NOS PRESTATIONS
EN CYBERSÉCURITÉ & CONFORMITÉ RGPD
Solutions d'équipement
Choisir et mettre en place des outils de sécurité
Logiciels ou matériel physique, nous guidons votre choix d'outils et pouvons les installer et les paramétrer pour vous, assurant une mise en place efficace.
Solutions en code logiciel
Produisez un code logiciel sécurisé
Nous mettons en place les pratiques de production d'un code sécurisé au sein de vos cycles de développement, avec des possibilités d'automatisation.
Solutions de gouvernance
Établissez vos règles de sécurité, poursuivez une certification
Engageons, avec nos experts à vos côtés, votre entreprise vers une sécurisation pérenne, une valorisation officielle, et la conformité réglementaire.
Solutions de gestion externalisée
Notre support expert disponible et personnalisé
Éclairons vos choix grâce aux conseils d'un consultant expert pour chaque sujet, qui connait votre entreprise. Des solutions de gestion externalisée, en cybersécurité comme en conformité.
Solutions de formation
Sensibilisez et montez en compétence de sécurité
Intervenants techniques, administratifs ou direction : assurez l'implication de tous vos collaborateurs.
Offre partenaire
Découvrez nos tarifs !
NOS MÉTHODOLOGIES
Méthodologie sécurité
Nos audits de sécurité peuvent être réalisés en mode boite blanche, boite grise ou boite noire (pentest). Lorsque cela est possible, nous préconisons la méthodologie de la boite blanche, pour son exhaustivité ainsi que pour la qualité de ses résultats.
Un audit de sécurité est une évaluation d'un système, d'un process et/ou d'une organisation, afin de visualiser les points faibles ainsi que les points forts du système d'information associé.
En fonction de vos besoins, nous pouvons réaliser vos audits de sécurité en suivant les méthodologies suivantes :
-
L'audit boite noire (ou pentest, pour 'penetration testing'): technique d'audit qui vise à reproduire une cyberattaque, au plus près des conditions réelles, afin de voir quelles failles pourraient être exploitées par des acteurs malveillants.
-
L'audit boite blanche : aucun test de pénétration à proprement parlé n'est réalisé. L'audit boite blanche porte ce nom afin d'insister sur l'aspect 'transparence' de cette technique : le consultant dispose de toute la documentation nécessaire (documents de configurations, d'architecture réseau) et dispose ainsi d'une vue d'ensemble de tous les éléments qui composent l'organisation.
-
L'audit boite grise : c'est un mélange entre l'audit boite blanche et l'audit boite noire. Le consultant dispose de quelques éléments d'information sur l'organisation auditée, des informations qui auraient pu être récoltées via différentes techniques de social engineering ou de phishing.
Nous basons nos études sur les normes pertinentes :
-
ISO 27001/2 : pour la sécurisation d'un système d'information ;
-
ISO 27005 et EBIOS : pour la gestion des risques dans une entreprise ;
-
ISO 31010 et NIST 800-30 : pour l'appréciation de risque d'une infrastructure ;
-
OWASP TOP 10 : pour l'appréciation des risques et la sécurisation d'une application.
Nous utilisons des outils de test reconnus et des outils personnalisés pour trouver les vulnérabilités identifiables de cette manière. Nous complétons ensuite ces tests, grâce à notre savoir-faire et à nos ressources internes, par une analyse approfondie permettant d'identifier des problématiques indétectables autrement.
-
Des outils reconnus de test de vulnérabilités d'infrastructures : Nessus, Nmap, SSLyze, Vuls, etc.
-
Des outils reconnus de test de vulnérabilités des applications : Burpsuite, etc.
Méthodologie conformité
La méthodologie que nous appliquons chez CyberSecura permet de concilier efficacité d’un processus établi et précision d’un accompagnement fortement individualisé.
Votre organisation, votre activité, vos collaborateurs et vos usages sont uniques. Il en est de même pour votre conformité qui doit être un miroir fidèle de vos traitements de données. Établir la conformité qui vous est propre avec efficacité est l’objet de cette méthodologie.
L’accompagnement d’un DPO externalisé est scindé en 2 types d’activités :
-
L’activité ‘Support Opérationnel’ : nous répondons à toutes vos sollicitations, celles de vos collaborateurs, celles de vos clients et celles de vos sous-traitant, ainsi que celles des institutions telles que la CNIL, en lien avec votre conformité opérationnelle.
Ce support est prioritaire car vos opérations ne peuvent pas attendre et les exercices de Droits Informatiques et Libertés doivent être gérés dans un délai légal.
-
L’activité ‘Rédaction de la documentation’ : la responsabilité de conformité passe par l’obligation de pouvoir rendre compte grâce à l’établissement et le maintien de tout un corpus de documentation de conformité. Il inclut, notamment, le registre des traitements mais aussi d’autres registres, liés à la sous-traitance ou listant les exercices de droits Informatique et Libertés, les divers textes d’information à destination de différentes catégories de personnes concernées et des Analyses d’Impact (AIPD).
Cette activité d’établissement du corpus de documentation de conformité consiste en un travail de rédaction initial par CyberSecura, suivi de cycles d’ajustements/validations avec vous, puis de mise en exploitation de chaque document ou chaque texte.
