Entreprise de Cybersécurité à Strasbourg – (Re)mobilisez votre Direction et les métiers
Vos projets de sécurité n’avancent pas ?
Donnez du sens à votre démarche cyber et créez un SMSI compliant NIS2 en 90 jours – sans surcharger vos équipes.
15 min, résultat instantané
Résultats attendus
- Feuille de route cyber en 90 jours
- Présentation DG impactante
- SMSI compliant NIS2
- 1 exercice de gestion de crise
- 1 audit de validation de la profession
Les 6 indices d’une feuille de route cyber enlisée
01
PSSI non validée
PSSI trop technique, pas considérée par la DG.
02
SMSI qui n’avance pas
De maigres procédures en attente voire laissées à l’abandon
03
absence piliers sécurité
Limitation des droits utilisateurs, MFA systématique, …
04
RSSI peu considéré
Le RSSI est perçu comme un bloqueur qui empêche les autres d’avancer
05
Vulnérabilité
Un S.I. qui tient debout bien que vulnérable à une attaque ciblée
06
DG désinstéressée
Peu de moyens, peu de considération mais une exigence « pour que ça marche »
Une méthode en 4 étapes, ORIENTÉE résultats
Une démarche de cybersécurité est souvent vue – à tort – comme une entreprise technique.
Le RSSI doit démontrer que la SSI est un véritable levier de performance pour l’Organisation et ce qu’elle permet de clarifier les rôles de chacun, de préciser les processus métier et de poser les bonnes questions en matière de sécurité… et de performance !
1. Cadrage & diagnostic éclair
Evaluation des écarts NIS2 ou ISO27001, identification des documentations et analyse des moyens de sécurité mis en oeuvre.
2. Rédaction d’une PSSI impactante
Formulation d’une PSSI directement tournée vers les enjeux business et non-technique, qui traite des vrais risques de l’entreprise.
3. Elaboration d’un SMSI
Sur la base de modèles éprouvés, déployer un SMSI rapidement et montrer que ca bouge.
4. Cellule de gestion de crise
Mobiliser l’ensemble des Directions autour d’un cas concret et pertinent selon le secteur d’activité pour illustrer le risque et le besoin de se préparer.
Donnez du sens à votre démarche cyber
Résultats 30 – 60 – 90 jours
Donnez du sens à votre démarche sécurité en la transformation en levier de performance du business
Nous vous accompagnons pour adopter les principes suivants :
J+30
Diagnostic posé, Politique de Sécurité des Systèmes d’Information rédigée et validée.
J+60
SMSI déployé et conforme NIS2.
J+90
Cellule de crise mobilisant DG et Directions métier pour les sensibiliser à la gestion des risques.
Trois fiches utiles pour bien avancer
L’ANALYSE DE VULNÉRABILITÉS
Comment prioriser le traitement de ses vulnérabilités ?
Témoignages
Ils nous font confiance
J’ai eu la chance de collaborer avec Bruno et je tiens à témoigner de son professionnalisme exceptionnel. Il fait preuve d’une expertise en cybersécurité, capable de traiter des sujets avec une vision globale qui intègre à la fois les dimensions techniques, organisationnelles, réglementaires et tactiques. Cette capacité à gérer les problématiques dans toute leur complexité fait de lui un atout précieux.
Au-delà de ses compétences techniques, Bruno est une personne loyale, dévouée et à l’écoute. Il possède une franchise rare, sachant toujours dire les choses avec tact et justesse, ce qui favorise des échanges constructifs et transparents.
Je recommande Bruno HERDLY. Travailler avec lui est une expérience enrichissante, tant sur le plan humain que professionnel.
Sami DIDOUNE – RSSI chez Moustache Bikes
Des praticiens au service de votre RSSI à Strasbourg
Nos consultants disposent d’une large expérience terrain de +15 ans en consulting et DSI
Bruno HERDLY
+15 ans d’expérience consulting
Certifié ISO27001 Lead Implementer et eBIOS RM
Barthélémy BOGAERT
+10 ans d’expérience DSI
+15 ans d’expérience audit
Pierre GILLY
+15 ans d’expérience manager technique
Questions fréquentes
Pourquoi commencer par une Analyse de risques ?
Chez Syncerus, nous pensons que l’analyse de risques est le point de commencement de la sécurité. Contrairement aux idées reçues, l’analyse de risques est essentiellement non-technique. En France, les référentiels standards sont eBIOS RM (de l’ANSSI) et ISO27005.
