DOMAINE 2 : Services de conseil en Audit, Gestion des Risques et Management de la Sécurité de l’Information

 


 

Audit, Risk IT and Information Security Management

 

L'utilisation de l'informatique pour traiter l'information continue d'évoluer, et la dépendance des organisations vis-à-vis de l'information ne cesse d'augmenter. La dépendance sur les systèmes et services d'information signifie que les organisations sont plus vulnérables aux menaces de sécurité. Comme il devient plus facile d'échanger des informations, il devient aussi plus difficile de le protéger. La plupart des organisations d’aujourd’hui sont devenues la cible d'attaques sur leurs systèmes informatiques et sur les informations qu'ils transmettent.

Les services de conseil de Sécurité de l'Information de QUALISYS Consulting fournissent une approche pratique et structurée axée sur les résultats, qui aide les organisations dans tous les aspects de l'élaboration, de la mise en œuvre ou la gestion d'un Système de Management de la Sécurité de l'Information (SMSI) en conformité avec la norme ISO / IEC 27001.

Nous avons une vaste expérience dans le développement de système de management de la sécurité dans les organisations des secteurs privé et public. Certains des principaux services que nous offrons comprennent:

 

Services d’audit IT et SI

Le rôle de l'informatique s’est développé en un centre névralgique dans la plupart des organisations. Il est devenu une composante intrinsèque et omniprésente pour les affaires, utilisé dans le maintien et l'extension des stratégies et des objectifs des entreprises. L'impact des technologies émergentes (le Cloud computing, le big data, la mobilité, la consumérisation, les médias sociaux et l'Internet) imprègne tous les aspects de l'entreprise. Aujourd'hui plus que jamais, de plus en plus, les organisations utilisent l’IT pour construire des avantages concurrentiels durables. Les opportunités offertes par le métier de l’IT sont énormes et peuvent séparer les gagnants et les perdants. Le service de conseil en audit IT et SI a, à son tour évolué à partir de l’examen de la liste de contrôle focalisée seulement sur les déficiences du contrôle d'audit et des recommandations aux fonctions stratégiques de l’entreprise pour réaliser les stratégies et objectifs d'affaires.

Les approches traditionnelles de conseil et d'assurance IT ne sont plus adéquates pour améliorer les opérations et ajouter de la valeur à l'entreprise.

QUALISYS Consulting a de l'expérience et des qualifications pointues pour fournir des services d'audit des risques qui couvrent les problèmes IT affectant vos métiers spécifiques.

QUALISYS va au-delà des services de checklist d'audit informatique traditionnels. Nos audits sont guidés par une compréhension profonde de l'environnement métier de nos clients et le développement des relations durables avec toutes les parties prenantes, tout en maintenant notre indépendance pour fournir de la valeur ajoutée aux audits IT /SI et communiquer les idées profondes qui retiennent l’attention de la haute direction et du comité d’audit.

  • Risque par rapport à la conformité, combiné avec l’examen de l’entrée du système et du métier, le traitement, l'interface, des données de base et les contrôles de sortie.
  • L’examen des processus d'affaires combiné avec: les examens des systèmes de workflow; les systèmes d'interface; les systèmes de support et le middleware
  • L’examen de la stratégie et de la gouvernance IT
  • L’infrastructure IT et les examens de contrôles généraux: Performance IT et planification de la capacité; ressources humaines IT; Continuité d’activité/Reprise après sinistre; gestion du changement; La gestion des incidents / problèmes; externalisation des environnements IT ...
  • Examen de sécurité des TIC (contrôles d'accès de sécurité logique, la gouvernance de l’identité et de la gestion d'accès, les systèmes d'exploitation, audit de bases de données, audit réseau ...)

 

Pour plus d'informations et de détails des services de cette section, Contactez-nous.

Management des risques IT

QUALISYS Consulting peut aider à appliquer les référentiels de management des risques des TIs dans tout type ou taille des organisations pour identifier, diriger et gérer les risques informatiques.

Les référentiels de management des risques IT fournit une vue de bout en bout complète de tous les risques liés à l'utilisation des TIs et un traitement similaire approfondie de la gestion des risques.

