La santé de votre entreprise avant tout !!!

I-Gouvernancia propose une gamme d’audits  suivit de conseils adaptés au niveau de maturité  du périmètre étudié. La flexibilité et l’expérience projets de nos consultants  en sécurité informatique garantissent une prestation de qualité, notre équipe d’auditeurs s’adapte à de nombreuses typologies de demandes quels que soient vos besoins :

 

audit

Pourquoi l’audit ?

L’audit peut être effectué selon les différents objectifs fixés par l’organisation auditée :

–  Réagir à une attaque

–  Se faire une idée précise du niveau de sécurité et de maturité du    Système d’information

–  Tester la mise en place effective de la PSSI (politique de sécurité    du système d’information).

–  Tester l’intégration d’un nouvel équipement.

–  Evaluer l’évolution de la sécurité sur la durée grâce à des audits menés de façon périodique.

Un rapport d’audit circonstancié est rédigé par nos experts et contient la liste exhaustive des vulnérabilités recensées par l’auditeur sur le système analysé. L’audit de sécurité contient également une liste de recommandations permettant de supprimer les vulnérabilités trouvées. Il est également possible de mener une analyse de risque permettant de spécifier quels risques sont pris en compte, ou acceptés pour le SI.

 

Audit GS ET MS

Audit générique de sécurité informatique: cette pratique permet d’obtenir  une cartographie précise et exhaustive de la situation actuelle, et de pouvoir faire  une analyse d’écart avec le niveau de sécurité requis. Au travers d’un état des lieux  général de la sécurité, nos consultants sont en mesure de mener une évaluation globale  et rapide de la stratégie de sécurité et de sa mise en application opérationnelle.

Audit du management de la sécurité: cet audit est une étude concentrée sur  la gestion de la sécurité dans une démarche pragmatique. Cette méthode s’inspire de la série normative ISO/IEC 27000, depuis la ‘gestion du risque’ jusqu’à ‘la mise en conformité  réglementaire’. Nos consultant auditent chaque élément présent dans le périmètre d’étude, et vérifie l’adéquation avec le respect de la norme, en vue d’obtenir une vision précise et des mesure correctives ou compensatoire à appliquer.

La démarche pour mener à bien des audits en sécurité prend en considération les éléments suivants:

* Le ou les référentiels de sécurité propres à l’organisation auditée.

* Les meilleures pratiques de sécurité des systèmes, tant techniques qu’organisationnelles.

* Les normes ISO/IEC 27001 et ISO/IEC 27002 proposées comme référentiels et adaptées au contexte client

afin de conserver le pragmatisme nécessaire à son besoin.

* Les standards de sécurité applicables au contexte donné (par exemple : PCI-DSS, OWASP, COBIT 5, etc.).

En renfort d’une démarche interne, ces analyses en profondeur participent au progrès de la sécurité et à une meilleure compréhension des enjeux par les différents acteurs via le renforcement et la capitalisation de la collecte d’information permettant de se concentrer sur l’analyse des résultats.

 

Audit de sécurité organisationnel

Un audit de sécurité informatique repose sur le savoir-faire d’un expert  en sécurité afin d’analyser et de vérifier que chaque règle associée  à la politique de sécurité de l’entreprise est correctement appliquée (réseaux, architecture, systèmes, cryptographie, etc.). Nos consultants mènent des démarches d’audits techniques et organisationnels au regard de leurs référentiels internes et  de l’état de l’art. Notre mission est d’aider nos clients à appréhender aisément les notions de sécurité tout en leur permettant d’obtenir une image fidèle et représentative de leur niveau de sécurité actuel. Cette prestation cadre essentiellement les procédures mises en place en interne en ce qui concerne la sécurité du système d’information.

Menée essentiellement autour d’un axe organisationnel au travers d’entretiens des intervenants gérant le SI mais également axé sur la relecture des configurations des éléments clé des applicatifs et du matériel réseau, l’audit de sécurité peut aussi être de nature technique sur un élément ou un périmètre spécifique. La phase d’audit, effectuée en intervention interne, permet de définir les faiblesses, vulnérabilités et paramétrage incorrects rendant un système d’information faillible pour des personnes malintentionnées.

