jQuery(function($){ $('.logo_container a').attr('href','https://feelagile.com'); });
Sélectionner une page
Comment choisir le bon prestataire pour un accompagnement ISO 27001 ?- Partie 1

Comment choisir le bon prestataire pour un accompagnement ISO 27001 ?- Partie 1

Cet article vise à fournir un guide complet pour choisir votre prestataire pour les entreprises cherchant à obtenir la certification ISO 27001. 

Pourquoi avoir rédiger ce guide ? 

Cet article vise à guider les CEO et CTO dans leur projet ISO 27001. 

Nous avons vu tellement de société manquer leur projet en partant seul ou en choisissant la mauvaise solution par manque de compréhension de ce qu’est l’ISO 27001 que nous avons voulu éclairer les entreprises qui se lancent dans le domaine. 

Comment avons-nous rédigé ce guide ? 

Nous avons rédigé ce guide en nous basant sur des dizaines de retours d’expérience d’entreprise que nous avons accompagnés mais également qui sont venus à nous après un projet en certification ISO 27001 dans lequel ils avaient eu énormément de difficultés. Nous avons donc compilé les éléments qui font un projet réussi mais à ce si ceux qu’il faut éviter de faire pour réussir son projet. 

Qui est Feel Agile ? 

Feel Agile est le leader français en matière de certification en cybersécurité et notamment en ISO 27001. Notre société dispose d’un grand nombre de retours d’expérience concernant les certifications ISO 27001 mais également d’une grande réflexion sur les innovations à mettre en œuvre pour rester agile tout en mettant en place ce type de certification et en structurant vos processus. 

I – Quelques brefs rappels sur l’ISO 27001 

Si vous connaissez déjà bien l’ISO 27001 et que vous avez conscience de la complexité du projet vous pouvez passer cette première partie. 

1 – L’ISO 27001 un Must Have en cybersécurité 

L’ISO 27001, devenue un must have en matière de sécurité de l’information, revêt une importance capitale dans les relations commerciales en France. 

Cette norme fournit un cadre rigoureux pour gérer et protéger les informations d’entreprise et des clients, garantissant ainsi l’intégrité, la confidentialité et la disponibilité des données essentielles.  

En instaurant des processus standardisés et une culture de la sécurité au sein des organisations, l’ISO 27001 aide non seulement à prévenir les violations de données, mais renforce également la confiance des clients et des partenaires.  

Dans un monde où la sécurité des données est un critère de plus en plus crucial pour les entreprises de toutes tailles, la certification ISO 27001 devient un atout majeur, attestant de l’engagement d’une organisation envers la sécurité de haut niveau. 

On vous explique pourquoi l’ISO 27001 devient un MUST HAVE en 2024 :

Le ROI d’une démarche ISO 27001 : 

  • Gain en commerce et croissance de 20 à 50 % de CA 
  • Une image commerciale améliorée 
  • Un avantage concurrentiel 
  • Une meilleure organisation 
  • Une montée en gamme 
  • L’amélioration continue 

2 – Pourquoi est-ce important de choisir un bon prestataire pour réussir sa démarche ISO 27001 ? 

Choisir le bon prestataire pour un accompagnement à la certification ISO 27001 est une démarche stratégique au-delà du seul projet de certification. Tenter de naviguer seul à travers le maquis complexe des exigences de la norme et des règlementations en sécurité (NIS 2, RGPD) peut s’avérer non seulement ardu mais risqué.  

En effet le cout d’un projet raté peut chiffrer en centaines de millier d’euros pour une PME.  

Un prestataire qualifié va vous apporter une expertise dans des domaines larges (juridique en SI, techniques en cybersécurité et organisationnel) et des expériences significatives, éléments indispensables pour éviter les erreurs coûteuses et garantir la conformité sur le long terme 

Il vous apporte également des conseils personnalisés et des solutions de cybersécurité simples et éprouvées pour réussir la certification.  

Ce partenariat permet de mettre en place un SMSI (Système de Management de la Sécurité) qui sera maintenable dans le temps. 

En somme, le choix d’un bon prestataire transforme un processus potentiellement complexe et risqué en un chemin structuré et maîtrisé vers l’amélioration continue de sécurité de l’information. 

Réussir à coup sûr sa certification ISO 27001 !

II – Bien comprendre l’ISO 27001 pour engager la démarche 

1 – La vraie certification ISO 27001

La certification ISO 27001 n’est pas simplement un ensemble documentaire ni une série d’exigence auquel il faut répondre les unes après les autres. 

C’est la mise en place d’un Système de sécurité de l’information, de cybersécurité et de gestion des données personnelles qui implique trois éléments clés : 

  • Une conformité règlementaire 
  • Un système de management technique et organisationnel 
  • Une cybersécurité technique 

Les causes majeures des échecs (soit qu’ils durent plus de 12 mois, soit qu’ils amènent à un échec avec un nombre d’écart important) sont une incompréhension sur ce qu’est la certification ISO 27001 et un mauvais choix de prestataire. 

Pour les dirigeants d’entreprise, tels que les CTO et CEO, comprendre l’importance de cette norme est la première étape cruciale vers une démarche proactive de sécurisation de leurs systèmes d’information. 

Mal construire son SMSI, est comme mal organiser son entreprise, cela ne se termine pas forcément bien. 

