Pres

tatio

ns d

’aud

it de

de

cons

eil

Tél. : +33 (0) 3 87 62 06 00 www.ageris-consulting.com

Prestations d’audit et de conseil 2015

Sécurité des systèmes d’information

Continuité d’activitéProtection de la vie privée

Vos contactsM. Denis VIROLE

Directeur des Services+33 (0) 6 11 37 47 56

denis.virole@ageris-group.com

Mme Sandrine BEURTHEResponsable Administrative

+33 (0) 3 87 62 06 00sandrine.beurthe@ageris-group.com

M. Thierry RAMARDDirecteur Général+33 (0) 6 17 64 90 72

thierry.ramard@ageris-group.com

Mme Caroline MEOTResponsable Commerciale

+33 (0) 6 46 13 00 19caroline.meot@ageris-group.com

Pres

tatio

ns d

’aud

it de

de

cons

eil

Tél. : +33 (0) 3 87 62 06 00 www.ageris-consulting.com

Le Groupe AGERIS

2

Créée en 2003, AGERIS Group est une entreprise de services indépendante spécialisée dans la protection de l'information (SMSI - ISO 27001), dans la continuité d'activité (PCA / PRA) et dans la protection de la vie privée (Informatique & Libertés).

CONSEIL FORMATION LOGICIEL

- Assistance à maitrise d’ouvrage- Assistance à maitrise d’œuvre- Audit- Coaching

- Formation « Inter-Entreprises »- Formation « Intra- Entreprise »- Sensibilisation- Transfert de compétences

- Logiciel pour le RSSI- Logiciel pour le CIL- Logiciel pour le RPCA- Développement sur mesure

AGERIS Priv@cy - Pôle dédié à la protection de la vie privée

COGERIS MAROC SARL

VIROLE CONSEIL FORMATION SARL

FranceLuxembourg

Maroc – Tunisie - Sénégal

Continuité et reprise d’activité (SMCA – ISO 22301)

Protection de la Vie Privée (Informatique & Libertés)Protection de l’information et Sécurité des systèmes d’information (SMSI – ISO 27001)

Pres

tatio

ns d

’aud

it de

de

cons

eil

Tél. : +33 (0) 3 87 62 06 00 www.ageris-consulting.com

Les prestations AGERISAGERIS Consulting apporte l’expertise et l’expérience de ses consultants pour vousaccompagner dans vos démarches de gestion des risques, de protection des informationset de continuité d’activité.

Une offre adaptée à votre maturité en termes de sécuritéMaturité technologique

AGERIS auditionne et conseillesur les protections mises enœuvre au niveau des réseaux,des systèmes, des applicationset des flux d’informations.Les aspects techniques sontalors principalement analysésainsi que les procéduresd’exploitation.

Maturité décisionnelle

AGERIS auditionne et conseillesur la conformité avec desnormes, sur les tableaux debord, et sur le pilotage du SMSI.

Maturité organisationnelle

AGERIS auditionne et conseillesur les procédures et lespolitiques de protection du SI,l’organisation mise en œuvre etla sensibilisation des utilisateurs.

Des consultants expérimentés, un gage de réussite

Les consultants proposés par AGERIS Consulting accompagnent les autorités administratives, les établissements de santé et les entreprises Françaises et internationales depuis de très nombreuses années. Ils maîtrisent parfaitement le terrain et l’ensemble des métiers de la sécurité de l’information, quel que soit le secteur d’activité.

Pres

tatio

ns d

’aud

it de

de

cons

eil

Tél. : +33 (0) 3 87 62 06 00 www.ageris-consulting.com

Les prestations Enjeux et gouvernance

Classification des informations etdes actifs de l’entreprise

Toute ressource utile à la gestion des informations doitêtre identifiée et inventoriée. Elle doit être affectée à unresponsable clairement identifié, lequel sera chargé defaire appliquer la politique de sécurité sur celle-ci.

Les ressources et en particulier les informations doiventfaire l’objet d’une classification qui attribue à chacuned’entre elles les besoins et priorités de protection.

Les consultants d’AGERIS Consulting accompagnent leRSSI dans l’élaboration du schéma de classification surles 4 axes correspondant aux besoins en termes deDisponibilité, d’Intégrité, de Confidentialité et dePreuve/contrôle (DICP).

