Assistance élaboration PCA et PRA

Assistance à l'élaboration d'un PCA et d'un PRA

Assistance à la Maîtrise d’Ouvrage

YSOSECURE peut vous assister dans le cadre de votre activité PRA / PCA ( Plan de reprise d’activité / Plan de continuité d’activité), garantissant les conditions de
relance des activités (délai de reprise d’activité [RTO : Recovery Time Objective], perte maximale de données tolérée [RPO]).

  • Définition des objectifs de sécurité
  • Etude de l’organisation, Plan d’action
  • Mise en oeuvre du plan d’amélioration
  • Suivi et évolutions du PCA

Notre expertise :

  • Analyse des risques et expression des besoins métiers en continuité d'activité.
  • Elaboration de la stratégie de secours informatique (PSI)
  • Définition des scanérios d'architecture de secours
  • Pilotage et/ou mise en œuvre de l'architecture de secours
  • Hébergement de l'architecture de secours
  • Rédaction des procédures (cellule de crise, activation du site de secours, checklist PRA pour les nouveaux projets...)
  • Test du plan de secours
  • Transfert de compétences pour le maintien en conditions opérationnelles

Les facteurs de succès d'un PCA :

Les principaux facteurs de succès d'un PCA

  • Dissocier les enjeux des métiers et les exigences techniques.
  • Segmenter le projet : de l'analyse des risques à la définition de la stratégie, de la définition de l'architecture cible à sa mise en œuvre, de la rédaction du plan de secours à son test en conditions réelles.
  • Pour restaurer N serveurs, il faut d'abord savoir restaurer chaque serveur unitairement.
  • Etre accompagné de consultants ayant une vision des risques métiers ET une expertise technique
  • La solution de secours doit être testée régulièrement
  • Les notions de PRA sont à aborder dans chaque projet informatique (cela impacte-t-il le PRA ? quelle est la criticité métier liée au projet : évolution d'une architecture technique, ajout d'applications).

Tableaux de bord securite

Mettre en oeuvre des tableaux de bord sécurité dans le cadre d'un SMSI

Comment constituer un système de tableaux de bord ?

L'objectif des tableaux de bord est de donner une vision de synthèse du niveau de risque.

Les tableaux de bord sécurité seront constitués à partir :

  • des risques et enjeux principaux identifiés (suivi du niveau des risques majeurs)
  • des mesures de sécurité issues d'une analyse de risques
  • de procédures ou directives de sécurité issues d'une politique de sécurité de l'information
  • des contrôles mis en oeuvre pour vérifier l'application de la politique de sécurité

Deux ou trois niveaux de tableaux de bord peuvent être élaborés :

  • Décisionnel : vision synthétique de la situation de la sécurité pour la direction générale, que ce soit dans ses dimensions techniques ou fonctionnelles,
  • Pilotage : avancement de la mise en oeuvre des mesures de sécurité par domaine (par exemple les 11 domaines de l’ISO 27002),
  • Opérationnel : indicateurs de disponibilité des réseaux (locaux, distants), l'identification des incidents de sécurité (attaques virales, sauvegardes, comptes utilisateurs …), suivi des mises à niveau (OS, logiciels, progiciels, )…

Le choix des indicateurs sécurité

A l'issue d'une démarche d'analyse des risques, peuvent être identifiés les risques principaux et ainsi en déduire les menaces et principales mesures de sécurité à surveiller.

Ensuite pour chaque règle de sécurité définie, il faudra définir un ou des indicateurs, et pour chacun d’entre eux identifier :

  • le mode de calcul de l’indicateur (fréquence d'actualisation),
  • le mode de constitution de l’indicateur (attention aux indicateurs alimentés manuellement),
  • le seuil et/ou la valeur cible,
  • la présentation de l’indicateur.

Assistance à la mise en oeuvre d'un SMSI

Implémenter un SMSI conforme à la norme ISO 27001.

L'assistance à la mise en oeuvre d'un SMSI peut commencer par un état des lieux ISO 27001 ou à l'issue d'une mission d'analyse des risques.

Mais schématiquement nous retrouverons les étapes suivantes :

Etape 1 : Analyse des écarts avec l'existant

Lors de cette phase, nous travaillerons étroitement avec vous pour :SMSI

  • Identifier les objectifs en matière de sécurité de l'information
  • Définir un périmètre du SMSI
  • Concevoir une organisation de la sécurité efficace
  • Identifier les écarts sur la partie Management de la Sécurité

Cette étape donnera lieu à un premier livrable qui devra être validé en comité.

Etape 2 : Analyse des risques

Nous vous assisterons pour la partie analyse des risques :

  • Identification des enjeux métier
  • Inventaire et classification des actifs
  • Identification des menaces, vulnérabilités
  • Sélection du traitement du risque
  • Validation du plan de traitement des risques
  • Rédaction de la déclaration d'Applicabilité

Lors de cette étape, il sera nécessaire d'avoir plusieurs réunions avec le comité de décision, notamment sur les critères (impact, acceptabilité des risques), sur la synthèse des enjeux, sur les plan de traitement des risques (et la validation des risques résiduels).

Etape 3 : Assistance à la mise en place des politiques du SMSI

Le client mettra en place les politiques et procédures néccaires (celles liées au SMSI et celles liées aux mesures de sécurité issues du plan de traitement des risques), notamment :

  • Procédure de gestion de la documentation du SMSI
  • Pilotage des chantiers sécurité (mise en oeuvre des mesures de sécurité)
  • Définition du cadre de contrôle interne et d'audit
  • Mise en conformité des processus sécurité existants
  • ...

