Gestion de la Sécurité de l’Information

  • Contact

    • AdNovum peut vous apporter son aide en ce qui concerne les aspects suivants de la gestion de la sécurité de l’information :

     

  • Evaluation de la Cybersécurité

  • Scan de vulnérabilité

  • Test de pénétration

  • Élaboration de politiques, de concepts et de stratégies

  • Développement et mise en œuvre d'un SGSI - ou avancement de votre SGSI existant

  • « responsable de la sécurité de l'information »

    • Evaluation de la Cybersécurité

    Votre organisation est fin prête pour sa transformation numérique, mais après avoir entendu parler de ransomwares tels que WannaCry et Petya, votre confiance est ébranlée. Vous vous demandez si votre système renferme des risques de sécurité similaires.


    Faites évaluer votre cybersécurité pour lever vos doutes et identifier précisément les risques de sécurité potentiels que comporte votre environnement informatique. Examinez les contre-mesures qui peuvent vous permettre de remédier aux failles de sécurité, tout en maximisant votre productivité.

     

    Votre environnement informatique est en constante évolution en raison des nouvelles exigences qui se font jour. Avec la numérisation, un nombre croissant d’éléments critiques pour la bonne marche des opérations dépend de processus et d’infrastructures informatiques. Aussi est-il essentiel que vos systèmes informatiques soient parfaitement protégés afin de limiter les brèches de sécurité.

     

    Votre sécurité informatique est-elle adaptée aux nouvelles menaces ? Quels sont exactement les risques de sécurité renfermés par votre système actuel ?

     

    Évaluez précisément votre sécurité informatique dès aujourd’hui et améliorez la sécurité de l’information dans votre système.

    Une analyse neutre de la situation actuelle et des mesures appropriées vous aideront à prémunir vos systèmes informatiques contre les cyberattaques. Nous identifions les principaux risques et passons en revue les mesures de sécurité en place dans votre entreprise.

     

    Nous vous indiquons ensuite les risques qu’il serait préférable d’assurer et ceux que vous pouvez gérer en interne.

    L’évaluation de la cybersécurité sensibilise aux risques, ce qui permet à votre organisation de mieux évaluer et d’engager les mesures nécessaires pour y faire face. Si, par exemple, vous envisagez de souscrire une assurance cybersécurité, une analyse efficace de la situation et la mise en œuvre de mesures appropriées vous aideront à identifier les produits les plus rentables.

     

    À la suite de l’évaluation de la cybersécurité, votre organisation sera mieux armée pour comprendre les menaces pesant sur votre sécurité informatique et donc pour y répondre.

    Le service « Cyber Security Assessment » d’AdNovum repose sur plusieurs décennies d’expérience dans le domaine de la sécurité informatique aussi bien dans le secteur public que privé. Après évaluation, nous vous conseillons dans le choix concret des mesures, ainsi que pour leur planification, leur mise en œuvre technique et organisationnelle.

     

    Votre organisation bénéficiera ainsi d’une protection complète et sera mieux au fait des moyens lui permettant de protéger ses données importantes contre les cybermenaces qui se multiplient.

    Downloads

  • Evaluation de la Cybersécurité (PDF, 131 KB)


    • icon cybersecurity assessment
    icon vulnerability scan

    Scan de vulnérabilité

    Un scan de vulnérabilité est un scan semi-automatique des systèmes IT pour trouver des failles connues. De tels scans doivent être adaptés et configurés en fonction des conditions rencontrées. Les résultats des scans sont analysés dans le contexte des conditions.


    Comme le contexte IT change en permanence et de nouvelles failles sont découvertes, il est recommandé de faire des scans de vulnérabilité périodiquement et de garder un œil sur les changements qui interviennent dans les résultats.


    Les experts d’AdNovum effectuent des scans de vulnérabilité pour vous, analysent et interprètent les résultats et suivent les changements et les progrès dans les résultats des scans périodiques.

    Test de pénétration

    A la différence d’un scan de vulnérabilité, un test de pénétration est, en grande partie, un examen de sécurité manuel de vos systèmes IT. En d’autres termes, il s’agit d’une attaque simulée par un attaquant expérimenté. Il y en a différents types :

     

    Les applications web sont des cibles attractives pour les attaquants car elles sont habituellement communes et exposées. Les départements ou équipes de développement logiciel ne font pas toujours assez attention à la sécurité car d’autres besoins prennent le dessus. De tels manquements devraient être identifiés à l’aide d’un test de pénétration.


