_edited.png)
Le client
Notre client est une start-up numérique développant des technologies d’intelligence artificielle et de science comportementale au profit des institutions et des conseillers financiers. Leur outil permet aux professionnels dans la banque de mieux comprendre leurs clients afin de leur permettre d’adapter leurs conseils en fonction de la personnalité financière de leurs épargnants.
De par la nature même du produit, et de par le secteur d’activité dans lequel l’entreprise évolue (le secteur bancaire), cette dernière est particulièrement concernée par les enjeux de cybersécurité, dans la mesure où les outils développés par l’entreprise traitent une quantité de données personnelles et sensibles (puisque liées aux comportements bancaires et à la santé financière des épargnants).
Ainsi, les enjeux de sécurité étaient nombreux :
Assurer la sécurité des données traitées par l’entreprise, pour des questions de réputation mais également de conformité réglementaire et légale ;
Appréhender et anticiper les éventuels cyber menaces qui pèsent sur l’activité, et mettre en place des actions de cybersécurité défensive ;
Anticiper les risques et les scénarios de crise possibles, de façon à prévoir un plan d’action adapté en cas d’incident majeur, afin de permettre une reprise efficace organisée des activités perturbées par l’incident.
Notre prestation
Le succès d’une organisation dépend de sa capacité à préserver le bon fonctionnement de ses processus critiques pour fournir ses produits et services clés. Ainsi, la rédaction d’un PCA (pour Plan de Continuité d’Activité, ou Business Continuity Plan en anglais) a été la solution privilégiée.
L’objectif d’un PCA/PRA est de s’assurer que l’organisation établit une stratégie, un plan et des procédures pour réduire et minimiser l’impact d’une perturbation majeure sur ses principales activités.
Il permet aux entreprises de ne pas se retrouver complètement paralysées suite à la survenue d’un incident ou d’une catastrophe naturelle.
Les objectifs d’un PCA sont :
D'identifier les processus clés de votre organisation et d'évaluer l'impact d'une perturbation sur cette dernière.
D'identifier et d'analyser les risques qui mettent en péril la continuité de l'activité de votre entreprise.
De vous fournir une vue d'ensemble concise de la manière dont votre organisation réagira à un incident perturbateur affectant la continuité de ses activités.
De définir les personnes qui interviendront en cas d'incident et la manière dont les plans de continuité et reprise des activités seront mis en œuvre.
De décrire les moyens en place ayant pour but de faciliter la gestion de l’incident.
De définir comment les décisions seront prises en ce qui concerne la réponse à un incident
D'expliquer comment la communication au sein de votre organisation et avec les parties externes sera gérée.
De définir ce qui se passera une fois l'incident résolu et les intervenants retirés.
Le déroulement d’une telle prestation est généralement composée de 3 grandes étapes :
Tout d’abord la réalisation d’une analyse d’impact (ou Business Impact Analysis) permettant de comprendre en détail quel serait l’impact d’un potentiel incident de sécurité sur l’organisation. Lors de cette étape, une analyse des risques est conduite, de façon à identifier les risques existants et de déterminer si l’organisation a mis en place des procédures adaptées pour réagir en cas d’incident avéré. Une classification des risques est également réalisée de manière à identifier précisément les risques les plus critiques, en termes de conséquences mais également en termes de probabilité d’occurence.
La deuxième étape consiste à rédiger un rapport synthétisant les résultats de l’analyse d’impact et de l’analyse de risque. Une stratégie est ensuite élaborée afin de proposer des solutions pour remédier aux risques. Le client a ainsi la possibilité d’accepter ou de refuser les propositions qui lui sont faites. Sur cette base, un PCA (ou Plan de Continuité d’Activité) est rédigé, détaillant la marche à suivre en cas d’incident de sécurité avéré ainsi qu’un plan d’action détaillé pour pallier les risques identifiés.
Et enfin, une troisième étape consistera à proposer des procédures dédiées pour les risques les plus critiques. Lors de cette étape, les quelques risques les plus critiques sont alors identifiés, classifiés, et un plan d’action associé et beaucoup plus exhaustif leur est associé.
Les spécificités de ce projet
La réalisation d’un PCA est une étape indispensable à la création d’une culture de gouvernance de la sécurité en entreprise. Elle permet de s’assurer que les risques cyber ont été anticipés et que des actions de prévention ont été mises en place de façon à garantir la continuité des activités en cas d’incident de sécurité.
Dans le cadre d’une certification ISO 27001, la rédaction d’un PCA est d’ailleurs une étape indispensable, puisqu’elle contribue au SMSI (i.e. Système de Management de la Sécurité de l’Information) dans une entreprise.
Articles complémentaires :
Vous avez apprécié cet article de blog ?
Retrouvez plus de contenus en rapport avec la cybersécurité et la conformité réglementaire au RGPD sur le blog de CyberSecura !
Découvrez-en plus sur notre prestation de rédaction de
PCA (Plan de Continuité d'Activité)
Nous avons besoin de vos réponses !
En répondant à cette enquête, vous nous permettez de mieux comprendre vos interactions avec notre site ainsi que vos potentiel besoins.
Vos réponses sont anonymes, et à moins que vous ne demandiez à être re-contacté(e) par nos équipes, aucune information personnelle ne vous est demandée !
Merci pour vos réponses !
Vous souhaitez être informé(e) de nos actualités, et recevoir nos derniers articles de blog directement dans votre boite mail ? Abonnez-vous à notre newsletter mensuelle !
Vous souhaitez discuter de vos difficultés, de vos besoins, de nos offres ? Demandez à être contacté, gratuitement et sans engagement, par l'un de nos expert en cybersécurité !
Comments