Avez-vous des difficultés à faire adopter vos exigences en sécurité de l’information par vos employés ? Le nombre d’incidents causés par le respect de vos chartes et procédures de sécurité est-il un problème qui vous préoccupe ? Ces incidents ont-ils un impact sur votre conformité avec les lois et réglementations ?

Nous vous proposons de concevoir et de déployer des campagnes de sensibilisation à la sécurité de l’information pour familiariser vos employés avec les concepts et les bonnes pratiques en la matière. Ci-dessous un aperçu non exhaustif de nos services :

• Conception et déploiement de campagnes en ligne de sensibilisation à la sécurité de l’information (voir notre offre de solutions de sensibilisation)
• Conception et déploiement de campagnes de sensibilisation à la sécurité de l’information à base de sessions de sensibilisation présentielles (avec formation des formateurs)
• Conception et déploiement de campagnes de sensibilisation à la sécurité de l’information à base de workshops. Cet type de campagnes suit une approche pratique basée sur des scénarios de risque (simulation de la gestion d’incidents de sécurité, démonstrations d’attaques informatiques, etc)
• Conception et déploiement de campagnes de sensibilisation à la sécurité de l’information à base d’éléments visuels (affiches, messages déroulant, animations vidéos, etc)

Etant qualifiée QSA (Qualified Security Assessor) par le PCI SSC, ATHENA TUNISIE vous soutient dans votre démarche de conformité PCI DSS et vous offre les services suivants :

• Formation sur la norme PCI DSS :
  • Principaux concepts
  • Exigences
  • Recommandations de mise en œuvre

• Accompagnement dans l’étude de cadrage et la définition du périmètre de votre projet de certification PCI DSS
• Accompagnement dans la mise en conformité PCI DSS et le maintien de votre certification :
  • Identification des écarts
  • Elaboration des politiques et des procédures
  • Elaboration des cahiers de charges pour l’acquisition des solutions de mise en conformité
  • Implémentation et test des solutions de mise en conformité

• Audits récurrents de votre périmètre PCI DSS :
  • Tests d’intrusion externes
  • Tests d’intrusion internes
  • Scans internes de vulnérabilités
  • Scans des points d’accès Wi-Fi
  • Revue des règles de filtrage
  • Audit à blanc (audit de préparation à la certification PCI DSS)

• Audit de certification PCI DSS

Vous souhaitez optimiser la gestion opérationnelle de votre sécurité et monter votre propre SOC ?

Nous vous offrons une assistance pour toutes les phases de votre projet afin de vous aider à prendre les choix techniques et organisationnels qui vous sont adaptés et à les mettre en place. Voici quelques volets de notre intervention :

• Cadrage et définition des objectifs attendus de votre SOC.
• Définition de la structure organisationnelle de votre SOC et évaluation des ressources humaines nécessaires à son fonctionnement.
• Définition de l’architecture technique de votre SOC et choix des solutions qui y seront intégrées.
• Élaboration d’un programme de formation pour votre équipe technique qui prendra en charge la gestion du SOC.
• Définition et mise en place des processus d’exploitation et d’administration du SOC (processus de surveillance, processus de gestion des incidents, etc).

Assistance au démarrage opérationnel de votre SOC

Est-ce que vos investissements dans les TIC produisent de la valeur ? Avez-vous mis en place un système d’indicateurs vous permettant de vous assurer de la bonne gestion de vos ressources TIC ? Vos processus d’affaires tirent-ils pleinement profit des technologies que vous utilisez? Votre stratégie TIC est-elle alignée à la stratégie globale de votre entreprise?

Nous mettons à votre disposition notre savoir faire en gouvernance et stratégies d’entreprise à travers les services suivants:

• Diagnostic de la gouvernance des IT.
• Mise en place des bonnes pratiques de gouvernance des IT.
• Elaboration de la stratégie IT.
• Réingénierie des processus d’affaires.

Avez-vous besoin de savoir ce qui s’est passé et comment réagir, suite à une attaque informatique ou à un incident de sécurité ?

Nous pouvons intervenir afin d’effectuer les recherches nécessaires sur votre système d’information et vous aider à :

• Retracer ce qui s’est passé / connaître les actions malveillantes effectuées.
• Identifier les auteurs et leur mode opératoire.
• Collecter des preuves pertinentes.
• Evaluer l’étendue des dommages.
• Protéger votre SI contre le renouvellement de l’attaque, du sinistre ou de l’incident en mettant en place les outils techniques, organisationnels et procéduraux adaptés.

Avez-vous besoin d’un avis externe, indépendant et neutre sur les choix techniques et/ou stratégiques relatifs à la sécurité de votre Système d’Information ?

S’appuyant sur notre cellule de veille technologique et notre savoir faire, nous vous proposons les prestations suivantes :

PSSI

• Analyse des risques
• Elaboration de la Politique Globale de Sécurité du Système d’Information
• Elaboration des Politiques Spécifiques et des Procédures de Sécurité du Système d’Information
• Elaboration des Chartes de Sécurité du Système d’Information
• Accompagnement à la mise en œuvre de la PSSI
• Sensibilisation / Formation des utilisateurs, des équipes techniques et des décideurs

Schéma Directeur SSI

• Elaboration du Schéma Directeur Sécurité du Système d’Information
• Elaboration du plan de mise en œuvre et du plan de mise à jour du Schéma Directeur Sécurité du Système d’Information
• Accompagnement à la mise en œuvre du Schéma Directeur Sécurité du Système d’Information

Conception

• Conception de solutions / architectures de sécurité
• Diagnostic et amélioration de solutions / architectures de sécurité existantes
• Elaboration des spécifications techniques de solutions / architectures de sécurité

