Pilotage et gestion du risque

Votre richesse, vos données, ne laissez pas les autres se les approprier

La donnée est devenue un actif précieux et convoité.  L’évolution des technologies, l’interconnexion des SI, et l’augmentation exponentielle des échanges en volume et vitesse n’ont de cesse que de facilités son accès. Après de longues années sans qu’un grand nombre d’entreprises ne s’interroge sur la richesse qu’elles possédaient, d’autres ont su développer des techniques pour se les approprier. L’intelligence économique, la guerre économique ou commerciale, la concurrence, le facteur humain, et maintenant la cybercriminalité, sont autant de sujets auxquels les organisations doivent faire face. Ce n’est pas une nouveauté, ce qui change vient de la complexité des SI, du volumes de données traité, des attaques et de leur profondeur, facilité par les technologies. Chez Winthorpe Company nous travaillons depuis de nombreuses années à renforcer les organisations, améliorer les capacités de résilience et organiser la sécurisation des SI.

01

NOS DOMAINES D'INTERVENTION

PILOTAGE DES RISQUES

SÉCURISATION ET AUDIT DU SI

ORGANISATION ET STRATÉGIE CYBER

"RSSI / CISO AS A SERVICE"

PILOTAGE DES RISQUES

SÉCURISATION ET AUDIT DU SI

ORGANISATION ET STRATÉGIE CYBER

"RSSI / CISO AS A SERVICE"

Pour soutenir ce niveau d'exigence, nos experts sont certifiés :

ISO 27001 Auditor
(Management de la Sécurité des Systèmes d'Information)

ISO 27005
(Management des Risques)

EBIOS
(Méthodologie de l’ANSSI pour la Cybersécurité)

Ils vous accompagnent ainsi depuis plus de 20 ans pour renforcer vos capacités du pilotage des risques, développer vos systèmes de supervision, et affermir l’organisation de vos contrôles

02

CE QUE NOS ÉQUIPES ONT RÉALISÉ

Cas d’usage #1:

Création d’une NéoBanque à Paris   

Contexte :

Développement très rapide en mode StartUp et externalisation totale du SI notamment du SI Bancaire. 

Risque à traiter :

Perte du contrôle de son IT par une non-intégration réelle de celle-ci dans sa gouvernance et dans ses process. Une organisation principalement tournée autour de la Business Analyse et du Roll-Out (mise en œuvre des évolutions). 

Problématiques confiées :   

  • Redéfinir les contours des activités de la DSI et redisigner la Gouvernance et les process,  
  • Identifier les Risques et mettre en œuvre la cartographie de ses risques,
  • Organisation et réalisation du Registre des traitements.

Cas d’usage #2:

Remédiation du risque cyber d’une Fondation à Paris  

Contexte :

À la suite de la découverte d’un piratage de son site internet via un site miroir détournant ses donateurs, une fondation nous sollicite pour arrêter l’action en cours et revoir l’architecture et l’organisation de son SI afin de sécuriser son actif stratégique.  

Risque à traiter :

Détournement de donateurs, perte de confiance et retrait de son agrément par les autorités.

Problématiques confiées :   

  • Stopper l’action en cours du site pirate et élimination du site miroir,
  • Revoir l’organisation et l’architecture de son SI,
  • Mettre en conformité la fondation avec le niveau de sécurité attendu,
  • Développer un nouveau site de collecte pour reprendre la main sur la collecte et en maitriser le process de bout en bout. 

Cas d’usage #3:

Audit risque, organisation et sécurité du département réseaux et télécom d’une Société d’autoroute  

Contexte :

Le département Réseaux et Télécoms de la société est mis à mal depuis 2 ans par des baisses de performance et de capacité. Les investissements techniques sont vis-à-vis du CODIR au niveau, mais le niveau de risque ne baisse pas.  

Risque à traiter :

Perte des capacités réseau et télécom, incapacité à pouvoir maintenir les obligations légales des réseaux prioritaires (police et secours), monitorer les dispositifs de communication du réseau autoroutier (péages, affichages, télésurveillance…), et perte de qualité des réseaux sous traités (fibre…). 

Problématiques confiées :   

  • Identifier la source du problème et en établir le « portrait-robot », 
  • Proposer des axes d’amélioration et revoir l’organisation si nécessaire,
  • Établir le plan d’action à destination du CODIR.   
 

