Présentation

G-echo vous aide à assurer le DICP de votre Système d'Information : Disponibilité, Intégrité, Confidentialité, Preuve (Traçabilité, Auditabilité).

Une démarche globale mêlant conseil et expertise, soutien dans vos recrutements et formations, solutions adaptées aux réponses des principaux enjeux de sécurité des SI.

Notre démarche

  • Identifier le périmètre et mettre en place la PSSI (politique de SSI 1),
  • Évaluer les risques,
  • Proposer un plan de traitement des risques et lister les risques résiduels non couverts,
  • Sélectionner les mesures à mettre en place,
  • Mettre en place les moyens de contrôle,
  • Reboucler en mettant en oeuvre des actions préventives, correctives ou qui améliorent le dispositif.

Évènements

    Normes et bonnes pratiques internationales

    L'audit en détails

    Cette démarche s'appuie sur un référentiel de normes et bonnes pratiques reconnues comme étant de facto le standard en SSI 1 :

    • ISO 27001 (mise en place d’un SMSI 2), 27002 (contrôles à mettre en place – best practices en SSI 1), 27005 (Lignes directrices pour l'analyse de risques),
    • En France, la démarche d’analyse de risques (préconisée par l’ANSSI4) est l’analyse EBIOS 3,
    • OWASP et bonnes pratiques pour des développements logiciels plus sûrs,
    • Exigences opérationnelles issues de la norme 62443 pour les systèmes industriels.

    Glossaire


    1. SSI: Sécurité des Systèmes d'Information - inclut toutes les composantes de gestion de l'information dans une organisation (humaines, techniques, ...) 

    2. SMSI: Système de Management de la Sécurité de l'Information - système incrémental de pilotage de la sécurité (bonnes pratiques en amélioration continue - à rapprocher de ISO9001, ISO14001, ...) 

    3. EBIOS: La méthode EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité) est un outil de gestion des risques en SSI conforme au RGS et aux familles de normes ISO 27001, 27005 et 31000. 

    4. ANSSI: L'ANSSI est l'agence gouvernementale française en charge de la défense des intérêts de l'état et des citoyens dans l'univers numérique. 


    Pour aller plus loin