Vos systèmes d'information sont exposés à des menaces réelles : intrusions, ransomwares, erreurs humaines, défaillances techniques. Mais sans analyse rigoureuse, il est impossible de savoir où concentrer vos efforts et vos budgets. C'est précisément là qu'intervient cette mission.
En m'appuyant sur la norme internationale ISO/IEC 27005 et la méthodologie française EBIOS Risk Manager, je vous accompagne dans une démarche complète d'identification, d'évaluation et de traitement des risques propres à votre organisation.
1. Cadrage et recensement des actifs : Identification des systèmes, données et processus critiques de votre organisation. Ce recensement pose les fondations d'une analyse pertinente et ciblée.
2. Identification des scénarios de risque : Analyse des menaces plausibles en tenant compte de votre contexte : qui pourrait vous cibler, par quels moyens, avec quelles conséquences ? Les scénarios retenus sont ancrés dans la réalité de votre secteur d'activité.
3. Évaluation et hiérarchisation : Chaque risque identifié est évalué selon sa vraisemblance et son impact potentiel. Cette cotation vous permet de distinguer les risques critiques à traiter en priorité de ceux qui peuvent être acceptés ou surveillés.
4. Définition du plan de traitement : Pour chaque risque prioritaire, des mesures de traitement concrètes sont proposées : réduction, transfert, refus ou acceptation. Chaque décision est documentée et justifiée.
5. Livrable documenté et exploitable : Vous recevez un rapport structuré, prêt à être présenté ou intégré à une démarche de conformité.
La directive européenne NIS 2, impose des obligations concrètes en matière de cybersécurité : gouvernance, gestion des risques, continuité d'activité, sécurité de la chaîne d'approvisionnement, notification d'incidents...
Pourtant, beaucoup d'organisations ne savent pas précisément où elles en sont, ni par où commencer. C'est exactement ce que cette mission résout.
1. Analyse d'écart : Point de départ incontournable : évaluation de votre situation actuelle par rapport aux exigences NIS 2. Vous savez en fin de mission ce qui est déjà en place, ce qui manque, et ce qui doit être priorisé.
2. Définition des mesures techniques et organisationnelles : Sur la base de l'analyse d'écart, un plan d'action concret est établi. Chaque mesure recommandée est adaptée à la taille et aux moyens de votre organisation. Pas de préconisations hors sol, mais des solutions réalistes et proportionnées.
3. Mise en place des procédures de notification d'incidents : NIS 2 impose des délais stricts : pré-notification sous 24h, notification complète sous 72h. Ces délais ne laissent pas de place à l'improvisation. Je vous aide à structurer vos procédures internes pour que votre équipe sache exactement quoi faire, qui contacter et comment documenter un incident dès qu'il survient.
4. Rédaction documentaire La conformité se prouve. Politiques de sécurité, procédures opérationnelles, registres de décisions, plans de continuité... Je prends en charge la rédaction des documents requis, dans un format adapté à votre organisation et exploitable au quotidien par vos équipes.
La sécurité de l'information ne se réduit pas à des outils techniques. Elle repose avant tout sur une organisation claire, des responsabilités définies, des processus maîtrisés et une amélioration continue. C'est précisément ce que structure la norme ISO/IEC 27001 : référentiel international reconnu.
Mettre en place un SMSI ne signifie pas forcément viser la certification. Cela signifie se doter d'un cadre solide, cohérent et proportionné pour gérer la sécurité de manière durable, sans dépendre d'initiatives isolées ou de bonnes volontés individuelles.
1. Définition du périmètre et du contexte : Toute démarche SMSI commence par délimiter précisément ce qui est couvert : quels systèmes, quels processus, quels sites, quelles parties prenantes. Cette étape évite de disperser les efforts et garantit que le SMSI est dimensionné à la réalité de votre organisation.
2. Analyse du contexte et des parties intéressées : Identification des enjeux internes et externes qui influencent votre sécurité de l'information : environnement réglementaire, attentes des autorités de tutelle, dépendances aux prestataires, contraintes organisationnelles. Cette vision d'ensemble est la condition d'un SMSI ancré dans votre réalité opérationnelle.
3. Évaluation des risques : En lien direct avec l'offre de gestion des risques (ISO 27005 / EBIOS), cette étape identifie et hiérarchise les risques propres à votre périmètre. Les mesures de sécurité retenues seront directement issues de cette analyse et non d'une liste générique appliquée sans discernement.