Consulter notre FAQ

2 – Les avantages d’une certification réussie pour une entreprise

Que veut dire réussir sa certification ? 

C’est certainement une question que vous devez vous poser en interne avant de démarrer le projet. 

Je vous apporte quelques pistes de réflexion : 

  • Une certification réussie, c’est d’abord une certification sans écarts majeurs donc la nécessité d’être bien conseillé. 
  • Ensuite c’est une certification qui sera facile à maintenir car vous devrez passer des audits de surveillance annuels.  
  • C’est une démarche qui engage et motive les collaborateurs 
  • C’est une démarche qui structure l’entreprise sans alourdir les processus 
  • Une démarche qui diminue réellement les risques cyber ou règlementaire 

À vous également de définir vos objectifs à la fois en termes de résultat mais aussi de déroulement de projet. 

Pour aller plus loin vous pouvez consulter nos deux ressources vidéo :  Les pires erreurs en matière de certifications ISO 27001.

Quels sont les éléments critiques de l’ISO 27001 ?

  1. La conformité règlementaire 
  2. La cybersécurité technique 
  3. La documentation de sécurité et les process 
  4. Le process de certification 

        3 – Avant de démarrer  ? 

        Les bonnes questions à se poser 
        Comprendre ou vous en êtes en matière de sécurité de l’information et de conformité ISO est une étape fondamentale avant de se lancer dans le processus de certification ISO 27001.  

        À ce stade vous avez deux options : 

        • Réaliser un autodiagnostic, avec notre outil, vous pouvez également nous contacter pour avoir un échange sur le résultat gratuitement de votre autodiagnostic 
        • Réaliser un Gap Analysis plus complet  

        Le Gap Analysis une évaluation complète de l’état actuel de la sécurité de l’information de votre entreprise. Cela implique de réaliser des échanges pour identifier les vulnérabilités, risques, les processus déjà en place et les écarts par rapport au standard ISO 27001. Cette analyse approfondie permet d’identifier un plan d’actions clair de ce qu’il faut mettre en place et d’établir vos besoins réels d’accompagnement et conseil. Vous serez également formés lors de ces accompagnements. 

        Ces Gap Analysis permettent de définir clairement les objectifs de la certification : 

        • Le Périmètre de la certification 
        • Les délais réalistes 
        • Le Cout de la démarche 
        • Les Subventions disponibles pour le diagnostic 

        Faire intervenir un expert dès le début du projet permet de partir dans la bonne direction. 

        III – Définir vos attentes et critères 

        Vous avez déterminé un périmètre de certification, un budget prévisionnel et avez conscience que c’est un projet qui va vous mobiliser entre 6 mois à 12 mois

        Votre diagnostic vous a donné les indications quant à la maturité de votre système. 

        Pour définir vos attentes en termes d’accompagnement, voici quelques conseils concernant le fond des accompagnements. 

        La conduite du projet 

        Quel que soit la taille du projet la conduite du projet est un éléments clé de la démarche. Pour réussir le projet il vous faudra un planning et des indicateurs pour suivre la mise en conformité et l’état de la documentation et des actions. C’est la conduite du projet associé à la bonne expertise qui va vous permettre d’atteindre vos objectifs de certification. 

        La formation théorique 

        La formation théorique en ISO 27001 (même si celle -ci est importante) est clairement insuffisante et parfois même contreproductive. Certains prestataires vont proposer des quantités importantes de formation mais cela ne permet pas d’avancer concrètement sur le projet et de plus mobilise les collaborateurs. De plus ces formations sont souvent théoriques et mise en oeuvre par des sociétés qui ne font pas réellement de projet de certification. (Parfois même ces formations se transforment en lecture de norme) 

        Nous recommandons l’acquisition de bonnes formations en E-learning qui délivre un bon contenu de formation disponible à n’importe quel moment. Pour plus d’information vous pouvez consulter notre plateforme de formation en ligne : Cybakademy.com 

        Si vous faites quand même appel à des formations assurez vous de l’expérience réelle des formateurs, de l’adaptation à votre contexte et de la délivrance d’une véritable méthode. 

        L’accompagnement 

        L’accompagnement, avec la conduite de projet, fait partie des indispensable, des aides dont vous allez avoir besoin. C’est le cœur des prestations, il faut choisir une personne qui a de vraie qualité pédagogique, une méthode et de nombreuses expériences de mise en place. 

        L’audit interne de fin de projet 

        Nous recommandons le choix d’un interlocuteur certifié à minima ISO 27001 lead Auditor mais cette certification n’est pas suffisante. Nous pensons d’un audit blanc complet n’est pas suffisant en fin de projet, car celui -ci repose sur un échantillonnage. Ainsi, nous privilégions des approches d’audits couplé à des check-list pour être exhaustif. 

        L’appui à la certification 

        L’appui à la certification consiste en l’aide au choix des certificateurs, le montage du dossier de certification et la préparation des audits de certification

        Vous devez donc choisir des sociétés qui connaissent parfaitement le type de société

        Conclusion

        Pour conclure cette première partie, il est important de se rappeler des notions de la norme ISO 27001. Ces notions permettent de bien comprendre cette norme mais aussi de déterminer vos attentes sur votre projet ISO 27001. Sans ces notions, il est difficile de savoir comment choisir un bon prestataire pour effectuer un accompagnement ISO 27001 jusqu’à la certification.

