ISO 27001
Chez Assecio, nos experts implémentent et auditent des Systèmes de Management de la Sécurité de l’Information depuis 15 ans, allant de l’analyse d’écarts, l’implémentation ou la réalisation de tests d’intrusion ISO 27001, au suivi de l’audit de conformité.
Parce que nous comprenons les enjeux d’implémenter un SMSI, de structurer ses processus et pouvoir présenter un avantage concurrentiel et commercial fort, nos accompagnements ont pour objectif de faciliter l’atteinte des vôtres.
Tests d’intrusion applicatifs, infra, mobiles
exigences A.5.35, A.8.29, A.8.34
La norme ISO 27001, dans la mise en œuvre et le maintien de son SMSI, requiert de réaliser des tests de sécurité. Nous vous proposons la réalisation de ces tests sous forme de tests d’intrusion conformément à votre méthodologie si celle-ci est déjà définie, mais pouvons également vous accompagner dans la création de ce processus incluant la périodicité, les méthodes et étapes préalables à la réalisation de ce type de tests.
Nos tests d’intrusion, à finalité non destructive et alignés avec les bonnes pratiques du métiers comme l’OWASP ou encore le MITRE ATT&CK Framework, peuvent être réalisés :
- Sur des environnements Cloud (AWS, GCP, Azure, etc.) indépendamment de la couche d’abstraction utilisée ;
- Sur des environnements on-premise hébergés par vous-même ou un prestataire TIC.
Chez Assecio, nous nous occupons :
- De vous challenger sur le périmètre à tester en fonction de la criticité de vos actifs et de votre environnement ;
- D’identifier les parties prenantes à contacter, faisant partie des tests d’intrusion ;
- De réaliser le protocole (ou mandat) d’audit ;
- De vous accompagner dans la collecte des informations nécessaires à la bonne réalisation du test (accès à distance ou sur site, comptes, outils) ;
- De vous conseiller sur la périodicité ou la mise à jour de votre programme de résilience.
Toute offre de test d’intrusion inclut par défaut un contre-audit, réalisable en général 3 mois après le test initial, pour confirmer la correction des vulnérabilités.
Exigence A.5.35 : Révision indépendante de la sécurité de l’information
L’approche de l’organisation pour gérer la sécurité de l’information et sa mise en œuvre, y compris les personnes, les processus et les technologies, doit être révisée de manière indépendante à intervalles planifiés, ou lorsque des changements significatifs se produisent.
Exigence A.8.29 : Tests de sécurité dans le développement et l’acceptation
Les exigences de sécurité de l’information appropriées doivent être mises en place et convenues avec chaque fournisseur, selon le type de relation avec le fournisseur.
Exigence A.8.34 : Protection des systèmes d’information pendant les tests d’audit d’approvisionnement des technologies de l’information et de la communication (TIC)
Des processus et procédures pour gérer les risques de sécurité de l’information associés à la chaîne d’approvisionnement des produits et services TIC doivent être définis et mis en œuvre.
Audit des fournisseurs & partenaires
exigences A.5.19, A.5.20, A.5.21, A.5.22
Nous vous proposons la réalisation d’audits périodiques de vos tiers (fournisseurs, partenaires, prestataires) conformément à vos procédures internes existantes, ou pouvons également vous accompagner dans la conception de votre programme d’audit et de gestion des fournisseurs.
Ces audits, réalisés en fonction des exigences contractuelles et de l’importance de la prestation, peuvent prendre plusieurs formes :
- un audit organisationnel, physique et technique basé sur la récupération de preuves, des entretiens et des tests techniques ;
- un audit technique, type test d’intrusion, visant à vérifier le niveau de sécurité de la solution fournie ;
- un audit documentaire, à distance, basé sur les certifications et éléments contractualisés avec le fournisseur ;
- un ensemble d’audits de différentes formes dans le cadre d’un programme complexe de gestion des fournisseurs, nécessitant la mise en œuvre d’une équipe d’audit coordonnée.
Chez Assecio, nous nous occupons :
- de challenger vos procédures existantes et d’identifier les types d’audits nécessaires en fonction du besoin ;
- d’impliquer les parties prenantes clés (équipes techniques, COMEX, juridique, communication, prestataires) ;
- de préparer l’audit et de le réaliser conformément aux bonnes pratiques, délais de prévenance et exigences contractualisées ;
- de délivrer un rapport objectif et adapté à la taille et au service fourni par le(s) fournisseur(s) concerné(s).
