Hack in Paris

GRC Cybersécurité (Gouvernance, Risque, conformité)

COMMENT LA GOUVERNANCE EN CYBERSÉCURITÉ & LA CONFORMITÉ AUX REGLEMENTATIONS SONT AU CŒUR DE VOTRE MÉTIER ?

La GRC fait référence à la Gouvernance en cybersécurité, (gestion du) Risque et Conformité (réglementaire). Notre démarche vise à évaluer le niveau d’exposition aux risques de l’organisation, la conformité aux référentiels de sécurité, la conformité aux réglementations nationales, internationales et normes sectorielles.

Cette analyse nous permet de vous proposer une stratégie de gouvernance globale de la sécurité alignée sur vos besoins métiers et les enjeux de votre organisation. 

Quels sont les risques informatiques auxquels votre organisation est exposée ? 

  • Vol et divulgation non autorisée de données privées.
  • Espionnage industriel ou économique.
  • Acte de malveillance (sabotage, …).
  • Interruption des activités et des outils de production .
  • Etc. 

Comment l’équipe GRC de SysDream peut les maitriser :

  • Evaluer la maturité de la cybersécurité de votre organisation vis-à-vis des référentiels.
  • Réaliser une analyse de risques de votre SI et piloter le plan d’amélioration.
  • Déterminer la conformité de votre organisation par rapport aux réglementations et normes sectorielles.
  • Mettre en place une politique de sécurité du SI et décliner la gouvernance de la SSI.
  • Définir un plan de continuité d’activité (PCA).
  • Etc.

Comment mettre en œuvre un DIAGNOSTIC 360 ?

Cette Approche holistique à 360° évalue le niveau de maturité organisationnelle et technique de la sécurité du système d’information.

Elle consiste en :

  • Audit organisationnel et physique : évaluation des politiques et procédure de sécurité sur le périmètre physique et organisationnel, pour protéger les ressources de l’organisation.
  • Audit technique de votre SI : audit macroscopique des actifs de l’infrastructure IT pour s’assurer que le système d’information est conforme aux exigences sectorielles, aux règlementations, et aux bonnes pratiques de sécurité informatiques.
  • Analyse & Gestion des risques informatiques : Identification et classification contextualisée des risques en cybersécurité principaux auxquels est exposé le système d’information avec des propositions de traitement.

MISE EN CONFORMITE REGLEMENTAIRE, COMMENT S’Y RETROUVER ?

La conformité réglementaire consiste à s’assurer qu’une organisation respecte les lois, réglementations et normes applicables, qu’elles soient générales ou spécifiques à un secteur d’activité : administration, aéroportuaire, assurance, banque, santé, … 

Notre approche par l’audit, l’analyse des risques et des impacts, nous permet d’identifier les non-conformités, puis d’établir les recommandations et la feuille de route pour garantir la conformité réglementaire de votre organisation : HDS/HIPPA, ISO 22301, ISO 27001, PCI-DSS, RGPD, SWIFT… 

ISO 27001 
ISO 27001 est une norme internationale qui permet de mettre en place un Système de Management de la Sécurité de l’Information (SMSI) pour maitriser les risques de compromission du système d’informations en réponses aux exigences légales, réglementaires et contractuelles de protection des données.

Elle consiste en :

  • Un état des lieux initial,
  • Une mise en situation réelle via un audit blanc pour évaluer les écarts entre le niveau de sécurité de l’entreprise et celui exigé par la norme,
  • La mise en place d’un plan d’action priorisé, audit interne annuel. Nos consultants/auditeurs certifiés vous accompagnent de la mise en œuvre au maintien en condition et conformité à la norme ISO 27001 du SMSI.

RGS 
Le Référentiel général de sécurité (RGS) se présente comme un guide de bonnes pratiques informatiques qui s’adresse à l’ensemble des prestataires de services qui assistent les autorités administratives dans la sécurisation de leurs échanges électroniques. Il s’impose spécifiquement aux systèmes d’information mis en œuvre par les autorités administratives dans leurs relations entre elles et dans leurs relations avec les usagers.

Nos experts vous accompagnent dans le cadre de votre démarche d’homologation du SI via des audits qualifiés PASSI.  

PCI-DSS 
PCI-DSS (Payment Card Industry Data Security Standard) est une norme mondiale qui désigne l’ensemble des exigences de sécurité des données applicables à l’industrie des cartes de paiement. Elle est requise pour toute entreprise qui gère, traite ou stocke des données de paiement, indépendant de sa localisation ou sa taille. L’obtention de la certification PCI DSS est un exercice continu, non ponctuel qui requiert la conformité de votre environnement à 220 exigences de sécurité.

Nous vous accompagnons sur l’ensemble du cycle de certification, de l’audit initial à l’audit de certification (consultants certifiés QSA).

RGPD
Le règlement général sur la protection des données, est la principale loi régissant la protection et la confidentialité des données personnelles des individus en Europe depuis 2018. Il s’applique à toute organisation ayant des activités ou des clients dans l’union européenne.

Nos experts/consultants vont identifier les points de non-conformité de votre organisation vis-à-vis de la législation sur la protection des données personnelles, et vous accompagner via un plan d’action spécifique et contextualisé dans un processus de mise en conformité avec le RPGD.

DANS QUEL CADRE OPTER POUR UN RSSI EXTERNALISE ?

Dans un environnement où les organisations sont fortement exposées et vulnérables aux cyber-menaces, le RSSI (Responsable de la sécurité des Systèmes d’Information) est le chef d’orchestre de la sécurité du système d’information. Il définit la stratégie de maitrise des risques informatiques, le cadre de gouvernance de la cybersécurité du SI, et pilote la sécurité opérationnelle.

Sydream met à votre disposition son expertise en matière de cybersécurité avec un RSSI externalisé. Il assure le pilotage de la démarche de cybersécurité sur le périmètre global de votre organisation : gouvernance de la SSI, politique de sécurité du SI, intégration de la sécurité dans les projets IT, sensibilisation des ressources, … 

RSSI externalisé SysDream vous accompagne pour :

Bénéficier d’un accompagnement sur des missions ponctuelles ou à long terme pour améliorer la sécurité de votre SI

Profiter des expertises techniques et organisationnelles des experts cybersécurité de SysDream

Accélérer votre time-to-market en vous concentrant sur votre cœur de métier

Piloter la mise en conformité réglementaire de votre organisation

Faire monter en compétence vos équipes sécurité et sensibiliser vos collaborateurs aux enjeux de la cybersécurité 

Anticiper & gérer les risques en cybersécurité et maitriser les couts

 

Les principales missions du RSSI (liste non exhaustive) :

  • Assurer la gouvernance de la Cybersécurité et le pilotage de la démarche de cybersécurité sur le périmètre global de l’organisation.
  • Définir ou décliner, selon la taille de l’organisation, la politique de sécurité des systèmes d’information (prévention, protection, détection, résilience, remédiation), et veiller à son application.
  • Assurer un rôle de conseil, d’assistance, d’information, de sensibilisation et d’alerte, en particulier auprès du top management.
  • S’assurer de la mise en place des solutions et des processus opérationnels pour garantir la protection des données et le niveau de sécurité des systèmes d’information à l’état de l’art.
  • Être le relais opérationnel dans la mise en œuvre de la politique de sécurité des SI de l’organisation.

Contacter un expert SysDream

Contactez un expert SysDream