Offres cybersécurité | Organisationnel et technique

La directive NIS2

La directive Européenne NIS2 est entrée en vigueur le 17 janvier 2023. Les états membres de l’UE ont 21 mois pour transposer la directive dans leur législation. L’objectif de NIS2 est d’assurer un niveau commun élevé de cybersécurité dans l’ensemble des pays membres de l’Union européenne.
La directive NIS2 remplace la précédente directive NIS qui était en vigueur depuis le 19 juillet 2016.

Qui est concerné?

Les domaines d’activités concernés  par NIS2 sont :
• Les secteurs de l’énergie
• Transport
• Les Infrastructures bancaires et autres infrastructures des marchés financiers
• La santé
• La gestion de l’eau
• Les infrastructures numériques
• La gestion des services de technologies de l’information et de la communication
• Les administrations publiques
• L’espace
• Les services postaux et de messagerie
• La gestion des déchets
• La fabrication, la production et distribution de produits chimiques et alimentaires
• Les fournisseurs numériques et la recherche.

Nos solutions

Parmi les solutions applicables recommandées pas la NIS2, la formation et l’accompagnement sur la cybersécurité est une nécessité, pour protéger votre entreprise. Pour mieux vous accompagner dans ses démarches, Data Privacy Professionals vous propose une solution d’accompagnement dans le domaine de la cybersécurité.

Logo de l'ANSSI

Le champ d’application de NIS2 est plus large que celui de NIS. La directive NIS concernait essentiellement les opérateurs d’importance vitale (OIV) référencés par l’ANSSI. Le périmètre NIS s’applique également aux PMEs (plus de 50 salariés et chiffre d’affaires annuel supérieur à 10 millions d’euros)

Nos offres cybersécurité

Sécurité organisationnelle

Sécurité technique

Analyse de risque

Analyse de risque selon la méthode EBIOS.

Test de sécurité de l’infrastructure

Peut être interne ou externe. Simule une attaque sur une infrastructure informatique.

Politique de sécurité du système d’information

Assistance dans la rédaction ou la mise à jour d’une PSSI.

Test de sécurité des applications web

Ce test analyse les vulnérabilités des applications web.

Plan de continuité

Assistance pour élaborer un PCA ou PRA.

Test de sécurité Wi-Fi

Simule une attaque sur un réseau sans fil.

Test de robustesse et complexité des mots de passe

Assistance pour élaborer un PCA ou PRA.

Nos offres | Sécurité organisationnelle

Analyse des risques

La méthodologie EBIOS RM (Risk Manager) maintenue par l’ANSSI permet de réaliser une analyse de risques et notamment dans le domaine de la cybersécurité. Un des objectifs de la méthodologie est de diminuer la probabilité, la vraisemblance ainsi que les impacts de cyber-attaques. EBIOS RM vise à obtenir une synthèse entre « conformité » et « scénarios » par le repositionnement de ces deux approches complémentaires là où elles apportent le plus de valeur ajoutée. EBIOS RM ne se limite pas à une vue statique (conformité) mais intègre une vue dynamique (scénarios d’attaques). L’approche suivie par EBIOS RM consiste à combiner le point de vue du cyberattaquant et de l’entreprise.

Data Privacy Professionals propose à ses clients de les accompagner dans l’analyse de risques et notamment dans le déploiement de la méthodologie EBIOS RM.

Politique de sécurité du système d’information

La politique de sécurité du système d’information (PSSI) est un document décrivant la politique de sécurité / cybersécurité mise en place au sein de l’entreprise. Ce document peut résulter d’une vue statique (conformité) ou d’une vue dynamique (prise en compte du point de vue de l’attaquant).

