HDS) est basée sur la norme ISO 27001 et intègre des mesures complémentaires liées à la protection des données de santé et du respect du droit des patients.

Norme RGPD : Règlement Général pour la Protections des Données

RGPD

Le RGPD, ou Règlement Général sur la Protection des Données, est une réglementation européenne. Il établit un cadre juridique pour toutes les entreprises et organisations qui traitent des données personnelle concernant la collecte, le traitement et la protection des données personnelles.

–

Certifications juridiques et cybersécurité

Certification ISO 27001

Obtenez rapidement votre certification ISO 27001 comme les 200 sociétés déjà accompagnées par les experts Fidens

Contactez-nous

Une politique de sécurité du SI pour définir sa gouvernance

Mettez en place votre
gouvernance de la sécurité

Dans le cadre d’un projet de certification ISO 27001 ou plus simplement pour documenter les processus sécurité existants ou à venir, les équipes Fidens vous accompagnent dans la rédaction des différentes politiques et procédures Cybersécurité.

Nos experts rédigent votre Politique de Sécurité du Système d’Information (PSSI) en tenant compte du contexte de votre organisation et de vos enjeux. Suite à un audit, ils vous accompagnent dans la création de votre schéma directeur SSI. A chaque écart, non-conformité ou vulnérabilité décelé, il convient de répondre par des actions correctives appropriées. Ces actions constitueront votre plan d’action détaillé pour les prochains mois ou années.

timeline à venir

La gestion des vulnérabilités basée sur l’analyse de risques

Appliquez la méthode d’analyse
de risques EBIOS Risk Manager

Cette méthodologie innovante et collaborative lancée par l’ANSSI positionne la sécurité numérique au niveau des enjeux stratégiques des entreprises. La réalisation d’une appréciation des risques est une étape fondamentale et indispensable dans la mise en œuvre des bonnes pratiques Cybersécurité. EBIOS Risk Manager permet de définir le niveau adapté de sécurité du système d’information en fonction des besoins métiers et clients.

L’analyse de risques, cœur du dispositif de l’ANSSI, permet également de présenter à une Direction Générale une cartographie des risques Cybersécurité et de définir le plan de traitement lié. Elle permet aux dirigeants d’appréhender ainsi au juste niveau les risques cyber, au même titre que les risques stratégiques, financiers et ou de ressources humaines auxquels les organisations sont confrontées.

Conçue pour être éprouvée, améliorée et discutée, cette approche dynamique est structurée en 5 ateliers :

Cadrage et socle de sécurité : sur la base de référentiels sécurités pertinents vis-à-vis de l’état de l’art et de la réglementation
Sources de risques : apprécier les menaces intentionnelles et ciblées dangereuses pour ce socle
Scénarios stratégiques
Scénarios opérationnels
Traitement du risque

Pour renforcer vos connaissances et découvrir les cas d’application de cette méthode, nous vous proposons également d’aller plus loin en vous faisant certifier EBIOS Risk Manager via nos formations proposées par nos experts.

L’analyse de risque est également la première étape fondamentale à toute démarche d’homologation d’un SIE en fonction du contexte réglementaire, que votre organisation soit Opérateur d’Importance Vitale (OIV) ou Opérateur de Services Essentiels (OSE), que vous soyez propriétaire de SI en Diffusion Restreinte (DR) ou soumis au Référentiel Général de Sécurité (RGS), l’homologation du système d’information concerné est obligatoire.

Dans ce cadre, notre équipe vous accompagne dans toutes les étapes d’homologation de vos systèmes, en appliquant les recommandations de l’ANSSI selon les 9 étapes conseillées. L’objectif étant de pouvoir prendre la mesure du risque dit « acceptable » et d’évaluer les coûts de sécurisation pour faire arbitrer par un responsable autorisé le bon équilibre des deux.

Pour aller plus loin

Cybersécurité

Interview Cyber : Laurent Galvani, consultant cybersécurité senior, commente les apports d’EBIOS RM et du pentest pour l’analyse de risque

Retrouvez dans cette interview de Laurent Galvani, consultant cybersécurité senior, comment EBIOS RM et le pentest renforcent l’analyse du risque

8 août 2023

Mise en conformité au Règlement Général pour la Protections des Données

Bénéficiez d’un accompagnement
à la carte pour devenir conforme au RGPD

Aujourd’hui, le RGPD et le respect des différents cadres légaux sont une priorité pour les entreprises collectant des données personnelles des résidents de l’Union Européenne. Dans le cadre de votre démarche de mise en conformité, nos experts cartographient avec vous l’ensemble de vos traitements de donnée sà caractère personnel.