Le référentiel COBIT 5 comprend une publication sur le management des risques IT et traite des risques découlant des affaires et de l’IT. Le management des risques IT permet d’élaborer des stratégies de réduction des coûts car elle fournit des méthodes pour se concentrer sur les risques importants, comme la livraison tardive des projets, la conformité, le matériel informatique obsolètes et les problèmes dans la prestation de services.

Évaluation des risques: L’évaluation des risques se concentre sur l'évaluation des risques importants pour l'organisation IT. Nos services d'évaluation des risques vous aideront à mettre en œuvre un référentiel de gestion des risques informatiques, à développer une compréhension claire de l'appétit de risque de votre organisation, les exigences de conformité, et l'intégration des responsabilités de gestion des risques. Notre approche prévoit de documenter le niveau convenu des risques informatiques, de s’accorder sur les stratégies d'atténuation appropriées et les risques résiduels. Cela permettra d'assurer que tout impact potentiel sur les objectifs de votre organisation causés par un événement imprévu est identifié, analysé et évalué. Le résultat de l'évaluation des risques IT est un registre des risques qui est compréhensible par les parties prenantes, et permet aux parties prenantes d’atténuer les risques à un niveau acceptable de tolérance.

Référentiel de gestion des risques: Notre service demanagement de risque apporte de la valeur à tout type ou taille de l'entreprise, et est adapté à la personnalisation. Vous serez en mesure de définir des indicateurs clés de risque, de construire des scénarios et une cartographie des risques comprennat des risques acceptable, tolérable, significatif et inacceptable. Vous comprendrez comment utiliser un contrôle existant pour gérer les risques identifiés. La plupart des gestionnaires choisissent de mettre en œuvre un référentiel en raison de son intégration avec les risques et la conformité des structures globales au sein de l'entreprise et ainsi vous obtenez un langage commun pour les professionnels, les gestionnaires et les auditeurs de l’IT

 

Pour plus d'informations et de détails dans ce service, contactez-nous..

Gouvernance et management de la sécurité de l’information

Evaluation du système de management de la sécurité de l’information selon ISO 27 001 : Le service d'évaluation ISO/IEC 27001 de QUALISYS Consulting est structuré pour fournir un niveau élevé et un examen indépendant de la teneur et la qualité de la documentation et du programme de Management de la Sécurité de l’Information. L'approche, adaptée aux besoins de votre organisation, est applicable aux organisations de tailles différentes, et dont les processus de sécurité de l'information varient en maturité.

Grâce à une combinaison de la recherche et des entretiens structurés, nos consultants expérimentés effectuent une évaluation de vos plans et de la documentation du SMSI. Les examens sont effectués en comparant le programme et la documentation du SMSI par rapport à la norme Sécurité de l'Information ISO / IEC 27001.

Les résultats de l'évaluation vous fourniront des occasions de faire la mise en valeur du SMSI, par rapport à la norme ISO / IEC 27001.

Assistance à la mise en œuvre du SMSI ISO /IEC 27001 : L'approche de QUALISYS Consulting pour assister la mise en œuvre du SMSI est basée sur la norme de Sécurité de l’Information ISO / IEC 27001. La norme ISO / IEC 27001 est efficacement scindé en deux parties:

  • ISO / CEI 27001: 2013 est une norme pour les Systèmes de Management de la Sécurité de l'Information (SMSI). Un SMSI est le moyen par lequel la direction surveille et contrôle leur sécurité, en minimisant le risque d'affaires résiduel et s’assure que la sécurité continue à remplir les exigences légales et des clients de l’entreprise,

  • ISO / CEI 27002: 2007 est la norme du code de pratique et peut être considéré comme un catalogue complet des bonnes actions de sécurité.
    Notre service de mise en œuvre des ISMS pourrait impliquer l’assistance en conseil avec l’un ou plusieurs des aspects suivants:

     

    Phase 1: Plan (Établir les SMSI)

    • Définir le périmètre du SMSI
    • Définir la politique du SMSI
    • Définir une approche systématique de l'évaluation des risques
    • Identifier les risques
    • Apprécier les risques
    • Identifier et évaluer les options pour le traitement des risques
    • Sélection les mesures et les objectifs de contrôles
    • Préparer une déclaration d'applicabilité
    • Obtenir l'approbation de la direction

     

    Phase 2: Do (Mettre en œuvre et exploiter les ISMS)

     