Data Privacy Professionals propose un accompagnement dans l’élaboration de la PSSI basée sur une vue dynamique, incluant une analyse des risques. Notre approche suit les mécanismes de la défense en profondeur : gouvernance et anticipation, protection, défense et résilience.
La PSSI peut inclure entre autres :
o Indicateurs de pilotage (KPI)
o Niveau de service (SLA)
o Gestion de l’authentification et du contrôle d’accès
o Schéma d’architecture
o Connaissance des vulnérabilités
o Détection et taxonomie des incidents

Plan de continuité et de reprise

PCA / PCI

Le PCA (Plan de continuité d’activité) comprend un ensemble de procédures, moyens, équipements et architectures requis afin de permettre la continuité de l’activité de la société quels que soient les sinistres qui pourraient survenir.
Le plan de continuité informatique (PCI) est une sous partie du plan de continuité d’activité (PCA), destinée à permettre la reprise du système d’information (SI) lorsque celui-ci est impacté par une situation de crise, sinistre ou défaillance majeure. Le PCI va inclure entre autres le plan de sauvegarde (Back-up) de l’entreprise.

Data Privacy Professionals vous accompagne dans l’élaboration du PCA / PCI.

PRA / PRI

Un plan de reprise d’activité (PRA) correspond à différentes procédures (techniques, organisationnelles, sécurité) qui permettent à une entreprise de prévoir par anticipation, la reconstruction et la remise en route d’un système d’information en cas de sinistre important ou d’incident critique.
Le plan de reprise informatique (PRI) est une sous partie du plan de reprise d’activité (PRA), destinée à permettre la reprise du système d’information (SI).

Data Privacy Professionals vous accompagne dans l’élaboration du PRA / PRI.

Contactez-nous pour plus de détails

NOUS CONTACTER

Nos offres | Sécurité technique

Vocabulaire

Connaissances initiales

Il existe trois approches en ce qui concerne les connaissances initiales :

Le test d’intrusion boite noire (black box) : Ce sont les conditions les plus proches d’une attaque externe perpétrée par un inconnu. Aucune information n’est fournie.
Le test d’intrusion boite grise (grey box) : Des informations limitées sont communiquées avant le début du test, telles que des informations sur le fonctionnement de la cible ou des comptes utilisateurs.
Le test d’intrusion boite blanche (white box) : Parfois appelée boite de cristal, ici un maximum d’informations est transmis avant le début du test. Ainsi le fonctionnement de la cible est rendu visible, d’où le terme boite blanche.

Position de l’attaquant

L’attaquant peut soit être interne ou externe. Le test d’intrusion externe est la prestation la plus courante, où le consultant opère via une connexion internet, afin de simuler des attaques d’utilisateur malveillant anonymes. Le test d’intrusion interne est la configuration inverse. une attaque est simulée depuis l’un des réseaux internes de la société, afin de mesurer les risques de compromission interne.

Test d’intrusion : Objectifs

Dans un contexte cyber-sécurité, contrairement à un audit, dont l’objectif est de valider la conformité à une politique ou norme, le test d’intrusion mesure le risque associé à un système d’information.

Conditions réalistes

Lors d’un test d’intrusion, les démarches et techniques d’un véritable individu malveillant sont reproduites, afin de détecter de potetielles vulnérabilités

Evaluation de risques

Grâce à notre approche, le test d’intrusion permet d’identifier des vulnérabilités susceptibles d’être exploitées, ainsi que les scénarios probables.

Rapport final

Ce rapport fournit les détails requis pour reproduire les situations à risque. Il contient également des recommendations pour la mise en place d’un plan d’action.

Déroulement d’un test d’intrusion

Mise en place
Découverte du périmètre
Prise d’informations
Recherche de vulnérabilités
Construction de scénarios d’attaque et compromission du SICompromission initiale, maintien d’accès et élévation de privilèges
Rédaction et livraison du rapport

Contactez-nous pour plus de détails

NOUS CONTACTER

Offre nationale et internationale

Data Privacy Professionals intervient dans toute la France et plus particulièrement en Île-de-France et dans la région Grand-Est :
• en Alsace (Bas-Rhin / Haut-Rhin) : Strasbourg, Mulhouse, Colmar.
• en Lorraine (Moselle, Meurthe et Moselle, Meuse, Vosges) : Nancy, Metz, Thionville, Épinal, Saint-Dié, Bar-le-Duc, Forbach, Sarreguemines.
• en Champagne-Ardenne : Reims, Troyes, Charleville-Mézières.


Nous intervenons également à l’étranger (langues française, anglaise et allemande)

NOUS CONTACTER