Sécurité des Systèmes d’Information – Cybersécurité

Pour chaque entreprise, la Sécurité des Systèmes d’Information ou la cybersécurité est désormais un enjeu vital. 

En effet, le niveau de la menace cyber n’a jamais été aussi élevé alors que s’accentue encore la dépendance des activités, y compris industrielles, à la continuité de fonctionnement des applications et, surtout, à la préservation des données.

Assurer la Sécurité du SI implique bien-sûr de disposer d’infrastructures (cloud ou on-premise), de compétences (internes ou partenaires) et de procédures (techniques ou fonctionnelles) mais également et avant tout d’une organisation, d’une gouvernance et d’une stratégie permettant d’assurer la cohérence, l’efficacité et la durabilité de l’ensemble des moyens investis.

Elaborer une vision d’ensemble des enjeux de votre SI, anticiper et planifier ses évolutions à moyen terme, puis vous accompagner dans votre transformation avec vos équipes et partenaires sont des missions sur lesquelles vous pouvez faire appel à nous.

Mon Consultant Expert compte dans ses rangs plusieurs consultants seniors dont les expertises réunies permettent d’adresser très largement le spectre des enjeux Sécurité des Systèmes d’Information ou cybersécurité.

Quelle que soit la structure de votre Système d’Informations (Premise, Cloud, IOTs) et quel que soit votre domaine d’activités (Services, Industrie, Collectivité, Santé, …) nous pouvons vous aider à élaborer votre stratégie et à accompagner votre transformation pour :

  • Renforcer votre Gouvernance SI et sa Conformité Réglementaire : 
    Etes-vous concernés par la directive NIS2 ?
    Vous inscrivez-vous dans une démarche de certification ISO27001 ?
    Ou voulez-vous tout simplement évaluer votre niveau de risque SSI et le réduire ?

Ces différentes perspectives impliqueront des stratégies de gouvernance différentes, mais reposeront toutes sur une démarche d’analyse de risques (méthode EBIOS ou approche simplifiée), sur l’élaboration de votre Politique de Sécurité de l’Information (PSI) et sur une formalisation des responsabilités et de votre organisation SSI.

  • Améliorer la Résilience de votre SI

De vos liens Telecom jusqu’à vos applications sensibles, la continuité de fonctionnement de votre SI implique la redondance de certaines infrastructures, des processus de sauvegarde et l’efficacité de vos procédures de gestion d’incident.

Point essentiel également : l’élaboration d’un Plan de Continuité et d’un Plan de Reprise d’Activité (PCA/PRA) qui vous prépareront à faire face à des évènements critiques (panne majeure, cyberattaque, sinistre) avec des procédures rigoureuses et des pratiques régulières (sauvegardes & restaurations, exercices de crise, …).

  • Améliorer la Protection et la Défense de votre SI

Segmentation du Réseau, SD-WAN, Gestion des Identités et des Accès, Management des Informations et Evènements de Sécurité (assuré par votre SOC Security Operation Center), sont quelques-unes des fonctions dont la maitrise doit être assurée par vos équipes ou partenaires, ce qui implique compétences internes ou contrats adaptés.   

  • Sensibiliser et Former vos utilisateurs
    Les principaux vecteurs des cyberattaques impliquant le facteur humain, il est indispensable de sensibiliser et de former vos utilisateurs (collaborateurs et partenaires), puis de procéder à des tests de vigilance réguliers (fausses campagnes de phising, etc..).

La structuration de vos mesures de sécurité telle que décrite ci-dessus est conforme à la recommandation de l’ANSSI (https://cyber.gouv.fr/structurer-ses-mesures-de-securite) et garantira une démarche rigoureuse et complète. Celle-ci débouchera sur l’élaboration et la mise en œuvre d’un plan d’action de renforcement de la sécurité, identifiant les actions à mettre en œuvre, leur priorité, leur séquencement dans le temps, leur responsable, éventuellement leur coût, etc. 

Mon Consultant Expert peut vous aider à définir ce plan d’action, éventuellement à en accompagner l’exécution.

« Certains dirigeants d’entreprise peuvent être un peu débordés par la multitude de facteurs à considérer pour maitriser la Sécurité de leur Système d’Information ».

« La vision d’ensemble permettant de les aider à fixer leurs stratégie, associée à l’acuité technique permettant de prendre les bonnes décisions avec les experts sont des aides toujours appréciées ! »

« Contrairement aux préjugés (et aux offres de certains éditeurs de solutions), la cybersécurité n’est pas nécessairement onéreuse : qu’elles soient relatives à la gouvernance, aux processus de l’entreprise, à ses ressources humaines, à ses contrats ou même aux solutions technologiques à déployer, bien des mesures efficaces ne sont pas chères. La démarche présente un retour sur investissement rapide au vu des dommages statistiquement évités ».

 

  • Problématique

Un Groupement Hospitalier Territorial (GHT) ne disposait pas d’un inventaire fiable de son SI biomédical et voulait se préparer à NIS2, en évaluant les risques SSI sur l’ensemble de ses actifs et ne mettant en œuvre le plan ad hoc.

  • Mesures recommandées et accompagnement à leur mise en place

Après avoir préconisé une méthodologie pour inventorier et cartographier le SI (scanner réseau et logiciel de cartographie des applications et infras), nous avons accompagné les actions d’inventaire, de cartographie et animé l’analyse de risque SSI (approche EBIOS) jusqu’à élaboration du plan d’actions de réduction de ces risques.

  • Résultats :
    Validés par la direction, l’analyse des risques et le plan d’actions ont permis au GHT de s’inscrire dans une bonne trajectoire de conformité NIS2 sur les thèmes suivants :
    – Résilience des infrastructures critiques
    – Evaluation des Risques
    – Signalement des Incidents
    – Sensibilisation des utilisateurs

L’efficacité de l’amélioration de la Sécurisation du Système d’Information ou cybersécurité pourra être mesurée notamment par les indicateurs de performance et tableaux de bord ci-dessous :

  • Taux de disponibilité du SI
  • Nombre de pannes hebdomadaires impactant les service sensibles
  • Taux d’incidents de sécurité hebdomadaires signalés par le SOC
  • Taux de formation des utilisateurs aux risques SSI
  • Tableau de Bord de suivi des actions de réduction des risques
  • Tableau de Bord de suivi de mise en conformité NIS2

Quelques articles au sujet de la Sécurité des Systèmes d’Information

Approche des risques de cybersécurité chez les PME

Des profils de notre collectif pour vous accompagner dans le domaine de la Sécurité des Systèmes d’Information

 

Présentation de notre expert en cybersécurité des systèmes d’information