Notre expertise

Notre savoir-faire s’articule autour de plusieurs axes ou approches totalement complémentaires afin de s’assurer de la continuité des services et de la sécurité des systèmes d’information de nos clients.

Conseil

Transformer ses craintes en valeurs ajoutées.

Forte des compétences de ses consultants, SIFARIS vous aide à exprimer vos besoins, à comprendre les enjeux, à qualifier et à mesurer les risques liés à votre activité.

Les réglementations récentes (Bâle, EUROSOX, AMF) ont imposé, par exemple, aux établissements de crédits de créer des outils d’évaluation de tous les risques.

Toutes les grandes entreprises sont aujourd’hui sensibilisées aux problématiques de sécurité des systèmes d’information. La plupart d’entre elles confient à un ou plusieurs de leurs collaborateurs la mission d’y veiller. Le Responsable de la Sécurité des Systèmes d’Information (le RSSI) est par excellence « Le Monsieur Sécurité » de l’entreprise.

Les entreprises de dimension intermédiaire ou les filiales de Groupe ont connaissance des situations à risque mais ne disposent pas toujours d’un RSSI dédié, trop coûteux. Le responsable informatique qui occupe alors cette fonction est le plus souvent accaparé par l’exploitation quotidienne et ne consacre ni le temps, ni la réflexion nécessaire au traitement correct de cette problématique. C’est pour ces entreprises que SIFARIS a développé une offre de « RSSI externalisé ».

Cette offre met à disposition des entreprises un consultant spécialisé sur l’ISO 27001 qui aura pour mission d’augmenter progressivement le niveau de sécurité de l’entreprise tout en utilisant la boucle PDCA (Plan, Do, Check, Act) en fonction de ses moyens, de ses contraintes et de ses objectifs. Il assiste le collaborateur ayant la fonction de RSSI ou le DSI tout au long de l’année afin de le conseiller et le seconder sur des problématiques spécifiques.

La rédaction d’une politique de sécurité du SI n’est qu’une des étapes dans l’établissement de cette politique où d’autres travaux sont nécessaires :

– L’analyse préalable des objectifs de sécurité de l’entreprise;
– L’acte d’engagement de la Direction, validant ces objectifs;
– L’analyse de l’existant pour identifier l’organisation et les mesures à mettre en œuvre,
– La rédaction de la politique de sécurité;
– La rédaction des procédures afférentes à la politique;
– L’établissement du plan d’actions nécessaire à la mise en œuvre de la politique de sécurité;
– La création des tableaux de bord de suivi de la sécurité;
– La charte de bonne utilisation des ressources informatiques;
– La Politique Informatique en nuage (Cloud);
– La politique fournisseurs;
– La sensibilisation des utilisateurs.

SIFARIS apporte son savoir-faire à chacune des étapes de la conception de la politique de sécurité et suit scrupuleusement la norme ISO 27001.

SIFARIS a une compétence particulière en matière de dispositif de
gestion des risques informatiques et de contrôle interne répondant aux
besoins réglementaires.

Ensemble, nous identifierons au cas par cas vos objectifs de sécurité
et vous proposerons une solution adaptée qui tient compte de la
composante managériale.

– Banques : Bale II, LSF;
– ISO 27001/27002/27005;
– ISO 20000;
– Politique de Sécurité de l’Information;
– Gouvernance (Cobit).

Analyse de risques :

Nos prestations d’analyse de risque et de diagnostic du SI s’intégreront facilement à un projet plus global comme l’établissement d’une politique de sécurité ou encore la mise en place d’un plan de secours informatique. Pour ces analyses, nos consultants ont recours à des méthodologies reconnues, mais peuvent également utiliser des approches personnalisées et adaptées à votre contexte dans le cadre d’un plan de secours informatique.

L’identification des risques dans la sécurité des projets reste une fonction essentielle pour les entreprises et sa prise en compte, dès sa conception, est un enjeu majeur permettant de réduire les risques.

SIFARIS a pour vocation d’accompagner ses clients en matière de sécurité dans la gestion de projet du SI.