Cas d’usage #1:

Création d’une NéoBanque à Paris

Contexte :

Développement très rapide en mode StartUp et externalisation totale du SI notamment du SI Bancaire   

Risque à traiter :

Perte du contrôle de son IT par une non-intégration réelle de celle-ci dans sa gouvernance et dans ses process. Une organisation principalement tournée autour de la Business Analyse et du Roll-Out (mise en œuvre des évolutions) 

Problématiques confiées :   

  • Redéfinir les contours des activités de la DSI et redisigner la Gouvernance et les process.
  • Identifier les Risques et mettre en œuvre la cartographie de ses risques 
  • Proposer une restructuration et une optimisation des process et de l’organisation de la fonction d’analyse des besoins (Business Analyse) pour reprendre en main les coûts, les délais et la qualité des livrables nécessaires aux évolutions 

Cas d’usage #2:

Remédiation du risque cyber d’une Fondation à Paris  

Contexte :

À la suite de la découverte d’un piratage de son site internet via un site miroir détournant ses donateurs, une fondation nous sollicite pour arrêter l’action en cours et revoir l’architecture et l’organisation de son SI afin de sécuriser son actif stratégique. 

Risque à traiter :

Détournement de donateurs, perte de confiance et retrait de son agrément par les autorités.

Problématiques confiées :   

  • Stopper l’action en cours du site pirate et élimination du site miroir
  • Revoir l’organisation et l’architecture de son SI
  • Mettre en conformité la fondation avec le niveau de sécurité attendu
  • Développer un nouveau site de collecte pour reprendre la main sur la collecte et en maitriser le process de bout en bout 

Cas d’usage #3:

Audit risque, organisation et sécurité du département réseaux et télécom d’une Société d’autoroute  

Contexte :

Le département Réseaux et Télécoms de la société est mis à mal depuis 2 ans par des baisses de performance et de capacité. Les investissements techniques sont vis-à-vis du CODIR au niveau, mais le niveau de risque ne baisse pas. 

Risque à traiter :

Perte des capacités réseau et télécom, incapacité à pouvoir maintenir les obligations légales des réseaux prioritaires (police et secours), monitorer les dispositifs de communication du réseau autoroutier (péages, affichages, télésurveillance…), et perte de qualité des réseaux sous traités (fibre…)   

Problématiques confiées :   

  • Identifier la source du problème et en établir le « portrait-robot » 
  • Proposer des axes d’amélioration et revoir l’organisation si nécessaire
  • Établir le plan d’action à destination du CODIR. 

 

Votre entreprise est unique, ne confiez pas sa sécurité qu'à des outils, appuyez-vous sur nos experts !

Ensemble, défendons votre entreprise contre les menaces cyber et les risques informatiques grâce à notre accompagnement personnalisé.

Objectif

Accompagner les Dirigeants, et leurs équipes dédiées aux systèmes d’information et aux données pour soutenir leur action de dirigeant et les activités de l’entreprise.


Enjeu
Protéger l’activité et sécuriser le résultat.

– Mettre en œuvre des tableaux de bord financier et opérationnels

Évaluation et impacts business & compte de résultat


– Aider à la décision et définition de la stratégie de couverture


Atténuation des niveaux de risques, diminution des impacts financiers, couverture assurantielle, suppression de risques, formation

– Superviser et contrôler


Processus d’évaluation, Cartographie des risques, Processus de contrôle et d’audit, d’amélioration continue

Objectif

Accompagner les Dirigeants, et leurs équipes dédiées aux systèmes d’information et aux données pour soutenir leur action de dirigeant et les activités de l’entreprise.


Enjeu
Protéger l’activité et sécuriser le résultat.

– Mettre en œuvre des tableaux de bord financier et opérationnels

Évaluation et impacts business & compte de résultat


– Aider à la décision et définition de la stratégie de couverture


Atténuation des niveaux de risques, diminution des impacts financiers, couverture assurantielle, suppression de risques,

formation

– Superviser et contrôler


Processus d’évaluation, Cartographie des risques, Processus de contrôle et d’audit, d’amélioration continue

Objectif

Accompagner les Dirigeants, et leurs équipes dédiées aux systèmes d’information et aux données pour soutenir leur action de dirigeant et les activités de l’entreprise.


Enjeu
Protéger l’activité et sécuriser le résultat.

– Mettre en œuvre des tableaux de bord financier et opérationnels

Évaluation et impacts business & compte de résultat


– Aider à la décision et définition de la stratégie de couverture


Atténuation des niveaux de risques, diminution des impacts financiers, couverture assurantielle, suppression de risques, formation

– Superviser et contrôler


Processus d’évaluation, Cartographie des risques, Processus de contrôle et d’audit, d’amélioration continue

En nous appuyant sur les cadres les plus exigeants et les plus résilients que sont l’ISO 27005, l’ISO 27001, l’ISO 31000 et la Directive Européenne NIS2.