        Dans la deuxième partie nous verrons plus en détails le choix du prestataire en fonction des entreprises et de leurs expériences . Nous allons ensuite passer en revue les différents critères de sélection d’un prestataire pour finaliser le choix d’un bon prestataire.

        Contactez-nous

        Des projets ? Des questions ? N'hésitez pas à nous contacter !


        Responsabiliser les collaborateurs à la cybersécurité

        Responsabiliser les collaborateurs à la cybersécurité

        Nous assistons ces dernières années à une multiplication des cyberattaques contre les entreprises.  Selon l’ANSSI, leur nombre a quadruplé de 2019 à 2021 !  Les conséquences peuvent être terribles pour les entreprises. Atteinte à la notoriété et l’image de l’entreprise, perte d’exploitation engendrée par la mise à l’arrêt des systèmes informatiques, chantage financier des pirates, préjudice commercial…  Les entreprises se dotent donc de systèmes de sécurité très performants qui se révèlent… inopérants. 90% des incidents de sécurité informatique auraient pour origine l’erreur humaine (étude IBM) ! Alors comment faire en sorte de réduire ces risques et d’impliquer tous ses collaborateurs dans la cybersécurité ?

        I – La cybersécurité, l’affaire de tous 

        1 – Deux visions s’opposent 

        On entend souvent dire qu’en matière de cybersécurité, le problème se trouve “entre la chaise et le clavier”. Le nombre important d’incidents de sécurité informatique liés à une erreur humaine semble confirmer cette déclaration. Mais est-ce vraiment le cas ? Ne faudrait-il pas changer de perspective

        Et considérer les collaborateurs comme un moyen de protection qui n’est pas encore assez exploité ? Plutôt qu’un problème ? 

        Dans les entreprises, il y a souvent deux visions qui s’opposent. 

        D’un côté, les experts en sécurité informatique. Ils reprochent aux utilisateurs de ne pas respecter les principes de base de la sécurité et se sentent obligés d’augmenter constamment le niveau de sécurité des outils. Et d’un autre côté, les utilisateurs qui pensent que les experts ne prennent pas assez en compte leur réalité opérationnelle.  

        Ces utilisateurs peuvent se retrouver confrontés à des menaces dont ils ne soupçonnent même pas l’existence… Ce qui va rendre ainsi le système d’information vulnérable sans qu’ils en soient conscients… 

        Ces deux visions s’affrontent souvent et pourtant les deux camps veulent la même chose : une entreprise protégée. 

        2 – Changer de perspective 

        Il est donc important de mettre fin à ce décalage entre ces deux visions. La cybersécurité, c’est l’affaire de tous : de la Direction du Système d’Information, à la direction en passant par les collaborateurs.  

        On ne peut plus mettre de côté ces derniers dans la construction de la politique de sécurité de l’entreprise. Ils doivent faire partie intégrante de la sécurité et être considérés plutôt comme un nouveau levier d’amélioration plutôt qu’un frein inévitable ! 

        Cela demande un véritable changement de perspective : ne plus considérer l’humain comme le maillon faible de sa chaîne de sécurité mais vouloir le transformer en maillon fort. 

        Car on le sait, la vigilance et la capacité d’action des équipes sont essentielles pour maintenir la sécurité toute entière de l’organisation ! 

        L’une des clés qui vous permettra de changer de perspective est la mise en place de la démarche de certification ISO 27001. Chez Feel Agile, nous vous proposons de vous accompagner dans cette démarche et de vous aider à mettre en place des actions qui réconcilieront les deux visions de vos équipes pour avancer vers le même objectif : la sécurisation de votre entreprise.  

        3 – Les collaborateurs doivent se sentir responsables aussi de la sécurité 

        Qu’on le veuille ou non, chaque collaborateur est un maillon de la chaîne de sécurité. Chaque personne est donc un acteur essentiel de la politique de cybersécurité de l’entreprise. C’est à ce niveau que la prise de conscience doit s’opérer. 

        Les collaborateurs ne doivent pas se sentir sous pression de suivre telle ou telle règle de sécurité (souvent vues comme des contraintes) sans qu’ils en comprennent le sens. La DSI ne doit pas chercher à “faire peur” et à “contraindre” les utilisateurs mais plutôt à les impliquer davantage pour les responsabiliser. En considérant l’utilisateur comme un composant essentiel de la performance de la chaîne de sécurité, le message sera beaucoup plus adapté et pris en compte par les équipes. 

        Chez Feel Agile, nous oeuvrons dans ce sens en proposant une solution aux entreprises pour responsabiliser leurs collaborateurs : notre outil SMSI. Grâce à l’automatisation de votre système de management en SAAS, vous pourrez faire participer toute l’entreprise à la démarche de certification. Feedbacks, rappels, suivi en temps réel, documentation,… : tout est fait pour organiser votre démarche et faciliter votre certification. 

        Retrouvez tous nos webinaires à venir en cliquant sur ce lien !

        II – Créer une prise de conscience par la sensibilisation à la cybersécurité 

        Quand on entend sensibilisation à la sécurité, on a tous en tête la charte informatique et une séance de formation donnée par des experts de la sécurité, mais il faut amener la réflexion et l’action à un autre niveau. Pour changer la perspective des équipes et leurs rôles plus qu’important au sein de la chaîne de sécurité de l’entreprise, il est nécessaire de créer une véritable prise de conscience au sein de l’entreprise. 

