La réputation de l'entreprise au coeur des préoccupations

La réputation de l'entreprise au coeur des préoccupations

GERER SES RISQUES EFFICACEMENT POUR VOUS PERMETTRE D'EN PRENDRE SEREINEMENT

Le meilleur rempart contre les menaces est de les connaître et d’avoir les bons réflexes pour les détecter, les traiter et s’en protéger.
La Gouvernance, Risk Management et Compliance (GRC) est une approche qui consiste à adopter de meilleures pratiques pour savoir protéger son organisation, en donnant un cadre à la gestion de la sécurité de l’information et en pilotant ses activités grâce à une meilleure maîtrise des risques et des contraintes externes.

Des standards sur-mesure

Parce que toute organisation mérite de connaître les « bonnes pratiques » pour mieux se prémunir face aux menaces et aux risques, il est important de pouvoir adapter les mesures vos besoins.

Nous considérons donc les standards du milieu de la gestion du risque SI comme des cadres de références, et non comme des règles rigides et immuables, pour créer des mesures qui ont du sens pour l'organisation et adaptés au contexte.
ISO 2700x 87%
skillbar
COBIT 31%
skillbar
MEHARI-EBIOS 13%
skillbar
AUTRES 19%
skillbar

GOUVERNANCE DE LA SECURITE DE L’INFORMATION

Il est deux approches pour gérer la sécurité de l’information: soit par la technique soit par la gouvernance. Et si l’on créait le lien entre les deux…

La mise en place d’un cadre de référence s’exprime par la formalisation des principes qui définissent les règles de sécurité de l’information. Il s’agit de définir la politique SSI, les directives associées et d’outiller les processus pour s’assurer de disposer des moyens de ses ambitions

CADRE DE REFERENCE

La mise en place d’un cadre de référence s’exprime par la formalisation des principes qui définissent les règles de sécurité de l’information. Il s’agit de définir la politique SSI, les directives associées et d’outiller les processus pour s’assurer de disposer des moyens de ses ambitions

La gestion de la SSI par la gouvernance nécessite de mettre en place les bonnes instances de pilotage, qui soient capables à la fois d’aligner la stratégie SSI à la stratégie globale, mais aussi de disposer d’informations pertinentes pour améliorer la maturité de son système de management de la sécurité de l’information. Le choix d’indicateurs ou de vecteurs de reporting est pertinent

PILOTAGE ET REPORTING

La gestion de la SSI par la gouvernance nécessite de mettre en place les bonnes instances de pilotage, qui soient capables à la fois d’aligner la stratégie SSI à la stratégie globale, mais aussi de disposer d’informations pertinentes pour améliorer la maturité de son système de management de la sécurité de l’information. Le choix d’indicateurs ou de vecteurs de reporting est pertinent

Dans une vision d’amélioration continue, il est important de pouvoir évaluer le niveau de maturité de la sécurité de l’information ou de sa surface d’exposition à tout moment. Mettre en place des points de contrôle et auditer peuvent s’avérer être un moyen efficace de détecter les non-conformités. La définition des mesures correctives et de campagnes de sensibilisation sont des réponses nécessaires

AUDIT ET SENSIBILISATION

Dans une vision d’amélioration continue, il est important de pouvoir évaluer le niveau de maturité de la sécurité de l’information ou de sa surface d’exposition à tout moment. Mettre en place des points de contrôle et auditer peuvent s’avérer être un moyen efficace de détecter les non-conformités. La définition des mesures correctives et de campagnes de sensibilisation sont des réponses nécessaires

REDACTION DE LA PSI

La Politique de Sécurité de l’Information reflète la stratégie de l’entreprise en matière de SSI. Pour soutenir l’activité, elle s’aligne sur les choix stratégiques globaux de l’organisation

MISE EN PLACE D’UN SMSI

Un Système de Management de la Sécurité de l’Information est un cadre global de la gestion de la SSI. Il inclut la formalisation d’un cadre de référence (politiques et directives) et ses mises en œuvre opérationnelle, portées par une approche constante d’amélioration continue (PDCA)

MISE EN PLACE DE LA GOUVERNANCE SSI

La gouvernance représente les instances de pilotage et de décision de l’organisation. Il est essentiel de bien savoir identifier les membres, la fréquence de réunion et les pouvoirs pour être capable de réagir aux messages portés

DEPLOIEMENT D’UN TABLEAU DE BORD SSI

La création d’un tableau de bord est une tâche bien plus ardue qu’elle n’y paraît. A travers cet outil les équipes SSI doivent être capables de faire passer les bons messages et de faire transparaître simplement l’état actuel de la sécurité de l’information

REALISATION DE CAMPAGNES DE SENSIBILISATION

Plus de 80% des incidents de sécurité proviennent de l’exploitation de failles humaines. Il va sans dire qu’un personnel bien sensibilisé et ayant acquis les bons réflexes est un moyen puissant de se prémunir face aux menaces

REALISATION D’AUDIT CIBLES DES PROCESSUS

S’il est difficile de maîtriser l’ensemble des domaines techniques ou d’avoir une visibilité fine des pratiques réelles dans l’entreprise, le recours aux audits ponctuels et ciblés permet d’identifier les carences par rapport à votre niveau d’exigence et d’obtenir des recommandations d’amélioration

GESTION DES RISQUES LIES A LA SECURITE DE L’INFORMATION

La protection de votre patrimoine personnel vous paraît évident. Et que faîtes-vous pour protéger le patrimoine informationnel de votre organisation?

