Se rendre au contenu

Conformité

ISO 27001RGPD / GDPRDORANIS2

NIS2

La directive NIS2 améliore la cybersécurité en renforçant les exigences pour les entités concernées, harmonisant les règles en Europe et augmentant la résilience face aux cybermenaces croissantes.  



Inventaire des actifs de l'organisation

Nous vous supportons pour l'établissement et la mise à jour de l'inventaire (composants matériels et logiciels, fournisseurs et sous-traitants associés, interactions entre systèmes). Ce recensement est un pré-requis pour sécuriser vos systèmes.

Analyse de risques

Les entreprises doivent adopter un programme de gestion des risques à long terme. Nous utilisons MONARC, un outil gratuit recommandé par l'État luxembourgeois, afin d'analyser les menaces, proposer des actions correctives et suivre leur évolution selon les meilleures pratiques du marché.

Formation et sensibilisation

Nous dispensons les formations en cybersécurité imposées par NIS2 qui comprennent la sensibilisation, des programmes spécifiques et des simulations, pour renforcer les compétences des dirigeants et employés face aux menaces.

Gestion des incidents

NIS2 décrit de nouvelles exigences en matière de traitement des incidents et de leur signalement aux instances compétentes. Nous vous supportons activement pour que les méthodes et délais prescrits soient respectés.

Détection automatisée des réseaux

En collaboration avec des partenaires internationalement reconnus, nous mettons avec vous en place des solutions technologiques (SOC, SIEM) qui observent et apprennent le comportement des réseaux, des actifs et des communications pour automatiquement repérer les anomalies susceptibles de représenter des menaces pour la sécurité.

DORA

Le règlement européen DORA vise à renforcer la résilience opérationnelle numérique des entités financières en exigeant une gestion stricte des risques, une surveillance des tiers et une réponse rapide aux cyberincidents.



Analyse de risques et recommandations

Les entreprises doivent adopter un programme de gestion des risques à long terme. Nous utilisons MONARC, un outil gratuit recommandé par l'État luxembourgeois, afin d'analyser les menaces, proposer des actions correctives et suivre leur évolution selon les meilleures pratiques du marché. 

Gestion des fournisseurs

DORA impose aux entités financières une évaluation rigoureuse des fournisseurs de services numériques. Nous établissons avec vous le registre des fournisseurs, les règles de surveillance et la revue des accords contractuels. Une évaluation spécifique des risques liés à ces collaborations est également réalisée.

Tests

Le règlement impose aux entités financières, selon leur taille et leur criticité, de mettre en place des mécanismes permettant de tester régulièrement la résilience face aux incidents opérationnels. Nous vous accompagnons dans la conception et la mise en œuvre de dispositifs adaptés, incluant les tests de résilience, les tests de pénétration et les cycles de tests continus, tout en veillant à leur exécution rigoureuse et à une documentation conforme aux exigences réglementaires.

Gestion des incidents

Les entités financières doivent établir un cadre structuré pour gérer les incidents opérationnels liés aux technologies de l'information et de la communication. Nous vous supportons pour mettre en place les processus et outils vous permettant de gérer, classifier et, le cas échéant, signaler auprès des autorités compétentes les incidents TIC.

RGPD / GDPR

Le RGPD (Règlement Général sur la Protection des Données) est un règlement européen garantissant la confidentialité des données personnelles. Il impose des obligations aux organisations, comme l'obtention du consentement, la transparence et la sécurité des données, et accorde aux individus des droits renforcés, tels que l'accès, la rectification et la suppression de leurs informations. .



Etat des lieux et recommandations

Notre analyse permet de réviser la mise en oeuvre du GDPR au sein de l'organisation. En matière de droits individuels, de consentement, de mesures organisationnelles au sein de l'entreprise ou encore d'identification et de notification en cas de violation de données. 

Registre de traitements

Le registre des traitements est une obligation clé imposée par le RGPD pour aider les organisations à documenter leurs activités de traitement de données personnelles et à démontrer leur conformité. Nous vous assistons pour établir ce registre et, le cas échéant, le maintenir à jour.

Analyses d'Impact relative à la Protection des Données (AIPD)

Notre rédigeons votre Analyse d'Impact lorsque elle est nécessaire et que le traitement des données personnelles présente un risque élevé pour les droits et libertés des personnes concernées. 

Formations et sensibilisation

La principale cause de violation de données est souvent liée aux erreurs humaines, notamment celles commises par les employés. Il est donc essentiel de mettre en place des formations régulières et des actions de sensibilisation pour renforcer leur vigilance et leur compréhension des bonnes pratiques en matière de sécurité.

Assistance lors d'un data breach ou contrôle par l'autorité

Malgé toutes les mesures prises, il peut arriver qu'une violation de données surviennent. Nous vous assistons pour analyser l'incident, le notifier si nécessaire et mettre en place les mesures correctives dans l'urgence et à long terme.

ISO 27001

La norme ISO 27001 définit un cadre de gestion des risques pour protéger les informations sensibles et garantir la confidentialité, l'intégrité et la disponibilité des données. Son implémentation et le respect dans la durée de ses recommandations contribuent au respect des directives et règlements mentionnés plus haut. 



Identification du périmètre

L’identification correcte du périmètre à certifier dans le cadre de la norme ISO 27001 est une étape essentielle pour garantir que le Système de Management de la Sécurité de l’Information (SMSI) réponde aux objectifs de l'organisation. Notre processus permet d'identifier les processus critiques, définir les limites organisationnelles et considérer les éventuelles contraintes règlementaires. Le périmètre documenté sera validé avec les parties prenantes au sein de l'organisation.

Gap analysis et recommandations

Nous établissons une première analyse sur base des politiques, procédures, rapports et registres existants. Elle est ensuite confrontée au pratiques constatées au sein de l'entreprise. Les écarts sont identifiés et classées pour permettre l'élaboration du plan d'action.

Les contrôles

Les 93 contrôles de sécurité de l'ISO 27001:2022 fournissent un cadre pour protéger les actifs d’information au sein de l'organisation. Nous identifions avec vous les contrôles pertinents pour chacune des catégories (organisationnels, liés aux personnes, physiques et technologiques) et les intégrons dans le Système de Management de la Sécurité de l'Information.

L'amélioration continue

L'amélioration continue est un élément essentiel de l'ISO 27001 pour garantir la sécurité de l'organisation et maintenir la certification dans le temps. Au quotidien nous maintenons le focus et exécutons les 5 activités clés (évaluation régulière, gestion proactive des risques, mise à jour des documents, implication des parties prenantes et implémentation des actions correctives).