Notre solution - Les Oies du Cyber

Le Pack Conformité DORA

 

Notre approche repose sur deux plateformes avec un accompagnement ciblé par un consultant lors de points réguliers.

Plateforme d’audit Cybalgoris

DORA impose des niveaux élevés de résistance, sans imposer des modalités précises pour atteindre ces niveaux. C’est logique puisque cela dépend de la nature du métier et de l’organisation de l’entreprise, tant d’un point vue IT que général en termes par exemple de sous-traitance ou intégration, d’IT plus ou moins centralisée, de choix techniques tels que la segmentation, la définition des rôles, …

C’est à l’entreprise de prouver qu’elle atteint ces niveaux élevés. Pour cela elle a besoin de deux éléments :
– un référentiel,
– un outil de recensement des pratiques et mesure des écarts par rapport à ce référentiel.

L’outil de recensement des pratiques doit également être celui qui pilote la remédiation, pour éviter une double saisie. Par ailleurs, dans une optique à moyen terme, le même outil doit permettre de nouvelles évaluations des écarts dans le temps, pour identifier toute dérive d’un paramètre, ou enregistrer toute amélioration.

Notre outil d’audit permet :

  • la mesure des pratiques,
  • le calcul des écarts par rapport à ce référentiel,
  • la définition et le suivi des remédiations,
  • une présentation des pratiques à un instant T,
  • une nouvelle mesure des pratiques avec présentation de la mesure antérieure,
  • la possibilité d’effectuer une infinité de cycles de mesure – remédiation -présentation, avec conservation d’un historique.

Cette plateforme a été sélectionnée pour l’audit initial de cybersécurité du Pôle de Compétitivité Minalogic. Elle a été utilisée dans de multiples contextes et à de multiples occasions, depuis l’audit de PME jusqu’à l’accompagnement vers la certification 27001 : 27002.

Plateforme de cyber-profilage Rucheai

Cette plateforme permet :
– d’avoir une vision réelle de la cybersécurité au niveau de tous les collaborateurs, de façon unitaire précise jusqu’à l’agglomération par groupes ou business unit,
– de traiter la composante humaine de la cybersécurité de façon économique (notamment en temps homme) et très performante : en déterminant la situation de chacun, on a une adaptation fine de la formation aux besoins réels. On maximalise ainsi le ratio sécurité/coût et l’acceptation de la formation.

La plateforme répond de façon complète, mais sans excès, au paragraphe 13.6 de DORA : “Les entités financières élaborent des programmes de sensibilisation à la sécurité des TIC et des formations à la résilience opérationnelle numérique qu’elles intègrent à leurs programmes de formation du personnel sous forme de modules obligatoires. Ces programmes et formations sont destinés à tous les employés et aux membres de la direction et présentent un niveau de complexité proportionné à leurs fonctions. Le cas échéant, les entités financières incluent également les prestataires tiers de services TIC dans leurs programmes de formation pertinents conformément à l’article 30, paragraphe 2, point i).

En dehors de la problématique de conformité c’est également une méthode très performante en termes de sécurité du fait de la pertinence des contenus.

Le cas des prestataires IT

Un point particulièrement complexe dans la conformité DORA concerne la sécurité des prestataires IT. Notre approche se déroule en deux temps :

  • Le recensement des prestations de services IT
    Cette phase permet de collecter la liste des prestataires concernés par la directive DORA. Elle combine l’approche « théorique » de l’entreprise et une approche déclarative de chaque collaborateur inclue dans leur cyber-profil. La collecte des données est incluse dans la phase de cyber-profilage Rucheai.
  • Une évaluation de la sécurité des prestataires grâce à notre plateforme Rucheai qui détermine trois paramètres :
    – la résistance des services à une attaque directe,
    – la sécurité du contexte d’utilisation des services (serveurs, sauvegardes, accès…),
    – la sécurité du prestataire lui-même en tant qu’entreprise (un piratage du prestataire peut amener des dommages soit par rupture de service soit par une attaque de type supply-chain). Ce traitement se fait via la plateforme Rucheai, sur un mode déclaratif automatisé pour chaque sous-traitant.

La définition de Tests de Résilience Opérationnelle Numérique

Dans le cadre de DORA, l’entreprise doit définir une batterie de tests qui seront répétés chaque année afin d’évaluer la sécurité de chacun de ses prestataires TIC. Nous avons défini une batterie de tests à la fois performants et économiques. Ceci a été réalisé avec deux partenaires experts dans leur domaine de cybersécurité :
– Aleph Networks pour la partie analyse de sources ouvertes,
– Serenicity pour la partie analyse des flux toxiques.

Demandez à être contacté