Evaluer les menaces et vulnérabilités pesant sur votre organisation passe par deux étapes préalables: la définition d’une méthodologie d’analyse et la réalisation de l’analyse des risques SSI. La cartographie des risques est un document-clé pour le pilotage averti des activités par les risques

ANALYSE DES RISQUES SSI

Evaluer les menaces et vulnérabilités pesant sur votre organisation passe par deux étapes préalables: la définition d’une méthodologie d’analyse et la réalisation de l’analyse des risques SSI. La cartographie des risques est un document-clé pour le pilotage averti des activités par les risques

Le choix des mesures de traitement des risques SSI identifiés doit être en cohérence avec les besoins de l’organisation et ses priorités. Le plan de traitement des risques devient la feuille de route des chantiers SSI à mener et contribue à renforcer le maintien en condition de sécurité des systèmes

TRAITEMENT DES RISQUES ET MAINTIEN EN CONDITION DE SECURITE

Le choix des mesures de traitement des risques SSI identifiés doit être en cohérence avec les besoins de l’organisation et ses priorités. Le plan de traitement des risques devient la feuille de route des chantiers SSI à mener et contribue à renforcer le maintien en condition de sécurité des systèmes

Mettre en place des mesures est une bonne chose. Mais encore faut-il être certain qu’elles soient appliquées. La définition d’un plan  de contrôle (N1 et N2) offre la possibilité d’identifier et de corriger les risques résiduels ou insoupçonnés. La définition de PCA/PRA et leur mise en oeuvre, en condition réel ou "papier", sont des moyens efficaces de se prémunir face aux incidents

CONTROLES SSI ET CONTINUITE D'ACTIVITE

Mettre en place des mesures est une bonne chose. Mais encore faut-il être certain qu’elles soient appliquées. La définition d’un plan  de contrôle (N1 et N2) offre la possibilité d’identifier et de corriger les risques résiduels ou insoupçonnés. La définition de PCA/PRA et leur mise en oeuvre, en condition réel ou "papier", sont des moyens efficaces de se prémunir face aux incidents

DEFINITION D’UNE METHODOLOGIE D’ANALYSE DE RISQUES SSI

Une méthodologique formalise les « règles » admises pour réaliser l’analyse. Elle va définir les critères d’analyse, les échelles d’impact et de risques. Ce document est la base de toute analyse

PROMOTION DES BONNES PRATIQUES SSI

Les bons réflexes sont-ils connus? L’accompagnement prend aussi la forme de module d’apprentissage et de montée en compétences lors de workshop, collectif ou individuel, ou de campagne d’informations pour éveiller les conscience de la responsabilité de chacun et savoir mieux réagir

REALISATION DE L’ANALYSE DE RISQUES SSI

Sur base de la méthodologie d’analyse des risques SSI en vigueur dans l’entreprise, le processus peut être mis en œuvre. Il va impliquer l’ensemble des parties prenantes pour obtenir une vision consolidée du niveau

FORMALISATION DU PLAN DE TRAITEMENT DES RISQUES

Le plan de traitement des risques est la suite logique de l’analyse des risques SSI. Il va permettre de définir et formaliser les mesures correctives/curatives définies pour réduire le niveau de risque évalué. Il s’agit d’un vecteur fort d’amélioration continue

REALISATION D’UNE DECLARATION D’APPLICABILITE

D’inspiration ISO 27001, la déclaration d’applicabilité est un référentiel donnant une vue exhaustive des mesures de gestion des risques retenues pour le périmètre concerné, ainsi que les mesures compensatoires envisagées

MCS ET CONTINUITE D’ACTIVITE

Les technologies évoluent et les menaces en font autant. La protection de vos SI ne peut se faire qu’en assurant leur maintien permanent en condition de sécurité, en réalisant la veille technique et technologique et en appliquant les correctifs publiés. La définition de PCA/PRA est une option non négligeable pour soutenir la pérennité de vos services

QUELS RISQUES ET MENACES POURRAIENT VOUS NUIRE?

La diversité des menaces rend la protection des systèmes d’autant plus difficile à mettre en œuvre. Elles sont omniprésentes et affectent potentiellement tout utilisateur. Leur fréquence d’occurrence peut être un indicateur pour priorité les efforts à dédier à la lutte
Abus et violation de privilèges (volontaire ou non) 83%
skillbar
Fuite de données / Ingénierie sociale (insider) 61%
skillbar
Malware - attaque virale 37%
skillbar
Autres 26%
skillbar