Audit Initial

Contenu

    L’étude technique
  • Cartographie du Système d’information avec analyse des flux entrants et sortants
  • Etablissement d’une liste des partenaires externes de la société
  • Analyse de risques techniques sur les actifs identifiés comme sensibles
  • Etablissement d’un premier relevé des données critiques de la société (dont les données personnelles)
  • Scan de vulnérabilité des actifs présents sur Internet avec établissement d’un diagnostic avec Scoring

    L’étude organisationnelle
  • Cartographie des rôles clés de l’organisation
  • Analyse de risques organisationnels et opérationnels
  • Etat des lieux sur les responsabilités juridiques de l’organisation vis à vis du traitement des données personnelles

Tarification & Modalités pratiques

  • 15 k€ HT ; Peut être exécuté sur 3 semaines
  • Interlocuteurs connaissant bien leur SI (chef de projets informatique) et le métier (chef de projet MOA ou représentant métier)

Audit Initial

Plan d'actions Cyber

Contenu

  • Etablissement de la politique de sécurité, à mettre en regard des risques identifiés dans la phase d’audit ;
  • Pour chacun des actifs vus comme sensibles, identifier les personnes responsables, les vulnérabilités, les menaces, les impacts et leur vraisemblance, et à la fin le niveau de risque par actif ;
  • Pour chacun de ceux-ci, identifier une solution de traitement du risque, avec la listes de mesures de sécurité organisationnelles, opérationnelles ou techniques à mettre en œuvre, ou tracer l’acceptation de risques si telle est la solution choisie ;
  • Ecrire le plan d’action de mise en œuvre sur l’année suivante ainsi que les quick-wins pouvant déjà être mis en œuvre

Il faudra prévoir sur l’année suivante un suivi du plan d’actions afin vérifier que les solutions de réduction de risques sont opérationnelles et si besoin redéfinir de nouvelles solutions. C’est le processus « Plan Do Check Act » des normes IS0 27001.

Tarification & Modalités pratiques

  • 20 k€ HT ; Peut être exécuté sur 3 semaines
  • Interlocuteurs connaissant bien leur SI (chef de projets informatique) et le métier (chef de projet MOA ou représentant métier)
  • Le suivi n’est pas inclus dans cette prestation (2 j/mois à 700€HT /j)

Plans d'actions Cyber

Plan d'actions RGPD

Contenu

  • Désigner un pilote dans votre organisation pour la gouvernance des données personnelles de votre structure ;
  • Cartographier exhaustivement vos traitements de données personnelles ;
  • Identifier et prioriser les actions à mener pour vous mettre en conformité vis à vis de vos obligations actuelles ou à venir ;
  • Effectuer l’analyse de risque RGPD sur les données personnelles susceptibles d’engendrer des risques élevés pour votre organisation ;
  • Mettre en œuvre de nouveaux processus internes pour assurer un haut niveau de protection des données personnelles que vous manipulez ;
  • Ecrire un plan de documentation qui sera à mettre en œuvre sur l’année suivante, pour pouvoir établir la conformité au règlement RGPD.

Il faudra prévoir sur l’année suivante un suivi du plan d’actions RGPD

Tarification & Modalités pratiques

  • 10 k€ HT ; Peut être exécuté sur 2 semaines
  • Interlocuteurs connaissant bien leur SI (chef de projets informatique) et le métier (chef de projet MOA ou représentant métier)
  • Dans le cadre du plan d’actions RGPD, nous aimerions pouvoir travailler avec votre Juriste habituel, afin de travailler sur vos clauses contractuelles types.
  • Le suivi n’est pas inclus dans cette prestation (2 j/mois à 1k€HT /j)

Plans d'actions RGPD

Plan d'actions PCI-DSS

Contenu

  • Supprimer les données d’identification sensibles et limiter la conservation des données ;
  • Protéger les systèmes et les réseaux, et être prêt à répondre à chaque intrusion dans le système ;
  • Sécuriser les applications de carte de paiement ;
  • Surveiller et contrôler l'accès à vos systèmes ;
  • Protéger les données des titulaires de cartes stockées ;
  • Finaliser les derniers efforts de conformité́ et s'assurer que tous les contrôles sont en place.

