Cyber & IT Advisory
Cyber & IT Advisory
La digitalisation de l’économie et le risque cyber étant un enjeu majeur pour les entreprises et les investisseurs, la stratégie IT et la sécurité sont aujourd’hui au cœur des préoccupations des dirigeants.
Chiffres clés
8 personnes
2 Associés référents
3 Senior Managers
Contexte de la Cyber
Les risques cyber constituent des menaces omniprésentes évolutives et “imprévisibles” avec parfois des conséquences inéluctables :
- 1 entreprise française sur 2 a été victime d’une cyberattaque en 2022 (Source CESIN),
- La France est le 2ème pays le plus touché par les cyberattaques en Europe en 2022 (Source Hiscox),
- 80% des entreprises ayant perdu leurs données font faillite dans les mois qui suivent l’attaque (Source Hiscox),
- Plus nombreuses, les PME françaises représentent l’immense majorité des cyberattaques réussies : 330 000 attaques en 2022 (Source Astères, 2023).
Nos expertises
Nous nous appuyons sur l’expertise de l’équipe de notre filiale Moontech, spécialiste en cyber sécurité et systèmes d’information.
L’objectif de nos missions est de permettre à nos clients de :
– Disposer d’une évaluation précise de leur exposition aux risques cyber,
– Les éclairer sur la gestion du risque cyber,
– Les accompagner dans la mise en place des outils de protection de leurs systèmes d’information.
Due Diligences et VDD cyber
Due Diligences et VDD cyber
Les cyberattaques constituent des menaces omniprésentes évolutives et “imprévisibles” avec parfois des conséquences inéluctables. Ces risques doivent donc parfois être évalués lors d’un processus d’acquisition.
Nous proposons ainsi de réaliser une analyse de ce risque en effectuant une évaluation de l’exposition aux risques Cyber.
Nos experts adaptent cette mission d’évaluation en fonction des enjeux de l’opération.
Evaluation de l’exposition aux risques cyber
Evaluation de l’exposition aux risques cyber
Notre mission d’évaluation de l’exposition aux risques cyber de l’entreprise a été conçue pour apporter des réponses concrètes aux potentielles failles du système d’information, renforcer la sécurité et réduire les risques de
cyberattaques :
– Entretien avec la direction et le DSI / RSSI (le cas échéant),
– Compréhension de l’environnement des systèmes d’information,
– Evaluation de l’exposition de l’entreprise face aux risques cyber sur les points de sécurité jugés comme sensibles,
– Analyse de la sensibilisation et de la formation du personnel, ainsi que du niveau de maturité numérique,
– Vérification de la bonne sécurisation des données de la structure : analyse documentaire complétée par des entretiens,
– Elaboration de scénarii possibles d’attaques, et mesure de la maturité de l’entreprise pour répondre à ces menaces,
– Quantification du risque en effectuant une évaluation du coût d’une éventuelle cyberattaque.
Diagnostic Pentest
Diagnostic Pentest
Un Pentest est une simulation d’attaques ciblées pour détecter la sensibilité des réseaux. Il permet d’évaluer la vulnérabilité interne et externe du système d’information.
Grâce à nos outils, nous sommes en mesure de réaliser une attaque qui va tester 130 points de contrôle dans le but d’effectuer une première analyse du système d’information.
Cette simulation est complétée par une analyse externe de la surface d’attaque qui permet d’évaluer l’exposition via internet.
Enfin, un test de pénétration interne, qui consiste à simuler une attaque depuis le propre réseau de l’entreprise, est réalisé. A l’issue de ces tests, nous fournirons au dirigeant un plan de remédiation comportant le détail des attaques auxquelles l’entreprise est exposée.
Revue des ITGC (contrôle généraux informatiques) et ITAC (contrôle des applications informatiques)
Revue des ITGC (contrôle généraux informatiques) et ITAC (contrôle des applications informatiques)
Le processus d’élaboration de l’information financière est de plus en plus basé sur des systèmes d’informations et des processus automatisés et digitalisés.
Ainsi, les contrôles généraux informatiques et les contrôles applicatifs sont essentiels dans le cadre des travaux de vérification des comptes, la sécurité informatique impactant directement la fiabilité et l’exhaustivité des données financières.
Nous réalisons ces contrôles en 4 grandes étapes :
– Analyse de l’environnement informatique et des dispositifs de contrôle internes,
– Réalisation d’une revue des contrôles généraux informatiques,
– Réalisation d’une revue des contrôles applicatifs,
– Restitution des observations et recommandations.
Audit IT
Audit IT
L’audit IT est un audit global des systèmes d’information en termes de sécurité informatique.
Il regroupe les missions suivantes :
– Evaluation de l’exposition aux risques Cyber,
– Diagnostic Pentest,
– Revue des ITGC (contrôle généraux informatiques) et ITAC (contrôle des applications informatiques).
Accompagnement à la mise en place du plan de remédiation
Accompagnement à la mise en place du plan de remédiation
Nos experts disposent également des ressources pour accompagner les dirigeants et DSI dans l’exécution du plan de remédiation.
Ce processus se déroule de la manière suivante :
– Rédaction du cahier des charges,
– Accompagnement au choix des prestataires,
– Suivi du déploiement des mesures correctives à apporter (internes et/ou sous-traitées),
– Rédaction de l’évaluation du risque cyber pour s’assurer que les failles ont été corrigées.
Campagne de phishing
Campagne de phishing
Il suffit d’une seule personne réceptive à un mail frauduleux pour que l’entreprise soit mise en danger.