    Habituellement, les applications web sont accessibles depuis Internet et peuvent être testées sans avoir besoin de se procurer des accès plus avancés. Si une application web est seulement utilisée sur un réseau interne, il est nécessaire d’avoir les accès appropriés pour effectuer les tests.

     

    Avec l’augmentation de la mobilité et la possibilité d’accès aux services et applications au travers du téléphone mobile, les applications mobiles deviennent de plus en plus attractives pour les attaquants.


    Pour prévenir les attaques, nos employés expérimentés et compétents testent vos applications mobiles sur les plus importants systèmes d’exploitation tels que iOS et Android.

     

    En effectuant un test de pénétration sur le réseau ou l’infrastructure, une plage d’adresse IP ou une zone de réseau est analysée. Ainsi les services disponibles sont identifiés et sondés en essayant de les attaquer.


    Les zones ciblées peuvent être des réseaux internes ou des systèmes qui sont accessible par internet.


    Si les réseaux internes sont testés, il est nécessaire de recevoir les droits d'accès correspondants pour tester le réseau et ses services. Dans un tel scénario, il est possible de simuler une attaque d'un salarié ou d'un attaquant qui a déjà obtenu l'accès au réseau interne.

     

    Comme pour les scans de vulnérabilité, pour les tests de pénétration, il est recommandé de les effectuer périodiquement et de garder un œil sur l'évolution des résultats.

     

    icon penetration test
    icon development concepts

    Élaboration de politiques, de concepts et de stratégies

    Vous souhaitez développer une stratégie et un concept clairs en matière de sécurité de l'information et définir une politique de sécurité de l'information pour vos employés, mais vous ne savez pas par où commencer ?


    AdNovum peut vous aider à développer des idées, à créer des concepts et à trouver les meilleures façons de communiquer les politiques et les règles à vos employés ou à vos fournisseurs ou partenaires externes.

    Développement et mise en œuvre d'un SGSI - ou avancement de votre SGSI existant

    De nos jours, tout le monde s’attend à des solutions sécurisées. Cependant, la facilité d’utilisation ne devrait pas souffrir de la mise en œuvre des aspects de sécurité. Un Information Security Management System (ISMS) fournit une vue d'ensemble des risques de sécurité de l'information d'une entreprise et des mesures possibles pour atténuer ces risques. Le niveau de sécurité qui devrait être atteint par une entreprise peut être contrôlé grâce à un SGSI correctement mis en œuvre.


    AdNovum peut vous aider à développer, mettre en œuvre et valider les aspects d'un SGSI afin d'équilibrer la facilité d’utilisation et les aspects de sécurité. En outre, nous pouvons vous aider à rédiger des concepts de sécurité des données, à préparer des formations pour vos employés ou à mettre en place un système de gestion de la continuité des activités.

    icon development isms
    icon information security officer as a Service

    « responsable de la sécurité de l'information »

    En tant que « responsable de la sécurité de l'information », nous pouvons vous soutenir dans les domaines suivants :

     

    • Maintenir et développer l'ISMS (Information Security Management System) selon ISO 27001/2
    • Evaluer les risques et définir des mesures appropriées
    • Définir des politiques de sécurité de l'information
    • Planifier et soutenir la mise en œuvre de mesures visant à améliorer la sensibilisation des employés à la sécurité de l'information
    • Planifier et réaliser divers projets de sécurité de l'information
    • Coordonner des projets pertinents pour la sécurité de l'information
    • Mettre en œuvre d'une architecture de sécurité appropriée

    Normes

    La plupart du temps, nous utilisons l'une des normes les plus connues :

    • - BSI Baseline Protection
    • - ISO/IEC 2700x
    • - PCI DSS (Payment Card Industry Data Security Standard)
    • - CIS Top 20 Critical Security Controls for Effective Cyber Defense
    • - NIST Cyber Security Framework
    • - COBIT 5 for Information Security

     

    Cependant, selon vos besoins et exigences, nous utilisons également d'autres normes telles que les normes spécifiques à l'industrie pour ISO/IEC 27002 ; ISO/IEC 27799 pour l'informatique de santé, ASVS (Application Security Verification Standard), MASVS (Mobile Application Security Verification Standard), OWASP Testing Guide, OWASP Mobile Testing Guide, CVSSv3, ...

     

    icon for standards

    Contactez-nous – Nous serons ravis de vous aider !

    Avez-vous trouvé les réponses que vous cherchiez ? Avez-vous d’autres questions en rapport avec l’IT ou la cybersécurité que vous souhaiteriez discuter ? N’hésitez pas à nous contacter s’il vous plaît.

    Peter Egli Principal IT Consultant

    Leo Huber Head of IAM Consulting