Ils contribuent ensuite à la collecte des informationsauprès des équipes métiers afin de classifier l’ensembledes processus et des actifs de l’entreprise en s’appuyantsur le schéma de classification défini préalablement.

Analyse des risquesdu système d’information

L’évolution de la réglementation et de la gouvernancedes entreprises met aujourd’hui en avant la notion demaîtrise des risques.

L’analyse des risques du système d’information permetd’assurer la robustesse de l’entreprise face à l’imprévu,mais aussi d’optimiser l’efficacité économique de sondispositif de maîtrise des risques.

Cette prestation consiste à aider l’entreprise dansl’élaboration de la cartographie des risques quimenacent son activité.

La démarche proposée par les consultants d’AGERISConsulting s’appuie sur les bonnes pratiques et lesrecommandations issues de la norme ISO 27005.

Selon les besoins exprimés par le client ou sonenvironnement réglementaire, les consultants d’AGERISConsulting peuvent mettre en œuvre les principalesméthodes disponibles sur le marché telles que EBIOS(ANSSI) ou MEHARI (CLUSIF).

Pres

tatio

ns d

’aud

it de

de

cons

eil

Tél. : +33 (0) 3 87 62 06 00 www.ageris-consulting.com

Les prestations Enjeux et gouvernance

Assistance à la mise en œuvrede la Gouvernance de la SSI

Les obligations réglementaires et juridiques, les impactsfinanciers ou d'image, les risques opérationnels liés à ladéfaillance de la gestion des informations obligent lesdirigeants à réviser l'organisation et la gouvernance dela sécurité des informations.

Dans ce contexte, il n'est plus raisonnable de ne confierqu'aux seuls informaticiens la responsabilité de lasécurité des informations détenues, produites outraitées par l'entreprise.

La sécurité des informations, au même titre que lagestion de toutes les ressources critiques del'entreprise, n'est pas seulement un problèmetechnique, c'est devenu un enjeu commercial qui doitêtre géré au plus haut niveau de l'organisation.

Les consultants d’AGERIS Consulting accompagnent lesdirections générales dans la mise en œuvre d’une filièreSécurité et dans la définition des rôles et desresponsabilités au sein des différentes entités.

Définition des enjeux, des exigenceset des besoins de sécurité

La sécurité des systèmes d’information (SSI) recouvrel’ensemble des moyens techniques, organisationnels ethumains qui doivent être mis en place dans le but degarantir, au juste niveau requis, la sécurité des donnéesinformatiques d’un organisme et des systèmes quiassurent l’élaboration, le traitement, la transmission oule stockage de ces données.

Ce besoin de sécurité doit être déterminé en fonctionde la menace et des enjeux.

De ce besoin de sécurité, découlent les objectifs desécurité à satisfaire, puis les fonctions qui peuvent êtremises en oeuvre pour atteindre ces objectifs, et enfin lesmoyens aptes à assurer les fonctions retenues.Les consultants d’AGERIS Consulting accompagnent leRSSI dans la définition des exigences métiers (BIA) etdes besoins de sécurité.

Les besoins sont exprimés selon les critères DICP etpermettent à l’entreprise de définir sa stratégie deprotection de son patrimoine.

Pres

tatio

ns d

’aud

it de

de

cons

eil

Tél. : +33 (0) 3 87 62 06 00 www.ageris-consulting.com

Les prestations PCA et PRA

Définition du plan de continuité des activités (PCA)

La continuité des activités est plus que jamais au cœurde la préoccupation des entreprises et des instances deréglementation.

Bien au-delà de la dimension informatique à laquelle ilest trop souvent confiné, un Plan de continuité desactivités (PCA) est avant tout centré sur les métiers, etvise à assurer la robustesse de l’entreprise face à touttype de risque opérationnel.

Les consultants d’AGERIS Consulting accompagnent leRPCA dans la définition de son plan de continuitéd’activité.

Les missions proposées abordent notamment ladéfinition des besoins de continuité, la définition de lastratégie, l’élaboration des plans de gestion de crise etde communication, la définition des plansd’hébergement et de secours.