Nous complétons ensuite notre diagnostic RGPD, basé sur une revue documentaire et des entretiens avec vos collaborateurs pour identifier l’usage des données en interne comme en externe. Cela permet ainsi de réaliser le registre des activités de traitement afin de mieux évaluer et gérer les risques en termes de confidentialité et d’intégrité des données.

Enfin, un plan d’actions est établi afin de réaliser la mise en conformité au RGPD. Ce plan d’actions priorisé intègre les démarches techniques, organisationnelles et/ou documentaires à déployer.

Accompagnement juridique

Élaboration des cartographies et registres de traitement
Rédaction des politiques, procédures :
- Procédure en cas de violation de données
- Procédure de gestion des droits des personnes concernées
- Politique de protection des données
- Charte informatique
- Procédure CNIL
Réalisation des analyses d’impact (AIPD)
Veille juridique
Sensibilisation

Accompagnement Cybersécurité

Intégration de la protection des données dans les projets
Gestion du changement
Rédaction des politiques, procédures :
- Politique de Sécurité du Système d’Information
- Politique de gestion des accès
- Protection de l’information
Formation, sensibilisation
Développement sécurisé

–

Profitez également de notre formule de « veille juridique annuelle » sur les évolutions des textes réglementaires et légaux, ainsi que sur les principales actualités et jurisprudences liées aux systèmes d’informations, aux données à caractère personnel et aux données de santé.

Si vous ne disposez pas de l’expertise ou d’un budget dédié, nous pouvons également vous accompagner en externalisant votre DPO (Délégué à la Protection des Données) afin de gérer ces questions de conformité au RGPD ou d’autres réglementations relatives à la protection des données.

Certifications juridiques et cybersécurité

Obtenez plus rapidement vos certifications
en contactant dès maintenant
nos experts Cybersécurité

Contactez-nous

Un plan de sauvegarde dans un contexte cybersécurité

Définir votre stratégie de reprise
et continuité d’activité (PRA et PCA)

Face à la multiplication des cyber-risques, nombreux sont les exemples d’entreprise n’ayant pas survécue en cas de défaillance de leur système de sécurité suite à un acte de malveillance. Corruption de données, phishing, tentatives d’intrusion, catastrophes naturelles, erreurs humaines…autant de fléaux qui peuvent mettre en péril les actifs vitaux d’une entreprise et en menacer sa survie.

Afin d’anticiper au mieux ce type de situations, il est important de s’y préparer avec un Plan de Continuité d’Activité (PCA) et un Plan de Reprise d’Activité (PRA) car ils ne recouvrent pas le même périmètre

Le PRA met en œuvre les moyens humains et matériels pour permettre à l’entreprise de faire face à un sinistre informatique majeur et prévoir la restauration en urgence des systèmes, applications et de limiter la perte de données. Le PCA, quant à lui, désigne l’ensemble des stratégies, des processus et organisations destinés à assurer les fonctions vitales de l’entreprise en cas de crises (risques naturels, sanitaires, énergétiques…) et de basculer des systèmes applicatifs dans un environnement sans perte de données.

Ces plans ont pour objectif d’anticiper les actions à mettre en place pour minimiser les conséquences de l’indisponibilité, voici comment nous vous proposons de procéder :

Suite à l’identification de vos activités critiques, nos experts cybersécurité vous accompagnent dans la réalisation des Bilans d’Impacts d’Activités (BIA) en déterminant avec vos équipes le niveau maximum acceptable des répercussions sur votre organisation.
L’étape suivante, dans la stratégie de continuité d’activité, consiste à rédiger une procédure de gestion de crise qui peut être testée lors d’un exercice de simulation permettant de valider opérationnellement les processus de PRA / PCA.

En complément, les experts Fidens peuvent vous accompagner dans votre projet de certification ISO 22301 : Système de Management de la Continuité d’Activité.

Renforcez rapidement la sécurité de votre SI
grâce à notre guide des mesures préventives

Encore aujourd’hui, près de 50% des dirigeants ne sont pas conscients que leur société finira tôt ou tard par subir une cyberattaque. Et mieux vaut être prêt !

Des questions ? Envie d’en savoir plus ?
Contactez nos experts Cybersécurité

Contactez-nous

Gouvernance, Risques et Conformité : comment déployer une gouvernance de la sécurité ?