        1 – Donner du sens aux mesures de sécurité 

        Ainsi pour toute action de communication, formation, sensibilisation, il ne suffit pas de délivrer simplement des indications ou des consignes. Il est indispensable de leur donner du sens. Pourquoi cette consigne est-elle nécessaire ? Qu’est-ce que ça pourrait engendrer si elle n’était pas suivie ? Quels en sont les risques inhérents ? Quel exemple peut-on donner pour faire prendre conscience des répercussions ? 

        C’est en comprenant les enjeux et les risques encourus que vos équipes seront plus intéressées par le sujet de la sécurité. Ils appliqueront avec beaucoup plus de conviction ces mesures quand ils comprendront concrètement leur rôle à jouer dans la stratégie de cyberdéfense de leur entreprise. 

        2 – Apprendre en continu 

        Pour que toutes les équipes puissent jouer leur rôle de “gardien” dans la sécurité de l’organisation, il est indispensable de les former régulièrement. En les initiant aux bonnes pratiques à adopter, les collaborateurs pourront analyser la situation rapidement et avoir les bons réflexes pour réagir

        Il ne s’agit pas seulement de les former une fois (notamment à chaque nouvelle arrivée dans la structure) mais plutôt d’établir une stratégie de sensibilisation dans le temps. Les équipes retiendront beaucoup plus facilement les informations délivrées petit à petit et de façon répétées qu’une grande journée de formation qui ne sera pas suivie d’autres actions par la suite. 

        Le format de e-learning est ainsi une solution intéressante en terme d’interactivité et de rythme de sensibilisation. 

        Pour que la formation soit un véritable levier de sécurité de votre entreprise, Feel Agile propose un abonnement à des formations à distance et des événements réguliers en fonction des besoins de vos collaborateurs et de leur niveau de maturité sur les enjeux de sécurité. Nous proposons par exemple un e-learning sur la certification ISO 27001 pour former à la partie organisationnelle, les processus et les procédures, ou encore une solution de formation des développeurs à la sécurité OWASP.

        Si vous souhaitez en savoir plus et connaître toutes nos offres, contactez-nous directement !  

        3 – Éveiller par la pratique 

        Une autre piste à creuser pour sensibiliser les équipes à la cybersécurité, c’est d’allier la pratique à la théorie. Pourquoi ne pas réaliser des simulations pour mettre les collaborateurs en condition réelles et les entrainer à réagir de la bonne manière ? Ils pourront ainsi mettre en pratique ce qu’ils ont appris pendant les sessions de formation et acquérir de véritables automatismes : quoi faire, qui prévenir, quel process appliquer ? 

        Les tests réguliers (test d’intrustion, phishing,…) ou tests de connaissances sont également un bon moyen d’améliorer l’intégration des automatismes, des réflexes à adopter en cas de cyberattaque. Cela permettra également d’évaluer les connaissances de vos équipes et de les entretenir dans le temps. 

        C’est pourquoi lors de nos accompagnements, nous proposons de réaliser des sessions de sensibilisation à distance ou sur site avec des expériences ludiques. Cette approche « gamifiée » de la cybersécurité permet aux équipes de s’impliquer, de se tester et d’intégrer des automatismes pour trouver une solution ensemble en cas de cyberattaque.  

        La chaine YouTube de la certification CYBER : La Chaine Feel Agile pour vous former gratuitement

        III – Mettre en place une communication interne 

        Nous l’avons vu, pour contribuer à la responsabilisation des collaborateurs à la sécurité de leur entreprise, il est important de communiquer. D’une part pour les faire changer de perspective et leur faire prendre conscience de leur rôle essentiel dans la chaîne de sécurité. D’autre part, pour qu’ils soient à même de détecter les comportements suspects ou adopter une grande prudence dans les informations qu’ils délivrent. 

        1 – S’adapter aux différents interlocuteurs 

        Un des enjeux pour une bonne communication, c’est de s’adresser à la bonne cible. Chaque personne ne va pas forcément être réceptif au même type de message. Ainsi, quand on va sensibiliser à la cybersécurité, il est essentiel d’adapter son message et le niveau d’expertise à son interlocuteur. Si les communications sont beaucoup trop complexes, les collaborateurs ne se sentiront absolument pas concernés et délaisseront ces enjeux. Au contraire, si les communications sont pédagogiques, accessibles à tous, il sera plus facile de les prendre en compte. Il est également possible de satisfaire leur curiosité et les inciter à aller plus loin avec la mise à disposition de ressources complémentaires. 

        2 – Communiquer dans les deux sens 

        La communication ne va pas que dans un sens. Délivrer des informations sans vraiment se pencher sur ce qu’en pensent les équipes est une erreur que vous pouvez aisément rectifier. 

        On demande souvent aux collaborateurs d’écouter des conseils ou des consignes mais l’inverse est rarement vrai. Alors que les équipes ont souvent beaucoup à dire. Des anecdotes sur leur expérience personnelle, des questions qu’ils se posent, des pistes d’amélioration qui pourraient être prises en compte… C’est en les écoutant et comprenant comment ils fonctionnent au quotidien que la DSI pourra mieux cibler ses communications et ses formations. Elle pourra adapter son message en fonction des pratiques concrètes des collaborateurs. 