Notre assistance sur ces thèmes seront définie de façon conjointe :

  • Soit au lancement du chantier (cadrage du chantier, définition des livrables, des acteurs du planning, ...)
  • Soit à la validation des principaux jalons
  • Soit en assistance à la réalisation du chantier

 

Mener une analyse de risques avec Mehari 2010

Mener une analyse de risques avec Mehari 2010

Quelle critères de choix de méthode de gestion des risques :

Nous pensons que Mehari (avec le logiciel Risicare) est en général une bonne méthode s'adaptant au contexte du projet sauf, potentiellement, dans les cas suivants :

  • Si la société n'a encore aucune maturité sur la sécurité de l'informationet la Direction aucune sensibilité sur le sujet, dans ce contexte un diagnostic initial de sécurité doit suffire dans un premier temps (avec ou sans implication des directions métiers).
  • A contrario dans des entreprises avec des enjeux de sécurité forts ou des réglementations spécifiques, un travail préalable de la pertinence des bases de Clusif est à réaliser.

Assistance à Maîtrise d'Ouvrage ou Maîtrise d'Oeuvre

Autrement dit, la démarche doit elle être menée par le Client avec une assistance et un support externe ou menée par des consultants extérieurs à l'entreprise.

Notre préconisation est que cette mission soit menée en interne (Chef de projet sécurité ou RSSI), car elle permettra de batir un référentiel de contrôle qui sera mis en oeuvre ou d'étendre le périmètre initial à d'autres métiers ou entités de l'entreprise.

Mais dans certains contextes (indisponibilité du Responsable sécurité ou absence de RSSI), nous pouvons intervenir en Maîtrise d'Oeuvre.

Les écueils à éviter dans un projet de gestion des risques :

Sans être exhaustif, les conseils pour la réussite d'un projet de gestion des risques :

  • trouver un périmètre de projet pertinent, pour lesquels les résultats seront significatifs mais de taille réaliste pour garantir un délai acceptable.
  • Identifier les métiers à rencontrer et les managers le plus à même d'identifier les enjeux, et à quantifier les impacts potentiels.
  • Prévoir l'implication de la Direction dans la validation des jalons clefs.

Durée et coût du projet

Le principaux facteurs qui influent sur sur la durée du projet et son coût sont :

  • le nombre de métiers à analyser dans le périmètre du projet (et donc de personnes à rencontrer ) pour en classifier les principaux enjeux / impacts.
  • le nombre d'entités (entités physiques, logiques, ..) à diagnostiquer sur la partie vulnérabilté
  • le détail nécessaire dans le plan de traitement des risques (et le chiffrage des mesures de sécurité).

En fonction de ces facteurs, un projet de gestion des risques informatiques dure généralement entre 2 et 6 mois.

Diagnostic flash ISO 27001 et ISO 27002

Objectif de l'audit sécurité flash :

L'objectif de ce diagnostic est de fournir un état des lieux de la maturité de votre entreprise ou organisme vis à vis de la sécurité de l'information en s'appuyant sur les normes :

  • ISO 27001 pour ce qui est relatif au management de la sécurité
  • ISO 27002 pour ce qui a trait aux mesures de sécurité.

Ce diagnostic de sécurité s'adresse aux entreprises qui ne disposent pas encore d'un politique structurée de sécurité de l'information (mais qui ont déjà mis en œuvre des mesures de sécurité).

Les résultats de ce diagnostic intègrent :

  • L'identification des menaces principales et des actifs stratégiques de l'entreprise
  • Une analyse de la maturité vis à vis de la sécurité de l'information (en s'appuyant sur un questionnaire ISO 27001 et 27002 avec plus de 200 points de contrôles)
  • Des recommandations pour organiser la sécurité, lever les freins internes et mettre en oeuvre une politique de sécurité

Cet audit flash de sécurité s'appuie sur le code de bonnes pratiques ISO 27002 pour plusieurs raisons :

  • Cette norme couvre de façon homogène et exhaustive l'ensemble des domaines de la sécurité de l'information
  • Elle n'est pas dépendante de telle ou telle solution technique et s'adapte à l'architecture de votre système d'information
  • Sa notoriété permet de bien sensibiliser la Direction Générale aux différents domaines à traiter de la sécurité de l'information.

Outillage utilisé :

Nous avons développé un outillage basé sur ISO 27001 et ISO 27002 (grilles Excel) composé de 200 questions.

Livrables :

Les livrables de ce diagnostic sont composés d'un rapport intégrant :

  • Les actifs d'information (patrimoine) importants pour l'entreprise, les principales menaces existantes.
  • Pour chacun des 11 domaines de la sécurité, le positionnement de l'entreprise.
  • Les recommandations en terme d'organisation / chantiers prioritaires.

Conditions et limites :

Cette prestation est forfaitisée et intègre 2 jours d'intervention et d'interview dans vos locaux plus un travail en nos locaux d'analyse et de synthèse.

Cette offre s'adresse :

  • à des entreprises ou organismes de taille moyenne ou petite (soit entre 50 et 250 personnes)
  • pour un seul site ou un métier d'une entreprise/organisme plus important.

 

Tarif :

Forfait : 3.200 €/HT  (frais de déplacement et d'hébergement en sus)

  • 1
  • 2

Copyright Ysosecure © 2002 - 2018