GRC, Conseil et AMOA

Astar propose des prestations de sécurité organisationnelle (Gouvernance-Risque-Conformité), de conseil (aide à la décision) et d’assistance technique, sur étagère ou sur mesure :

  • StartSec : pour démarrer quand on ne sait pas par où aborder le sujet de la cybersécurité (forfait 800 € HT)
  • Audit GRC : faire un état des lieux de vos forces et faiblesses et définir les mesures nécessaires pour atteindre un niveau de sécurité bien dimensioné (forfait 2 000 € HT)
  • Plan de sécurité : évaluer vos risques, mesurer si vos défenses sont bien dimensionnées, en déduire un plan d’action à court, moyen et long terme
  • Sécurité organisationnelle : mettre en place et contrôler les procédures qui permettent d'élever le niveau de sécurité avec le temps
  • Assistance technique : monter une infrastructure de SIEM interne, intégrer des outils de sécurité, établir des processus, …

StartSec

Si vous êtes une jeune entreprise ou si vous n’avez jamais intégré de processus ouvertement dédié à la sécurité dans votre structure, le résultat d’un audit de sécurité est prévisible.
La plupart des rapports d’audit d’entreprises, qui commencent à aborder la sécurité, sont à 90% semblables.

Pour vous éviter des dépenses superflues, il peut être plus utile de commencer par une prestation de conseil.
Lors de celle-ci, nous effectuons plusieurs entretiens pour discuter de ce que vous avez mis en place dans les différents sous-domaines de la sécurité.
La question est alors de juger si vous vous donnez actuellement les moyens d’obtenir un niveau de sécurité adéquat et dans le cas contraire de vous aiguillez sur le meilleur plan d’action.

L’idée est que vous avez un budget donné, vous avec des ressources humaines données, vous ne pouvez pas forcément TOUT faire. Mais ce n’est pas grave.
Ce qui importe c’est que vous investissiez ces ressources dans les démarches les plus “rentables” en termes de sécurité et, surtout, dans le bon ordre.
Se tromper de priorité est un écueil classique des jeunes entreprises. Notamment car plusieurs constructeurs en sécurité informatique ont tendance à exagérer le retour sur investissement de leurs outils, vous faisant miroiter une fausse invulnérabilité.
Il ne sert à rien, par exemple, d’acheter un pare-feu à 80 000€ si vous n’avez pas de système qui vérifie les mises à jour des machines.

Une fois que vous aurez mis en place les bonnes démarches, il sera temps de vérifier leur application correct au travers d’audits de sécurité. Mais il ne faut pas mettre la charrue avant les boeufs.

Contactez-nous link avec le nom d’objet CONS-STA pour plus d’information.

Audit GRC

L’audit GRC (Gouvernance Risque Conformité) n'évalue pas directement votre niveau de sécurité mais plutôt les moyens que vous vous êtes donnés, pour atteindre un niveau de sécurité bien dimensionné.

L’audit est mené via des interviews des décideurs de l’entreprise et complété par des vérifications in situ. Cet audit se déroule en 3 étapes :

  • Estimer votre niveau de risque “brut” (le risque inhérent, sans tenir compte des mesures de protection en place)
  • Évaluer vos mesures de protection en place
  • En déduire votre risque “net” : les domaines où vos protections sont sous-dimensionnées
Formation chart

L’objectif n’est pas d’implémenter toutes les mesures de sécurité de la Terre (802.1X, authentification par carte à puce, double bastion, etc.) mais d'être dimensionné face au risque inhérent.
Le rapport d’audit propose donc une liste de mesures pour combler vos faiblesses, en tenant compte de votre risque brut (les mesures ne seront pas aussi poussées si vous êtes une banque ou si vous êtes une boulangerie).

Ce type d’audit est une étape indispensable lorsque la taille de votre entreprise croit. En effet, il est quasiment impossible d’obtenir un niveau de sécurité qui progresse, au delà d’un certain nombre d’employés et de services, si vous n’avez pas de procédures qui encadrent ce thème.
Les entreprises qui n’ont pas assez investi en GRC se reconnaissent au fait que les audits de vulnérabilités remontent les mêmes causes d’une année sur l’autre. Corriger les vulnérabilités est une étape importante et non triviale. Mais empêcher que les mêmes vulnérabilités se reproduisent, en agissant sur les causes, est le vrai signe d’une maturité en sécurité de l’information.

Contactez-nous link avec le nom d’objet CONS-GRC pour plus d’information.

Plan de sécurité

Un plan de sécurité est une forme plus mature et systématique de ce que propose la prestation d’Audit GRC.
L’objectif est de vous fournir un plan d’action précis, pour les 4 prochaines années, des sujets que vous devez traiter en cybersécurité.

