Présentation

    G-echo vous aide à assurer le DICP de votre Système d'Information : Disponibilité, Intégrité, Confidentialité, Preuve et Traçabilité.

    Une démarche globale, du conseil, de l'expertise, du soutien dans vos recrutements, des formations, des solutions.

    La démarche en résumé :

    • Identifier le périmètre et mettre en place la politique de SSI 1,
    • Évaluer les risques,
    • Proposer un traitement des risques et lister les risques résiduels non couverts,
    • Sélectionner les mesures à mettre en place,
    • Mettre en place les moyens de contrôle,
    • Reboucler en mettant en oeuvre des actions préventives, correctives ou qui améliorent le dispositif.

    L'audit en détails

    Cette démarche s'appuie sur un référentiel de normes et bonnes pratiques reconnues comme étant de facto le standard en SSI 1 :

    • ISO 27001 (mise en place d’un SMSI 2), 27002 (contrôles à mettre en place – best practices en SSI 1), 27005 (Lignes directrices pour l'analyse de risques),
    • En France, la démarche d’analyse de risque (préconisée par l’ANSSI4) est l’analyse EBIOS 3,
    • OWASP et bonnes pratiques pour des développements logiciels plus sûrs,
    • Exigences opérationnelles issues de la norme 62443 pour les systèmes industriels.

    1. SSI: Sécurité des Systèmes d'Information - inclut toutes les composantes de gestion de l'information dans une organisation (humaines, techniques, ...) 

    2. SMSI: Système de Management de la Sécurité de l'Information - système incrémental de pilotage de la sécurité (bonnes pratiques en amélioration continue - à rapprocher de ISO9001, ISO14001, ...) 

    3. EBIOS: La méthode EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité) est un outil gestion des risques en SSI conforme au RGS et aux familles de normes ISO 27001, 27005 et 31000. 

    4. ANSSI: L'ANSSI est l'agence gouvernementale française en charge de la défense des intérêts de l'état et des citoyens dans l'univers numérique.