4. Sélection et mise en œuvre des mesures de sécurité : Sur la base de l'Annexe A de la norme ISO 27001 (93 mesures organisées en 4 domaines), les contrôles pertinents sont sélectionnés, adaptés à votre contexte et intégrés dans votre fonctionnement. Chaque choix est justifié dans une Déclaration d'Applicabilité (SoA) : document central de toute démarche ISO 27001.
5. Rédaction des politiques et procédures : La documentation est la colonne vertébrale du SMSI. Politique de sécurité de l'information, procédures opérationnelles, chartes d'utilisation, plans de continuité, procédures de gestion des incidents. Chaque document est rédigé dans un langage clair, adapté à vos équipes et immédiatement opérationnel.
6. Mise en place des indicateurs de performance : Un SMSI sans mesure est un SMSI sans pilotage. Des indicateurs adaptés à votre organisation sont définis pour permettre à votre direction de suivre l'efficacité des mesures mises en place et d'orienter les décisions dans le temps.
7. Sensibilisation et appropriation par les équipes : Un SMSI n'a de valeur que s'il est compris et respecté par ceux qui le font vivre. Des actions de sensibilisation ciblées sont intégrées à la démarche pour favoriser l'adhésion et ancrer les bons réflexes dans le quotidien de vos collaborateurs.
Avant de se lancer dans des démarches de conformité complexes, encore faut-il savoir où l'on en est. Le référentiel CyberFundamentals, développé par le Centre pour la Cybersécurité Belgique (CCB), a précisément été conçu pour répondre à cette question de manière structurée, accessible et également adaptée à la réalité des organisations de taille modeste.
Articulé autour de cinq fonctions fondamentales : Identifier, Protéger, Détecter, Répondre, Récupérer et décliné en quatre niveaux de maturité (Basic, Important, Essential, Expert), ce cadre permet à toute organisation de se situer clairement et de progresser à son rythme, sans se perdre dans la complexité des grandes normes internationales.
1. Évaluation du niveau de maturité actuel : À travers une série d'entretiens ciblés et l'examen de vos pratiques existantes, votre niveau de maturité est évalué domaine par domaine selon les critères du référentiel CyberFundamentals. Cette photographie de votre situation réelle, sans langue de bois, est la condition d'un plan d'action pertinent et réaliste.
2. Identification des écarts : Les résultats de l'évaluation sont mis en regard des exigences du niveau cible défini avec vous. Chaque écart est documenté, expliqué et contextualisé : vous comprenez non seulement ce qui manque, mais pourquoi c'est important et quelles conséquences concrètes cela peut avoir pour votre organisation.
3. Élaboration d'un plan d'action priorisé : L'évaluation débouche sur un plan d'action structuré, ordonné selon trois critères : l'impact sur votre niveau de sécurité, la facilité de mise en œuvre, et vos contraintes budgétaires. Vous savez exactement quoi faire en premier, avec quels moyens, et dans quel ordre, sans vous disperser.
4. Restitution et accompagnement à la décision : Les résultats sont présentés de manière claire, y compris à un public non technique. Direction, élus, conseil d'administration : chacun repart avec une vision intelligible de la situation et des décisions à prendre. Le rapport de restitution peut également servir de base à une communication interne ou à une présentation devant votre autorité de tutelle.
Les outils techniques les plus sophistiqués ne suffisent pas si un collaborateur clique sur un lien malveillant, communique un mot de passe par téléphone ou ignore une alerte de sécurité. La grande majorité des incidents cyber trouve son origine dans un comportement humain, non par malveillance, mais par manque de formation, de sensibilisation ou de contexte.
Investir dans la sensibilisation, c'est agir sur le facteur de risque le plus répandu et le plus difficile à corriger après coup. C'est aussi répondre à une exigence explicite de la directive NIS 2, qui impose aux organisations de former leur personnel à la cybersécurité de manière régulière et adaptée.
Les programmes proposés sont construits sur un principe fondamental : un message pertinent pour le bon public. Un agent administratif et un directeur général n'ont pas les mêmes responsabilités, les mêmes expositions aux risques, ni les mêmes besoins en matière de cybersécurité. Les former de la même manière serait aussi inefficace qu'inefficient.
"La cybersécurité est devenue une réalité incontournable pour toutes les organisations, y compris celles qui n'ont ni équipe dédiée, ni budget illimité, ni expert en interne. Les menaces sont réelles, les obligations réglementaires se multiplient, et les conséquences d'un incident peuvent être sévères : interruption de service, perte de données, atteinte à la réputation, sanctions administratives."