Esynov rubrique Cybersécurité SI 2022

Les étapes d'un accompagnement en cybersécurité

 
 

Analyse du besoin

 

C'est une étape incontournable pour garantir la pertinence des objectifs, la définition du périmètre ainsi que les moyens qui seront mis en œuvre et les outils. Une attention toute particulière sera accordée au respect des règlementations, des bonnes pratiques ainsi que des référentiels en vigueur (PTES, ISO, COBIT…).

Réalisation

 
  •  Cartographie des actifs informatiques
  - Une cartographie des actifs, est souvent nécessaire dans le cas d'interactions nombreuses entre différents composants logiciels et matériels, ainsi que les différents réseaux interconnectés entre eux (clients internes, externes, fournisseurs)
- Des outils performants sont utilisés à Esynov pour réaliser cette cartographie ainsi que les évaluations de vulnérabilités nécessaires
 
  •  Audit de sécurité
 - Définition du périmètre technique et du niveau de granularité attendu
- Réalisation des audits de sécurité commandés s’appuyant sur les référentiels COBIT et ISO avec intégration (si demandé) des équipes IT et métiers de l’entreprise
- Préparation des outils logiciels et matériels en fonction des environnements cibles
- Pilotage des ressources internes et externes lors de l’intervention
 
  •  Pentest
- Définition du périmètre et du niveau d’intrusion autorisé dans les systèmes
- Pentest de type « black-box » ou « white-box » en suivant le référentiel PTES
- Planification des « Roll back » des systèmes en fonction du niveau d’intrusion planifié selon le type d’intervention
 
  •  Rapport de vulnérabilités, recommandations et restitution
- Restitution auprès des responsables des risques majeurs et des mesures de remédiation à mettre en œuvre en fonction de leur priorité.
- Rapport de vulnérabilité contenant l’ensemble des failles de sécurité soulevées au cours de l’audit ou du pentest
- Transmission à l'entreprise d'un document contenant l’ensemble des recommandations 


Phase d'accompagnement

 
  •  Plan d'actions
Un suivi des mesures correctives peut être proposé accompagné d’une mise à jour de l’audit sur une périodicité à définir en fonction des besoins d’accompagnement.

 
  •  Mise en place d’une stratégie de SSI éprouvée
En support de la direction de l’entreprise, nous proposons notre support à la rédaction de la politique de sécurité des systèmes d’informations (PSSI) de l’entreprise. Cette dernière permet à l’entreprise de donner un nouvel élan à sa stratégie de sécurisation des systèmes d’informations.
Elle fixe les contours et les principes fondateurs de la sécurisation des données et des actifs informatiques de l’entreprise ainsi que de l’homogénéisation et la fiabilisation de l’information au sens large.

 
  •  Accompagnement à la rédaction de la charte informatique
En vertu de l’article L.2312-8, 4°, du code du travail, le Comité social et économique doit être informé et consulté notamment sur « l’introduction de nouvelles technologies, tout aménagement important modifiant les conditions de santé et de sécurité ou les conditions de travail ».

La charte informatique permet de définir les droits et les obligations des salariés concernant l'utilisation du matériel informatique de l'entreprise. Elle vise principalement à prévenir ou limiter l'usage abusif des outils mise à la disposition du personnel. Fort de notre expérience et après un audit préliminaire nous vous proposons de vous assister à sa rédaction.

 
  •  Sensibilisation, formation et montée en compétence des salariés
Nous intervenons également afin de sensibiliser les salariés aux risques cyber, via des présentations, des actions de terrain, l'organisation de campagne de phishing pour mesure des acquis, etc… Nous construisons avec l’entreprise un plan de montée en compétence des salariés à tous les niveaux de l’entreprise afin de renforcer sa cyber-résilience.

Une étape de sensibilisation à destination des salariés est proposée afin de sensibiliser les participants aux risques cyber, via des présentations, des actions de terrain, organisation de campagne de phishing pour mesure des acquis, etc… Cette session de sensibilisation est proposée en présentiel, ou en distanciel sous la forme d’un webinaire.

Ce programme peut-être affiné en fonction de vos besoins :

- Recommandations de sécurité informatique pour le télétravail
- Aspect organisationnel lié à la sécurité informatique
-  Présentation des différentes attaques illustration avec des cas pratiques :
- Les attaques locales sur les systèmes 
- Les attaques distantes 
- Mot de passe et bonnes pratiques 
- Protections et « best practices » 
- Cybersécurité et politique BYOD (bring your own device)  


Exemple de planning d'un accompagnement