Nos services

MISIS assure - soit seule, soit en coopération avec des partenaires de qualité - des missions variées. Les prestataires ont une longue expérience et une expertise reconnue dans le domaines pour lequel ils sont appelés.

Les activités de MISIS concernent toutes les étapes nécessaires à concevoir, mettre en place et mesurer le SMSI qui vous convient y compris l'amélioration continue.

En plus des activités détaillées ci-dessous MISIS réalise des missions de conseil dans ses domaines de compétence et produit des avis, propositions et recommandations. Ceci concerne également

 

Quick Scan

Les Quick Scans sont des questionnaires relativement simples qui permettent de se faire une idée rapide de notre position par rapport à des références reconnues dans le domaine de la sécurité de l'information (S.I.).

Ces Quick Scans concernent

  • Les activités du responsable de la sécurité de l'information. C'est le corpus du Certified Information Security Manager (CISM) de l'ISACA qui sert de référence
  • La maturité SSI tant sur les processus que sur les mesures. C'est soit le "Guide de Maturité SSI" de l'ANSSI soit le System Security Engineering - Capability Maturity Model (SSE-CMM) qui servent de référence.
  • Les processus SSI activés. Les références sont
    • Les exigences et recommandations des normes ISO/IEC 27001 et 27002 (éditions de 2013)
    • Le CobiT 5 (adapté à la SSI)
    • Les processus de Gouvernance SSI (développés en 2007 dans le cadre d'une recherche pour la DCSSI française, en partenariat avec ICT Control et NetExpert)
  • L'application du processus de gestion des risques liés à la sécurité de l'information (ISO/IEC 27005:2011)
  • Le besoin de sécurité (utilisant une technique de la méthode EBIOS V1 de gestion des risques informationnels (ANSSI, France)
  • Un état des lieux de votre perception des risques sécurité de l'information
  • Les Generally Acceptable Privacy Principles pour la protection des données à caractère personnel.

Gestion des Risques Informationnels

MISIS prend comme référence du processus global de management des risques informationnels, la norme ISO 27005:2011 dont elle est un contributeur actif.

L'incertitude génère l'insécurité. Elle se mesure sous forme de risques.

Le Management du risque comporte 4 phases opérationnelles et 2 activités relationnelles

  • Phases opérationnelles
    • Analyse du contexte
    • Appréciation des risques
    • Traitement des risques
    • Acceptation des risques
  • Activités relationnelles (parallèles et intégrées aux phases opérationnelles)
    • Communication relative au risques (à toutes les étapes du processus opérationnel)
    • Surveillance et révision du risque

MISIS utilise de façon privilégiée deux méthodes pour le management des risques informationnels

  • EBIOS (Etude des Besoins et Identification des Objectifs de Sécurité), développée par la Direction Centrale de Sécurité des Systèmes d'Information (Paris) et maintenue par le Club EBIOS (Paris) dont MISIS est un des membres fondateurs. EBIOS est destiné à la conception et à l'amélioration de la sécurité de tous systèmes d'information (organisations ou technologies)
  • MATRIS (Méthode d'Appréciation et de Traitement des Risques Informationnels), développée par MISIS au départ d'EBIOS et de diverses idées provenant d'autres méthodes publiques. MATRIS est essentiellement destiné à déterminer les objectifs et une stratégie S.I. reposant sur des axes génériques et qui sont ensuite traduits dans une politique S.I. et d'un Plan d'Actions.

La méthode la plus appropriée et le jeu de techniques et d'outils dépendent

  • de l'objet (périmètre) de l'étude (de l'organisation au composant technique)
  • du but de l'étude (de la définition d'une politique à la conception d'un Plan de Continuité des Activités en passant par l'évaluation d'un incident ou d'une non-conformité S.I.)

Vous devez vous approprier votre démarche de sécurité et ses résultats – de la gestion des risques à la gestion des mesures de sécurité décidées – aussi, nos services sont plus proches du coaching que de la prestation classique.

Stratégies et Politiques

Une STRATEGIE est plus qu'une déclaration d'intentions. C'est une présentation de la manière don vous voulez atteindre vos objectifs en termes de délais et d'investissements qu'il vous faut définir.

La POLITIQUE est l'ensemble des objectifs à atteindre dans la durée ainsi que les règles à suivre et les actions à mener pour les atteindre effectivement.

MISIS détermine avec vous

  • les objectifs en réponse au besoin de sécurité et aux risques à couvrir
  • la stratégie en déduction de l'appréciation des risques formalisée par une SWOT (ce qui permet d'étudier les aspects positifs et négatifs d'une situation)
  • la politique qui formalise les objectifs précis (selon les domaines où la sécurité sera activée [ISO 27002 ou Standard of Good Practices de l'ISF]. La Politique doit répondre à des critères clairs pour être accessible à tous, y compris les tierces parties avec lesquelles vous communiquez.
    Plusieurs niveaux de politiques sont à prévoir avec leurs annexes classifiées ou spécifiques là où cela s'avère nécessaire.

Les objectifs déterminés sont SMART (Spécifiques, Mesurables, Acceptables, Réalistes et liés au Temps). Les actions à réaliser et les comportements attendus répondent aux critères de communication de Lasswel: Qui, Quoi, Où Quand, Comment et Pourquoi. Les contrôles, indispensables pour s'assurer que tout se passe comme escompté, sont également définis.

Evaluation

L'AUDIT est une vérification indépendante des activités qui donne l'assurance que la réalité est conforme à ce que l'on attend ou à ce qui a été décidé.

Les AUDITS 'SECURITE' de MISIS sont réalisés en prenant comme référence

  • La (ou les) politique de sécurité de l'information de l'entreprise
  • CobiT 5 adapté à la sécurité de l'information
  • La norme ISO 27001:2013 (Système de Management de la Sécurité de l'Information - SMSI)
  • Les "Bonnes pratiques en sécurité de l'information" (ISO 27002:2013 ou le Standard of Good Practices [dernière édition publique] de l'Information Security Forum)
  • Les tâches du Responsable de la Sécurité de l'Information (RSI) décrites dans le corpus du Certified Information Security Manager (CISM) de l'ISACA

Les missions d'audit sont réalisées en suivant un plan et un programme conformes aux meilleures pratiques des professionnels (ISACA et IIA). Les constats (findings) sont exposés et discutés avant de passer aux recommandations. Les recommandations tiennent compte du contexte complet du client.

MISIS participe également à la plateforme de cybersécurité www.cybersecuritycertification.fr

Rendez-vous sur la page Formations pour de plus amples détails.

Contact

Jean ALLARD Misis s.c.r.i.
Chaussée de Namur, 251 Bte 16
1300 WAVRE -Belgium

+32 (0)10 600 486
+ 32 (0)10 600 486
+ 32 (0)498 51 51 35
jeanluc.allard@misis.be