Qu'appelle-t-on Cybersécurité ?

L’ensemble des lois, stratégies, outils, dispositifs technologiques, solutions, réflexes… et autres mesures mises en place pour protéger les informations confidentielles à valeur stratégique ou économique d’un organisme et dont la diffusion, l’altération ou la perte seraient préjudiciables. Les données sensibles concernent le personnel, les métiers, la stratégie et l’organisation, la situation économique et financière ainsi que les contraintes légales.Toutes les entreprises, de toutes tailles et de tous les secteurs sont touchées par la cybercriminalité.

Le RGPD.

Le RGPD (Règlement Général sur la Protection des Données), entré en vigueur le 25 mai 2018, fixe des règles claires pour protéger les données personnelles des citoyens de l’Union européenne. Il impose des obligations aux organisations qui collectent, traitent ou stockent ces données, en garantissant leur confidentialité, leur sécurité et leur usage conforme. Avec des sanctions significatives en cas de non-conformité, le RGPD encourage une gestion éthique et transparente des informations sensibles, tout en renforçant la confiance des utilisateurs.

Directive NIS2.

La directive NIS2 (Network and Information Security 2) succède à la directive NIS pour renforcer la cybersécurité des réseaux et systèmes d’information dans l’Union européenne. Elle élargit son champ d’application en incluant davantage de secteurs critiques, comme la santé, l’énergie, et les infrastructures numériques. NIS2 impose aux organisations des obligations strictes en matière de gestion des risques et de notification des incidents de cybersécurité, tout en renforçant la coopération entre les États membres pour répondre aux cybermenaces de manière coordonnée et efficace.

Le DORA.

Le DORA (Digital Operational Resilience Act) s’applique spécifiquement au secteur financier et vise à garantir la résilience numérique des institutions financières face aux risques cyber et technologiques. Cette réglementation impose des exigences en matière de gestion des risques IT, de protection des données, et de surveillance des tiers fournisseurs de services numériques. DORA garantit ainsi la continuité des activités financières en Europe, même en cas de cyberattaques ou de perturbations majeures.

Le CRA.

Le CRA (Cyber Resilience Act) vise à renforcer la sécurité des produits numériques et des logiciels utilisés au sein de l’Union européenne. Cette législation impose aux fabricants et aux développeurs de garantir que leurs produits répondent à des normes strictes en matière de cybersécurité, tout au long de leur cycle de vie. En identifiant et corrigeant rapidement les vulnérabilités, le CRA cherche à protéger les entreprises et les utilisateurs finaux contre les cybermenaces. Cette initiative s’inscrit dans une stratégie globale pour rendre l’écosystème numérique européen plus résilient face aux risques croissants.

14 Bonnes Pratiques de Sécurités

1.MOTS DE PASSE

Un bon mot de passe contient 14 caractères différents et doit être changé régulièrement.

2.SÉPARER LES ACTIVITÉS PRO & PERSO

Ne jamais faire la confusion entre les outils logiciels et devices professionnels et personnels.

3.NAVIGATION INTERNET

Ne jamais naviguer sur des sites non sécurisés ou d’origine douteuse. Chercher HTTP”S” (S pour sécurisé)dans l’adresse du site (URL) à chaque fois.

4.MAJ LOGICIELS

Particuliers mais surtout organisations doivent prendre garde de toujours avoir les dernières mises à jour des logiciels, celles-ci contenant souvent des correctifs et améliorations d’usage et de sécurité.

5.SÉCURITÉ DES DEVICES TRANSPORTABLES

Pensez à crypter vos disques durs externes y compris lesclés USB et n’essayez jamais de lire une clé USB dontvous ne connaîtriez pas l’origine.

6.SÉCURITÉ EN DÉPLACEMENT

Avant tout voyage notamment à l’étranger il convient de prendre un maximum de précautions aves les devices emmenés et leur contenu.

7.PAIEMENTS SÉCURISÉS SUR INTERNET

N’opérer des paiements qu sur des sites sûrs et sécurisés HTTPS et n’enregistrez jamais votre moyen de paiement dans les navigateurs web.

8.SÉCURITÉ DES MESSAGERIES

Elles doivent être protégées par des mots de passe forts changés régulièrement. Les messageries privées ne doivent pas être utilisées à des fin professionnelles et inversement.

9.SAUVEGARDES RÉGULIÈRES

Elles doivent être régulières aussi bien dans le cloud, sur des serveurs miroirs ou des supports physiques inviolables par une attaque cyber.

10.TÉLÉCHARGEMENT DES LOGICIELS

Ils ne doivent être fait que depuis des sources sécurisées et connues et la DSI doit contrôler impérativement ces actions par un système de privilèges très contraignant.

11.SÉCURITÉ WIFI

C’est l’une des principales portes d’accès des hackers quand ces accès sont non sécurisés ou sécurisés par des mots de passe trop faibles. Votre responsabilité est engagée si un pirate utilise votre wifi à des fins criminelles.

12.CONTRÔLER SA TRACE NUMÉRIQUE

Votre E-réputation se préserve et se travaille, ne laissez jamais traîner des contenus trop personnels qui pourraient donner des informations trop précises sur vos habitudes et lieux de vie.

13.SÉCURITÉ MOBILES & IOT

Ces devices doivent être protégés par des mots de passeet il convient, comme pour un ordinateur, de ne pascliquer sur des liens douteux. Leur contenu peutégalement être crypté et leur accès bloqué par ladésactivation de blue tooth et du wifi, qui sont des portesd’entrée.

14.MAÎTRISER SES PRESTATAIRES

Il est impératif pour toute organisation de s’assurer que les partenaires avec lesquels elle collabore garantissentun niveau de bonnes pratiques élevé. Particulièrement dans un environnement qui favorise le Zéro Trust (réduction de la confiance implicite dans les outils, partenaires ou utilisateurs).

NOS COMPÉTENCES

Certifications & Qualifications : ISO27001 Lead Implementer & Lead Auditor, EBIOS Risk Manager, ISO 27032....

  • Gouvernance

    Nous pilotons la sécurité de l’information chez nos clients en étant leur RSSI ou en assistant le RSSI pour définir les politiques, sensibiliser les équipes, suivre les plans de sécurisation et contrôler le niveau de sécurité.

  • Risques

    Nous réalisons les analyses de risque sur les organisations et les systèmes d’information afin de déterminer les mesures adaptées aux enjeux et aux menaces. Nous mettons en place les processus d’intégration de la sécurité dans les projets.

  • Architecture & Solutions

    Nous spécifions des architectures sécurisées répondant aux niveaux de sécurité visés. Nous accompagnons dans le choix et la stratégie d’utilisation des solutions de sécurité qui contribuent à la protection du système d’information (Cloud, VPN, Authentification, EDR, XDR, Pare-feu…).

  • Conformité

    Nous accompagnons la mise en conformité réglementaire et normative avec la mise en place de systèmes de management de la sécurité et de la protection des données (ISO 27001, ISO 27701, HDS, NIS2, …).

  • Cyber-résilience

    Nous déterminons les moyens nécessaires pour assurer la résilience des activités en cas de cyberattaque. Nous formalisons la gestion des incidents, le PCA/PRA et la gestion de crise.