Une analyse de risque vise à déterminer quels sont les processus et ressources critiques de l’entreprise et de déterminer en quoi ceux-ci sont vulnérables face à une panne, une erreur humaine ou un acte de malveillance.
Une fois les processus et ressources critiques identifiées ainsi que leurs vulnérabilité, il est aisé de définir les priorités de traitement dans le cadre d’un plan de traitement des risques.
Gouvernance, gestion des Risques et Conformité (GRC), qu’est-ce que c’est ?
Une fois l’analyse des risques définie, il est important de mettre en place un dispositif de pilotage de plan de traitement des risques formel.
La GRC va ainsi permettre de s’assurer du suivi minutieux de l’ensemble des actions à mettre en place. Si théoriquement un outil Excel pourrait faire l’affaire, il est recommandé de s’appuyer sur un outil pré-programmé pour accompagner le référentiel que vous souhaitez implémenter : ISO27001, NIS2, DORA, …
En outre, la GRC permettra de soutenir un SMSI (Système de Management de la Sécurité de l’Information) qui représente l’ensemble du dispositif « qualité » permettant d’assurer l’auditabilité des travaux réalisés en matière de SSI.
Quel rapport entre Risques et Conformité ?
Certains pourraient penser que l’analyse et la gestion des risques n’ont rien à voir avec la conformité. Avec l’expérience de l’implémentation d’un référentiel (ISO27001, NIS2) ou d’une méthode d’analyse de risques (eBIOS RM, ISO27005,…) il apparait évident que toutes les bonnes pratiques de sécurité qui auront été omises reviendront comme les actions de sécurité à implémenter prioritairement.
En effet, chaque référentiel de sécurité intègre un référentiel de bonnes pratiques de sécurité (par exemple ISO27002) qu’il convient d’appliquer strictement*.
Dans le cas d’une non-conformité, les meilleurs experts désignés pour rédiger le cadre normatif ont considéré qu’il y aurait un risque indépendamment des spécificités de votre entreprise*.
Par exemple, la sauvegarde ou la réalisation d’un audit régulier sont obligatoires quelque soit l’entreprise.
*Sauf exceptions dans des cas très particuliers.
Pourquoi ma PSSI n’intéresse pas ma Direction Générale ?
Une Politique de Sécurité des Systèmes d’Information décrit formellement « pourquoi » des efforts de sécurité sont mis en oeuvre dans l’Organisation. Cela constitue une « lettre d’engagement » de la Direction à mettre en oeuvre les ressources nécessaires pour parvenir à atteindre et maintenir un niveau de sécurité satisfaisant ; cet engagement étant par ailleurs un critère de conformité aux référentiels les plus répandus.
Contrairement aux idées reçues, il n’est absolument pas pertinent de se baser sur un modèle pour rédiger sa PSSI. La meilleure Politique sera celle qui ressemblera plus plus à l’entreprise elle-même et dévoilera – tant pour les parties prenantes internes qu’externes – les motivations intimes à s’engager dans une démarche de sécurisation.
La Directive NIS 2 (Network and Information Security), qu’est-ce que c’est ?
NIS2 est une deuxième version de la directive européenne s’appuie sur deux axes :
– Que l’ensemble des Organisations significatives pour le fonctionnement de la nation atteigne un niveau de sécurité acceptable et cela dans le but de se protéger contre une attaque simultanée qui viserait à détruire notre économie.
– Mettre en oeuvre une déclinaison simplifiée et atteignable des grands référentiels de sécurité faisant référence ISO27001, NIST2, …
En sommes, il s’agira de procéder à une analyse de risques consistante, d’implémenter quelques règles élémentaires de sécurité techniques et de mettre en place un Système de Manager de la Sécurité de l’Information assez simplifié.
Quelle différence entre une entreprise de services numériques et cabinet de conseil spécialisé ?
Les deux types d’entreprises de cybersécurité sont complémentaires. Tandis que les ENS vont implémenter des solutions techniques, les cabinets de conseil vont formuler un plan de sécurisation cyber et indiquer les outils utiles ou nécessaires.
Il ne serait pas pertinent de confier l’intégration technique à un consultant ayant suivi une formation en cybersécurité organisationnelle. Dans la même manière, il n’est pas pertinent de se faire conseiller par une ESN sur les outils à acquérir : sont-ils les plus adaptés à votre besoin ou sont-ils plus rentables pour l’ESN ?
Obtenir ma feuille de route CYBER 90 jours
Diagnostic CYBERSÉCURITÉ EN LIGNE
Des questions score et pertinentes. Résultat rapide.