Gouvernance
& conformité

DEMANDEZ UNE PRÉSENTATION

Gouvernance optimale

en cybersécurité

Les systèmes d’information représentent plus de 20% du budget annuel d’une entreprise. Ainsi, il est essentiel qu’ils soient adaptés au contexte de chaque entreprise et à ses objectifs d’affaires.

Le contexte technologique actuel et la croissance des risques de sécurité incitent les organisations à se doter d’un programme de sécurité structuré, adapté et responsable.

La «Gouvernance de la cybersécurité ou «Gouvernance TI» (en anglais «IT governance») renvoie aux moyens de gestion de la sécurité informationnelle ainsi qu’aux moyens de régulation des systèmes de sécurité mis en place dans une entreprise pour atteindre ses objectifs. A ce titre, la gouvernance de la sécurité est un processus continu faisant partie intégrante de la culture d’une entreprise, intégrant la gestion de risques et alignée stratégiquement sur ses objectifs s’affaires. Elle fixe les règles de sécurité tactiques et opérationnelles, tel que la mise en place des contrôles appropriés. Elle assure de ce fait une mise en conformité aux normes applicables et une cohérence dans la mise en œuvre du cadre normatif. Que vous soyez soumis aux normes NIST 800-53, ISO 27000 ou PCI DSS (Payment Card Industry Data Security Standard), beaucoup d’entreprises doivent se conformer à des exigences spécifiques et adopter les meilleures pratiques en cybersécurité. Élaborer des politiques, des directives et des procédures est le point de départ du cadre de gouvernance, en établissant un programme de sécurité global pour assurer l’application des principes, des mesures de sécurité et des contrôles de sécurité au sein de votre entreprise.

Nos services

gouvernance-4

Gouvernance

gouvernance-3

Cadre normatif

gouvernance-2

Audits et évaluations

gouvernance-1

Gestion des risques

gouvernance-5

Architecture de sécurité

VOUS DÉSIREZ EN SAVOIR PLUS SUR NOS SERVICES?

TÉLÉCHARGEZ LA FICHE PRODUIT

Gouvernance

Un cadre de gouvernance efficace nécessite qu’un programme de sécurité soit défini globalement et à long terme, en fonction d’éléments cruciaux en sécurité de l’information.

Ces aspects doivent être évalués, compris et intégrés. Le cadre de gouvernance inclut la structure organisationnelle, l’élaboration du cadre normatif, les outils de gestion de risques ainsi que l’architecture de sécurité.

Le tableau ci-dessous illustre la méthode PDCA (Plan-Do-Check-Act), laquelle permet de mettre en place les fondations d’un premier périmètre ISO/IEC 27001 et d’adopter les outils requis pour le maintien d’un cadre de gouvernance.

Cadre normatif

L’élaboration du cadre normatif est une étape cruciale dans la mise en place d’un cadre de gouvernance. En effet, les politiques , directives et procédures internes d’une organisation constituent les outils de référence sur lesquels les intervenants se basent pour exercer leurs rôles et responsabilités désignés. Les employés étant les principaux acteurs du processus de mise en œuvre du cadre, il est ainsi essentiel qu’ils en comprennent les nuances et qu’ils s’y conforment.

Nos spécialistes en rédaction de politiques s’appuient sur les meilleurs standards en sécurité de l’information, tel que les normes ISO/IEC 27001 et 27002. De plus, nous assurons que la définition du cadre normatif de nos clients soit conforme aux aspects normatifs du droit des technologies de l’information et de la protection des renseignements personnels et confidentiels, selon les particularités et les exigences légales applicables aux organisations.

Audits et évaluations

Les organisations n’ont pas toutes le même niveau de maturité en sécurité de l’information et celles-ci sont à divers stades du processus de compréhension de leur posture de sécurité, d’exposition et de mitigation du risque et de la remédiation.

Ainsi et dans plusieurs cas, des activités préalables à l’élaboration du cadre de gouvernance doivent être réalisées afin de mieux comprendre la position de nos clients et de cibler les objectifs. En effet, des « bilans de santé » en sécurité peuvent être faits, ainsi que des audits ou des tests d’intrusion.

Chaque activité préalable a pour but de nous donner l’heure juste et d’ajuster le programme de sécurité en fonction des besoins, des objectifs d’affaires et des défis inhérents à l’organisation.

GESTION DES RISQUES

L’approche d’OKIOK en gestion de risques s’appuie la méthode des contrôles clés et d’architecture de sécurité, une méthodologie éprouvée qui permet une lecture rapide de la posture de l’entreprise en tenant compte d’un ensemble de contrôles essentiels dans un environnement de sécurité de l’information. . Bien que les méthodes d’analyse traditionnelles existent (mehari etc.), elles s’avèrent très complexes, coûteuses, subjectives et les résultats ne sont pas toujours concluants.

Tiré d’un standard de sécurité (ex. qu’ISO 27002, ISO 27033, NIST, ISF ou autre) un contrôle clé de sécurité est un contrôle ayant généralement une influence importante sur la posture de risque. Une fois le référentiel identifié et retenu, l’analyse détermine un nombre réduit de contrôles clés, choisis en fonction de leur impact maximal sur le risque et c’est à partir de ce « référentiel » restreint qu’il est possible de mesurer la maturité de ces contrôles clés selon une échelle de maturité similaire à Cobit4. Cela permet de simplifier l’évaluation de la posture de risque, le rehaussement et le suivi périodique.

Architecture de sécurité

La mise en œuvre d’une architecture de sécurité (OSA) s’inscrit dans la démarche de la méthode des contrôles clés et permet d’optimiser l’évolution et le maintien de la maturité des contrôles clés et complémentaires, notamment, par la mise en œuvre de services d’entreprise et de patrons de conception.

Ainsi, à l’image d’un chapiteau où toute la structure s’élève lorsque la toile est hissée à la hauteur des piliers principaux, le rehaussement de la maturité des contrôles clés entraîne systématiquement le rehaussement des contrôles complémentaires.

L’architecture de sécurité est définie et ensuite mise en œuvre étape par étape afin de répondre aux besoins du cadre normatif et gestion du risque.

POUR EN SAVOIR PLUS

CONTACTEZ-NOUS


Demandez une présentation

Nos conseillers ont gagné la confiance des clients les plus exigeants.

Laissez-nous vous montrer pourquoi! Remplissez le formulaire ci-dessous, nous vous contacterons rapidement.

* Champs requis
Afin de traiter votre demande d’information, nous recueillons seulement vos coordonnées professionnelles ainsi que vos noms et prénoms. Ces informations seront utilisées à l’interne chez OKIOK exclusivement afin de vous contacter pour vous transmettre l’information relative à nos produits et services. Pour toutes questions relatives à la protection de vos informations, veuillez-vous référer à notre Politique de protection des renseignements personnels, disponible sur notre site web.
Contact Us

We're not around right now. But you can send us an email and we'll get back to you, asap.

Not readable? Change text. captcha txt

Start typing and press Enter to search