Cette prestation combine des interviews, des questionnaires, des vérifications techniques.
La démarche générale est la suivante :

  • Lister les actifs primordiaux de l’entreprise (au sens de l’ISO 27005)
  • Lister les actifs supports associés
  • Qualifier les sources de menace pertinentes (menaces naturelles/technologiques/humaines, intentionnelles et accidentelles, internes et externes, etc.)
  • Etablir les scénarios de menace (source de menace -> type d’atteinte -> actif support) et leur fréquence
  • Analyser les impacts en confidentialité, intégrité et disponibilité sur les actifs primordiaux
  • Faire la liaison entre les scénarios de menace retenus et les événements redoutés pour déterminer les risques
  • Déduire les mesures de sécurité nécessaires pour être dimensionné face à ces risques
  • Comparer avec les mesures de sécurité actuellement en place, identifier les points faibles
  • Proposer un plan d’action à court, moyen et long terme pour implémenter les mesures de sécurité manquantes

Cette prestation incorpore donc une analyse de risque. La méthode d’appréciation du risque utilisé par Astar repose sur les méthodes EBIOS link et FAIR link en y ajoutant le savoir-faire issu de notre expérience.

Ce type d’approche peut être vulgarisé par un exemple : Si l’on établit que le scénario “un hacker compromet mon site Web via un vulnérabilité publique non corrigée” a, chez vous, une fréquence de 1 fois tous les 6 ans. Et que l’impact d’une telle compromission est estimé à 30 000 € (agrégation de la dégradation d’image de marque, des jours/homme pour décontaminer et restaurer, du manque à gagner, etc.). Alors si une mesure de sécurité réduit cette fréquence à presque 0 et coute moins de 5 000 € par an => elle vaut le coup.

Cette prestation vous offre également plusieurs pistes d’implémentation de la cybersécurité selon la direction dans laquelle vous voulez faire évoluer votre entreprise.
Les recommandations ne seront pas les mêmes si vous êtes dans une démarche de tout externaliser en Cloud ou inversement de tout gérer de manière souveraine. Elles varieront selon plusieurs autres critères : le nomadisme des employés, les nombre de sites physiques, le type de données amenées à être traitées dans le futur, etc.

Contactez-nous link avec le nom d’objet CONS-PDS pour plus d’information.

Sécurité organisationnelle

La sécurité organisationnelle comprend de nombreuses sous-parties :

  • L’organisation des rôles et responsabilités en cybersécurité dans l’entreprise
  • L’analyse des risques (pour estimer les besoins de sécurité de l’entreprise)
  • L’inventaire des mesures de sécurité en place (pour savoir si elles sont dimensionnées face aux besoins de sécurité identifiés)
  • Les procédures d’exploitation du SI (mises à jour, recette, entrée d’un utilisateur, etc…)
  • Les procédures de réponse à incident
  • Les procédures et moyens de PCA (Plan de Continuité d’Activité) et de PRA (Plan de Reprise d’Activité)
  • Les moyens de contrôle (indicateurs, mesures) du niveau de sécurité actuel

Chacun de ces points est traité par une prestation à part entière, tant il serait volumineux de tout mener d’un seul coup.
Lorsque les points les plus importants ont été abordés, l’entreprise peut ébaucher une PSSI (Politique de Sécurité du Système d’Information).

Finalement, lorsque l’entreprise est entrée dans un processus d’enrichissement continu de cette PSSI, elle peut prétendre disposer d’un Système de Management de la Sécurité de l’Information (SMSI) sommaire et se lancer dans une procédure d’habilitation à l’ISO 270001 (qui est la principale norme de sécurité organisationnelle à laquelle vous voudrez vous conformer).

L’audit ou le conseil, en sécurité organisationnelle, interviennent à chaque étape de cette croissance vers la maturité : réaliser une analyse de risque, conseiller lors de l'élaboration de certains processus, effectuer des revues documentaires des politiques majeures, rédiger des procédures spécifiques, etc.

Contactez-nous link avec le nom d’objet CONS-ORG pour plus d’information.

Assistance technique

La mise en place ou l’amélioration de mesures de sécurité peut être une tâche délicate. Il arrive notamment qu’il soit nécessaire de mobiliser des compétences qu’on ne possède pas parmi son personnel et qui n’auraient pas vocation à être internalisées de manière pérenne.
Dans ces cas-là, il est pertinent de recourir à une assistance technique ponctuelle de quelques jours/semaines. Astar peut détacher des ingénieurs chez ses clients pour les accompagner dans la résolution des problèmes (revue des permissions, recherche des machines obsolètes, sécurisation d’une interface Web, …) ou la mise en place d’améliorations (déploiement d’un SIEM, d’un scanner de vulnérabilités, d’un outil de cartographie du SI, …).

Ce type de prestation est facturé à la demi-journée. Astar proposera un nombre de jours pertinent et le client ne paiera que les demi-journées effectivement consommées. Le client n’a pas besoin de s’engager sur un nombre de jours minimal et il peut décider à tout moment de la fin de l’assistance technique, sans préavis.

Contactez-nous link avec le nom d’objet CONS-AMO pour plus d’information.

Accompagnement à la carte

Prendre des décisions éclairées en sécurité informatique est difficile sans une veille assidue et l’habilité de séparer le bon grain de l’ivraie.

Vous pouvez solliciter notre aide sur des besoins très spécifiques tels que: