Cyber & IT Advisory

Cyber & IT Advisory

La digitalisation de l’économie et le risque cyber étant un enjeu majeur pour les entreprises et les investisseurs, la stratégie IT et la sécurité sont aujourd’hui au cœur des préoccupations des dirigeants.

Chiffres clés

8 personnes

Associés référents

3 Senior Managers

Contexte de la Cyber

Les risques cyber constituent des menaces omniprésentes évolutives et “imprévisibles” avec parfois des conséquences inéluctables :

  • 1 entreprise française sur 2 a été victime d’une cyberattaque en 2022 (Source CESIN),

  • La France est le 2ème pays le plus touché par les cyberattaques en Europe en 2022 (Source Hiscox),

  • 80% des entreprises ayant perdu leurs données font faillite dans les mois qui suivent l’attaque (Source Hiscox),

  • Plus nombreuses, les PME françaises représentent l’immense majorité des cyberattaques réussies : 330 000 attaques en 2022 (Source Astères, 2023).

Nos expertises

Nous nous appuyons sur l’expertise de l’équipe de notre filiale Moontech, spécialiste en cyber sécurité et systèmes d’information.

L’objectif de nos missions est de permettre à nos clients de :
– Disposer d’une évaluation précise de leur exposition aux risques cyber,
– Les éclairer sur la gestion du risque cyber,
– Les accompagner dans la mise en place des outils de protection de leurs systèmes d’information.

Due Diligences et VDD cyber

Due Diligences et VDD cyber

Les cyberattaques constituent des menaces omniprésentes évolutives et “imprévisibles” avec parfois des conséquences inéluctables. Ces risques doivent donc parfois être évalués lors d’un processus d’acquisition.

Nous proposons ainsi de réaliser une analyse de ce risque en effectuant une évaluation de l’exposition aux risques Cyber.
Nos experts adaptent cette mission d’évaluation en fonction des enjeux de l’opération.

Evaluation de l’exposition aux risques cyber

Evaluation de l’exposition aux risques cyber

Notre mission d’évaluation de l’exposition aux risques cyber de l’entreprise a été conçue pour apporter des réponses concrètes aux potentielles failles du système d’information, renforcer la sécurité et réduire les risques de
cyberattaques :
– Entretien avec la direction et le DSI / RSSI (le cas échéant),
– Compréhension de l’environnement des systèmes d’information,
– Evaluation de l’exposition de l’entreprise face aux risques cyber sur les points de sécurité jugés comme sensibles,
– Analyse de la sensibilisation et de la formation du personnel, ainsi que du niveau de maturité numérique,
– Vérification de la bonne sécurisation des données de la structure : analyse documentaire complétée par des entretiens,
– Elaboration de scénarii possibles d’attaques, et mesure de la maturité de l’entreprise pour répondre à ces menaces,
– Quantification du risque en effectuant une évaluation du coût d’une éventuelle cyberattaque.

Diagnostic Pentest

Diagnostic Pentest

Un Pentest est une simulation d’attaques ciblées pour détecter la sensibilité des réseaux. Il permet d’évaluer la vulnérabilité interne et externe du système d’information.

Grâce à nos outils, nous sommes en mesure de réaliser une attaque qui va tester 130 points de contrôle dans le but d’effectuer une première analyse du système d’information.

Cette simulation est complétée par une analyse externe de la surface d’attaque qui permet d’évaluer l’exposition via internet.

Enfin, un test de pénétration interne, qui consiste à simuler une attaque depuis le propre réseau de l’entreprise, est réalisé. A l’issue de ces tests, nous fournirons au dirigeant un plan de remédiation comportant le détail des attaques auxquelles l’entreprise est exposée.

Revue des ITGC (contrôle généraux informatiques) et ITAC (contrôle des applications informatiques)

Revue des ITGC (contrôle généraux informatiques) et ITAC (contrôle des applications informatiques)

Le processus d’élaboration de l’information financière est de plus en plus basé sur des systèmes d’informations et des processus automatisés et digitalisés.

Ainsi, les contrôles généraux informatiques et les contrôles applicatifs sont essentiels dans le cadre des travaux de vérification des comptes, la sécurité informatique impactant directement la fiabilité et l’exhaustivité des données financières.

Nous réalisons ces contrôles en 4 grandes étapes :
– Analyse de l’environnement informatique et des dispositifs de contrôle internes,
– Réalisation d’une revue des contrôles généraux informatiques,
– Réalisation d’une revue des contrôles applicatifs,
– Restitution des observations et recommandations.

Audit IT

Audit IT

L’audit IT est un audit global des systèmes d’information en termes de sécurité informatique.

Il regroupe les missions suivantes :
– Evaluation de l’exposition aux risques Cyber,
– Diagnostic Pentest,
– Revue des ITGC (contrôle généraux informatiques) et ITAC (contrôle des applications informatiques).

Accompagnement à la mise en place du plan de remédiation

Accompagnement à la mise en place du plan de remédiation

Nos experts disposent également des ressources pour accompagner les dirigeants et DSI dans l’exécution du plan de remédiation.

Ce processus se déroule de la manière suivante :
– Rédaction du cahier des charges,
– Accompagnement au choix des prestataires,
– Suivi du déploiement des mesures correctives à apporter (internes et/ou sous-traitées),
– Rédaction de l’évaluation du risque cyber pour s’assurer que les failles ont été corrigées.

Campagne de phishing

Campagne de phishing

Il suffit d’une seule personne réceptive à un mail frauduleux pour que l’entreprise soit mise en danger.

Pour se prémunir contre ces risques de cyberattaques, nous proposons de créer une campagne de phishing sur mesure afin d’évaluer et sensibiliser les collaborateurs aux tentatives d’hameçonnage, avec plusieurs moyens de communication possibles : SMS, e-mail (pouvant intégrer une pièce jointe), QR code, livraison de clé USB, Wifi, IBAN.

Notre campagne de phishing se déroule en 3 étapes :
– Modèles disponibles ou création d’un modèle personnalisé,
– Envoi de la campagne de phishing, via une solution 100% française,
– Rapport détaillé faisant ressortir les failles humaines et technologiques.

Sensibilisation et formation des équipes

Sensibilisation et formation des équipes

L’humain est le premier rempart de protection des actifs de l’entreprise, il est aussi l’un des plus simples à faire progresser, par la formation et l’échange.

C’est dans cette optique d’écoute et de partage des bonnes pratiques que nous proposons les « formations sécurité et hygiène informationnelle ».​

Nos experts conçoivent un parcours de formation adapté aux besoins et priorités de chaque entreprise, afin de dispenser aux salariés des formations complètes sur les risques cyber.​

Ces sessions de formations sur-mesure abordent des thématiques diverses telles que la gestion des mots de passe, la détection des attaques, l’importance de l’identité numérique ou la séparation des usages pro-perso.​

Toutes nos formations se terminent par une évaluation des acquis des participants.​

Solution de cyber sauvegarde

Solution de cyber sauvegarde

Le TankR, une Appliance de Cyber Sauvegarde Ultra Sécurisée qui respecte l’ensemble des préconisations de l’ANSSI, permet de sauvegarder les paramétrages des systèmes d’information et de redémarrer ces derniers en cas d’attaque ou de perte de données.

Cette solution, développée par le groupe DOCAPOSTE, dispose des avantages suivants :

– Piratage à distance quasi-impossible (Conçu pour isoler physiquement les sauvegardes de tout réseau, le TankR protège les données stockées contre les cyber-attaques mais également contre les sinistres accidentels et majeurs),
– Systèmes innovants qui rendent invisibles les données sur les réseaux et les protègent de toutes attaques et risques majeurs,
– Permet de redémarrer l’entreprise suite à une attaque de malwares et de ransomwares ou simplement suite à une défaillance de disques durs ou une fausse manipulation,
– Réduction importante des effets d’un sinistre informatique, qu’il soit criminel, matériel ou accidentel,
– Données rendues immutables et incorruptibles face au ransomware et cryptovirus de nouvelle génération.

Examen des vulnérabilités

Examen des vulnérabilités

Les examens des vulnérabilités permettent d’analyser les failles du système serveurs et PC, de tester la sécurité du système informatique et d’évaluer avec quelle facilité un pirate pourrait s’y introduire et y mener des actions illicites.