Pour se prémunir contre ces risques de cyberattaques, nous proposons de créer une campagne de phishing sur mesure afin d’évaluer et sensibiliser les collaborateurs aux tentatives d’hameçonnage, avec plusieurs moyens de communication possibles : SMS, e-mail (pouvant intégrer une pièce jointe), QR code, livraison de clé USB, Wifi, IBAN.
Notre campagne de phishing se déroule en 3 étapes :
– Modèles disponibles ou création d’un modèle personnalisé,
– Envoi de la campagne de phishing, via une solution 100% française,
– Rapport détaillé faisant ressortir les failles humaines et technologiques.
Sensibilisation et formation des équipes
Sensibilisation et formation des équipes
L’humain est le premier rempart de protection des actifs de l’entreprise, il est aussi l’un des plus simples à faire progresser, par la formation et l’échange.
C’est dans cette optique d’écoute et de partage des bonnes pratiques que nous proposons les « formations sécurité et hygiène informationnelle ».
Nos experts conçoivent un parcours de formation adapté aux besoins et priorités de chaque entreprise, afin de dispenser aux salariés des formations complètes sur les risques cyber.
Ces sessions de formations sur-mesure abordent des thématiques diverses telles que la gestion des mots de passe, la détection des attaques, l’importance de l’identité numérique ou la séparation des usages pro-perso.
Toutes nos formations se terminent par une évaluation des acquis des participants.
Solution de cyber sauvegarde
Solution de cyber sauvegarde
Le TankR, une Appliance de Cyber Sauvegarde Ultra Sécurisée qui respecte l’ensemble des préconisations de l’ANSSI, permet de sauvegarder les paramétrages des systèmes d’information et de redémarrer ces derniers en cas d’attaque ou de perte de données.
Cette solution, développée par le groupe DOCAPOSTE, dispose des avantages suivants :
– Piratage à distance quasi-impossible (Conçu pour isoler physiquement les sauvegardes de tout réseau, le TankR protège les données stockées contre les cyber-attaques mais également contre les sinistres accidentels et majeurs),
– Systèmes innovants qui rendent invisibles les données sur les réseaux et les protègent de toutes attaques et risques majeurs,
– Permet de redémarrer l’entreprise suite à une attaque de malwares et de ransomwares ou simplement suite à une défaillance de disques durs ou une fausse manipulation,
– Réduction importante des effets d’un sinistre informatique, qu’il soit criminel, matériel ou accidentel,
– Données rendues immutables et incorruptibles face au ransomware et cryptovirus de nouvelle génération.
Examen des vulnérabilités
Examen des vulnérabilités
Les examens des vulnérabilités permettent d’analyser les failles du système serveurs et PC, de tester la sécurité du système informatique et d’évaluer avec quelle facilité un pirate pourrait s’y introduire et y mener des actions illicites.
Examen de conformité au RGPD
Examen de conformité au RGPD
Depuis la mise en application du RGPD, et afin de protéger la vie privée et les libertés individuelles, de nouvelles obligations sont à la charge des entreprises, administrations, collectivités, associations ou autres organismes.
Nos experts sont en mesure de réaliser un examen de conformité avec ce règlement sur la protection des données et de rédiger un plan pour se conformer à ce dispositif.
Social engineering
Social engineering
Cette mission a pour objectif d’évaluer les connaissances des salariés en matière de sécurité informatique afin de pouvoir, par la suite, leur proposer un parcours de formation sur-mesure et adapté à leurs besoins.
Notre intervention est découpée en plusieurs actions, avec entre autres :
– Des tests pour évaluer la sensibilisation des salariés aux risques cyber (notamment transmission de mots de passe à des personnes non habilitées),
– Des tentatives de prise en main à distance des postes des utilisateurs.
Revue de la gouvernance des SI
Revue de la gouvernance des SI
Les projets IT sont de plus en plus nombreux compte tenu des évolutions technologiques et culturelles. Cette transformation menée par les entreprises peut parfois nécessiter une analyse pour s’assurer qu’elle soit correctement pilotée et ne mette pas en difficulté l’entreprise.
La revue de la gouvernance permet de répondre aux questions que se pose la direction générale à propos du niveau de maîtrise de son système d’information, et de fournir aux autres fonctions de l’entreprise ou de l’organisation une assurance raisonnable que leurs processus métiers sont bien soutenus par des systèmes d’information.
Compétences clés
Equipe dédiée, expérimentée et certifiée,
Experts indépendants vis-à-vis des éditeurs de solutions,
Des partenaires clés avec des compétences spécifiques pour proposer une offre complète.
Savoir-Faire
Restitution des conclusions adaptée et à destination du dirigeant afin qu’il puisse évaluer son exposition au risque cyber,
Capacité à réaliser l’analyse du risque cyber, rédiger un plan de remédiation et proposer un accompagnement pour exécuter ce plan dans la durée.
Nos certifications
– ITIL Foundation,
– Expert Cyber EUKLES Institute,
– Activateur France Num,
– Diplôme de management des systèmes d’information,
– Nessus, audit de vulnérabilités,
– AFNOR, ISO 27001,
– ANSSI, Expert MonAidantCyber,
– Bpifrance, Expert DiagCyber.
Nos références
- Tous
- Agronomie & Alimentation
- Distribution
- Education
- Hôtellerie & Restauration
- Industrie
- Infrastructure, Energie & Project Finance
- Luxe & Cosmétiques
- Services B to B
- Technologie