Un responsable virtuel de la sécurité de l'information (vCISO) est un consultant de niveau C qui fournit un soutien en matière de cybersécurité comme le ferait un cadre supérieur interne. Le vCISO agit comme une force extrinsèque pour évaluer les systèmes de sécurité d'une entreprise - il n'y va pas par quatre chemins dans son évaluation et offre une grande valeur aux PME, ainsi qu'aux grandes organisations.
Phase 1 - Reconnaissance et délimitation du champ d'application
Durée : jusqu'à 3 mois
Produit livrable : Questionnaire de la phase de reconnaissance (500+ questions répondues avec un score de maturité COBIT 5 de 1 à 5)
Avantages : La phase de reconnaissance permet au client de comprendre sa position en matière de sécurité par rapport aux normes des meilleures pratiques. Comprendre quelles exigences de conformité s'appliquent (GDPR, PCI, etc.) et accroître la transparence de l'organisation.
Exigences - Première semaine sur place pour rencontrer les principales parties prenantes suivantes :
Toutes les questions pertinentes seront posées aux parties prenantes spécifiques, qui pourront soit y répondre elles-mêmes, soit nous indiquer la bonne direction pour une réunion de suivi avec la partie prenante concernée. Les questions peuvent être présentées à l'avance, afin d'accélérer la phase de reconnaissance.
Phase 2 - Analyse
Durée : jusqu'à 1 mois
Produit livrable : Rapport d'évaluation de la maturité avec les principales menaces pour votre secteur. Scores basés sur COBIT 5 (modèle de maturité des meilleures pratiques) et comparés à d'autres organisations similaires.
Avantages : Sachez à quoi ressemble votre posture de sécurité par rapport aux menaces spécifiques à votre secteur d'activité, ainsi qu'aux autres organisations de votre secteur. Sachez où vous êtes le plus et le moins mature. Cela nous permet de développer une feuille de route d'amélioration de la sécurité basée sur les risques.
Phase 3 - Feuille de route pour l'amélioration de la sécurité
Durée : jusqu'à 2 mois
Produit livrable : Une stratégie de sécurité de l'information entièrement normative, sous la forme d'une feuille de route basée sur les risques, avec une estimation des coûts et des délais. Un budget supplémentaire sera nécessaire pour la phase suivante.
Option facultative : Vous avez du mal à attirer l'attention du conseil d'administration ? Nous pouvons vous aider à obtenir un budget en rédigeant une analyse de rentabilité avec des retours sur investissement clairs pour chaque élément de la feuille de route. Ce travail sera précédé d'une sensibilisation aux raisons pour lesquelles la sécurité est importante, afin d'influencer l'appétit du conseil d'administration. Nous inclurons un certain nombre d'indicateurs clés de performance organisationnels à suivre et à rapporter, après la mise en œuvre du projet. Ces indicateurs fourniront au conseil d'administration l'assurance que les investissements en matière de sécurité en valaient la peine.
Avantages : Cette feuille de route vous aidera à vous attaquer d'abord aux risques organisationnels les plus critiques et aux lacunes en matière de contrôle.
Chaque solution proposée comportera une description claire des avantages et du retour sur investissement escompté, en utilisant une analyse quantitative des risques pour démontrer l'espérance de perte annuelle avant et après la mise en œuvre des solutions et leur test/validation.
Phase 4 - Travaux d'assainissement
Durée : En fonction du budget et du calendrier du client
Les projets d'amélioration de la sécurité sont généralement mis en œuvre localement par le client, avec ses propres ressources. Nous fournissons une assistance-conseil continue pendant le projet, afin de garantir que les produits livrés sont conformes aux exigences initiales.
Phase supplémentaire facultative de contrôle de la qualité : Si nécessaire, nous pouvons participer à l'évaluation des solutions proposées par différents fournisseurs. Nous offrons des conseils neutres par rapport aux vendeurs.
Les avantages : Remédier aux risques encourus par votre organisation est la principale raison d'investir dans la cybersécurité.
L'amélioration de votre posture de sécurité vous aidera à prévenir, détecter, répondre et garantir la protection de vos actifs informationnels. La sécurité dès la conception réduit considérablement les coûts globaux des opérations. Numérisez votre organisation et faites-la entrer dans l'ère de l'information en toute confiance.
Phase 5 - Après la mise en œuvre
Cette phase est la plus simple, car nos consultants sont déjà impliqués depuis le premier jour. Il s'agit essentiellement d'un "contrôle dans la boîte", une fois que les projets et processus nécessaires ont démarré, démontrant l'amélioration continue de la sécurité.
Avantages : Renforce la réputation de l'entreprise, la valeur de l'action et donne un argument de vente unique/un avantage sur un marché concurrentiel. Montrez à vos clients que vous vous souciez de leurs droits et de la sécurité de leurs données !
L'accréditation à ISO27001 démontrera la preuve d'une diligence raisonnable et d'une attention particulière, contribuant ainsi à réduire les amendes massives liées au GDPR, aux amendes PCI et à toute autre amende à laquelle votre organisation pourrait être confrontée.
Nous offrons un soutien vCISO pour le programme de cybersécurité de votre entreprise, en gardant à l'esprit la mise en œuvre d'une stratégie de sécurité à long terme et l'amélioration continue, soit en tirant parti de ce que vous avez déjà en place, soit en établissant la sécurité à partir de la base (et de haut en bas par le biais des politiques et de la stratégie).
Notre service vCISO permet aux organisations de procéder à une évaluation complète de leur posture de sécurité, ce qui permet d'identifier les faiblesses et d'optimiser les dépenses de sécurité et le retour sur investissement à long terme.
Nous offrons un soutien vCISO pour le programme de cybersécurité de votre entreprise, en gardant à l'esprit la mise en œuvre d'une stratégie de sécurité à long terme et l'amélioration continue, soit en tirant parti de ce que vous avez déjà en place, soit en établissant la sécurité à partir de la base (et de haut en bas par le biais des politiques et de la stratégie).
Notre service vCISO permet aux organisations de procéder à une évaluation complète de leur posture de sécurité, ce qui permet d'identifier les faiblesses et d'optimiser les dépenses de sécurité et le retour sur investissement à long terme.
Agissant soit comme conseiller de longue date pour votre organisation, soit comme RSSI intérimaire, un vCISO interviendra pour établir des politiques, des normes et des procédures de sécurité, mettre en œuvre des cadres de contrôle et établir des processus qui détectent les incidents et y répondent rapidement, vous permettant ainsi d'affiner continuellement votre approche et de faire face au paysage dynamique des menaces conformément aux meilleures pratiques de l'industrie et aux exigences réglementaires.
Ce service est un modèle rentable qui peut être adapté - tant en termes de durée que de portée - pour répondre aux besoins de sécurité spécifiques et uniques ainsi qu'à l'appétit pour le risque du client. Grâce à cette formule, nos clients peuvent se concentrer sur leurs activités principales, tout en étant assurés que leurs actifs informationnels sont disponibles, efficaces et sûrs.