Exigence A.5.19 : Sécurité de l’information dans les relations avec les fournisseurs
Des processus et procédures pour gérer les risques de sécurité de l’information qui sont associés à l’utilisation des produits ou services du fournisseur doivent être définis et mis en œuvre.
Exigence A.5.20 : La sécurité de l’information dans les accords conclus avec les fournisseurs
Les exigences de sécurité de l’information appropriées doivent être mises en place et convenues avec chaque fournisseur, selon le type de relation avec le fournisseur.
Exigence A.5.21 : Gestion de la sécurité de l’information dans la chaîne d’approvisionnement des technologies de l’information et de la communication (TIC)
Des processus et procédures pour gérer les risques de sécurité de l’information associés à la chaîne d’approvisionnement des produits et services TIC doivent être définis et mis en œuvre.
Exigence A.5.22 : Surveillance, révision et gestion des changements des services fournisseurs
L’organisation doit procéder régulièrement à la surveillance, à la révision, à l’évaluation et à la gestion des changements des pratiques de sécurité de l’information du fournisseur et de prestation de services.
Test du plan de gestion de crise
exigences A.5.26, A.5.30
Dans le cadre de la formalisation du plan de réponse à incident ainsi que du plan de continuité d’activité, il est pertinent de tester ces processus à l’échelle opérationnelle et managériale.
Nous vous proposons la réalisation de ces tests conformément à vos procédures internes existantes, ou pouvons également vous accompagner dans la conception d’un processus de test complet, incluant la définition des scénarios, la planification, la coordination des acteurs et l’analyse des résultats.
Nos exercices, conçus pour être réalistes, progressifs et non perturbateurs pour l’activité, peuvent être réalisés :
- sur des processus internes de réponse aux incidents (cyberattaque, panne critique, perte de données, etc.) ;
- sur des plans de gestion de crise mobilisant des équipes techniques, métiers, juridiques et communication ;
- sur des situations de crise complexes, impliquant des prestataires tiers ou des dépendances critiques.
Chez Assecio, nous nous occupons :
- de challenger vos procédures existantes et d’identifier les scénarios pertinents à tester ;
- d’impliquer les parties prenantes clés (équipes techniques, COMEX, juridique, communication, prestataires) ;
- de rédiger le mandat de test et le scénario de crise ;
- de piloter la réalisation de l’exercice, en mesurant les temps de réaction, la coordination, la qualité de la communication et la prise de décision ;
- de réaliser un débriefing détaillé avec cartographie des points forts, axes d’amélioration et recommandations concrètes.
Chaque exercice inclut la remise d’un rapport d’évaluation complet, documentant les résultats, les écarts observés, ainsi que les actions correctives prioritaires à mettre en œuvre pour renforcer votre posture de résilience opérationnelle.
Exigence A.5.26 : Réponse aux incidents de sécurité de l’information
La réponse aux incidents de sécurité de l’information doit être conforme aux procédures documentées.
Exigence A.5.30 : Préparation des TIC pour la continuité d’activité
La préparation des TIC doit être planifiée, mise en oeuvre, maintenue et testée en se basant sur les objectifs de continuité d’activité
et des exigences de continuité des TIC.
Sensibilisation des équipes
exigences 7.3, A.6.3
La sensibilisation à la sécurité de l’information, ce vaste sujet qui représente plus qu’une case à cocher, mais une véritable stratégie pour avoir un impact réel au sein de votre organisme.
Nous vous accompagnons dans la réalisation de cette sensibilisation périodique en échangeant sur vos besoins, vos technologies, vos modes de travail ainsi que votre secteur d’activité, afin de vous proposer des méthodes de sensibilisation pertinentes et efficaces en fonction de la population ciblée.
Que cela soit des tests de phishing périodiques, le choix d’une solution SaaS pour sensibiliser régulièrement vos collaborateurs, des sessions dédiées au CODIR ou encore des sessions magistrales à destination d’une population donnée, rien ne doit être laissé au hasard.
Nous sélectionnons les thématiques, créons les supports et réalisons les actions de sensibilisation. À l’issue de cette sensibilisation, travaillée avec les équipes internes, vous seront remis le support de sensibilisation ainsi que la preuve de réalisation.