        3 – Cultiver une culture de la sécurité dans l’entreprise 

        En adoptant une communication qui soit adaptée à l’interlocuteur, pédagogique et surtout positive (on arrête les messages anxiogènes et culpabilisants), vous allez créer une véritable dynamique au sein de l’entreprise pour constituer une culture de la sécurité. 

        Portée par la direction, cette culture de la sécurité renforcera le dispositif prévu par la DSI pour contrer les cybermenaces. Les collaborateurs, autonomes et actifs, qui auront accéder à un degré de maturité numérique élevé, deviendront ainsi un élément décisif du système de défense de leur organisation ! 



        IV – Notre solution CyberAgile 

        Ainsi la réponse aux cybermenaces ne peut pas être uniquement technologique. Nous le voyons bien, lorsque l’on parle de cybersécurité, il est plus que nécessaire de prendre en compte le « facteur humain ». Nous approfondissons d’ailleurs cette notion dans cet autre article. En permettant aux collaborateurs, aux utilisateurs finaux de faire partie de la solution et non plus du problème, l’entreprise va bâtir une culture de la sécurité essentielle pour se prémunir des attaques.  

        Chez Feel Agile, nous sommes convaincus de l’importance d’une politique de sensibilisation ciblée, maitrisée et planifiée. C’est pourquoi nous avons choisi d’accorder une grande place dans nos accompagnements à la sensibilisation des vos équipes avec la mise au point d’une solution globale et complète: CyberAgile.  

        Cet outil de sensibilisation et de simulation d’attaque est la réponse idéale pour former, impliquer et tester vos collaborateurs.  

        Vous pourrez ainsi :  

        – sensibiliser vos équipes sur un large panel de sujets liés à la sécurité de l’information : hameçonnage, RGPD, bonnes pratiques de gestion des mots de passe,… 

        – évaluer les connaissances de vos collaborateurs 

        – simuler des attaques pour évaluer la mise en application des mesures de sécurité 

        – utiliser la bibliothèque de plus de 300 supports liés à la cybersécurité 

        – organiser et piloter vos campagnes de sensibilisation  

        Si vous souhaitez en savoir plus sur cette solution, contactez-nous ! 

        J’espère que cet article vous aura apporté quelques idées de solutions.

         

        V – Webinaire sur la sensibilisation des collaborateurs

        Très prochainement nous allons réaliser un webinaire sur le thème « Faites de l’humain votre première ligne de cyber défense en cybersécurité ». Pour vous inscrire suivez les liens ci-dessous :

        « Sensibilisez et formez vos collaborateurs à la cybersécurité » : S’incrire au webinaire pour le Jeudi 27 oct. 2022 · 17:00 UTC+2

        https://feel-agile.webinargeek.com/ : Notre chaine des webinaires en certification cybersécurité !

        La chaine YouTube de la certification CYBER : La Chaine Feel Agile pour vous former gratuitement !

        Contactez-nous

        Des projets ? Des questions ? N'hésitez pas à nous contacter !


        Comment réussir son audit de certification ISO 27001 ? 

        Comment réussir son audit de certification ISO 27001 ? 

        Notre webinar vous serez utile concernant la réussite de votre certification, il aura pour objectif de vous faire comprendre correctement l’audit et le cycle de certification 27001, de vous conseiller au maximum pour vous préparer avant l’audit, éviter les erreurs et vous donner les pistes pour après votre audit.  

        Qu’est-ce qu’un audit ? 

        Il est important dans un premier temps de bien comprendre ce qu’est un audit :  

        Dans ces audits de certification, l’idée de l’auditeur est de vérifier votre SMSI, c’est-à-dire si vos politiques et vos procédures obligatoires sont bien en place.  

        Cet auditeur va vraiment venir chercher les conformités par rapport à la norme, et non un niveau de sécurité ou même une façon de faire. En fait, ils vont vérifier si vous avez mis en place les bonnes mesures de sécurité pour réduire les risques importants de votre société. 

        Parmi le travail que vous allez effectuer sur la période d’une année pour la préparation de votre SMSI, l’audit sera tout simplement votre examen final. Ainsi il vous permettra de vérifier vos compétences !   

        Le cycle de certification  

        Après avoir déterminé l’audit de certification, passons au cycle de certification. Ce cycle a une durée de 3 ans. Il est divisé en plusieurs parties, c’est-à-dire que chaque année va correspondre à un audit différent.  

        La première année, l’audit «initial». Elle se découpe en deux étapes.  

        La première va être tout simplement la rencontre avec l’auditeur. Le but de cet audit sera de vérifier la conformité de la documentation en fonction de ses critères.  

        Si tout se passe bien, vous aurez le feu vert pour continuer l’audit. Ainsi, lors de la deuxième étape votre SMSI aura la capacité de vous proposer un plan d’audit qui vous présentera chaque audit à effectuer, avec tel personne à tel horaire.  

        Ceci se passe durant 3 à 5 semaine, entre l’audit de l’étape 1 et celui de l’étape 2.  

        Dans celui de la première étape, l’auditeur vous rendra un rapport avec chaque point à améliorer par la suite, avant d’avoir des écarts durant la deuxième étape. Il est important de les corriger puisque l’auditeur va revenir sur ces sujets afin de vérifier que vous avez mis en place des actions pour améliorer votre SMSI.  

        Le vrai audit commencera avec la réunion d’ouverture. Cette réunion consiste pour l’auditeur de vous expliquer la démarche d’audit.  