Définition du plan de secours informatique (PSI)

La continuité des activités repose sur la garantie de ladisponibilité de son système informatique, et, en cas desinistre majeur, la capacité de la DSI à mettre en placedes moyens de secours assurant un rétablissement duservice dans des délais les plus brefs.

Il est donc indispensable de concevoir et mettre enplace un Plan de Secours Informatique.

Les consultants d’AGERIS Consulting accompagnent leDSI dans la définition de son plan de reprise d’activité etde secours informatique.

Les missions proposées abordent notamment ladéfinition des besoins, la définition de la stratégie,l’élaboration des plans de gestion de crise, la définitiondes procédures de secours et de reprise d’activité.

Pres

tatio

ns d

’aud

it de

de

cons

eil

Tél. : +33 (0) 3 87 62 06 00 www.ageris-consulting.com

Les prestations PCA et PRA

Définition des processus de gouvernanceet de gestion de la crise

La gestion de crise est l'ensemble des modesd'organisation, des techniques et des moyens quipermettent à une organisation de se préparer et de faireface à la survenance d'une crise puis de tirer lesenseignements de l'évènement pour améliorer lesprocédures et les structures dans une visionprospective.

En outre, dans le cadre de la gestion de crise, une cellulede crise composée des membres exécutifs etopérationnels doit être définie et doit disposer d’un plande gestion de crise.

Les consultants d’AGERIS Consulting accompagnent leRPCA dans la définition de la gouvernance de crise etdans les procédures de gestion associées.

Les missions proposées abordent notamment ladéfinition des rôles et des responsabilités, les instancesde décisions et de pilotage de la crise, les procéduresd’escalade et les outils de gestion opérationnelle de lacrise.

Accompagnement lors des phases de testsdu PRA

Un plan de continuité et de reprise d’activité ne peutêtre efficace que s’il est testé régulièrement afin devérifier notamment si les dispositifs de secours et lesprocédures sont suffisants.

Selon les scénarios retenus, des tests unitaires,d’intégration ou de grandeur nature peuvent êtreorganisés afin de vérifier les dispositifs en impliquant lesdifférents acteurs de l’entreprise.

Les tests et les observations doivent être préparésrigoureusement pour mesurer correctementl’adéquation des solutions aux besoins exprimés.

Les consultants d’AGERIS Consulting accompagnent leRPCA dans la préparation des tests, lors de leurréalisation et lors du débriefing post-tests.

Les missions proposées abordent notamment ladéfinition des protocoles de tests et des fichesd’observation, les coordinations des opérations decontrôle et de suivi, la participation aux tests et au bilandes observations.

Pres

tatio

ns d

’aud

it de

de

cons

eil

Tél. : +33 (0) 3 87 62 06 00 www.ageris-consulting.com

Les prestations SMSI

Accompagnement au déploiement du Système de Management de la Sécurité de l’information

(SMSI –ISO 27001)

L’adoption d’un SMSI est une décision stratégique pourl’entreprise.

Les consultants d’Ageris Consulting accompagnent leRSSI dans la définition et dans la mise en oeuvre duSMSI ISO 27001.

La mission consiste notamment à définir les processusd’amélioration continue, à définir le niveau d’exigence etles besoins du SMSI et à accompagner le client dans ledéploiement des processus opérationnels.

Définition d’une politique de sécurité de l’information (PSSI)

Chaque acteur de l’entreprise est impliqué dans laprotection du patrimoine informationnel. C’estpourquoi, il est impératif de définir les lignes directriceset les directives applicables en conformité avec lastratégie définie par la direction générale.

Les consultants d’AGERIS Consulting accompagnent leRSSI dans la définition d’une politique de sécurité del’information et des procédures associées.

La mission consiste notamment à définir la stratégie deprotection de l’information, à définir les politiquesspécifiques de sécurité et les procédures, à mettre enplace les processus de communication des politiques età accompagner le RSSI dans sa démarche desensibilisation.

Pres

tatio

ns d

’aud

it de

de

cons

eil

Tél. : +33 (0) 3 87 62 06 00 www.ageris-consulting.com

Les prestations SMSI

Définition du Schéma Directeur Sécurité (SDSSI)

Le schéma directeur SSI (SDSSI) exprime la stratégie del'entreprise pour concevoir, construire et planifier dansle temps la mise en oeuvre du Système de Managementde la Sécurité de l'Information (SMSI).

