Sécurité des Systèmes d’Information – Cybersécurité

Pour chaque entreprise, la Sécurité des Systèmes d’Information ou la cybersécurité est désormais un enjeu vital. 

En effet, le niveau de la menace cyber n’a jamais été aussi élevé alors que s’accentue encore la dépendance des activités, y compris industrielles, à la continuité de fonctionnement des applications et, surtout, à la préservation des données. En outre, la réglementation européenne contraint désormais des milliers d’entreprises et organisations françaises, ainsi qu’une multitude de leurs partenaires, à mettre en place une démarche structurée de montée en maturité cyber.

Assurer la Sécurité du SI implique bien-sûr de disposer d’infrastructures (cloud ou on-premise), de compétences (internes ou partenaires) et de procédures (techniques ou fonctionnelles) mais également et avant tout d’une organisation, d’une gouvernance et d’une stratégie permettant d’assurer la cohérence, l’efficacité et la durabilité des mesures de sécurité déployées et de l’ensemble des moyens investis.

Elaborer une vision d’ensemble des enjeux de votre SI, anticiper les risques et planifier ses évolutions à moyen terme, puis vous accompagner dans sa sécurisation avec vos équipes et partenaires sont des missions sur lesquelles vous pouvez faire appel à nous.

Mon Consultant Expert compte dans ses rangs plusieurs consultants seniors dont les expertises réunies permettent d’adresser très largement le spectre des enjeux de la Sécurité des Systèmes d’Information ou cybersécurité.

Quelle que soit la structure de votre Système d’Informations (Premise, Cloud, IOTs) et quel que soit votre domaine d’activités (Services, Industrie, Services publics, Santé…) nous pouvons vous aider à engager votre démarche de cybersécurité, à définir les mesures nécessaires et à déployer votre plan de sécurisation afin de :

  • Renforcer votre gouvernance SI et sa conformité réglementaire : 
    Quels sont vos enjeux de sécurité et les exigences de vos parties prenantes ?
    Etes-vous concernés par la directive NIS2 ?
    Vous inscrivez-vous dans une démarche de certification ISO27001 ?
    Ou voulez-vous tout simplement évaluer votre niveau de risque SSI et le réduire ?

Ces différentes perspectives impliqueront des stratégies de gouvernance différentes, mais reposeront toutes sur une démarche d’analyse de risques (méthode EBIOS ou approche simplifiée), sur l’élaboration de votre Politique de Sécurité de l’Information (PSI) et sur une formalisation des responsabilités, des processus  et de votre organisation SSI.

  • Améliorer la résilience de votre SI

De vos liens Telecom jusqu’à vos applications sensibles, la continuité de fonctionnement de votre SI implique la redondance de certaines infrastructures, des processus de sauvegarde et l’efficacité de vos procédures de gestion d’incident.

Point essentiel également dès lors de les enjeux de résilience sont élevés : l’élaboration d’un Plan de Continuité et d’un Plan de Reprise d’Activité (PCA/PRA) qui vous prépareront à faire face à des évènements critiques (panne majeure, cyberattaque, sinistre) avec des procédures rigoureuses et des pratiques régulières (sauvegardes & restaurations, exercices de crise, …).

  • Améliorer la protection et la défense de votre SI

Maîtrise du parc, mises à jour des logiciels, segmentation du réseau, chiffrement, protection antivirale, gestion des identités et des accès (y compris distants), authentification des utilisateurs, veille sur les vulnérabilités et menaces, risques des fournisseurs et partenaires, management des informations et évènements de sécurité (assuré par votre SOC – Security Operation Center), sont quelques-unes des fonctions dont la maitrise doit être assurée par vos équipes ou partenaires, ce qui implique compétences internes ou contrats adaptés.   

  • Sensibiliser et former vos utilisateurs
    Les principaux vecteurs des cyberattaques impliquant le facteur humain, il est indispensable de sensibiliser et de former vos utilisateurs (collaborateurs et partenaires), puis de procéder à des tests de vigilance réguliers (fausses campagnes de phising, etc..). La gestion des droits et les risques du télétravail sont également essentiels.

La structuration de vos mesures de sécurité telle que décrite ci-dessus est conforme à la recommandation de l’ANSSI (https://cyber.gouv.fr/structurer-ses-mesures-de-securite) et garantira une démarche rigoureuse et complète. Celle-ci débouchera sur l’élaboration et la mise en œuvre d’un plan d’action de renforcement de la sécurité, identifiant les actions à mettre en œuvre, leur priorité, leur séquencement dans le temps, leur responsable, éventuellement leur coût, etc. 

Mon Consultant Expert peut vous aider à définir ce plan d’action, éventuellement à en accompagner l’exécution.

« Certains dirigeants d’entreprise peuvent être un peu débordés par la multitude de facteurs à considérer pour maitriser la Sécurité de leur Système d’Information ».

« La vision d’ensemble permettant de les aider à fixer leurs stratégie, associée à l’acuité technique permettant de prendre les bonnes décisions avec les experts sont des aides toujours appréciées ! »

« Contrairement aux préjugés (et aux offres de certains éditeurs de solutions), la cybersécurité n’est pas nécessairement onéreuse : qu’elles soient relatives à la gouvernance, aux processus de l’entreprise, à ses ressources humaines, à ses contrats ou même aux solutions technologiques à déployer, bien des mesures efficaces ne sont pas chères. La démarche présente un retour sur investissement rapide au vu des dommages statistiquement évités ».

 

  • Problématique

Un Groupement Hospitalier Territorial (GHT) ne disposait pas d’un inventaire fiable de son SI biomédical et voulait se préparer à NIS2, en évaluant les risques SSI sur l’ensemble de ses actifs et ne mettant en œuvre le plan ad hoc.

  • Mesures recommandées et accompagnement à leur mise en place

Après avoir préconisé une méthodologie pour inventorier et cartographier le SI (scanner réseau et logiciel de cartographie des applications et infras), nous avons accompagné les actions d’inventaire, de cartographie et animé l’analyse de risque SSI (approche EBIOS) jusqu’à élaboration du plan d’actions de réduction de ces risques.

  • Résultats :
    Validés par la direction, l’analyse des risques et le plan d’actions ont permis au GHT de s’inscrire dans une bonne trajectoire de conformité NIS2 sur les thèmes suivants :
    – Résilience des infrastructures critiques
    – Evaluation des Risques
    – Signalement des Incidents
    – Sensibilisation des utilisateurs

L’efficacité de l’amélioration de la Sécurisation du Système d’Information ou cybersécurité pourra être mesurée notamment par les indicateurs de performance et tableaux de bord tels que :

  • Taux de disponibilité du SI
  • Taux de mise à jour des systèmes et logiciels
  • Nombre de pannes hebdomadaires impactant les service sensibles
  • Taux d’incidents de sécurité hebdomadaires signalés par le SOC
  • Taux d’efficacité des sauvegardes
  • Taux de formation des utilisateurs aux risques SSI
  • Taux de réussite aux tests de phishing
  • Taux d’authentification forte sur les services et accès sensibles
  • Tableau de Bord de suivi des actions de réduction des risques
  • Tableau de Bord de suivi de mise en conformité NIS2

Quelques articles au sujet de la Sécurité des Systèmes d’Information

Approche des risques de cybersécurité chez les PME

Des profils de notre collectif pour vous accompagner dans le domaine de la Sécurité des Systèmes d’Information

 

Présentation de notre expert en cybersécurité des systèmes d’information