Gouverner votre strategie securite
Pilotez votre securite avec une gouvernance structuree, une conformite reglementaire maitrisee et un accompagnement strategique adapte a vos enjeux.
CISO as a Service
Un RSSI externalise dedie a votre organisation
Toutes les entreprises n'ont pas les ressources pour recruter un Responsable de la Securite des Systemes d'Information (RSSI) a temps plein. Notre offre CISO as a Service vous donne acces a un expert senior qui pilote votre strategie de securite, interface avec votre direction et vos equipes techniques.
Votre RSSI externalise participe aux comites de direction, definit la feuille de route securite, supervise les projets de conformite et assure le reporting aupres de la gouvernance.
Decouvrir notre offre vCISO completeGouvernance
Participation aux COMEX et comites securite. Definition de la politique de securite et de la strategie cyber.
Pilotage operationnel
Suivi des projets securite, gestion des budgets, coordination des equipes internes et prestataires.
Reporting & KPI
Tableaux de bord de securite, indicateurs de performance, rapports pour la direction et les auditeurs.
Mise en conformite
NIS2, DORA, RGPD, LPM : maitrisez vos obligations
Le paysage reglementaire en cybersecurite se renforce continuellement. Nous vous accompagnons dans la comprehension, la mise en oeuvre et le maintien de votre conformite aux reglementations qui vous concernent.
Directive europeenne imposant des obligations renforcees de cybersecurite aux entites essentielles et importantes. Entree en vigueur octobre 2024.
- Obligation de notification des incidents sous 24h
- Gouvernance de la securite au niveau direction
- Gestion des risques et mesures techniques
- Securite de la chaine d'approvisionnement
Reglement europeen sur la resilience operationnelle numerique du secteur financier. Applicable depuis janvier 2025.
- Tests de resilience operationnelle reguliers
- Gestion des risques lies aux prestataires TIC
- Reporting des incidents majeurs
- Partage d'informations sur les menaces
Reglement general sur la protection des donnees personnelles. Cadre juridique europeen de reference depuis 2018.
- Registre des traitements de donnees
- Analyse d'impact (AIPD/PIA)
- DPO externalise ou accompagnement
- Procedures de violation de donnees
Loi de Programmation Militaire imposant des obligations aux Operateurs d'Importance Vitale (OIV) en France.
- Homologation des systemes critiques
- Detection des incidents de securite
- Notification a l'ANSSI
- Conformite aux referentiels ANSSI
DPO Externalise
Delegue a la Protection des Donnees a temps partage
Le RGPD impose a de nombreuses organisations de designer un Delegue a la Protection des Donnees (DPO). Ce role strategique supervise la conformite de l'ensemble des traitements de donnees personnelles et sert d'interlocuteur privilegie avec la CNIL. Externaliser cette fonction vous donne acces a un expert certifie sans les contraintes d'un recrutement.
Notre DPO externalise s'integre a vos equipes, connait votre secteur d'activite et assure une veille permanente sur les evolutions reglementaires. Il intervient de 1 a 4 jours par mois selon la taille et la complexite de votre organisation.
Registre des traitements
Constitution et mise a jour du registre des activites de traitement conformement a l'article 30 du RGPD. Cartographie des flux de donnees personnelles et identification des bases legales.
Veille reglementaire
Suivi continu des evolutions du RGPD, des guidelines du CEPD (Comite Europeen de la Protection des Donnees) et des decisions de la CNIL. Alerte proactive sur les impacts pour votre organisation.
Relations CNIL
Point de contact officiel avec l'autorite de controle. Gestion des demandes de la CNIL, preparation aux controles et accompagnement en cas de mise en demeure.
Sensibilisation
Formation des equipes aux bonnes pratiques de protection des donnees. Ateliers thematiques, e-learning et guides pratiques adaptes a chaque metier.
Gestion des violations
Procedure de detection, evaluation et notification des violations de donnees personnelles. Notification a la CNIL sous 72h et communication aux personnes concernees si necessaire.
Privacy by Design
Integration de la protection des donnees des la conception de vos projets, applications et traitements. Avis sur les nouveaux projets et evaluation de la conformite.
Quand designer un DPO est-il obligatoire ?
La designation d'un DPO est obligatoire dans 3 cas selon l'article 37 du RGPD. Meme si vous n'etes pas concerne par l'obligation, la CNIL recommande fortement la designation d'un DPO pour structurer votre conformite.
Organisme public
Autorites et organismes publics (hors juridictions)
Suivi regulier a grande echelle
Activites impliquant un suivi systematique et regulier de personnes a grande echelle
Donnees sensibles
Traitement a grande echelle de donnees sensibles (sante, biometrie, opinions...)
