Evaluer
Corriger
Améliorer
Contact

Améliorer la performance cyber* de mon organisation

#Risquecyber, référent en sécurité numérique

Nous contacter

* Capacité d'une organisation à protéger son système d'information et ses données contre les cybermenaces

La sécurité au cœur de mon Système d'Information, en 3 étapes !

« Diagnostiquer la performance cybernétique »

+ d'infos

« Accompagner la mise en œuvre des mesures correctives »

+ d'infos

« Contrôler, pour une amélioration continue du dispositif »

+ d'infos
Le diagnostique

1. Diagnostiquer la performance cyber

Comme n'importe quel risque, le risque cyber doit être correctement évalué pour être efficacement déjoué !

• Inventorier précisément les actifs de l'entreprise qui intéressent forcément les cyber-pirates
• Evaluer le niveau de protection du Système d'Information qui détient ces actifs (42 points de contrôle)
• Vous communiquer (confidentiellement) votre classement concernant la protection de ces actifs


Exemple : sur les 46 points de contrôle effectués par #Risquecyber sur le Système d'Information de son entreprise, il ressort notamment que Michel P. a très correctement sécurisé son réseau :

> 80% Excellent
71% 60-80% Bon
40-60% Médiocre à moyen
20-40% Mauvais
< 20% Très mauvais


Le résultat du contrôle montre aussi qu'il a négligé la protection du matériel portable de ses collaborateurs :

> 80% Excellent
60-80% Bon
40-60% Médiocre à moyen
25% 20-40% Mauvais
< 20% Très mauvais

La protection du matériel nomade fera donc l'objet de recommandations concrètes de #Risquecyber, qui proposera un programme de remédiation réaliste à Michel P. et toutes les clés pour réussir sa mise en œuvre.
Nous contacter
L'accompagnement

2. Accompagner la mise en œuvre des mesures correctives

Le décideur a besoin d'un tiers de confiance pour piloter la mise en chantier des premières mesures correctives !

Les thématiques relatives à la cybersécurité et les prestataires sont nombreuses :
• Protection des données : sauvegarde et restauration, chiffrement, contrôles des accès
• Protection des terminaux fixes et nomades : antivirus, antimalwares, contrôle des applications
• Protection des réseaux : filtrage web et email, détection et prévention des intrusions
• Gestion des vulnérabilités : scanner de vulnérabilité, gestion des correctifs et réponses aux incidents


Exemple : à l'issue du diagnostic effectué par #Risquecyber Michel P. nous a confié une mission d'accompagnement pour la mise en œuvre des mesures correctives. Celle-ci fut menée en collaboration avec le prestataire habituel, dont le rôle se limitait jusqu'alors à la fourniture de matériel informatique et qui s'est vu confié une mission plus étendue d'infogérance.

L'accompagnement a porté sur les 4 premières mesures suivantes :
• Amélioration du niveau de sécurité minimal sur le parc informatique
• Doter le Système d'Information (S.l) d'une solution de gestion centralisée des identités et des accès
• Chiffrage complet et robuste du disque de l'intégralité de la flotte de matériels nomades
• Doter le S.l d'une méthode automatisée d'inventaire de ses composants ainsi que d'une méthode de sourcing et de déploiement de leurs mises à jour et de leurs correctifs

Ces 4 premières mesures ont été décidées par Michel P. à la lecture de l'étude du risque et sur les conseils de #Risquecyber. 7 autres mesures se sont avérées utiles à la sécurisation du S.I, tout en présentant un moindre degré d'urgence. Elles seront mises en place ultérieurement.
Nous contacter
Le contrôle

3. Contrôler, pour une amélioration continue du dispositif

Une fois atteints, les résultats ont besoin d'être régulièrement remis en cause pour rester au sommet !

Les vulnérabilités d'un Système d'Information apparaissent au fil de l'évolution de l'entreprise et des contraintes :

   • Nouveaux recrutements : d'une entreprise familiale à une équipe de +20 salariés
   • Nouvelles stratégies : d'un point de vente à de la présence sur des salons
   • Nouveaux réseaux : de la boutique à la vente en ligne
   • Nouveaux clients : de la poignée de main aux obligations liées aux marchés publics

Exemple : dans l'année qui a suivi le diagnostic initial effectué par #Risquecyber, l'entreprise de Michel P. a connu un développement sans précédent : de nouveaux marchés publics ont été remportés et un nouveau site internet a développé ses commandes privées. En réponse, l'entreprise a doublé ses effectifs et sa présence sur les chantiers extérieurs.

