Accompagnement cybersécurité

Un Plan d’Assurance Sécurité (PAS) a pour but de préciser comment les prestataires se conforment aux exigences de cybersécurité définies par le maître d’ouvrage pour ce qui concerne leur organisation et leur Système d’Information.

Digitemis accompagne les organismes dans cette démarche qui doit être initiée en amont de l’externalisation, c’est-à-dire avant le processus d’achat, dès l’appel d’offre. Le PAS permet à un donneur d’ordre de solliciter auprès de ses fournisseurs des règles de sécurité informatique qu’il impose, et par conséquent les garanties souhaitées. Ces exigences rassemblent les enjeux de sécurité (PSSI, directives, règles) et les besoins de conformité (RGPD, données de santé, ISO 27001, …).

Anticipez toutes les éventualités.
En cas de crise avérée, il est nécessaire de recourir à un Plan de Continuité d’Activité (PCA) ou à un Plan de Reprise d’Activité (PRA). Lors d’un incident ou d’un sinistre affectant le système d’information, ces plans ont pour but de mettre en œuvre la stratégie de protection de l’organisme, à travers l’exécution de mesures techniques et organisationnelles garantissant la reprise ou la continuité des activités.

La Politique de Sécurité des Systèmes d’Information (PSSI) est le document traduisant la stratégie de la Direction Générale en matière de sécurité de l’information. Elle fixe un cadre général en identifiant au moins un modèle de fonctionnement et des orientations de sécurité pour les domaines s’étalant de la sécurité physique à la sécurité logique. Elle fonde également les bases d’une gouvernance de la cybersécurité par des actions de pilotage, de revue régulière et d’ajustement basés sur le principe d’amélioration continue. Ce socle permet une communication claire sur la sécurité à l’ensemble des utilisateurs du système d’information.

Digitemis accompagne ses clients dans leur réponse à incident en les préparant à faire face à une crise. En effet, la meilleure des manières pour réagir à une crise est d’y être préparé ! L’identification des activités critiques de l’organisation en amont est donc clé pour s’assurer qu’elles soient protégées puis restaurées en priorité.

Ainsi, l’élaboration d’un plan de gestion de crise permet de définir des personnes à mobiliser et des actions à mener en situation d’urgence.

La norme ISO 27001 permet la mise en place d’un système de management de la sécurité (SMSI).
Fort de son expertise et de son savoir-faire Digitemis accompagne les dirigeants, DSI & RSSI à l’obtention de la certification grâce à une méthodologie rigoureuse.

Au préalable, nous organisons un état des lieux initial afin d’identifier les écarts d’obtention de la certification et nous priorisons ensemble un plan d’actions en fonction de cette analyse et des moyens alloués.

Dans la démarche de mise en place d’un SMSI-HDS, l’appréciation des risques est une étape majeure. Elle permet de positionner le niveau optimal et adéquat de sécurité dans tous les composants du SI qu’il est nécessaire d’atteindre pour l’hébergement de données de santé selon les cas d’usage envisagés, les risques à contrer et les exigences légales, réglementaires et contractuelles à respecter.

Digitemis propose d’accompagner ses clients en s’appuyant la méthode EBIOS-RISK MANAGER (2018) éditée par l’ANSSI pour réaliser un état des lieux de la conformité HDS et planifier dans le temps les chantiers à mettre en œuvre pour atteindre un état permettant d’obtenir la certification.

Afin de protéger les intérêts vitaux et économiques tant pour notre pays qu’au niveau européen, les législations LPM et directives NIS imposent des exigences de sécurité fortes pour les organismes d’importances vitales et essentielles.

En tant que prestataire qualifié PASSI, Digitemis dispose des compétences pour vous accompagner à la mise en place de la gouvernance et des mesures techniques pour vous garantir votre conformité vis-à-vis de ces exigences imposées.

L’offre RSSI externe a pour objectif d’assurer la fonction de RSSI (Responsable de la Sécurité des Systèmes d’Information) pour le compte d’un client, à temps partiel ou à temps complet. Elle est pertinente pour les petites structures (PME, ETI), dont la taille ne nécessite pas une personne entièrement dédiée à cette fonction. Elle est également utile en attendant le recrutement d’un RSSI. Digitemis met à disposition de son client l’ensemble des expertises de ses équipes (gouvernance, risques, technique, juridique).

Le RSSI (Responsable Sécurité des Systèmes d’Information) est garant de la sécurité logique et physique du système d’information (SI). Il apporte des activités de conseil, de gestion, de sensibilisation, d’assistance, de formation et d’alerte. Il réalise une veille technique et réglementaire sur la sécurité afin de proposer des actions et des ajustements adaptés pour le contexte de l’organisme. Il est l’interlocuteur identifié sur les problématiques de sécurité à destination des responsables informatiques, des chefs de projets et des tiers extérieurs (clients, auditeur, fournisseurs, etc.).

L’état des lieux de la sécurité logique et physique est réalisé afin d’identifier si les politiques et procédures de sécurité informatique, définies par l’organisation, ou ses pratiques, sont pertinentes face aux besoins de sécurité de l’organisme, à l’état de l’art ou aux normes en vigueur.

Digitemis analyse l’organisation de la sécurité des systèmes d’information sur la base des référentiels techniques et réglementaires en tenant compte des réglementations et méthodes applicables dans le domaine d’activité du client.

Le PAS, Plan d’Assurance Sécurité, est un document à la fois juridique et technique. C’est une annexe contractuelle qui impose un engagement du fournisseur sur son niveau de sécurité.

L’ISP a pour objectif d’identifier les risques relatifs au projet et d’accompagner les équipes IT et métier à l’intégration de la cybersécurité dès le lancement de leurs projets.