Pilotons ensemble votre stratégie de cybersécurité


Le rôle d’un RSSI couvre plusieurs enjeux de sécurité au sein de l’entreprise : 

  • Assure le pilotage de la démarche de cybersécurité et sa mise œuvre ; 
  • S’assure de la mise en place des solutions et des processus opérationnels pour garantir la protection des données et le niveau de sécurité des systèmes d’information. 
  • Définit ou décline, selon la taille de l’organisation, la politique de sécurité des systèmes d’information (prévention, protection, détection, résilience, remédiation). 
  • Assure un rôle de conseil, d’assistance, d’information, de formation et d’alerte, en particulier auprès des directeurs métiers et/ou de la direction de son périmètre. 
  • Joue un rôle opérationnel dans la mise en œuvre de la politique de sécurité des SI ou encadre une équipe, selon la taille de l’organisation. 

THUCY possède l’expertise et l’expérience du métier de RSSI afin de répondre à vos besoins.
Nous nous baserons sur l’existant afin d’évaluer les points critiques dans la sécurité du système d’information et définir les actions à mettre en place pour accroitre sensiblement la sécurité générale de la société. 

Périmètre d’intervention  

THUCY propose d’intervenir pour élaborer une stratégie globale et cohérente d’amélioration de la sécurité, d’agir comme interlocuteur privilégié pour la mise en œuvre de projets sécurisés et de mettre en œuvre les mesures de renforcement de la sécurité des systèmes d’information. 

Dans cette optique nous vous proposons de conduire les missions suivantes : 

Mise en œuvre des correctifs de sécurité urgents relevés lors des audits : 

Les vulnérabilités découvertes lors des audits périodiques feront l’objet d’une correction rapide et seront prioritaires dans la démarche de sécurisation du système d’information. 

Effectuer une analyse de risques : 

L’analyse de risques est l’étape fondatrice de notre stratégie de sécurité. Elle permet d’apprécier les risques numériques et d’identifier les mesures de sécurité à mettre en œuvre pour les maitriser. 
Elle permet aussi de valider le niveau de risque acceptable et de s’inscrire à plus long terme dans une démarche d’amélioration continue. Enfin, cette méthode permet de faire émerger les ressources et arguments utiles à la communication et à la prise de décision au sein de l’organisation et vis-à-vis de ses partenaires. Nous utilisons le référentiel EBIOS RM de l’ANSSI. 

Élaboration d’une politique de sécurité des systèmes d’information (PSSI) 

Une PSSI est un ensemble formalisé des éléments stratégiques, des directives, procédures, codes de conduite, règles organisationnelles et techniques, ayant pour objectif la protection du système d’information de l’organisme. La PSSI est le socle de la mise en œuvre des procédures de sécurité nécessaire à l’amélioration du système d’information et directement corrélé à l’analyse de risque précédemment effectuée. 

Création d’un plan de continuité d’activité et de reprise d’activité (PCA/PRA) 

Dans la continuité de la PSSI, il est capital d’élaborer des procédures pour répondre à des incidents de sécurité qui affectent le fonctionnement de la société. Il s’agit de mesures qui détaillent la conduite à tenir pour continuer l’activité dans un contexte dégradé (cyberattaques, crise sanitaire, catastrophes…). 

Intégration de la sécurité dans les projets (ISP) 

L’intégration de la sécurité dans les projets est devenue presque obligatoire dans la création de nouveaux projets pour une entreprise qui interagit avec des tiers. L’objectif de l’ISP est de prendre en compte, dès la phase de conception, des problématiques de sécurité que le RSSI aura définies. 
C’est un rôle de conseil. 

Gestion de crise :

Malgré le développement d’une résilience et la mise en œuvre de mécanismes de sécurité, il s’agira de vous préparer à la gestion de crise car aucun incident de sécurité ne pourrait être exclus. Il est donc impératif pour les parties prenantes dans l’entreprise de se préparer à une potentielle crise, et d’établir au préalable les actions à mettre en œuvre. 

Sensibilisations auprès des différents cœurs de métier 

La cybersécurité ne se cantonne plus aux seuls services informatiques mais est omniprésente dans toutes les sphères et métiers de l’entreprise. La sensibilisation par la mise en place de campagne, de formation en interne, de dialogue permet de renforcer durablement la sécurité des infrastructures, des risques cyber, mais également des risques d’ingérences. 

Ces missions s’intègrent dans un cadre plus large d’accompagnement et de conseils réguliers sur les problématiques de cybersécurité de l’organisation