_edited.png)
POLITIQUES ET PROCÉDURES DE SÉCURITÉ INFORMATIQUE
01. Cadrage stratégie
Ce travail consiste à faire un audit pour évaluer la posture de sécurité de l’organisation (c'est-à-dire une évaluation des actifs et faiblesses de l’entreprise par rapport aux attentes du marché envers l’entreprise, sa taille, son domaine d’activité etc.). Cet audit permet l’identification des chantiers de sécurisation et leur priorités associées et donc la conception d’une stratégie de sécurisation de l’organisation.
Volume de travail : à partir de 8 jours jusqu’à +20 jours (très variable selon l'organisation).
02. Rédaction de PSSI
Une Politique de Sécurité des Systèmes d’Information définit la vision stratégique de l'organisation en matière de sécurité des systèmes d’information et cadre son mise en action. Une PSSI est un document évolutif, indispensable à une gouvernance de cybersécurité efficace.
L’objectif d’une PSSI est de fournir le cadre de fonctionnement garantissant le niveau de sécurité approprié à l’organisation.
Cette prestation inclut :
-
Définition de vos actifs, de vos enjeux, de vos besoins et objectifs (audit) ;
-
Élaboration et rédaction de votre PSSI ;
-
Évaluation et suivi de sa pertinence (coaching) ;
-
Évolutions/mises à jour (coaching) ;
-
La rédaction de plans de continuité d'activité et de reprise d'activité.
Dans le cadre de la réalisation d'une PSSI, un audit devra être réalisé en amont afin de définir les actifs, les enjeux et les besoins de l'organisation. En aval, des prestations de coaching et d'accompagnement à l'implémentation sont incluses afin de vous accompagner dans la mise en place de ces nouvelles pratiques et procédures de sécurité.
Volume de travail : de 15 à 25 jours en fonction de l’organisation.
La rédaction d’une PSSI inclut également la rédaction d’un plan de reprise d’activité (PRA), d’un plan de continuité d’activité (PCA) et d’un plan de réponse aux incidents (PRI), détaillés ci-dessous.
Cependant, ces demandes peuvent peuvent être formulées à part et il est tout à fait possible de faire appel à CyberSecura dans le cadre de le rédaction d’un PRA, PCA ou PRI, sans rédaction de la PSSI entière.
03. Rédaction d'un plan de continuité d'activité
Le succès d’une organisation dépend de la préservation des opérations critiques et des fonctions essentielles utilisées pour fournir des produits et services clés.
L’objectif d’un PCA est de s’assurer que l’organisation établit des objectifs, des plans et des procédures pour réduire et minimiser une perturbation majeure des principales activités de l’entreprise. Ce plan organise ainsi la poursuite des activités d’une entreprise en cas de perturbation. Il permet aux entreprises de ne pas se retrouver complètement paralysées suite à la survenue d’un incident ou d’une catastrophe naturelle.
Le but du PCA est de permettre à une entreprise de poursuivre ses activités suite à la survenue d’un incident, pas uniquement cyber. Le PCA inclut un PRA (détaillé juste après).
Ainsi, ce document comprend :
-
Un BIA (Business Impact Analysis);
-
La structure et l’autorité chargée d’assurer la résilience des processus et systèmes clés de l’entreprise ;
-
Les exigences liées aux initiatives à prendre pour gérer une catastrophe ou un autre évènement perturbateur ;
-
Les critères permettant de reprendre de manière efficiente et efficace les opérations normales après une perturbation ;
-
La rédaction d'un plan de reprise d'activité.
Volume de travail : 7 à 10 jours environ
04. Rédaction d'un plan de reprise d'activité
Un plan de reprise d’activité désigne l’ensemble des procédures et moyens matériels, techniques et humains permettant de rétablir et de reprendre l’activité d’une entreprise après un incident ou une catastrophe naturelle. Il propose un plan des actions qui faciliteront la reprise de l’activité dans des conditions normales. Le PRA est important pour toutes les entreprises, peu importe la taille ou le secteur d’activité.
Le PRA intègre :
-
Un état des lieux des enjeux et besoins de l’entreprise ;
-
Un listing détaillé des activités clés de l’entreprise ;
-
L’identification des potentiels incidents de sécurité ;
-
Les actions préalables à mener pour limiter l’impact de ces incidents sur les activités clés ;
-
Un listing des ressources clés (ressources humaines, techniques, technologiques) indispensables à la réalisation des activités clés de l’entreprise ;
-
La démarche à suivre pour faire redémarrer l’activité.
Volume de travail : entre 5 et 7 jours
05. Rédaction d'un plan de réponse aux incidents
Le plan de réponse aux incidents définit en détail la manière dont l'organisation va réagir à un incident de sécurité de l'information et le gérer par la suite. Il est destiné à être utilisé au moment où un incident s'est produit. Le plan de réponse aux incident permet aux entreprises de s'assurer qu'en cas de faille de sécurité, le personnel connait et respecte les procédures appropriées en place pour répondre à la menace. De plus, il garantit que l'entreprise est en mesure de répondre efficacement et de manière pertinente à la menace, dans un délai acceptable par l'activité.
Ce document comprend :
-
Les parties prenantes et responsables de la mise en place et du déroulement du plan de réponse aux incidents, ainsi que leurs rôles et responsabilités ;
-
Les procédures de communication, interne et externe ;
-
Les procédures d'activation du plan de réponse et de mitigation de l'incident.
Volume de travail : entre 5 et 7 jours.
N.B : les volumes horaires ne sont donnés qu'à titre indicatif et peuvent varier en fonction de la taille de l'organisation, des objectifs et de divers autres facteurs.
IL TÉMOIGNE
Denis Chincholle, RSI pour la Mairie de Vif
"C’est essentiellement la personnalisation de la réponse que nous avons apprécié. CyberSecura a bien compris qu’en tant que collectivité nous avons des problématiques spécifiques et que les moyens devaient être adaptés [...]. Nous avons réellement eu l’impression de parler d’égal à égal, ce qui est très intéressant et nous avons le sentiment d’être compris et entendus."
L'ÉTUDE DE CAS CLIENT
Vous souhaitez plus de détails concernant nos prestations de rédaction de la documentation de gouvernance de sécurité ? Téléchargez notre cas client pour plus d'informations !
