CYBER RISQUE ET CONFORMITE

L'ISO 27001 est une norme internationale qui définit les exigences pour un système de gestion de la sécurité de l'information (SGSI). Elle vise à aider les organisations à protéger les informations sensibles et à gérer les risques liés à la sécurité de l'information. La norme fournit un cadre de référence pour établir, mettre en œuvre, maintenir et améliorer un SGSI.

L'ISO 27002 est une norme de code de bonne pratique qui donne des lignes directrices pour la mise en œuvre de la norme ISO 27001. Elle fournit des recommandations sur les mesures de sécurité de l'information qui devraient être prises en compte lors de la mise en œuvre d'un SGSI.

La conformité à l'ISO 27001 et à l'ISO 27002 est le processus par lequel une organisation s'assure qu'elle respecte les exigences de ces normes. Cela peut être vérifié par une vérification externe de l'organisation par un organisme de certification accrédité. L'obtention de la conformité à ces normes peut aider une organisation à démontrer sa capacité à protéger les informations sensibles et à gérer les risques liés à la sécurité de l'information.

NIST

Assurez l'alignement avec le National Institute of Standards and Technology (NIST).

• NIST 800-30 RISK ASSESSMENT

• NIST 800-171 ASSESSMENT

La Publication Spéciale 800-30 (Rev. 1) du NIST (National Institute of Standards and Technology) est un document qui fournit des lignes directrices pour réaliser des évaluations de risques des systèmes d'information. 

La publication a pour objectif d'aider les organisations à identifier et à évaluer les risques potentiels pour leurs systèmes et à mettre en place un cadre pour élaborer et mettre en œuvre des stratégies de gestion des risques. 

Elle couvre un éventail de sujets, notamment le processus d'évaluation des risques, l'identification et l'évaluation des menaces potentielles, la détermination de la probabilité et de l'impact des menaces potentielles, et l'élaboration de stratégies de réduction des risques. 

Elle s'adresse à une variété d'organisations, y compris les agences gouvernementales, les entreprises et les autres entités qui traitent des informations sensibles.

Cybersecurity Maturity Model Certification Services (CMMC)

Le modèle de maturité en cybersécurité (CMMC) est un standard de conformité développé par le Département de la défense des États-Unis pour évaluer la sécurité des fournisseurs de services et de technologies de l'information qui traitent les données sensibles de l'agence. Les services de certification CMMC visent à aider les entreprises à atteindre et à maintenir un niveau de maturité en cybersécurité adéquat et à se conformer aux exigences du modèle CMMC. Ces services peuvent inclure des évaluations de la sécurité actuelle de l'entreprise, des conseils sur les meilleures pratiques de cybersécurité et des formations pour aider les employés à comprendre et à mettre en œuvre les exigences de conformité.

Depuis janvier 2018, SWIFT a demandé à tous les clients de se conformer à leurs directives et principes de cybersécurité et fournira une auto-attestation contre les contrôles obligatoires sur une base annuelle, en fonction du type d'architecture du client.

SWIFT recommande de mettre en place des contrôles consultatifs dans leurs environnements, mais ceux-ci sont facultatifs et les clients ne sont pas censés les attester.

SWIFT auditera de manière aléatoire les clients en tenant compte des facteurs de risque tels que le type d'architecture dans le processus de sélection annuel.

En conséquence, les établissements financiers cherchent une évaluation de l'état de préparation pour déterminer dans quelle mesure les contrôles de sécurité des clients SWIFT obligatoires liés à leur architecture sont en place.

Compliance & Gouvernance

• Consolidation des audits et des rapports, 

• Réglementation sur la confidentialité et la sécurité des données,

• Détection & Prévention

• IT/IS Finances / Budgétisation & Gestion des coûts

• Cadres et stratégie

• Identification et mise à jour des contrôles

• Conformité légale et réglementaire

• Politique & formation

• Planification stratégique

• Conformité des tiers / de la chaîne d'approvisionnement

HITRUST (The Health Information Trust Alliance) Compliance Services

La conformité à HITRUST (The Health Information Trust Alliance) est le processus par lequel une organisation s'assure qu'elle respecte les exigences de la norme de sécurité de l'information de santé HITRUST CSF (Common Security Framework). La norme HITRUST CSF est un cadre de référence qui couvre un large éventail de domaines de la sécurité de l'information, tels que la gestion des risques, la gestion de la continuité des activités, la gestion des ressources humaines et la protection des données.

La conformité à HITRUST peut être vérifiée a travers un contrôle  externe par un organisme de certification accrédité. L'obtention de la conformité à la norme HITRUST peut aider une organisation à démontrer sa capacité à protéger les informations sensibles et à gérer les risques liés à la sécurité de l'information dans le domaine de la santé.

HIPAA (Health Insurance Portability and Accountability Act) Compliance Services

Le PCI DSS (Payment Card Industry Data Security Standard) est un ensemble de normes de sécurité conçues pour garantir que toutes les entreprises qui acceptent, traitent, stockent ou transmettent des informations de carte de crédit maintiennent un environnement sécurisé. La norme est gérée par le PCI Security Standards Council, qui est une organisation fondée par les principaux émetteurs de cartes de crédit (Visa, Mastercard, American Express, Discover et JCB).

La conformité au PCI DSS est exigée pour toutes les organisations qui acceptent des paiements par carte de crédit, quelle que soit leur taille ou le nombre de transactions qu'elles traitent. Pour être conformes au PCI DSS, les organisations doivent suivre un certain nombre de exigences liées à la gestion sécurisée des données de carte de crédit, notamment des exigences en matière d'architecture de réseau, de sécurité des données et de contrôle d'accès.

Gestion des risques liés aux fournisseurs

• Un processus de gestion des risques liés aux fournisseurs (VRM) examine votre base de fournisseurs afin de réduire les risques qu'ils peuvent apporter à votre organisation.

• Aide au questionnaire pour les tiers

Évaluation de la sécurité et des risques de sécurité physique 

L'évaluation de vos efforts en matière de sécurité physique par une tierce partie permet d'obtenir un retour d'information sur la manière de renforcer votre programme dans tous les sites

En adoptant une approche basée sur les risques pour évaluer la sécurité physique, vous pouvez concentrer vos efforts et obtenir le meilleur retour sur investissement pour vos initiatives et dépenses de sécurité..

Processus et critères de sélection des logiciels ou de hardwares

Sur la base des exigences définies, préparer une demande de proposition décrivant les exigences de l'entité afin d'inviter les fournisseurs potentiels à faire des offres, en ce qui concerne les systèmes qui sont destinés à être achetés auprès de vendeurs ou de fournisseurs de solutions.

Programme d'évaluation SSPA de Microsoft