AIPD - Analyse d'Impact
Evaluez et maitrisez les risques sur les donnees personnelles
L'Analyse d'Impact relative a la Protection des Donnees (AIPD ou PIA) est une demarche obligatoire pour tout traitement susceptible d'engendrer un risque eleve pour les droits et libertes des personnes. Prevue par l'article 35 du RGPD, elle permet d'evaluer la necessite, la proportionnalite et les risques d'un traitement avant sa mise en oeuvre.
La CNIL a publie une liste de 14 types de traitements necessitant systematiquement une AIPD. Ne pas realiser une AIPD quand elle est obligatoire expose l'entreprise a des sanctions pouvant atteindre 10 millions d'euros ou 2% du chiffre d'affaires mondial.
Quand une AIPD est-elle obligatoire ?
L'AIPD est requise lorsque le traitement combine au moins 2 des criteres suivants (lignes directrices du CEPD) :
Donnees sensibles ou a grande echelle
Donnees de sante, biometriques, genetiques, opinions politiques, orientation sexuelle
Surveillance systematique
Videoprotection, geolocalisation, monitoring employes, profilage comportemental
Personnes vulnerables
Mineurs, patients, employes, personnes agees, demandeurs d'asile
Croisement de donnees
Combinaison de jeux de donnees provenant de sources multiples
Scoring ou evaluation
Notation de credit, profilage a des fins de decision automatisee
Usage innovant de technologies
IA, reconnaissance faciale, IoT, blockchain appliques aux donnees personnelles
Notre methodologie AIPD en 4 etapes
Description du traitement
Cartographie detaillee du traitement : finalites, donnees collectees, destinataires, durees de conservation, flux transfrontaliers. Identification de la base legale et evaluation de la necessite et proportionnalite du traitement.
Evaluation de la necessite et proportionnalite
Verification de la conformite aux principes du RGPD : minimisation des donnees, limitation des finalites, exactitude, limitation de conservation. Evaluation des mesures garantissant les droits des personnes (information, acces, rectification, portabilite).
Evaluation des risques
Identification des sources de risques (acces illegitime, modification non desiree, disparition des donnees), des menaces et des impacts potentiels sur les personnes concernees. Cotation de la gravite et de la vraisemblance.
Mesures de traitement des risques
Definition des mesures techniques et organisationnelles pour reduire les risques a un niveau acceptable : chiffrement, pseudonymisation, controle d'acces, journalisation, PCA/PRA, sensibilisation. Plan d'action priorise.
Livrables de l'AIPD
Gouvernance SSI
Structurer et piloter votre securite de l'information
Une gouvernance SSI solide est le fondement de toute strategie de securite efficace. Nous vous aidons a definir, documenter et deployer les politiques, processus et plans qui structurent votre securite de l'information.
PSSI
Politique de Securite des Systemes d'Information : document fondateur qui definit les regles, responsabilites et objectifs de securite.
- Charte informatique et charte d'utilisation
- Classification des donnees
- Procedures operationnelles de securite
PCA / PRA
Plans de Continuite et de Reprise d'Activite pour garantir la resilience de votre organisation face aux incidents majeurs.
- Analyse d'impact sur l'activite (BIA)
- Strategies de reprise et sites de secours
- Tests et exercices reguliers
Analyse de risques EBIOS RM
La methode EBIOS Risk Manager, developpee par l'ANSSI, est le referentiel francais d'analyse de risques en cybersecurite. Nous menons vos analyses de risques selon cette methodologie pour identifier, evaluer et traiter les scenarios de menaces les plus pertinents pour votre organisation.
Cadrage
Perimetre et objectifs
Sources
Identification des sources de risque
Scenarios
Scenarios strategiques
Operationnels
Scenarios operationnels
Traitement
Plan de traitement des risques
Cloud securise
Securisez vos environnements Azure, AWS et GCP
La migration vers le cloud introduit de nouveaux risques de securite. Nous vous accompagnons dans le durcissement (hardening) de vos environnements cloud, la mise en place d'une surveillance adaptee et le respect des meilleures pratiques de securite.
Que vous utilisiez Azure, AWS, GCP ou un environnement multi-cloud, nos experts securisent votre infrastructure avec une approche adaptee a chaque fournisseur.
Azure
- Azure Security Center / Defender
- Conditional Access & Azure AD
- Key Vault & encryption
- Network Security Groups
AWS
- AWS Security Hub & GuardDuty
- IAM policies & roles
- KMS & encryption at rest
- VPC security & WAF
GCP
- Security Command Center
- IAM & organization policies
- Cloud KMS & CMEK
- VPC Service Controls
Hardening
Durcissement des configurations cloud selon les benchmarks CIS et les recommandations de l'ANSSI.
Monitoring
Surveillance continue des environnements cloud, detection des anomalies et alertes en temps reel.
Questions frequentes
Tout ce que vous devez savoir sur la conformite NIS2 et RGPD
Renforcer votre gouvernance
Nos experts vous accompagnent dans la structuration de votre gouvernance securite et la mise en conformite reglementaire. Sans engagement.