La directive NIS2
La directive Européenne NIS2 est entrée en vigueur le 17 janvier 2023. Les états membres de l’UE ont 21 mois pour transposer la directive dans leur législation. L’objectif de NIS2 est d’assurer un niveau commun élevé de cybersécurité dans l’ensemble des pays membres de l’Union européenne.
La directive NIS2 remplace la précédente directive NIS qui était en vigueur depuis le 19 juillet 2016.
Qui est concerné?
Les domaines d’activités concernés par NIS2 sont :
• Les secteurs de l’énergie
• Transport
• Les Infrastructures bancaires et autres infrastructures des marchés financiers
• La santé
• La gestion de l’eau
• Les infrastructures numériques
• La gestion des services de technologies de l’information et de la communication
• Les administrations publiques
• L’espace
• Les services postaux et de messagerie
• La gestion des déchets
• La fabrication, la production et distribution de produits chimiques et alimentaires
• Les fournisseurs numériques et la recherche.
Nos solutions
Parmi les solutions applicables recommandées pas la NIS2, la formation et l’accompagnement sur la cybersécurité est une nécessité, pour protéger votre entreprise. Pour mieux vous accompagner dans ses démarches, Data Privacy Professionals vous propose une solution d’accompagnement dans le domaine de la cybersécurité.
Le champ d’application de NIS2 est plus large que celui de NIS. La directive NIS concernait essentiellement les opérateurs d’importance vitale (OIV) référencés par l’ANSSI. Le périmètre NIS s’applique également aux PMEs (plus de 50 salariés et chiffre d’affaires annuel supérieur à 10 millions d’euros)
Nos offres cybersécurité
Sécurité organisationnelle
Sécurité technique
Analyse de risque
Analyse de risque selon la méthode EBIOS.
Test de sécurité de l’infrastructure
Peut être interne ou externe. Simule une attaque sur une infrastructure informatique.
Politique de sécurité du système d’information
Assistance dans la rédaction ou la mise à jour d’une PSSI.
Test de sécurité des applications web
Ce test analyse les vulnérabilités des applications web.
Plan de continuité
Assistance pour élaborer un PCA ou PRA.
Test de sécurité Wi-Fi
Simule une attaque sur un réseau sans fil.
Test de robustesse et complexité des mots de passe
Assistance pour élaborer un PCA ou PRA.
Nos offres | Sécurité organisationnelle
Analyse des risques
La méthodologie EBIOS RM (Risk Manager) maintenue par l’ANSSI permet de réaliser une analyse de risques et notamment dans le domaine de la cybersécurité. Un des objectifs de la méthodologie est de diminuer la probabilité, la vraisemblance ainsi que les impacts de cyber-attaques. EBIOS RM vise à obtenir une synthèse entre « conformité » et « scénarios » par le repositionnement de ces deux approches complémentaires là où elles apportent le plus de valeur ajoutée. EBIOS RM ne se limite pas à une vue statique (conformité) mais intègre une vue dynamique (scénarios d’attaques). L’approche suivie par EBIOS RM consiste à combiner le point de vue du cyberattaquant et de l’entreprise.
Data Privacy Professionals propose à ses clients de les accompagner dans l’analyse de risques et notamment dans le déploiement de la méthodologie EBIOS RM.
Politique de sécurité du système d’information
La politique de sécurité du système d’information (PSSI) est un document décrivant la politique de sécurité / cybersécurité mise en place au sein de l’entreprise. Ce document peut résulter d’une vue statique (conformité) ou d’une vue dynamique (prise en compte du point de vue de l’attaquant).
Data Privacy Professionals propose un accompagnement dans l’élaboration de la PSSI basée sur une vue dynamique, incluant une analyse des risques. Notre approche suit les mécanismes de la défense en profondeur : gouvernance et anticipation, protection, défense et résilience.