    • Formuler un plan de traitement des risques
    • Mettre en œuvre le plan de traitement des risques
    • Mettre en œuvre tous les mesures et les objectifs de contrôle sélectionnés
    • Mettre en œuvre le programme de formation et de sensibilisation
    • Gérer les opérations

     

    Phase 3: Check (Surveiller et examiner les SMSI)

     

    • Exécuter les procédures de surveillance
    • Entreprendre des audits réguliers de l'efficacité du SMSI
    • Examiner le niveau de risque résiduel et de risque acceptable
    • Effectuer des audits internes du SMSI
    • Entreprendre des examens du management du SMSI à intervalles réguliers
    • Enregistrez tous les événements qui ont un effet sur la performance du SMSI

     

    Phase 4: Act (maintenir et améliorer le SMSI)

     

    • Mettre en œuvre les améliorations identifiées
    • Prendre des mesures préventives et correctives appropriées
    • Communiquer les résultats à toutes les parties intéressées
    • Veiller à ce que les améliorations atteignent les objectifs visés

 

Elaboration de la procédure et de la politique de SMSI : La mise en œuvre de l’ISO / IEC 27001 nécessite le développement et la mise en œuvre d'une variété de contrôles de sécurité de l'information. Nous fournissons des services de conseils, des outils et des modèles visant à vous assister à élaborer les procédures, les pratiques, les structures organisationnelles, les politiques sécurité de l'information requises et d'autres contrôles nécessaires afin d’obtenir la certification ISO/IEC 27001.

 

Évaluation des risques de l'information : Dans le programme du SMSI, une évaluation des risques se concentre sur les menaces qui mettent en péril la confidentialité, l'intégrité et la disponibilité des informations et des données importantes d'une organisation.

Nos services d'évaluation des risques aident à déterminer vos besoins en sécurité de l'information grâce à une évaluation méthodique de vos risques en sécurité de l'information.

Le service d'évaluation des risques est adapté pour vous aider à:

  • Identifier et adopter une méthodologie appropriée pour l’évaluation des risques
  • Élaborer des critères pour accepter les risques
  • Identifier les niveaux de risque acceptables
  • Evaluer les menaces et les vulnérabilités potentielles
  • Veiller à ce que les évaluations des risques produisent des résultats comparables et reproductibles. Les résultats de l'évaluation des risques guideront et détermineront les mesures de gestion appropriées pour gérer les risques de sécurité et mettre en œuvre les contrôles sélectionnés pour se protéger contre ces risques.

 

Sélection des mesures de sécurité : Nos services de sélection des mesures de sécurité et d’élaboration de la politique de sécurité de l'information aident nos clients à donner la priorité, à évaluer et à mettre en œuvre les mesures de sécurité appropriées pour la réduction des risques recommandées par le processus d’appréciation des risques, compte tenu des opérations de l'organisation.

Ces services visent à vous aider à sélectionner les mesures de sécurité appropriées qui permettront de réduire le niveau de risque de sécurité de l'information de l'organisation à un niveau acceptable.

Notre approche prévoit d'analyser les contrôles qui ont été mis en œuvre ou sont prévus pour la mise en œuvre, par l'organisation afin de minimiser ou d’éliminer la vraisemblance (ou la probabilité) d'une menace pouvant exploiter la vulnérabilité d’un système.

Il peut ne pas être pratique de traiter tous les risques identifiés, donc, nous vous aidons à donner la priorité à la menace et à la vulnérabilité qui ont le potentiel d'avoir un impact ou dommage significatif sur la mission de l’organisation.

It may not be practical to address all the identified risks, so we assist you to give priority to the threat and vulnerability pairs that have the potential to cause significant mission impact or harm.

 

Programme de formation et de sensibilisation à la sécurité de l'information : Les employés représentent le compteur de mesure le plus efficace contre les violations de sécurité. Nos services de programmes de sensibilisation sur la sécurité de l'information aident les organisations à élaborer des programmes viables visant à assurer que vos employés sont conscients de l'importance de leurs activités en relation avec la sécurité de l'information et la façon dont ils participent à la réalisation des objectifs du SMSI. Notre approche et la méthodologie pour concevoir le programme de sensibilisation à la sécurité de l’information prévoit trois grandes étapes:

 

  • Concevoir le programme (y compris l'élaboration du plan du programme de formation et de sensibilisation à la sécurité informatique)
  • Elaborer le matériel de sensibilisation et de formation
  • et mettre en œuvre le programme.