Examen de conformité au RGPD

Examen de conformité au RGPD

Depuis la mise en application du RGPD, et afin de protéger la vie privée et les libertés individuelles, de nouvelles obligations sont à la charge des entreprises, administrations, collectivités, associations ou autres organismes.

Nos experts sont en mesure de réaliser un examen de conformité avec ce règlement sur la protection des données et de rédiger un plan pour se conformer à ce dispositif.

Social engineering

Social engineering

Cette mission a pour objectif d’évaluer les connaissances des salariés en matière de sécurité informatique afin de pouvoir, par la suite, leur proposer un parcours de formation sur-mesure et adapté à leurs besoins.

Notre intervention est découpée en plusieurs actions, avec entre autres :
– Des tests pour évaluer la sensibilisation des salariés aux risques cyber (notamment transmission de mots de passe à des personnes non habilitées),
– Des tentatives de prise en main à distance des postes des utilisateurs.

Revue de la gouvernance des SI

Revue de la gouvernance des SI

Les projets IT sont de plus en plus nombreux compte tenu des évolutions technologiques et culturelles. Cette transformation menée par les entreprises peut parfois nécessiter une analyse pour s’assurer qu’elle soit correctement pilotée et ne mette pas en difficulté l’entreprise.

La revue de la gouvernance permet de répondre aux questions que se pose la direction générale à propos du niveau de maîtrise de son système d’information, et de fournir aux autres fonctions de l’entreprise ou de l’organisation une assurance raisonnable que leurs processus métiers sont bien soutenus par des systèmes d’information.

Compétences clés

Equipe dédiée, expérimentée et certifiée,
Experts indépendants vis-à-vis des éditeurs de solutions,
Des partenaires clés avec des compétences spécifiques pour proposer une offre complète.

Savoir-Faire

Restitution des conclusions adaptée et à destination du dirigeant afin qu’il puisse évaluer son exposition au risque cyber,
Capacité à réaliser l’analyse du risque cyber, rédiger un plan de remédiation et proposer un accompagnement pour exécuter ce plan dans la durée.

Nos certifications

– ITIL Foundation,

– Expert Cyber EUKLES Institute,

– Activateur France Num,

– Diplôme de management des systèmes d’information,

– Nessus, audit de vulnérabilités,

– AFNOR, ISO 27001,

– ANSSI, Expert MonAidantCyber,

– Bpifrance, Expert DiagCyber.

Nos partenaires

Docaposte

 

Distributeur de la solution de cyber sauvegarde TankR

Docaposte

 

Distributeur de la solution de cyber sauvegarde TankR

Afnor Certification

 

Création d’un label sur la certification de sécurité informatique des cabinets de commissaires aux comptes

Création d’une certification SOC pour la France via l’AFNOR

Lamy Lexel

 

Partenaire pour l’évaluation de la conformité des traitements au RGPD

Blue Secure

 

Partenaire outil pour campagne de phishing

Visiativ

 

Partenaire outil pour examen du Système d’Information et Pentest

RevisAudit

 

Partenaire pour la création d’un module cyber pour les auditeurs

Nos références

  • Tous
  • Agronomie & Alimentation
  • Distribution
  • Education
  • Hôtellerie & Restauration
  • Industrie
  • Infrastructure, Energie & Project Finance
  • Luxe & Cosmétiques
  • Services B to B
  • Technologie
AMELKIS

AMELKIS

Voir
APAVE

APAVE

Voir
CARRE BLANC

CARRE BLANC

Voir
EUROGERM

EUROGERM

Voir
FOCAL

FOCAL

Voir
KAESER COMPRESSEUR

KAESER COMPRESSEUR


Voir
LEXOM

LEXOM

Voir
JOURDAN ET MARZE SUCCESSEURS

JOURDAN ET MARZE SUCCESSEURS

RENOVELAR

RENOVELAR


Voir
SERGE MAGNER

SERGE MAGNER

Voir
SHOPIX

SHOPIX

Voir
SILEANE

SILEANE

Voir
YSOFER

YSOFER

Voir
YUMI BEAUTY

YUMI BEAUTY

Voir
Aller au contenu principal