Il doit désigner une cible à atteindre et les étapespermettant de conduire la trajectoire de transformationen vue de répondre aux missions et aux objectifs del'entreprise dans des conditions optimales de sécurité.

Les consultants d’AGERIS Consulting accompagnent leRSSI dans la définition d’un schéma Directeur SSI et duplan d’actions associé.

La mission consiste notamment à définir les projets SSI,à définir les rôles et les responsabilités dans ledéploiement, à quantifier les budgets et à définir lespriorités de déploiement.

Définition des tableaux de bord SSI(TBSSI)

Un TDBSSI permet de disposer, aux différents niveauxdécisionnels, d’une vision synthétique de la situation dela sécurité, que ce soit dans ses dimensions techniquesou fonctionnelles (couverture des risques, qualité de lapolitique de sécurité, suivi des audits, des actions et desalertes…).

Il constitue un outil de synthèse et de visualisationindispensable pour suivre toutes les actions liées à laSSI. Il contribue à contrôler que la stratégie définie dansla politique de sécurité est mise en œuvre par lesniveaux de pilotage et opérationnels, et à la remontéed’informations pertinentes jusqu’aux décideurs.

Les consultants d’AGERIS Consulting accompagnent leRSSI dans la définition des tableaux de bord SSIstratégiques, tactiques et opérationnels.

La mission consiste notamment à définir les indicateursrépondant aux besoins, à définir les solutions decollecte et de traitement de ces indicateurs et àformaliser les tableaux de bord internes.

Pres

tatio

ns d

’aud

it de

de

cons

eil

Tél. : +33 (0) 3 87 62 06 00 www.ageris-consulting.com

Les prestations techniques

Intégrer la sécuritédans les projets informatiques

Étant donnée leur nature complexe, changeante,fortement interconnectée et exposée à une menace quirevêt des formes multiples et variables dans le temps, ilest aujourd'hui indéniable que la sécurité des systèmesd'information (SSI) doit être intégrée tout au long ducycle de vie d’un projet informatique.

Il apparaît nécessaire également de pouvoir moduler lesactions SSI selon les enjeux réels du SI vis-à-vis del'organisme.

Les consultants d’AGERIS Consulting accompagnent leDSI et le RSSI dans la définition et la mise en œuvred’une démarche de prise en compte de sécurité par leschefs de projet informatique.

La mission consiste notamment à définir laméthodologie et les outils et à accompagner et formerles chefs de projets dans la phase d’appropriation de ladémarche.

Assistance à la définition d’une architecture de sécurité et au choix de solutions

La sécurité des réseaux informatiques est un sujetessentiel pour favoriser le développement des échangesdans tous les domaines.

D'un point de vue technique, la sécurité recouvre à lafois l'accès aux informations sur les postes de travail, surles serveurs ainsi que le réseau de transport desdonnées.

Sécuriser son réseau informatique signifie égalementconnaître son matériel et se préoccuper de sa gestion(achat, entretien, renouvellement).

Les consultants d’AGERIS Consulting accompagnent leRSSI et les architectes réseaux et systèmes dans ladéfinition des architectures techniques de sécurité.

La mission consiste notamment à définir les topologieset les solutions répondant aux besoins de sécurité, àformaliser les cahiers des charges techniques et àsélectionner les maitres d’oeuvre informatiques.

Pres

tatio

ns d

’aud

it de

de

cons

eil

Tél. : +33 (0) 3 87 62 06 00 www.ageris-consulting.com

Les prestations techniques

Assistance aux choix et à la mise en œuvre d’une architecture de gestion des identités et

des accès (IAM)

La gestion des identités consiste à gérer le cycle de viedes personnes (embauche, promotion, mutation,départ...) au sein de la société avec tous les impacts surle SI (création de Comptes utilisateurs, attribution deProfils utilisateurs, mise en oeuvre du contrôled'accès...).

Cette gestion des identités doit pouvoir être faite d'unpoint de vue fonctionnel par des non-informaticiens(exemple : Ressources Humaines, MOA, l’utilisateur lui-même) et d'un point de vue technique par desinformaticiens (exemple : administrateur, MOE).

Les consultants d’AGERIS Consulting accompagnent leRSSI dans la définition et le choix de solutions de gestiondes identités et des accès.