        Uns fois l’audit passé, l’auditeur va donc émettre un rapport avec tous les constats qu’il a pu identifier lors des jours d’audit, ainsi qu’une recommandation. C’est là que vous allez devoir précisez quelles actions vous allez faire au niveau des différents constats que l’auditeur à identifier. 

        Ce rapport est ensuite envoyé à la commission des certifications qui va valider les rapports et émettre ou non le certificat !    

        Ne pas avoir son certificat ? 

        Nous avons un classement des constats d’audit avec différents niveaux, en commençant par les non-conformités majeures.  

        Ces conformités sont le non-respect d’une exigence de l’ISO 27001, règlementaire ou contractuelle. Le non-respect d’une exigence remet en cause la capacité du SMSI à atteindre le résultat attendu.   

        Ensuite, nous avons les points sensibles. Ce sont des sujets qu’il faut traiter afin qu’ils ne deviennent non conformité mineur.   

        Il est impossible d’avoir le certificat si vous possédez une de ses conformités. Lors d’un audit, l’auditeur l’inscrivera dans les rapports. L’auditeur aura donc un autre audit de planifier environ 3 mois après pour vérifier que les écarts majeurs identifiés sont corrigés. Après avoir fait ce deuxième audit, il reviendra vous donner la certification.  

        Dans un cycle de certification, vous allez avoir les mêmes audits sur les trois années. Une fois le cycle finalisé, vous recommencez sans refaire la première étape. 

        Concernant la durée, le premier audit dure entre 3 et 5 jours environ, et les autres eux environs 2 jours.  

        Se préparer AVANT l’audit ?  

        La première chose que nous recommandons est de faire un audit blanc. Ces audits sont similaires au vrai audit de certification. Ils permettent de voir une vue d’ensemble et de vous entrainer.  

        L’idéal est de le faire avec une société extérieure, afin qu’ils puissent vous auditer en vous donnant un rapport complet.   

        Informer aux autres  

        Ensuite, il est important d’informer l’ensemble des collaborateurs de l’importance de cet audit pour leur société, et les risques de ne pas obtenir la certification.  

        Il est aussi important d’informer les dates d’audit, afin que vos collaborateurs respectent les règles que vous avez définies, au niveau de la sécurité.  

        Visionnez notre vidéo sur You Tube !

        Contactez-nous

        Des projets ? Des questions ? N'hésitez pas à nous contacter !


        Présentation du cycle de certification (E-learning)

        Présentation du cycle de certification (E-learning)

        1. Le cycle de certification

        Le cycle de certification et l’obtention de votre certification 27001 ne sont que le début de votre progression en sécurité de l’information. Vous allez pouvoir apprendre à gérer la sécurité de l’information ainsi que votre SMSI sur le long terme, puisque la certification repose entre autres sur l’amélioration continue.

        Un audit de suivi ou de surveillance aura lieu annuellement. Ainsi, le même auditeur viendra dans chacune de ces années du cycle.

        C’est un excellent moyen pour les auditeurs de découvrir et de vérifier vos activités et de mieux connaître votre entreprise.

        Le moment du 1er audit est d’une importance primordiale. Les prochaines seront plus des révisions partielles.

        Ils se concentreront principalement sur les incohérences et les sensibilités trouvées lors des audits précédents et doivent donc être vigilants dans le traitement des résultats d’une année à l’autre

        Une des erreurs la plus fréquente va être l’absence d’action une fois qu’une entreprise est certifiée. C’est pour cela que cette notion d’amélioration qui est importante.

        Lors des audits de surveillance, les écarts et non-conformité repérés lors de l’audit initiale vont être inspectés.  

        Ainsi, si jamais les non-conformités mineures ne sont pas traitées, elles vont être qualifiées de majeure l’année suivante. Cela risque de bloquer la certification au cours du cycle.

        En rappel, l’auditeur lui vous donnera un simple avis favorable ou non lors de la fin de l’audit. C’est une commission qui va ensuite analyser le dossier et l’avis du tuteur, et statuera définitivement sur la certification.

        Il faut compter environ un mois avant d’obtenir la certification définitive.

        Ainsi, la mise en place du SMSI à une durée d’environ 6 mois/ 1 an en fonction de la société.

        2. Interpréter un rapport d’audit

        Passons aux écarts. L’audit à une durée variable et va dépendre du nombre du collaborateur qui maintiennent le SMSI.

        A l’issu de cet audit, un rapport sera transmis. Il contiendra les écarts majeurs, mineurs, les points sensibles, les pistes de progrès ainsi que les points fort.

        Pour décrire ces 5 constats d’audit, les écarts majeurs sont des non-satisfactions d’une exigence du référentiel qui touche à l’organisation, l’application et la normalisation du SMSI. Ceci entrain un risque très important pour le SMSI.

        Ensuite, les conformités mineures elles caractérisent la non-satisfaction de l’exigence du référentiel, mais n’entrainent pas de risque important de non-respect. La non-satisfaction d’une exigence ne compromet pas l’efficacité ou l’amélioration du SMSI dans le cadre d’une conformité mineure.

        Les points sensibles sont des éléments du SMISI sur lesquels les preuves d’audits montrent que l’organisme est conforme, mais risque de ne plus atteindre les exigences du référentiel à court ou moyen terme.