 

Audit de configuration

Les audits de configuration ont pour objectif de vérifier la conformité des éléments d’une infrastructure par rapport aux référentiels internes de l’entreprise auditée (s’ils existent) et par rapport aux «bonnes pratiques» en matière de sécurité (normes, guides de configuration, etc…).

L’audit de configuration, contrairement aux tests d’intrusion, est non invasif, ne nécessite l’installation d’aucun logiciel sur les systèmes à auditer et peut donc être parfaitement mené sur des systèmes en production, sans risque de perte de données ou de service.

I-Gouvernancia utilise et développe des outils automatiques d’audit de configuration qui permettent à ses auditeurs de vérifier rapidement de très nombreux points de contrôle (droits sur les fichiers, mise à jour du système d’exploitation et des applications, partages, comptes systèmes et applicatifs, services en écoute, etc…)

En complément d’un audit de configuration, avec l’accord du client, des tests (internes ou externes) permettant d’exploiter les vulnérabilités identifiées peuvent être menés afin de vérifier leur faisabilité technique.

Ces audits de configuration aboutissent à la rédaction d’un rapport d’audit présentant les résultats, les vulnérabilités identifiées et les actions hiérarchisées à mettre en place.

 

Analyse de preuve numérique

Nous proposons des services d’analyses et de recherche de preuves numériques sur tous supports: vous recherchez la présence d’éléments précis (mail, type de fichiers, images) mais le support est encrypté, non lisible, protégé avec différents mécanismes d’encryptions, de sténographie et autres mécanismes de masquage d’éléments.

Nous proposons une analyse de tous les supports existants, tous systèmes d’exploitation confondus: quelque soit le niveau de sécurité en place, nous mettons tout en œuvre afin de localiser les éléments que vous recherchez, et d’extraire les preuves numériques associées.

Par exemple, nos interventions peuvent être de la recherche pour expertise judicaire, ou bien de la recherche émanant d’une entreprise suite à la suspicion de vol et d’enregistrement de données entreprise ou brevets sur des supports numériques de manière illégale et illégitime, etc.

La totalité de notre prestation de recherche de preuves numériques est effectuée dans les règles de l’art avec le respect permanent de la chaîne de sécurité nécessaire à toute présentation d’éléments devant les tribunaux compétents.

Au travers de l’intervention d’analyse, nous mettons en œuvre toute notre expertise dans le domaine de la sécurité de données, de la sécurité informatique et dans le reverse engineering afin de mener à bien les missions confiées par nos clients.

 

Expertises privées en IT

Quelque soit la nature de vos besoins, nous mettons à votre disposition l’ensemble des compétences techniques, organisationnelles et managériales afin de mener à bien les missions que vous pouvez nous confier.

Nous engageons les ressources techniques, tant dans la partie Ethical Hacking, Forensic  que dans le domaine de la cybersécurité afin de mener à bien les missions confiées.

Notez que notre engagement déontologique ne nous permet pas de communiquer sur nos clients ni sur le contenu des missions. Nous vous garantissons à cet effet, une totale confidentialité dès la soumission de votre besoin.

Suite à la suspicion de vol d’information confidentielles au sein d’une organisation, nous recherchons les traces potentielles permettant d’identifier les acteurs à l’origine de ces actes.

Recoupement d’informations de différentes natures afin de prouver le vol d’un important fichier client par un concurrent peu scrupuleux. Multiples missions analysées au cas par cas.

 

Negatif SEO

Ne laissez pas la situation perdurer et se détériorer :

Vous subissez actuellement une attaque de Negative SEO ? Vous avez été victime d’une attaque liée au référencement de votre site Web, au positionnement de votre domaine Internet dans les moteurs de recherche ? Vous pensez être sujet à une ou des attaques de la part de vos concurrents, ceci impactant négativement et de manière conséquente votre référencement? Votre site perd de manière accélérée des positions en terme de référencement ? Surtout ne laissez pas une situation en l’état, qui risque de s’aggraver de manière irrémédiable sur votre site internet, et pouvant devenir irréversible. De plus, une première attaque non traitée risque de cacher de nouvelles attaques ultérieures avec parfois une force plus conséquente.