Des points de vulnérabilités qui apparaissaient secondaires jusqu'à présent se sont révélés cruciaux lors d'une visite de suivi :

  • Sécuriser les échanges de documents de travails sensibles confiés par les donneurs d'ordre publics
  • Sécuriser les accès aux documents et informations liées aux chantiers de ces mêmes donneurs d'ordre publics
  • Sécuriser les données personnelles collectées sur le site internet BtoC, et en assurer la gestion dans le temps

A l'issue de cette seconde mission de contrôle annuelle, Michel P. a décidé la mise en œuvre immédiate de certaines recommandations (jusqu'alors jugées non prioritaires) issues de la mission initiale effectuée par #Risquecyber. Ce travail d'amélioration continue du dispositif a ainsi permis de rehausser le niveau d'exigence global de l'entreprise.
Nous contacter

Ce que notre intervention vous apportera ?

10X
C'est le nombre de fois (en moins) où vous vous poserez la question sur la solidité de votre cyber-protection (vous continuerez à vous poser la question uniquement parce qu'aucune solution n'est infaillible et qu'on vous l'aura dit au moins 10 fois !).


100%
C'est le pourcentage de satisfaction visé, mais l'excellence est un horizon insaisissable. Aucun client n'est satisfait à 100%, mais nous œuvrons sans relâche pour vous en approcher, car votre contentement est notre moteur.


50
C'est le nombre de vos clients, fournisseurs, collaborateurs qui vous diront tous les jours merci d'avoir réalisé un diagnostic de la performance cybernétique de votre Système d'Information. Mais ils ne sauront même pas à côté de quels dangers ils n'ont fait que passer, grâce à votre vigilance !

Des questions ?

Pourquoi sensibiliser ses employés au risque cyber ?

Chaque utilisateur est un maillon à part entière de la chaîne des S.l. Il peut, par ignorance, la rendre vulnérable.

L'infogérance est-il un risque ?

Comme toute ouverture sur l'extérieur du S.l, la prestation d'infogérance constitue un risque. Il ne peut être réduit qu'en ayant affaire à un professionnel reconnu et certifié.

Pourquoi cartographier son S.l ?

Comment protéger des données sensibles si on ne sait pas où les trouver ? Cartographier = identifier + localiser les données sensibles sur un S.l (pour les protéger).

Qu'est-ce qu'une identification forte ?

Une identification forte comporte un facteur supplémentaire au mot de passe: quelque chose que je sais, que je possede ou que je suis...

Pourquoi une clé USB inconnue est-elle un risque ?

Une clé USB non maîtrisée (inconnue) peut contenir des virus, voler des informations sensibles ou compromettre le réseau.

A quoi sert un IAM ?

Un outil de gestion des identités et des accès sécurise le S.l en authentifiant les utilisateurs et en gérant les ordinateurs et les périphériques connectés au réseau.

Quel est l'intérêt d'une journalisation des comptes ?

La journalisation des comptes utilisateurs et Administrateur facilite la recherche de l'origine d'un incident en identifiant la source.

Comment vérifier la robustesse d'un mot de passe ?

Il existe des outils qui permettent de vérifier si un mot de passe a été précédemment exposé lors d'une ou plusieurs violations de données (ex : haveibeenpwned.com).

Quel est l'intérêt d'un coffre-fort numérique ?

Le recours à un coffre-fort numérique permet de n'avoir à retenir qu'un seul mot de passe. Celui-ci doit bien entendu être unique et suffisamment complexe.

Pourquoi appliquer une procédure d'entrée/sortie ?

Il est indispensable de savoir qui accède au S.I et quels sont ses droits d'accès pour pouvoir les supprimer au moment du départ.

Comment gérer l'accès au Wifi ?

Réserver un accès dédié au Wifi aux équipements maitrisés (professionnels) et un autre aux équipements personnels et à ceux des visiteurs.

Pourquoi créer un « Compte administrateur » ?

Un compte Administrateur dédié limite la vulnérabilité du S.l qui résulterait d'une compromission d'un compte Utilisateur également utilisé comme compte Admin.