        Les pistes de progrès sont les voyant identifiés sur lesquels l’organisme peut progresser. Cela correspond au terme d’opportunité d’amélioration. Cette piste de progrès donne à l’organisme client la possibilité de soit dépasser les exigences de référentiel d’audit, soit d’améliorer la performance de cet élément du smsi, sans dépasser les exigences du référentiel.

        Et les points forts eux sont les éléments du smsi sur lesquels votre organisme dépasse les exigences du référentiel, ou se distingue par une pratique ou méthode performante.

        Ainsi, pour obtenir ce certificat, il est indispensable que vous ne possédiez aucune non-conformité majeure.

        Si vous en avez, vous allez avoir trois mois pour corriger. Par la suite, un audit sera replanifier pour vérifier les corrections, avant de passer à la certification.

        Pareil pour les non-conformités mineures. Il vous faudra les traiter pour l’audit de surveillance qui aura lieu l’année suivante, avant qu’elles ne deviennent des non-conformités majeures.

        Pour définir un écart, c’est simplement la différence par rapport aux critères d’audit. Pour les constater, l’auditeur va se baser sur l’observation objective entre les attentes de la norme et ce qui est réalisé dans votre SMSI.

        3. Processus d’accompagnement

        Venons maintenant au processus d’accompagnement que nous proposons !

        Cette formation se fera en 6 étapes durant 1 année environ.

        Cycle de certification 6 étapes

        Pour commencer la première sera de définir le contexte. Nous définirons le périmètre, les enjeux et les acteurs extérieurs qui ont des attentes en matière de sécurité sur votre projet.

        Cette première étape d’un mois est importante car c’est celle qui va conditionner les étapes suivantes.

        Deuxième étape, l’analyse des risques. Nous définirons la liste des risques qui peuvent impacter le SMSI. Elle prendra 1 mois également.

        Ensuite troisième étape, la déclaration d’applicabilité. C’est un document que nous allons rédiger, en parcourant la liste des 114 mesures de l’annexe de la norme ISO 27001, afin de déterminer si celle-ci peuvent impacter le SMSI.

        On va vérifier pour chaque mesure si elle est applicable ou non au périmètre comme nous aurons identifié lors de la première étape. Ensuite nous mesurons l’écart entre ce qui est fais par l’organisation, et les attentes de la mesure.

        Ainsi, nous aurons établie le plan d’action définitif à conduire avant la certification.

        En ayant définit un plan d’action, traité les écarts et exigences, nous pouvons commencer la quatrième étape, concernant le suivi de projet. Cette gestion de projet s’agira justement de suivre la mise en œuvre de ces actions, de s’assurer au fur et à mesure du projet qu’elles sont correctement mises en place.

        Nous suivrons et assurerons une cohérence entre les actions, la rédaction des documents, et l’évolution des traitements de risque.

        Une fois les écarts traités, nous passons à l’étape de la préparation a la certification où nous effectuerons des mises en situations, et verrons comment répondre aux questions d’un auditeur.

        L’auditeur s’adaptera à votre entreprise, mais il vous faudra au moins une personne qui maitrise bien le processus, l’audit et la norme.

        Enfin pour la dernière étape, elle concerne l’audit blanc qui aura lieu avant votre passage de certification. Il consiste à effectuer une mise en situation et d’identifier les risques peut être mal corrigés.

        Nous avons conçu une vidéo sur notre chaine You Tube pour une explication plus détaillé !

        Cycle de certification

        Contactez-nous

        Des projets ? Des questions ? N'hésitez pas à nous contacter !


        5 questions sur le pentest

        5 questions sur le pentest

        Un pentest ou test d’intrusion consiste à se mettre à la place d’un attaquant malveillant (appelé cyber criminels ou pirates selon leur valeur). Ainsi cela permet de stimuler leur comportement sur un périmètre défini par l’entreprise attaquée.

        C’est ce qui va permettre de corriger de potentielles vulnérabilités que ce soit au niveau de l’infrastructure ou des logiciels en interne ou en externe.

        On va utiliser les mêmes méthodes et outils qu’un acteur malveillant, afin de compromettre le système cible de l’entreprise et de voir jusqu’où on peut aller dans le système d’information. La seule différence est que nous le faisons dans un cadre légal via un contrat. Celui-ci définir le périmètre et la cible à attaquer, ainsi que les autorisations et restrictions à ne pas faire.

        Y a-t-il plusieurs types de pentest ?

        Il existe 2 types de pentest : interne et externe, ainsi que 3 méthodes : black box, white box et grey box.

        Le pentest Interne consiste à ce que les attaquants soient dans vos locaux, afin de cibler l’infrastructure interne.

        On peut donc se mettre à la place d’un salarié malveillant qui souhaiterait se venger.

        Ainsi, le pentest externe lui consiste à pentester un site web ou une infrastructure (VPS). Il sera accessible depuis internet et pourra donc être attaqué depuis l’autre bout du monde.

        En ce qui concerne les méthodes, elles peuvent s’appliquées à ces deux types de pentest. Les voici :

        Pour la Black box, vous ne donnez aucun accès. C’est une attaque réalisée au plus proche des pirates où l’on ne connait rien du fonctionnement interne.

        Il est possible de réaliser cette méthode sans en informer les équipes chargées de détecter les attaques. Afin de les mettre en confrontation direct et de constater leur proactivité.