Exigence 7.3 : Sensibilisation
Les personnes effectuant un travail sous le contrôle de l’organisation doivent […] être sensibilisées à la politique de sécurité de l’information.
Exigence A.6.3 : Sensibilisation, enseignement et formation en sécurité de l’information
Le personnel de l’organisation et les parties intéressées pertinentes doivent recevoir une sensibilisation, un enseignement et des formations en sécurité de l’information appropriés, ainsi que des mises à jour régulières de la politique de sécurité de l’information, des politiques spécifiques à une thématique et des procédures de l’organisation pertinentes à leur fonction.
Conseil stratégique d’implémentation
périmètre, audit, implémentation
Au-delà de l’implémentation d’exigences spécifiques attendues par la norme ISO 27001, Assecio est présent pour vous accompagner sur la totalité de votre mise en conformité et certification. Certains de ces accompagnements incluent notamment :
- la stratégie de définition et d’optimisation du périmètre ;
- la réalisation d’analyses d’écarts ou d’audits internes ;
- du conseil sur l’implémentation d’exigences propres à la norme comme la déclaration d’applicabilité, la mise en œuvre d’un processus de gestion des incidents ou encore la définition d’objectifs et indicateurs de sécurité ;
- l’aide à la sélection de l’organisme de certification et l’accompagnement durant l’audit.
Tout accompagnement est sur mesure afin de répondre au mieux à vos besoins, et s’adapter à votre planning et à vos moyens.
Nos services
Découvrez notre gamme de services pour vous accompagner dans votre stratégie cybersécurité, qu’elle soit drivée par vos besoins métiers ou vos mises en conformité.
J'ai un besoin stratégique
Vous souhaitez être accompagné dans votre roadmap cybersécurité, vous avez un projet ou une solution à auditer, ou encore un besoin métier clef au sein de votre organisation.
ISO 27001
Vous êtes certifiés ISO 27001 ou en cours de mise en conformité – Vous souhaitez réaliser des tests d’intrusion, des audits internes ou encore avoir du support sur votre SMSI.
PCI DSS
Vous gérez des données de cartes bancaires, êtes un commerçant ou un prestataire de service de paiement, et souhaitez challenger le niveau de sécurité de votre périmètre CDE.
DORA
Vous êtes un organisme bancaire ou un prestataire TIC, et avez un programme de tests de résilience opérationnelle à dérouler, des tests d’intrusion au test du PCA.
ISO 42001
Vous vous intéressez à l’intelligence artificielle, vous avez une démarche d’implémentation de SMIA ou souhaitez tester les agents, les fournisseurs et les solutions IA implémentées.
RGPD
Que vous soyez DPO ou simplement concerné par le RGPD, vous avez un besoin relatif à la gestion des risques, une analyse d’impact ou encore de tester une solution gérant des DCP.
NIS 2
Vous êtes concernés par la directive NIS 2 ou pensez l’être, et souhaitez évaluer les dispositifs mis en œuvre pour démarrer ou vérifier votre conformité en tant que EE/EI.
Qui sommes-nous ?
Parce que cet ensemble peut être une mise en conformité initiale ou son maintien, la découverte d’un nouveau périmètre, un enjeu interne fort ou encore la nécessité de tester la robustesse d’une solution avant mise en production : l’adaptabilité de nos méthodes à vos enjeux nous permettront, ensemble, de voir le plus loin possible.
Pourquoi nous choisir ?
Notre engagement : une pluricompétence et des valeurs claires pour vous accompagner avec excellence dans vos projets les plus complexes.
Technicité
Des certifications et de nombreuses années d’expérience passées à auditer, conseiller et se faire auditer.
Indépendance
Des constats et recommandations transparentes, objectives et alignées avec nos expertises.
Objectivité
Une approche factuelle basée sur des méthodologies éprouvées et reconnues.
Sur mesure
Une approche et un conseil adapté à votre contexte et vos enjeux spécifiques.
Technicité
Des certifications et de nombreuses années d’expérience passées à auditer, conseiller et se faire auditer.
Indépendance
Des constats et recommandations transparentes, objectives et alignées avec nos expertises.
Objectivité
Une approche factuelle basée sur des méthodologies éprouvées et reconnues.
Sur mesure
Une approche et un conseil adapté à votre contexte et vos enjeux spécifiques.
Vous avez un projet ?
Pour tout renseignement ou besoin, n’hésitez pas à nous contacter et nous reviendrons vers vous sous 24h.