Le volet Support et le volet Documentation sont donc effectués en parallèle, et le déroulement suit les étapes suivantes :
-
Établissement d’un état des lieux de conformité :
-
Compréhension fine de votre activité, éléments de risque et enjeux.
-
Identification des actifs.
-
Identification du passif.
-
Établissement des éléments de conformité à cibler.
-
Conception d’un plan d’actions priorisé.
-
Mise en place des modalités d’organisation de la collaboration.
-
-
Démarrage du support, puisque nous avons maintenant la connaissance minimale requise de votre organisation.
-
Phase urgente : les actions les plus prioritaires sont effectuées pendant cette phase dont le volume mensuel est dimensionné pour faire face à ces urgences.
-
Phase de mise en conformité graduelle : la suite du plan d’actions est alors conduite dans un esprit de montée graduelle en conformité, en général sur plusieurs mois voire années.
-
Phase de maintien en conformité : lorsque le plan d’actions a été mené en totalité, le maintien implique une revue régulière de la documentation pour en éliminer les éléments devenus obsolètes, y rajouter les nouveaux éléments ou adapter ce qui a fait l’objet d’évolutions. Le processus de gouvernance de la conformité, par une collaboration entre le Comité de Direction et le DPO, mis en place lors de la phase de mise en conformité, doit aussi être suivi de manière pérenne.
Cette méthodologie complète et organisée est bien sûr rythmée par la restitution de l’état des lieux puis par un rendez-vous trimestriel de reporting qui permet d’évoquer ensemble les actions menées, celles en cours ou qui rencontrent un obstacle et afin de faire la synthèse du progrès de conformité globale.
Pourquoi nous choisir ?
COLLABORATION
Sécuriser votre activité nécessite les efforts de tous : nous travaillons avec vous tous, directeurs, ingénieurs, techniciens, etc.
FLEXIBILITÉ
Toujours dans une posture de préconisation, jamais dans la rigidité : le client reste décideur.
ENGAGEMENT
Prendre à coeur le succès de la mission n'est pas une théorie : c'est le crédo qui anime l'équipe.
REPORTING
À l'opposé d'une boite noire, nos travaux s'effectuent dans la transparence structurée et rythmée.
AGILITÉ
Votre activité et vos priorités évoluent chaque jour, notre mission évolue aussi et accompagne ces changements pour rester optimal.
LES ÉTUDES DE CAS CLIENTS
Découvrez-en plus sur nos prestations de services, sur nos méthodologies de travail ainsi que sur nos références clients à travers ces études de cas client. Chaque étude est composée d'une fiche d'étude de cas client, d'une fiche de présentation du secteur d'activité ainsi que d'une fiche produit de la prestation associée !
Vous souhaitez consulter nos études de cas clients traduites en anglais ? Cliquez juste ici !
Les cas clients en cybersécurité
Audit d'état des lieux
Pour Odonatech, solution logicielle à destination des institutions financières.
Approche DevSecOps
Pour Bonitasoft, éditeur de logiciel.
Rédaction d'une PSSI
Pour la Mairie de Vif, collectivité territoriale en Isère.
Formation et sensibilisation à
la cybersécurité
Pour la Maison de l'Enfance Bachelard, centre d'accueil et de loisirs.
Due diligence en cybersécurité
Pour SODEXO, multinationale française.
Accompagnement vers la certification SOC 2 type II
Pour Checkstep, éditeur de solutions logicielles.
Audit approfondi
Pour Kheoos, place de marché BtoB pour les pièces de maintenance industrielle.
RSSI externalisé en temps partagé
Pour la Mairie de Vif, collectivité territoriale en Isère.
Installation d'équipements de sécurité
Pour Bonitasoft, éditeur de logiciel.
Étude flash en cybersécurité
Pour CountAct, start-up technologique.
RSSI et DPO externalisés en temps partagé
Pour Odonatech, start-up FinTech.
Accompagnement vers la certification ISO 27001
Pour TECHNIDATA, éditeur de logiciel de gestion des laboratoires d'analyses biologiques
Cybersécurité par design
Pour Extellient, créateur de solutions digitales sur mesure
Les cas clients en conformité RGPD
DPO externalisé en temps partagé
Pour PST38, service de santé au travail inter-entreprises.
RSSI et DPO externalisés en temps partagé
Pour Odonatech, start-up FinTech
DPO externalisé en temps partagé
Pour NHTherAguix, start-up de nano-médecine.
DPO externalisé en temps partagé
Pour MARTI, éditeur d'une application de santé
Étude de conformité
de projet
Pour la Mairie et l'Office du Tourisme des 2 Alpes en Isère.
Formation et sensibilisation au RGPD
Pour la Maison de l'Enfance Bachelard, centre d'accueil et de loisirs.
DPO externalisé en temps partagé
Pour SATA Group, exploitant de domaines de montagne.
Gestion d'une violation de données
Pour Présantis, service de santé au travail inter-entreprises
Vous souhaitez consulter ces cas clients traduit en anglais ? Cliquez ci-dessous !
Demandez un devis !