Image by Scott Graham

POLITIQUES ET PROCÉDURES

 

01. Cadrage stratégie

Ce travail consiste à faire un audit pour évaluer la posture de sécurité de l’organisation (c'est-à-dire une évaluation des actifs et faiblesses de l’entreprise par rapport aux attentes du marché envers l’entreprise, sa taille, son domaine d’activité etc.). Cet audit permet l’identification des chantiers de sécurisation et leur priorités associées et donc la conception d’une stratégie de sécurisation de l’organisation.

Volume de travail : à partir de 8 jours jusqu’à +20 jours (très variable selon l'organisation).

 

02. Rédaction de PSSI

Une Politique de Sécurité des Systèmes d’Information définit la vision stratégique de l’organisme en matière de sécurité des systèmes d’information, et cadre son mise en action. Une PSSI est un document évolutif, indispensable à une gouvernance de cybersécurité efficace.

L’objectif d’une PSSI est de fournir le cadre de fonctionnement garantissant le niveau de sécurité approprié à l’organisation.

 

Cette prestation inclut : 

  • Définition de vos actifs, de vos enjeux, de vos besoins et objectifs (audit) ;

  • Élaboration et rédaction de votre PSSI ;

  • Évaluation et suivi de sa pertinence (coaching) ;

  • Évolutions/mises à jour (coaching) ;

  • La rédaction de plans de continuité d'activité et de reprise d'activité.

Dans le cadre de la réalisation d'une PSSI, un audit devra être réalisé en amont afin de définir les actifs, les enjeux et les besoins de l'organisation. En aval, des prestations de coaching et d'accompagnement à l'implémentation sont incluses afin de vous accompagner dans la mise en place de ces nouvelles pratiques et procédures de sécurité.

Volume de travail : de 15 à 25 jours en fonction de l’organisation.

La rédaction d’une PSSI inclue également la rédaction d’un plan de reprise d’activité (PRA), d’un plan de continuité d’activité (PCA) et d’un plan de réponse aux incidents (PRI), détaillés ci-dessous.

 

Cependant, ces demandes peuvent peuvent être formulées à part, et il est tout à fait possible de faire appel à CyberSecura dans le cadre de le rédaction d’un PRA, PCA ou PRI, sans rédaction de la PSSI entière.

 

03. Rédaction d'un plan de continuité d'activité

Le succès d’une organisation dépend de la préservation des opérations critiques et des fonctions essentielles utilisées pour fournir des produits et services clés.

 

L’objectif d’un PCA est de s’assurer que l’organisation établit des objectifs, des plans et des procédures pour réduire et minimiser une perturbation majeure des principales activités de l’entreprise. Ce plan organise ainsi la poursuite des activités d’une entreprise en cas de perturbation. Il permet aux entreprises de ne pas se retrouver complètement paralysées suite à la survenue d’un incident ou d’une catastrophe naturelle.

 

Le but du PCA est de permettre à une entreprise de poursuivre ses activités suite à la survenue d’un incident, pas uniquement cyber.  Le PCA inclut un PRA (détaillé ci-dessous).

 

Ainsi, ce document comprend :

  • Un BIA (Business Impact Analysis)

  • La structure et l’autorité chargées d’assurer la résilience des processus et systèmes clés de l’entreprise 

  • Les exigences liées aux initiatives à prendre pour gérer une catastrophe ou un autre évènement perturbateur 

  • Les critères permettant de reprendre de manière efficiente et efficace les opérations normales après une perturbation

  • La rédaction d'un plan de reprise d'activité

Volume de travail : 7 à 10 jours environ

 

04. Rédaction d'un plan de reprise d'activité

Un plan de reprise d’activité désigne l’ensemble des procédures et moyens matériels, techniques et humains permettant de rétablir et de reprendre l’activité d’une entreprise après un incident ou une catastrophe naturelle. Il propose un plan des actions qui faciliteront la reprise de l’activité dans des conditions normales. Le PRA est important pour toutes les entreprises, peu importe la taille ou le secteur d’activité.

 

Le PRA intègre :

  • Un état des lieux des enjeux et besoins de l’entreprise 

  • Un listing détaillé des activités clés de l’entreprise 

  • L’identification des potentiels incidents de sécurité 

  • Les actions préalables à mener pour limiter l’impact de ces incidents sur les activités clés 

  • Un listing des ressources clés (ressources humaines, techniques, technologiques) indispensables à la réalisation des activités clés de l’entreprise 

  • La démarche à suivre pour faire redémarrer l’activité 

Volume de travail : entre 5 et 7 jours

 

05. Rédaction d'un plan de réponse aux incidents

Le plan de réponse aux incidents définit en détail la manière dont l'organisation va réagir à un incident de sécurité de l'information et le gérer par la suite. Il est destiné à être utilisé au moment où un incident s'est produit. Le plan de réponse aux incident permet aux entreprises de s'assurer qu'en cas de faille  de sécurité, le personnel connait et respecte les procédures appropriées en place pour répondre à la menace. De plus, il garantit que l'entreprise est en mesure de répondre efficacement et de manière pertinente à la menace, dans un délai acceptable par l'activité.

Ce document comprend :

  • Les parties prenantes et responsables de la mise en place et du déroulement du plan de réponse aux incidents, ainsi que leurs rôles et responsabilités 

  • Les procédures de communication, interne et externe

  • Les procédures d'activation du plan de réponse et de mitigation de l'incident

Volume de travail : entre 5 et 7 jours.

N.B : les volumes horaires ne sont donnés qu'à titre indicatif, et peuvent varier en fonction de la taille de l'organisation, des objectifs, et de divers autres facteurs.

Sans titre-3.png

Vous avez des questions, des suggestions ? Vous souhaitez discuter de vos enjeux ?
Demandez à être contacté par l'un de nos expert !