Objectif #1 : Accompagner à sécuriser votre SI en vous proposant un cadre de référence robuste et résilient (Attente de la Directive Européenne NIS2)

Audit de risques (ISO 27005)

 

Processus de supervision et de contrôle (ISO 27005)

 

Déploiement de la supervision et monitoring en temps réel de vos systèmes (SIEM,EDR…)

 

Certification du SMSI – Système d’information clé de votre activité (ISO 27001)


Objectif #2 : Confirmer vos stratégies de protection et valider la gouvernance

Red Team
A pour mission de procéder à différentes formes d’agressions pour analyser comment l’entreprise réagit (Humain, Orga, IT…) et identifie les améliorations continues des process

Audit applicatifs et Audit de codes / Pentest
Tests d’intrusion brut pour vérifier les failles et les trous de sécurité

OSINT (Open Source INTelligence)
Elle s’appuie sur les données accessibles librement en ligne.
En croisant différentes sources, il est possible de produire des connaissances ou de déduire des informations qui n’apparaissaient pas de façon évidente.
C’est le social engineering qui permet de préparer des ciblages pour de futures attaques.

En nous appuyant sur les cadres les plus exigeants et les plus résilients que sont l’ISO 27005, l’ISO 27001, l’ISO 31000 et la Directive Européenne NIS2.


Objectif #1 : Accompagner à sécuriser votre SI en vous proposant un cadre de référence robuste et résilient (Attente de la Directive Européenne NIS2)

Audit de risques (ISO 27005)

 

Processus de supervision et de contrôle (ISO 27005)

 

Déploiement de la supervision et monitoring en temps réel de vos systèmes (SIEM,EDR…)

 

Certification du SMSI – Système d’information clé de votre activité (ISO 27001)


Objectif #2 : Confirmer vos stratégies de protection et valider la gouvernance

Red Team
A pour mission de procéder à différentes formes d’agressions pour analyser comment l’entreprise réagit (Humain, Orga, IT…) et identifie les améliorations continues des process

Audit applicatifs et Audit de codes / Pentest
Tests d’intrusion brut pour vérifier les failles et les trous de sécurité

OSINT (Open Source INTelligence)
Elle s’appuie sur les données accessibles librement en ligne.
En croisant différentes sources, il est possible de produire des connaissances ou de déduire des informations qui n’apparaissaient pas de façon évidente.
C’est le social engineering qui permet de préparer des ciblages pour de futures attaques.

En nous appuyant sur les cadres les plus exigeants et les plus résilients que sont l’ISO 27005, l’ISO 27001, l’ISO 31000 et la Directive Européenne NIS2.


Objectif #1 : Accompagner à sécuriser votre SI en vous proposant un cadre de référence robuste et résilient (Attente de la Directive Européenne NIS2)

Audit de risques (ISO 27005)

 

Processus de supervision et de contrôle (ISO 27005)

 

Déploiement de la supervision et monitoring en temps réel de vos systèmes (SIEM,EDR…)

 

Certification du SMSI – Système d’information clé de votre activité (ISO 27001)


Objectif #2 : Confirmer vos stratégies de protection et valider la gouvernance

Red Team
A pour mission de procéder à différentes formes d’agressions pour analyser comment l’entreprise réagit (Humain, Orga, IT…) et identifie les améliorations continues des process

Audit applicatifs et Audit de codes / Pentest
Tests d’intrusion brut pour vérifier les failles et les trous de sécurité

OSINT (Open Source INTelligence)
Elle s’appuie sur les données accessibles librement en ligne.
En croisant différentes sources, il est possible de produire des connaissances ou de déduire des informations qui n’apparaissaient pas de façon évidente.
C’est le social engineering qui permet de préparer des ciblages pour de futures attaques.

Winthorpe est membre du Club EBIOS nous assurant d’une veille permanente et d’une mise à jour régulière de nos connaissances.
Nous appliquons le cadre de référence de l’ANSSI : EBIOS RM


Nos experts Cybersécurité vous accompagnent sur le 3 axes du risque Cyber :

1. Préparation

2. Réponse

3. Reprise et récupération


Notre intervention peut intervenir à tout moment de ces 3 axes,

Une préparation préalable à l’attaque vous permettra une meilleure réactivité et une
capacité de rebond plus rapide.