Etude

• Etat de l’art sur une technologie / une technique / un concept de sécurité
• Etude comparative de solutions / techniques de sécurité

SMSI – Accompagnement dans la démarche ISO 27001

• Etat des lieux des pratiques de management de la sécurité du Système d’Information
• Accompagnement à l’établissement du SMSI
• Accompagnement à la mise en œuvre du SMSI
• Accompagnement à la surveillance et au réexamen du SMSI
• Accompagnement à l’amélioration du SMSI
• Pré-audit du SMSI et analyse des écarts par rapport à la norme ISO 27001

Support RSSI / CSSI

• Coaching du RSSI / CSSI
• Assistance du RSSI / CSSI
• Délégation d’un RSSI / CSSI à temps partiel (pour les entreprise ne justifiant pas d’un RSSI / CSSI à temps plein)

Assistance projet

• Analyse des risques projet
• Audit des projets
• Assistance à la maîtrise d’ouvrage

Assistance AO

• Assistance à la rédaction des appels d’offres
• Assistance au dépouillement des offres

Vous manquez de ressources spécialisées en sécurité de l’information ?

ATHENA vous offre des consultants à la carte pour renforcer votre équipe et vous permettre d’atteindre vos objectifs en matière de sécurité de l’information. Pour nous communiquer votre besoin, prière de remplir le formulaire suivant en précisant vos coordonnées ainsi que les informations suivantes:

• Niveau d’éducation
• Expérience
• Certifications
• Compétences demandées
• Localisation

Merci de remplir le formulaire ci-dessous

Quel est le niveau de sécurité de votre Système d’Information ? Est-il adéquat avec vos besoins métier ?

Nous vous proposons d’évaluer le niveau de sécurité de votre SI moyennant des audits sur mesure répondant à vos besoins métier, tout en respectant vos contraintes budgétaires, techniques et opérationnelles.

Les périmètres de nos audits peuvent aller d’un composant technique, fonctionnel ou organisationnel de votre SI jusqu’à la totalité de ce dernier. Voici les différents types d’audits que nous proposons:

• Tests d’intrusion Externes / Internes / WiFi.
• Audit applicatif.
• Audit de code source.
• Audit du management de la sécurité.
• Audit à blanc du SMSI.

 

Tests d’intrusion

Les tests d’intrusion consistent à simuler le comportement de pirates informatiques et à utiliser leurs techniques en vue de pousser un système/technologie/application/personne à ses limites et d’en découvrir les vulnérabilités.

Voici quelques exemples type des tests d’intrusion que nous effectuons :

• Tests d’intrusion externes (en blackbox).
• Tests d’intrusion internes (sur la base de scénarios).
• Tests d’intrusion applicatifs (applications Web, applications mobiles, clients lourd, etc).
• Tests d’intrusion par ingénierie sociale (attaques ciblées, phishing, appels téléphonique, prise de contact physique, etc).
• Tests d’intrusion des réseaux Wifi.

Les tests d’intrusion restent le moyen le plus efficace pour évaluer la solidité de vos mesures de sécurité contre des attaques.

Audits applicatifs

Les audits applicatifs visent à évaluer la sécurité d’une ou d’un ensemble d’applications (applications Web, applications mobiles, etc). Nos audits applicatifs couvrent non seulement l’application objet de l’audit mais aussi tous les composants de l’environnement applicatif :

• Serveur de présentation.
• Serveur applicatif.
• Serveur de base de données.
• Infrastructure système supportant l’application.

L’audit applicatif est recommandé avant la mise en production de vos applications. Pour une analyse plus approfondie de la sécurité de vos applications, l’audit applicatif peut aussi intégrer la réalisation de tests d’intrusion applicatifs et d’un audit de code source.

Audit de code source

L’audit de code source vous permet de vérifier que les bonnes pratiques en matière de codage ont bien été respectée au niveau du cycle de développement de vos applications. L’audit du code source se base, entre autres, sur :

• Des tests automatiques moyennant des scanners de code source.
• Un examen manuel du code source.
• Une étude de la structuration de l’application.

Audit du management de la sécurité

L’audit de management de la sécurité a pour objectif de vous éclairer quant :

• Au niveau d’application de vos politiques, procédures et chartes de sécurité
• A la conformité de vos documents de sécurité (politiques, procédure, etc) aux bonnes pratiques
• Aux possibilités d’amélioration de la gestion de la sécurité de l’information au sein de votre organisme

Audit à blanc du SMSI

L’audit à blanc du SMSI est une exigence de la norme ISO/IEC 27001 et fait partie de son cycle de vie. Il consiste à :

• La revue de la documentation du SMSI (Politiques de sécurité, procédures et directives, documents de gestion de risques, etc).
• L’identification des non conformités liées à la documentation.
• L’identification des non conformités liées à l’application des politiques, des procédures et des directives du SMSI.

En cas de sinistre, votre activité serait-elle relancée ? En combien de temps ? Vos pertes seraient-elles cernées ?

Afin d’assurer la continuité / reprise rapide et efficace de votre activité en cas de sinistre, nous vous proposons les services suivants :

• Elaboration du Plan de Reprise d’Activité (PRA) et/ou du Plan de Continuité d’Activité (PCA)
• Accompagnement dans la mise en place du PRA et/ou du PCA
• Evaluation de l’efficacité du PRA et/ou du PCA et de son adéquation avec le contexte de l’entreprise et la réglementation en vigueur
• Optimisation du rapport efficacité / coûts d’un PRA / PCA
• Mise en situation de la cellule de crise en simulant un sinistre