Implémentation d’un système de gestion de la sécurité de l’information (SMSI)

La mise en place d’un système de gestion de la sécurité de l’information (SMSI/ISMS) est souvent une étape cruciale lorsqu’une organisation souhaite élever le niveau de maturité de sa sécurité. Plusieurs normes et standards, parfois certifiants, peuvent servir de guide à la réalisation de cette tâche. Le plus connu d’entre-eux est l’ensemble de normes 2700X dont les principales sont :

• ISO/CEI 27001 : Norme d’exigences des SMSI, permettant la certification
• ISO/CEI 27002 : Guide des bonnes pratiques en SMSI
• ISO/CEI 27003 : Guide d’implémentation d’un SMSI
• ISO/CEI 27005 : Norme de gestion de risques liés à la sécurité de l’information

Dans le cadre de l’implémentation, de l’amélioration ou du contrôle de votre SMSI, immunIT peut vous conseiller sur la mise en place des bonnes pratiques et vérifier leur implémentation tout au long du processus.

Gouvernance de la sécurité de l’information

Lorsqu’une organisation cherche à améliorer sa gouvernance de la sécurité de l’information et son alignement avec les processus métier, CobiT (Control Objectives for Information and related Technology) est souvent le référentiel utilisé. Grâce à des indicateurs, des processus et de bonnes pratiques, CobiT permet de s’atteler efficacement à cette tâche. C’est donc le principal outil qu’immunIT a choisi d’utiliser lors de ses missions relatives à la gouvernance de la sécurité de l’information.

Gestion du risque / analyse de risques

Un processus de gestion et d’analyse de risques est souvent une étape essentielle lors de l’évaluation du niveau de sécurité existant d’une organisation. De nombreuses méthodologies peuvent être utilisées ayant chacune d’entre elles des avantages et des inconvénients en fonction du contexte. immunIT a donc choisi de ne pas se limiter à une seule méthodologie et de rester flexible en fonction des besoins de chacun de ses mandats. Chaque analyse de risques sera menée à l’aide d’étapes communes à toutes les méthodes et faisant partie intégrante des bonnes pratiques de gestion de risques :

• Etablissement du contexte
• Identification des actifs
• Identification des risques
• Analyse des risques
• Evaluation et priorisation des risques
• Traitement des risques

Business Continuity Planning / Disaster Recovery Plan

Afin d’améliorer la résilience de vos infrastructures IT face à un incident majeur, la mise en place d’un Disaster Recovery Plan constitue souvent une étape irremplaçable. immunIT peut vous aider dans cette tâche, autant sur les aspects techniques qu’organisationnels. Si l’étude doit être plus large que le seul périmètre IT, il est important alors de prendre en compte les impacts métiers. Dans ce contexte, l’établissement d’un Business Continuity Planning (BCP), par exemple par le biais de la norme ISO 22301 s’avère alors nécessaire. immunIT peut également participer à cette réflexion et amener son expertise afin que vous puissiez prendre les meilleures mesures possibles pour protéger votre organisation.

Rédaction et revue de politiques et procédures

La rédaction de politiques, procédures et chartes utilisateurs n’est jamais une tâche facile. immunIT peut intervenir lors d’une revue de documents déjà existants ou vous aider à en rédiger si ceux-ci manquent encore à votre stratégie de sécurité.