1 – Préparation à l’agression et organisation du SI et des équipes pour réagir en cas de risque avéré


PCA : Plan de Continuité d’Activité, ou comment garantir que le Business continuera en cas d’incident


PRA : Plan de Reprise d’Activité, ou comment organiser la récupération des données après un incident (délai, profondeur, priorité…)


Déploiement de la Gouvernance de protection : Méthode EBIOS de l’ANSSI


Contrôle et Mise à jour de la documentation et des process : PSSI, Charte IT et Mots de passe, Usage des outils…

2 – Réponse à l’attaque : mise en œuvre des process de lutte et de défense pour limiter la propagation et restreindre au maximum les impacts.


Mise en œuvre de la cellule de crise et de réponse (RH, Juridique, IT, Finance, Communication…) et activation des plans de secours (PCA…)


Isolation des systèmes attaqués, analyse des sources et des propagations possibles,identification des fuites des données, déclaration aux autorités et organismes (force de l’ordre, assurances, CNIL, ANSSI, Cybermalveilance…), conservation des preuves (messages, logs, machines touchées…)


Mise en œuvre du registre des évènements pour historiser toutes les actions et alimenter le REX en fin de crise et l’amélioration continue.

3 – Récupérer et reprendre l’activité : préparer et organiser le redémarrage en sécurité pour retrouver les capacités opérationnelles.


Valider le plan d’action de sortie de crise, et préparer la reprise d’activité avec le PRA


Valider les correctifs et la capacité à reprendre.


Organiser et documenter le REX (Retour d’EXpérience) de l’incident pour alimenter le process d’amélioration continue.

Winthorpe est membre du Club EBIOS nous assurant d’une veille permanente et d’une mise à jour régulière de nos connaissances.
Nous appliquons le cadre de référence de l’ANSSI : EBIOS RM


Nos experts Cybersécurité vous accompagnent sur le 3 axes du risque Cyber :

1. Préparation

2. Réponse

3. Reprise et récupération


Notre intervention peut intervenir à tout moment de ces 3 axes,

Une préparation préalable à l’attaque vous permettra une meilleure réactivité et une
capacité de rebond plus rapide.


1 – Préparation à l’agression et organisation du SI et des équipes pour réagir en cas de risque avéré


PCA : Plan de Continuité d’Activité, ou comment garantir que le Business continuera en cas d’incident


PRA : Plan de Reprise d’Activité, ou comment organiser la récupération des données après un incident (délai, profondeur, priorité…)


Déploiement de la Gouvernance de protection : Méthode EBIOS de l’ANSSI


Contrôle et Mise à jour de la documentation et des process : PSSI, Charte IT et Mots de passe, Usage des outils…

2 – Réponse à l’attaque : mise en œuvre des process de lutte et de défense pour limiter la propagation et restreindre au maximum les impacts.


Mise en œuvre de la cellule de crise et de réponse (RH, Juridique, IT, Finance, Communication…) et activation des plans de secours (PCA…)


Isolation des systèmes attaqués, analyse des sources et des propagations possibles,identification des fuites des données, déclaration aux autorités et organismes (force de l’ordre, assurances, CNIL, ANSSI, Cybermalveilance…), conservation des preuves (messages, logs, machines touchées…)


Mise en œuvre du registre des évènements pour historiser toutes les actions et alimenter le REX en fin de crise et l’amélioration continue.

3 – Récupérer et reprendre l’activité : préparer et organiser le redémarrage en sécurité pour retrouver les capacités opérationnelles.


Valider le plan d’action de sortie de crise, et préparer la reprise d’activité avec le PRA


Valider les correctifs et la capacité à reprendre.


Organiser et documenter le REX (Retour d’EXpérience) de l’incident pour alimenter le process d’amélioration continue.

Winthorpe est membre du Club EBIOS nous assurant d’une veille permanente et d’une mise à jour régulière de nos connaissances.
Nous appliquons le cadre de référence de l’ANSSI : EBIOS RM


Nos experts Cybersécurité vous accompagnent sur le 3 axes du risque Cyber :

1. Préparation

2. Réponse

3. Reprise et récupération


Notre intervention peut intervenir à tout moment de ces 3 axes,

Une préparation préalable à l’attaque vous permettra une meilleure réactivité et une
capacité de rebond plus rapide.