La mission consiste notamment à définir les besoins, àdéfinir l’architecture cible et les solutions techniques, àformaliser les cahiers des charges techniques, lesprocédures utilisateurs et à sélectionner les maitresd’oeuvre informatiques.

Assistance à la rédaction des cahiers des charges et au choix de solutions techniques

L’assistant à maîtrise d’ouvrage (AMOA ou AMO) a pourmission d’aider le maître d'ouvrage à définir, piloter etexploiter le projet réalisé par le maître d'œuvre.

L’assistant a un rôle de conseil et de proposition, ledécideur restant le maître d'ouvrage. Il facilite lacoordination de projet et permet au maître d’ouvragede remplir pleinement ses obligations au titre de lagestion du projet.

Les consultants d’AGERIS Consulting accompagnent leRSSI dans la rédaction des cahiers des charges et lechoix des prestataires.

La mission consiste notamment à formaliser lesspécifications techniques du cahier des charges,préparer les dossiers d’évaluation et participer auxtravaux de sélection du prestataire et des solutions.

Pres

tatio

ns d

’aud

it de

de

cons

eil

Tél. : +33 (0) 3 87 62 06 00 www.ageris-consulting.com

Les prestations d’audits

Audit de la sécurité des systèmes d’information

Pour procéder à ces contrôles réguliers, un certainnombre de méthodes existent, parfois similaires, parfoisopposées, mais toujours complémentaires dans leurapproche.

L'audit de sécurité d'un système d'information (SI) estune vue à un instant T de tout ou partie du SI,permettant de comparer l'état du SI à un référentiel.

L'audit répertorie les points forts, et surtout les pointsfaibles (vulnérabilités) de tout ou partie du système.

Les consultants d’AGERIS Consulting accompagnent leRSSI dans son processus de contrôle permanent enréalisant les audits techniques et organisationnels.

Les thèmes abordés sont notamment relatifs auxdispositifs techniques déployés, à la gouvernance et à lagestion de la SSI et aux procédures de maintien encondition opérationnelle.

Audit du plan de reprise d’activité et du plan de secours

Le maintien en condition opérationnelle du plan decontinuité d’activité implique des phases de contrôlespermanents et d’audits.

Ces audits, réalisés en complément des tests,permettent de mettre en évidence les éventuellesfaiblesses des dispositifs opérationnels et de définir lesaxes d’amélioration.

Les consultants d’AGERIS Consulting accompagnent leRPCA dans l’audit du Plan de Reprise d’Activité et desprocédures associées.

Les thèmes abordés sont notamment relatifs auxdispositifs techniques déployés, à la gouvernance demaintien opérationnel et de crise, aux procédures demaintien en condition opérationnelle.

Pres

tatio

ns d

’aud

it de

de

cons

eil

Tél. : +33 (0) 3 87 62 06 00 www.ageris-consulting.com

Les prestations d’audit

Audit à blanc ISO 27001(préparation à la certification)

La certification n’est pas un but en soi, c’est-à-dire quel’organisme qui décide de mettre en place un SMSI ensuivant les exigences de l’ISO 27001, n’a pas pourobligation de se faire certifier.

Cependant, c’est l’aboutissement logique del’implémentation d’un SMSI puisque les partiesprenantes n’ont confiance qu’en un système certifié parun organisme indépendant.

Les consultants d’AGERIS Consulting accompagnent leRSSI dans son processus de contrôle permanent enréalisant les audits du SMSI ISO 27001.

Les thèmes abordés sont notamment relatifs auxdispositifs techniques déployés, à la gouvernance et à lagestion de la SSI, aux processus et aux procédures demaintien en condition opérationnelle, au respect desrecommandations formulées dans les normes ISO27001 et ISO 27002.

Audit « informatique & libertés »

Compte tenu du nombre important de traitements dedonnées à caractère personnel au sein d'unétablissement, il est essentiel d'établir un état des lieuxexhaustif de ces traitements.

A cet effet, il convient d'appliquer une méthodologied'audit "Informatique & Libertés" permettantd'investiguer et d'établir cet état des lieux, d'identifierles éventuels manquements à la Loi Informatique etLibertés et aux normes de la Cnil, et enfin dedéterminer des mesures correctives pragmatiquesd'ordre juridique, technique et organisationnel.

