Que ce soit pour améliorer votre posture sécurité ou pour répondre à des attentes de clients ou du marché, différents standards et référentiels existent afin de vous aider à planifier au mieux vos actions sécurité.

CortexEra peut vous accompagner sur les référentiels suivants:

• RGPD - Le Règlement Général sur la Protection des Données est un règlement de l'Union européenne qui constitue le texte de référence en matière de protection des données à caractère personnel. Il est obligatoire pour toutes les entreprises depuis le 25 Mai 2018. En France, la CNIL (Commission Nationale de l'Informatique et des Libertés) controle son bon respect et le cas échéant, sanctionne.


• ISO 27001 - L'ISO/CEI 27001 est une norme internationale de sécurité des systèmes d'information de l'ISO et la CEI. Elle fait partie de la suite ISO/CEI 27000 et permet de certifier des organisations.


• EBIOS - Méthode Française d'évaluation des risques en informatique très utilisée par la défense. Maintenue par l'Agence nationale de la sécurité des systèmes d'information (ANSSI) depuis 2009. Elle a connu une évolution en 2010 puis a été renommée en EBIOS Risk Manager


• COBIT - Référentiel de bonnes pratiques d'audit informatique et de gouvernance des systèmes d'information d'origine américaine


• ISAE 3402/SOC1 - Standard remplacant le SAS70 et permettant aux utilisateurs de prestations externalisées d’obtenir une assurance quant à la fiabilité du dispositif de contrôle interne de leurs prestations de services.


• 42 Règles d'hygiènes de l'ANSSI - l'Agence Nationale de la Sécurité des Systèmes d'Information a émis un guide qui vous accompagne dans la sécurisation de votre système d’information à travers une liste de 42 points de contrôle

Il existe plusieurs aspects complémentaires pour sécuriser votre entreprise:

Aspects organisationnels

• Définition et mise en place d'une Politique de sécurité alignant la sécurité avec la vision de la direction pour l'entreprise
  Une politique de sécurité est un plan d'action défini pour préserver l'intégrité et la pérennité d'une entreprise. Elle reflète la vision stratégique de la direction


• Définition, mise en place et test des Plan de continuité d'activité / Plan de reprise d'activité.
  Une panne de son Système d’Information peut menacer la survie d’une entreprise. Des mesures techniques et organisationnelles doivent permettre de reprendre ou continuer l’activité là où elle s’était arrêtée ou de garantir qu’elle puisse continuer en mode dégradé. Cela nécessite une préparation à ce type de situation soit au travers d’un PCA (Plan de Continuité d’Activité) ou d’un PRA (Plan de Reprise d’Activité). Ces plans ont pour but l’anticipation des actions à mener afin de minimiser l’indisponibilité et les impacts induits

Aspects techniques
Différents référentiels de sécurisation existent (Guides ANSSI, NSA, Référentiel client...). Ils définissent un niveau attendu pour autorisé un élément tel qu'un ordinateur à être connecté à un système informatique.

La Fortification de la sécurité de vos ordinateurs (serveurs, stations de travail, portable, téléphones, NAS) est appelée "Hardening" en anglais.

Le hardening peut s'opérer selon un standard particulier (tel que le PCI-DSS), sur une application/un serveur applicatif (tel que Wordpress) ou à un système d’exploitation (hardening Windows Server).

Une analyse de risques est souvent la meilleure première étape d'un processus de gestion et d'amélioration de votre sécurité. Le résultat est l’identification des différents types de menaces formant une carte des risques.

Un système comporte souvent de nombreuses faiblesses (les vulnérabilités) pouvant être exploitées par des cybercriminels ou des erreurs. Une classification en fonction de la gravité forme la carte des risques. L’objectif principal est de mettre en adéquation les moyens permettant de contrôler ou d’éliminer le risque et l'objectifs défini par la direction.

Les analyses de risques peuvent être menées suivant différentes standards et méthodes telles que : ISO27001, COBIT, EBIOS, ISAE3402/SOC1

L'objectif de nos formations est de permettre à vos collaborateurs d'améliorer immédiatement la posture sécurité de votre entreprise dès le retour au bureau.

Différentes possibilités d'organisation sont proposées afin de mieux correspondre à vos besoin: dans vos locaux, dans nos locaux, à distance.

Nos formations s'adaptent à chaque type de collaborateurs:

Membres de la direction
Sensibiliser la direction aux éléments critiques d'une gestion de crise, identifier les axes à améliorer en priorité et mieux connaître les impacts légaux et financiers des aspects sécurité.

Dévellopeurs
Afin qu'ils apprennent à se protéger des méthodes utilisées par les cyber-criminels pour dévier leur applications de leur but initiale et ainsi prendre la main sur votre système.

Equipes Techniques
Afin qu'ils sachent comment défendre efficacement et quelles traces rechercher sur vos réseaux, serveurs, téléphones et ordinateurs de travail.

Collaborateur
Pour que chaque collaborateur sache comment réagir face aux techniques utilisées par les cybercriminels telles que le phishing, le smshing, le social engineering...

Equipes Sécurité
Afin de mettre à jour vos équipes sécurité sur les dernières méthodes et outils disponibles pour sécuriser votre entreprise