        Ensuite, la White box, vous donnez tous les accès aux pentesters. Avec, ils vont avoir un regard neuf sur votre système d’information et vont pouvoir détecter éventuellement toutes les vulnérabilités sur le périmètre cible.

        Celle ci est plus poussée que la méthode black box. Elle permet de révéler certaines failles qui ne sont pas forcément visible lors du black box mais peuvent se révéler tout aussi compromettantes. Et contrairement à elle, c’est une méthode plus complète collaboration avec les équipes chargées du système d’information.

        Et enfin la Grey box, où là vous ne donnez qu’une partie des informations, qui lui permettront de gagner du temps dès le départ.

        Le pentester aura donc accès à certaines informations comme un compte utilisateur, sur un site web ou un compte utilisateur sur PC de votre société, par exemple.

        A partir de là, il va pouvoir commencer à se mettre à la place d’un salarié malveillant et voir jusqu’à quelles fins il peut faire des choses critiques dans le système d’information.

        À quoi ça sert ?

        L’objectif est de trouver des vulnérabilités sur les produits ou l’infrastructure de votre entreprise pour éviter que des vrais pirates les trouvent avant nous et ne cassent votre système.

        Nous allons donc vérifier ce que l’on peut récupérer dans votre système d’information et jusqu’où on peut naviguer dans le système, voire carrément prendre complètement le contrôle de votre infrastructure.

        Evidemment, l’objectif final est de fournir un livrable qui va révéler les différentes problématiques trouvées pendant le pentest.

        Nous vous dévoilerons les méthodes et outils utilisés, et proposerons un plan de remédiation à apporter à votre système d’information et bien sûr vous féliciteront sur les bonnes pratiques que vous avez adoptées !

        Quels types de systèmes à pentester ?

        Tout système peut être piraté. Sites web, infrastructures, réseaux informatiques, logiciels, téléphones, serrures etc…

        Le pentester doit donc trouver des vulnérabilités avant les vrais pirates qui pourrait engendrer de gros problèmes aux sociétés.

        Quelles sont les différentes phases d’un pentest ?

        La première étape passe par le pré engagement. Forcément, un contrat doit être signer avec l’employeur (définir périmètres, autorisations & restrictions pendant le pentest qui seront respecter).

        Deuxième étape, la collecte de renseignement. C’est-à-dire plus précisément la recherche d’informations sur les périmètres cibles, les technologies que vous utilisez, les comptes utilisateurs et la structure de l’entreprise afin de trouver des techniques d’attaques et des points d’entrée.

        L’énumération des services est une étape vraiment importante, que ce soit un réseau ou sur un serveur, puisqu’il permet d’identifier les différentes portes d’entrées pour un attaquant.

        Ensuite vient l’étape d’exploitation. Il faut tenter d’exploiter les différentes vulnérabilités trouvées dans la phase précédente, afin de compromettre la machine.

        Par exemple, depuis un site web, on peut essayer d’avoir un Shell sur la machine. Ensuite c’est comme si nous étions en black box mais à distance, puisqu’il est potentiellement possible d’accéder à votre réseau depuis l’extérieur si le site est hébergé dans votre infrastructure.

        Enfin, nous passons aux livrables. Cette étape est la plus importante et la plus longue à réaliser. Elle nécessite toutes les traces des tests qui ont été effectués pendant les pentest.

        L’idée est de tout mettre au propre pour que le rapport de pentest soit lisible.

        De là, vous allez avoir une synthèse managériale qui répertorie les différentes vulnérabilités trouvées en vulgarisant au maximum pour des personnes non techniques, et une autre synthèse plus détaillée pour des ingénieurs ou des techniciens avec des annexes.

        Pour une explication plus détaillé, nous vous laissons découvrir notre vidéo dédiée ci dessous !

        Pentest anticiper les cyberattaques

        Pourquoi est-ce important de réaliser des pentest ?

        Aujourd’hui tout se digitalise. On est passé à “l’ère du tout numérique”, où les appels, SMS, emails, chats… tout est donnée !

        Plus il y a d’information à gérer, plus le périmètre d’attaque est grand. Cela donne donc plus de chance qu’il y ait une faille.

        Les défenseurs dans les entreprises doivent penser à tout. Ils doivent trouver toutes les failles possibles que les pirates pourraient exploiter, et surtout sécuriser le système sur plusieurs couches différentes. Les pirates seront bloqués le plus rapidement possible.

        Typiquement, bloquer sa session par un mot de passe, c’est très bien.

        Mais si l’utilisateur n’est pas sensibilisé aux risques, un pirate peut compromettre son PC en détournant son attention.

        Par exemple, en laissant trainer une clé USB contenant un malware avec une étiquette écrit “perso” ou “confidentiel”, cela laissera passer la curiosité de l’utilisateur qui la branchera sur son PC.

        Le pirate aura un accès total sur la machine. À moins de mettre en place des sécurités à plusieurs niveaux.

        Plus la surface d’attaque augmente, plus le risque est grand et plus il y a de failles.

        C’est pour cela que la réalisation de pentest est très importante aussi bien en interne qu’en externe.

        Plus de 70% des attaques proviennent de l’intérieur d’une entreprise ! Un salarié qui veut se venger ou nuire à sa société n’arrive plus souvent qu’on ne le pense.

        Contactez-nous

        Des projets ? Des questions ? N'hésitez pas à nous contacter !