Les consultants d’AGERIS Consulting accompagnent leCorrespondant à la protection des données dans sadémarche de contrôle permanent en auditant lesdispositifs prévus pour respecter la loi Informatique &libertés.

Les thèmes abordés sont relatifs au respect desdispositifs légaux prévus pas la loi notamment enmatière de déclaration, de transparence, d’information,de protection des données à caractère personnel.

Pres

tatio

ns d

’aud

it de

de

cons

eil

Tél. : +33 (0) 3 87 62 06 00 www.ageris-consulting.com

Les prestations Coaching et accompagnement

Accompagnement du Correspondant Informatique & Libertés (CIL)

Depuis sa création en 2005, de plus en plusd’organismes ont fait le choix de désigner uncorrespondant informatique et libertés (CIL). Cettedécision s'inscrit généralement dans le cadre d'unestratégie de groupe.

Le CIL assure la sécurité juridique face aux enjeux liésaux technologies de l'information, et protège les droitsdes employés, des clients, et des entreprises elles-mêmes.

Les consultants d’AGERIS Consulting accompagnent leCorrespondant à la protection des données dans sadémarche de mise en conformité aux obligations légalesen vigueur.

Les thèmes abordés sont notamment relatifs à lapolitique de protection à mettre en œuvre, à lagouvernance en matière de protection des données etaux procédures de déclarations et de mise enconformité.

Accompagnement du Responsable de la Sécurité des Systèmes d’Information (RSSI)

Les fiches de définition de poste du Cigref identifient lesgrandes missions suivantes pour la fonction de RRSI :définition de la politique de sécurité et construction duréférentiel normatif de l'organisation vis à vis de lasécurité informatique, en accord avec les objectifs de ladirection générale et les contraintes de mise en place oules risques identifiés.

Ces missions conduisent donc à donner au RSSI desrôles de conseil, d’assistance, d’information, deformation et d’alerte. Il s'agit de rôles demandant à lafois des capacités d'intervention variées et descompétences multi-disciplinaires, ce qui rend la fonctionassez difficile à remplir dans son ensemble. Dans lamesure du possible, ces missions doivent êtreaccomplies dans une structure indépendante de ladirection informatique.

Les consultants d’AGERIS Consulting accompagnent leRSSI dans sa démarche d’appropriation de son métier etdans la mise en oeuvre de sa politique de sécurité.

Pres

tatio

ns d

’aud

it de

de

cons

eil

Tél. : +33 (0) 3 87 62 06 00 www.ageris-consulting.com

Accompagnement du Responsable de la Continuité d’activité (RPCA)

Le Responsable PCA est le coordinateur PCA au niveaude l’entreprise. Le titre de responsable suppose unedélégation de responsabilité à minima pour la définitionet la mise en œuvre des plans de continuité d'activité. Ilcoordonne éventuellement un réseau decorrespondants ou de relais afin d’assurer la cohérencedes plans des entités.

Il répare, propose pour validation et s’assure de la miseen œuvre des plans d’actions dans le domaine PCA. Cesplans d’actions sont constitués sur la base des plansd’actions élaborés par les métiers et les activités desupport (maîtrise d’œuvre informatique, ressourceshumaines, communication, logistique et sécurité).

Les consultants d’AGERIS Consulting accompagnent leRPCA dans sa démarche d’appropriation de son métieret dans la mise en oeuvre de son plan de continuitéd’activité.

Sensibilisation à la Sécurité des Systèmes d’Information à destination des décideurs ou

des utilisateurs

La protection du patrimoine informationnel d’uneentreprise passe plus que jamais par une vigilanceaccrue des utilisateurs du système d’information qui,conscients des enjeux, ont adopté un certain nombre debonnes pratiques.

Cette mission vise à expliquer aux utilisateurs des SI lesbonnes pratiques à adopter quant à l’usage des moyensde communications qui sont mis à leur disposition.

Les consultants d’AGERIS Consulting accompagnent leRSSI dans la définition et la mise en œuvre de sonprogramme de sensibilisation.

La mission consiste notamment à formaliser lessupports de sensibilisation, animer les premièressessions et accompagner dans la mise en œuvre dessolutions de suivi et de pilotage.