Le champ d’application de l’Intégration de la sécurité dans les projets repose sur :

– Les applications métiers à développer et/ou à intégrer;
– Les progiciels métiers à intégrer;
– Les éléments d’infrastructure du système d’information à mettre en œuvre;
– Les modalités d’application de la gestion des risques sont à préciser dès le début de projet.

Nous nous assurons que le prestataire assure un niveau de sécurité conformément à l’état de l’art dans chacune des technologies mises en œuvre.

Voici une liste (non exhaustive) de règles applicables :

– Environnement applicatif maintenu en tenant compte des recommandations;
– Application de correctifs par les éditeurs;
– Contrôle rigoureux des entrées utilisateurs (format et contenu);
– Sécurisation des accès aux fonctions d’administration;
– Installation du minimum de fonctions nécessaires lors de l’installation;
– Principe du moindre privilège;
– Utilisation de mots de passe dans le code interdite;
– Mise en œuvre d’une gestion efficace des erreurs.

SIFARIS, au vu des processus métiers et des problématiques SI à chaque étape, est en mesure de vous apporter un conseil personnalisé et à valeur ajoutée :

– Les audits de sécurité organisationnels;
– Les audits SWIFT;
– Les études des risques pesant sur votre système d’information;
– La sensibilisation, la communication et la formation sur la sécurité de l’information au sein de votre entreprise.

SIFARIS vous accompagne à la maîtrise des risques cyber en intervenant pour assurer et organiser la conformité de votre entreprise tout en optimisant vos processus de gestion de l’information et en mettant en place un socle de mesures pour vous conformer aux différentes lois, aux règlements ou encore aux exigences sectorielles ou contractuelles.

SIFARIS teste la résilience de votre entreprise, identifie vos failles de sécurité en mettant à l’épreuve vos systèmes de sécurité en :

– Simulant une attaque grâce à des tests d’intrusion en y associant de l’ingénierie sociale;
– Audit de sécurité de votre système d’information permettant d’identifier les vulnérabilités de vos systèmes, réseaux et environnements Cloud de votre organisation.

Mesurant ainsi la performance de vos processus de surveillance et de vos équipes de sécurité à l’aide d’exercices de Red Team.

Détecter rapidement des incidents de sécurité et prévenir de potentielles cyberattaques avant qu’elles ne se produisent, afin de protéger l’ensemble de vos données et réduire votre exposition face aux risques Cyber.

SIFARIS vous accompagne à mettre en place un dispositif de détection de menaces et de réponse à incident Cyber afin de mieux anticiper le futur.

Identifier la source d’activités malicieuses à la suite d’un incident, d’une infraction ou dans le cadre d’un litige comportant la preuve numérique. Ou que ce soit pour lutter contre la fraude numérique ou bien l’utilisation du système d’information non autorisée sont des causes multiples et peuvent avoir de lourdes conséquences sur les activités de l’entreprise. SIFARIS peut vous aider à retrouver des preuves numériques en respectant les procédures légales.

Cybersécurité

SIFARIS accompagne ses clients dans une réflexion globale visant à intégrer la sécurité à la stratégie de l’entreprise et à la pratique de leur métier.

Data Kidnapping

Le vol de données est une menace qui pèse de plus en plus sur les entreprises. Le principe reste simple, il s’agit de l’exploitation d’une vulnérabilité rendant le système d’information perceptible à un Cybermalveillant par le biais d’un envoi de mail de type Phishing lui permettant de s’introduire ainsi frauduleusement sur vos serveurs et d’en neutraliser l’ensemble des outils ; notamment de sauvegarde de données puis d’en exfiltrer vos données pour généralement les chiffrer directement sur votre système d’information par la suite les rendant pour vous inutilisables.

L’un des objectifs pour le Cybermalveillant est financier en vous réclamant une rançon afin de vous rendre l’accès, non seulement à vos données, mais aussi parfois à vos serveurs.

La meilleure façon de gérer une crise est de s'y préparer

Ce type d’incidents peut entraîner des conséquences désastreuses sur les activités d’une entreprise, affectant notamment la motivation de son personnel, de ses clients, de ses actifs ainsi que sa réputation. SIFARIS vous accompagne dans cette situation de crise.