Notre expertise, l’art de la sécurité & la maîtrise SEO avancée :

Nous maîtrisons parfaitement les dernières méthodes dite ‘blackhat’, avons en notre possession de multiples outils spécifiques et développons nos propres scripts. Nous avons des systèmes puissants permettant d’obtenir une cartographie exhaustive de l’ensemble des backlinks (liens Web), de leur composition (contenu, ancre, etc.) et de leur incidence vis-à-vis d’un site Web que ce soit positif ou négatif.

Analyse et intervention contre une attaque de type negative SEO, selon vos besoins, nous pourrons effectuer tout ou partie des éléments suivants:

AUDIT: analyse de la situation actuelle (évolution des backlinks avant / pendant / après attaque / répartition géographique / analyse des ancres).

INVESTIGATION: investigation technique pour identifier les sources d’injection (nous utilisons notre propre méthodologie) et déterminer si possible les sources à l’origine de l’attaque.

CONTENIR: nous pouvons diminuer l’impact d’une attaque en générant un flux positif inverse.

RECUPERATION: nous avons la capacité de pouvoir ‘nettoyer’, masquer ou supprimer tous les éléments négatifs liés à une attaque SEO.

Conseils et Accompagnement

Vous n’etes plus seul!

A l’heure actuelle où de nombreux changements économiques, stratégiques, financiers, humains interviennent, un dirigeant doit savoir analyser et gérer les bonnes décisions. Dans ce contexte, le dirigeant est souvent seul face à ses choix et ses équipes. Avant d’être consultants, nous sommes nous-mêmes dirigeants et anciens dirigeants d’entreprise.
A ce titre notre vision globale des organisations nous permet de vous accompagner en vous apportant des conseils qui associent à la fois l’utilisation de méthodes innovantes, la maitrise du levier technologique pour renforcer notamment l’analyse et une connaissance poussée du management collaboratif, de la gouvernance et des dynamiques d’entreprise afin d’atteindre une rentabilité durable avec une croissance maîtrisée.

Intervention :

Vous pouvez compter sur l’expertise de I-Gouvernancia, issue d’expériences concrètes, pour vous apporter l’accompagnement nécessaire à la réussite de ces challenges, dans le but, in-fine, de définir la stratégie SI la mieux adaptée à votre entreprise, et d’en assurer sa mise en œuvre dans les champs suivants :

 

GESTION DES DONNÉES DE RÉFÉRENCE

– Etude amont et définition de la politique de la donnée
– Aide à la vente interne aux Directions Générales du projet de Référentiel d’Entreprise
– Définition et mise en place d’une gouvernance de la donnée
– Etude de choix de solution de « Master Data Management »
– Pilotage de projets de référentiels
– Mise en place du centre de compétences « Référentiels »

 

STRATEGIE DU SI

– Aligner le SI avec la Stratégie de l’Entreprise grâce au Schéma Directeur Informatique
– Définition d’un Plan de transformation de la DSI à 3 ans
– Pilotage de la mise en œuvre de la transformation

 

ALIGNEMENT METIER / SI

– Aligner la gouvernance du SI à la gouvernance de l’Entreprise
– Améliorer l’intégration métier/SI grâce à une démarche d’Architecture d’Entreprise
– Accélérer et pérenniser l’évolution de l’Entreprise via la mise en œuvre d’un Référentiel d’Entreprise
– Etude de choix de solution de Référentiel d’Entreprise
– Faciliter l’agilité du SI grâce à la démarche SOA
– Rationalisation du portefeuille applicatif par les processus métiers

 

GRC

Nous intervenons, selon vos besoins, sur tout ou partie de la GRC :
Définition, mise en œuvre, alignement et optimisation des dispositifs de gestion et de maîtrise des risques, d’audit et de contrôle Interne :
* Conformité réglementaire Loi 09-08 , PCI-DSS, Bâle II, III, Solvabilité II, Sarbannes Oxley et Iso
Qualité ISO 27001, ISO 22301..
* Sécurité des Systèmes d’Information
* Gouvernance et pilotage du dispositif GRC

 

In-sourcing

A l’écoute permanente de vos besoins, nos consultants peuvent en outre vous proposer si nécessaire des services complémentaires dont ils assurent l’intégration cohérente au sein de vos activités.

 

Modes d’intervention :

Temps partagé : Le Consultant à Temps Partagé a la responsabilité de piloter et animer.
Coaching : Le coach permet d’accompagner une prise de la fonction au sein de vos équipes
Flexibilité du suivi et de l’accompagnement