Cette phase assez complexe visite tous les processus techniques du SI

Son but est d’établir le plan d’actions à mettre en œuvre dans l’année suivante ainsi que les quick-wins qui peuvent déjà être mis en place.

Tarification & Modalités pratiques

  • 15 k€ HT ; Peut être exécuté sur 3 semaines
  • Interlocuteurs connaissant bien leur SI (chef de projets informatique) et le métier (chef de projet MOA ou représentant métier)
  • Le suivi n’est pas inclus dans cette prestation (2 j/mois à 700€HT /j)

Plans d'actions PCI-DSS

Plan de continuité d'activité

Contenu

    Mise en oeuvre du projet PCA :
  • Organiser le projet PCA
  • Analyser les besoins de continuité
  • Définir une stratégie de continuité
  • L'implémentation du plan de continuité d'activité

Préparation du maintien en condition opérationnelle

Tarification & Modalités pratiques

  • 10,5 k€ HT ; Peut être exécuté sur 6 à 8 semaines
  • L'audit initial (technique et organisationnel) est un prérequis à cette offre
  • Un engagement fort de la Direction générale est nécessaire à la réussite de ce projet
  • Un accès à un interlocuteur référent par département de l'entreprise est nécessaire
  • Le suivi n’est pas inclus dans cette prestation (2 j/mois à 700€HT /j)

Plans de continuité d'activité

Animation groupe de travail

Contenu

Animation d’un groupe de travail sur la cybersécurité :

  • sensibiliser une équipe,
  • définir des objectifs
  • un plan d’action...


Thème à votre demande

Tarification & Modalités pratiques

  • 500€ HT incluant 3 heures de réunion et la préparation de celle-ci par LORCYBER
  • Livrable : Ordre du jour, diapositives de présentation et compte rendu de réunion
  • Définir en amont le type de prestation (15 jours minimum) pour la préparation de la réunion.

Animation

Accompagnement DPO

DPO partagé

Contenu

Le règlement européen sur la protection des données personnelles (RGPD) a créé la fonction de Délégué à la protection des données (Data Protection Officer, DPO) comme chef d’orchestre du domaine sécurité protection des données personnelles dans votre entreprise ou collectivité et interlocuteur naturel de la CNIL et des autorités pour ces aspects. Cette fonction qui requiert une connaissance des domaines juridique et technique est incompatible avec d’autres fonctions internes.

Si vous ne pouvez identifier dans votre organisation cette compétence, et ne souhaitez pas faire un recrutement ad hoc, si vous préférez que votre chef d’orchestre ait d’ores et déjà des compétences qui vous seront utiles dans l’accompagnement de votre développement, il vous est possible d’externaliser cette fonction. Nous sommes en mesure de réaliser cette externalisation.

Tarification & Modalités pratiques

  • A la demi journée ; 500€ HT / demi-journée

DPO partagé

Accompagnement Gestion de Crise

Contenu

Mise en oeuvre des éléments vus dans la formation « Fondamentaux de la gestion de crise »

  • Crise vs Problème : Continuité d’activité ?
  • Comment se préparer ?
    • Inventaires
    • Scénarios de crise
    • Analyse d’impacts
    • Plans de préparations
    • Plans de réactions
  • Pourquoi s’exercer, l’effet de surprise et le facteur humain ?
  • Normes et législation
  • Tarification & Modalités pratiques

    • A la journée (7h) ou demi journée (3,5h) ; 100€ HT / heure
    • Prérequis à établir suivant la demande

    Gestion de Crise

    Accompagnement Développement sécurisé

    Contenu

    Mise en oeuvre des éléments vus dans la formation « Fondamentaux du développement sécurisé »

    • Pourquoi sécuriser ?
    • La sécurité applicative dans la chaîne de valeur sécurité
    • Défense en profondeur, Facteurs humains et bonnes pratiques
    • Contre quoi sécuriser ?
    • Vulnérabilités OS, MiddleWare et Applicatives
    • Référentiel OWASP TOP 10
    • Cycle de vie sécurité
    • Tests et Corrections continue
    • La sécurité au service de votre métier

    Tarification & Modalités pratiques

    • A la journée (7h) ou demi journée (3,5h) ; 100€ HT / heure
    • Prérequis à établir suivant la demande

    Développement sécurisé