La PSSI peut inclure entre autres :
o Indicateurs de pilotage (KPI)
o Niveau de service (SLA)
o Gestion de l’authentification et du contrôle d’accès
o Schéma d’architecture
o Connaissance des vulnérabilités
o Détection et taxonomie des incidents
Plan de continuité et de reprise
PCA / PCI
Le PCA (Plan de continuité d’activité) comprend un ensemble de procédures, moyens, équipements et architectures requis afin de permettre la continuité de l’activité de la société quels que soient les sinistres qui pourraient survenir.
Le plan de continuité informatique (PCI) est une sous partie du plan de continuité d’activité (PCA), destinée à permettre la reprise du système d’information (SI) lorsque celui-ci est impacté par une situation de crise, sinistre ou défaillance majeure. Le PCI va inclure entre autres le plan de sauvegarde (Back-up) de l’entreprise.
Data Privacy Professionals vous accompagne dans l’élaboration du PCA / PCI.
PRA / PRI
Un plan de reprise d’activité (PRA) correspond à différentes procédures (techniques, organisationnelles, sécurité) qui permettent à une entreprise de prévoir par anticipation, la reconstruction et la remise en route d’un système d’information en cas de sinistre important ou d’incident critique.
Le plan de reprise informatique (PRI) est une sous partie du plan de reprise d’activité (PRA), destinée à permettre la reprise du système d’information (SI).
Data Privacy Professionals vous accompagne dans l’élaboration du PRA / PRI.
Contactez-nous pour plus de détails
NOUS CONTACTERNos offres | Sécurité technique
Vocabulaire
Connaissances initiales
Il existe trois approches en ce qui concerne les connaissances initiales :
Le test d’intrusion boite noire (black box) : Ce sont les conditions les plus proches d’une attaque externe perpétrée par un inconnu. Aucune information n’est fournie.
Le test d’intrusion boite grise (grey box) : Des informations limitées sont communiquées avant le début du test, telles que des informations sur le fonctionnement de la cible ou des comptes utilisateurs.
Le test d’intrusion boite blanche (white box) : Parfois appelée boite de cristal, ici un maximum d’informations est transmis avant le début du test. Ainsi le fonctionnement de la cible est rendu visible, d’où le terme boite blanche.
Position de l’attaquant
L’attaquant peut soit être interne ou externe. Le test d’intrusion externe est la prestation la plus courante, où le consultant opère via une connexion internet, afin de simuler des attaques d’utilisateur malveillant anonymes. Le test d’intrusion interne est la configuration inverse. une attaque est simulée depuis l’un des réseaux internes de la société, afin de mesurer les risques de compromission interne.
Test d’intrusion : Objectifs
Dans un contexte cyber-sécurité, contrairement à un audit, dont l’objectif est de valider la conformité à une politique ou norme, le test d’intrusion mesure le risque associé à un système d’information.
Conditions réalistes
Lors d’un test d’intrusion, les démarches et techniques d’un véritable individu malveillant sont reproduites, afin de détecter de potetielles vulnérabilités
Evaluation de risques
Grâce à notre approche, le test d’intrusion permet d’identifier des vulnérabilités susceptibles d’être exploitées, ainsi que les scénarios probables.
Rapport final
Ce rapport fournit les détails requis pour reproduire les situations à risque. Il contient également des recommendations pour la mise en place d’un plan d’action.
Déroulement d’un test d’intrusion
Mise en place
Découverte du périmètre
Prise d’informations
Recherche de vulnérabilités
Construction de scénarios d’attaque et compromission du SICompromission initiale, maintien d’accès et élévation de privilèges
Rédaction et livraison du rapport
Contactez-nous pour plus de détails
NOUS CONTACTER
Offre nationale et internationale
Data Privacy Professionals intervient dans toute la France et plus particulièrement en Île-de-France et dans la région Grand-Est :
• en Alsace (Bas-Rhin / Haut-Rhin) : Strasbourg, Mulhouse, Colmar.
• en Lorraine (Moselle, Meurthe et Moselle, Meuse, Vosges) : Nancy, Metz, Thionville, Épinal, Saint-Dié, Bar-le-Duc, Forbach, Sarreguemines.
• en Champagne-Ardenne : Reims, Troyes, Charleville-Mézières.
Nous intervenons également à l’étranger (langues française, anglaise et allemande)