Nous croyons que même une petite quantité de formation et de sensibilisation à la sécurité informatique peut améliorer la position de la sécurité informatique et la vigilance au sein d’une organisation.

Conformité réglementaire ou législatif : Les exigences de sécurité relatives l'ensemble des exigences légales et contractuelles que l'organisation, ses partenaires commerciaux, les entrepreneurs et les fournisseurs de services doivent satisfaire, doivent être consignées dans un SMSI. Nous offrons nos services de conseil pour aider l'organisation à identifier les exigences légales, contractuelles et juridiques liés aux actifs informationnels de l'organisation.

 

Pour plus d’informations et de détails sur ce service, contactez-nous.

Services de conformité PCI DSS

Si votre organisation est un fournisseur service, QUALISYS peut vous aider à améliorer votre cyber-sécurité et respecter les exigences de la norme PCI DSS dans les plus brefs délais avec un coût minimum.

Nous pouvons vous aider sur tout ou une partie des étapes suivantes d'un projet de mise en œuvre de conformité PCI DSS:

  1. Identification du périmètre et analyse des écarts de conformité PCI DSS

    Tout d'abord, la phase d'analyse des écarts compare où votre organisation est actuellement avec l'endroit où il doit être pour répondre à toutes les exigences de la norme. Nous allons identifier où les données des titulaires de cartes sont stockées, traitées ou transmises dans votre environnement, et déterminer l’environnement des titulaires des données de carte (CDE). À ce stade précoce, nous pouvons travailler avec vous pour réduire le périmètre, entraînant finalement la réduction des ressources et des dépenses.

  2. Assainissement et Mise en œuvre

    Lorsque la phase d'analyse des écarts a été achevée, nous pouvons vous aider dans la conception et la mise en œuvre d'une équipe de projet PCI DSS au sein de votre organisation, qui sera finalement chargée d'entreprendre des travaux d'assainissement pour atteindre la conformité. Cela vous fera économiser d’avoir à recruter des consultants externes d'assainissement. Bien sûr, la gouvernance des TI peut être sur place pour assister à des réunions régulières de point de contrôle pour s’assurer que le projet reste sur la bonne voie. On peut aussi fournir un support dans la création de la documentation pertinente requise pour le respect (politiques et procédures par exemple).

  3. Audit de conformité PCI et Rapport sur la conformité (RSC)

    La gouvernance IT entreprendra un audit à travers une évaluation approfondie des contrôles que vous avez mis en œuvre et déterminera si elles satisfont aux exigences de la norme PCI DSS.

  4. Maintenance et amélioration continue

    Nous pouvons également offrir un support pour vous aider à maintenir et à améliorer continuellement votre conformité PCI, que ce soit avec des tests de pénétration, des modèles de documentation ou de formation du personnel.

 

Pour plus d'informations et de détails dans ce service, contactez-nous.

Mise en œuvre du Management de la Continuité d’Activité

QUALISYS Consulting offre une gamme de services qui aident les organisations à mettre en œuvre des programmes de continuité des activités qui préservent les intérêts de leurs parties prenantes clés, en développant la résilience et la capacité de réponses efficaces face aux impacts potentiels qui pourraient menacer l'organisation.

Ces services visent à aider les organisations à élaborer et appliquer des stratégies, des plans et une politique efficace de Management de la Continuité d’Activités.

L'approche de QUALISYS Consulting pour l’assistance à la mise en œuvre du Management de la Continuité d’Activité est basée sur la norme: ISO 22301.

Notre approche de mise en œuvre implique les phases suivantes:

 

Etape 1: Compréhension de votre métier Analyse
de l'Impact
sur Votre Métier
Etape 2: Elaboration de la stratégie pour le Management de la Continuité d’Activité
Etape 3 : Elaboration de la mise en oeuvre des mesures pour le Management de la Continuité d’Activité
Etape 4 : Elaboration de la culture du Management de la Continuité d’Activité
Etape 5 5 : Exercice , Entretien et Audit

 

Pour plus d'informations et de détails des services de cette section, Contactez-nous.