Être accompagné par des experts peut s’avérer être un élément clé dans la gestion de situations de crise et une aide précieuse dans la négociation et la minimisation des risques que présente ce type d’incidents. Gérer une situation de crise nécessite des compétences spécifiques qui s’appuient sur une double approche : le Conseil et la protection Cyber.

 

 

L’incertitude autour des incidents Cyber peut être écrasante pour un dirigeant ou ses cadres, mais avec SIFARIS à vos côtés, vous ne serez pas seul. Notre équipe d’experts vous guide à chaque étape du processus. La gestion de crise nécessite un partenariat étroit pour minimiser les risques, protéger votre réputation et assurer un retour à la normale rapide et efficace de votre entreprise.

Évaluer vos risques et identifier vos vulnérabilités Cyber et organisationnels en planifiant avec SIFARIS un diagnostic cyber pour que votre gestion de crise soit réussie, sans oublier de former et sensibiliser vos équipes aux meilleures pratiques de cybersécurité pour réduire les risques d’incidents.

Alerter et détecter pour identifier rapidement les signes d’incidents, répondre et coordonner les actions en mobilisant les équipes internes (métiers et techniques) lors de l’activation du plan de crise. La communication interne et externe pour informer de la situation : les clients, les collaborateurs et les autorités de l’ampleur du sinistre et des avancées. Tout au même moment, l’analyse numérique déterminera l’origine et l’ampleur de l’incident tout en préservant les preuves accumulées.

Rétablir et restaurer les services, les données et les systèmes affectés par l’incident Cyber. La gestion de la communication avec les parties prenantes, y compris les clients, les collaborateurs, partenaires et autorités est primordiale et se doit d’être des plus efficace et des plus transparente. Vient l’apprentissage et l’analyse post-mortem de l’incident pour identifier les failles et améliorer le dispositif et les procédures futures.

Réagir aux Cyberattaques

Face à la complexité croissante des menaces cyber, SIFARIS vous ouvre son réseau d’experts. Ces consultants spécialisés offrent un accompagnement adapté « Cyberattaque » en matière de gestion de crise. Ils évaluent entre autres l’impact interne à l’entreprise et fournissent des conseils pour soutenir le dirigeant et/ou ses collaborateurs. Etant l’interface avec les équipes «cyber », ils informent des enjeux et proposent des stratégies selon les étapes de résolution, préservant ainsi la capacité décisionnelle de la direction.

Un accompagnement sur la remédiation de votre système d’information et nous vous accompagnons à mettre en place le bon niveau de Cyberprotection dans votre entreprise (plan d’actions, évaluation de vos risques, votre exposition sur internet, état de la menace, identification de la menace, sensibilisation des collaborateurs).

Intelligence stratégique

Le pôle intelligence stratégique de SIFARIS a pour vocation de soutenir les entreprises dans la mise en place d’authentiques stratégies de veille et de décryptage de l’information, de l’anticipation et la prévention des malveillances, le management des perceptions et de l’image, et la responsabilité sociale des entreprises.

L’intelligence stratégique (c’est-à-dire l’intelligence économique appliquée au bénéfice de toutes les organisations, et pas seulement aux entreprises) doit donc permettre d’anticiper pour concevoir et prendre des décisions majeures garantissant la pérennité de l’entreprise et son développement durable. Elle contribue également à l’exécution de la stratégie (via les actions de communication d’influence). Elle doit enfin veiller à la protection de l’information sensible. L’intelligence économique a pour vocation de :

– Construire ou d’améliorer des dispositifs de veille (notamment en affinant la méthodologie, les sources, en étendant les réseaux d’experts, en insistant sur le travail de cartographie d’acteurs – en particulier les dynamiques relationnelles unissant des personnes morales ou physiques);
– Protéger contre les malveillances les collaborateurs, les sites et le capital informationnel des entreprises;
– Façonner positivement l’environnement de l’organisation, dans le respect strict du cadre légal et de l’éthique, afin de construire une image valorisante génératrice de valeur ajoutée globale pour le développement d’une marque et du réseau d’acteurs et de structures qui la constituent.

Besoin d'aide pour intégrer votre cybersécurité ?

Contactez nous !