1 – Préparation à l’agression et organisation du SI et des équipes pour réagir en cas de risque avéré


PCA : Plan de Continuité d’Activité, ou comment garantir que le Business continuera en cas d’incident


PRA : Plan de Reprise d’Activité, ou comment organiser la récupération des données après un incident (délai, profondeur, priorité…)


Déploiement de la Gouvernance de protection : Méthode EBIOS de l’ANSSI


Contrôle et Mise à jour de la documentation et des process : PSSI, Charte IT et Mots de passe, Usage des outils…

2 – Réponse à l’attaque : mise en œuvre des process de lutte et de défense pour limiter la propagation et restreindre au maximum les impacts.


Mise en œuvre de la cellule de crise et de réponse (RH, Juridique, IT, Finance, Communication…) et activation des plans de secours (PCA…)


Isolation des systèmes attaqués, analyse des sources et des propagations possibles,identification des fuites des données, déclaration aux autorités et organismes (force de l’ordre, assurances, CNIL, ANSSI, Cybermalveilance…), conservation des preuves (messages, logs, machines touchées…)


Mise en œuvre du registre des évènements pour historiser toutes les actions et alimenter le REX en fin de crise et l’amélioration continue.

3 – Récupérer et reprendre l’activité : préparer et organiser le redémarrage en sécurité pour retrouver les capacités opérationnelles.


Valider le plan d’action de sortie de crise, et préparer la reprise d’activité avec le PRA


Valider les correctifs et la capacité à reprendre.


Organiser et documenter le REX (Retour d’EXpérience) de l’incident pour alimenter le process d’amélioration continue.

RSSI : Responsable de la Sécurité des Systèmes d’Information

CISO : Chief Information Security Officer

« Winthorpe as a service » : Abonnement annuel inédit proposant la garantie de pouvoir se conformer à la nouvelle DIRECTIVE EUROPÉENNE NIS2

Un abonnement vous permettant de disposer d’un RSSI le temps nécessaire à votre
entreprise sans recrutement, sans mobilisation excessive de vos équipes, et avec l’assurance de disposer d’un expert dédié à vos priorités.

La certitude que vous pourrez vous concentrer sur votre création de valeur

Une mission pouvant également couvrir votre conformité au RGPD avec le même expert dédié

Notre abonnement inclut :

⇒ Un expert : 4 jours minimum par mois

⇒ Une solution SAS de pilotage du risque cyber (XDR – protection unitaire et transverse de vos postes informatiques, formation, sensibilisation).  En option, il est possible de la compléter avec une solution « Privacy » pour la partie RGPD.

⇒ 2 EDR serveur (Endpoint Detection & Response) pour couvrir 2 de vos systèmes les plus sensibles. Un EDR est un outil permettant une analyse comportementale, et un monitoring des actions d’un terminal ou d’un serveur.

Ce rôle de RSSI peut compléter l’action de votre DPO (Responsable des Données
Personnelles) dans le cadre du RGPD, voire d’en prendre également la responsabilité.

RSSI : Responsable de la Sécurité des Systèmes d’Information

CISO : Chief Information Security Officer

« Winthorpe as a service » : Abonnement annuel inédit proposant la garantie de pouvoir se conformer à la nouvelle DIRECTIVE EUROPÉENNE NIS2

Un abonnement vous permettant de disposer d’un RSSI le temps nécessaire à votre
entreprise sans recrutement, sans mobilisation excessive de vos équipes, et avec l’assurance de disposer d’un expert dédié à vos priorités.

La certitude que vous pourrez vous concentrer sur votre création de valeur

Une mission pouvant également couvrir votre conformité au RGPD avec le même expert dédié

Notre abonnement inclut :

Un expert : 4 jours minimum par mois

 Une solution SAS de pilotage du risque cyber (XDR – protection unitaire et transverse de vos postes informatique, formation et sensibilisation). En option, il est possible de la compléter avec une solution « Privacy » pour la partie RGPD.

2 EDR serveur (Endpoint Detection & Response) pour couvrir 2 de vos systèmes les plus sensibles. Un EDR est un outil permettant une analyse comportementale, et un monitoring des actions d’un terminal ou d’un serveur.

Ce rôle de RSSI peut compléter l’action de votre DPO (Responsable des Données
Personnelles) dans le cadre du RGPD, voire d’en prendre également la responsabilité.

RSSI : Responsable de la Sécurité des Systèmes d’Information

CISO : Chief Information Security Officer

« Winthorpe as a service » : Abonnement annuel inédit proposant la garantie de pouvoir se conformer à la nouvelle DIRECTIVE EUROPÉENNE NIS2

Un abonnement vous permettant de disposer d’un RSSI le temps nécessaire à votre
entreprise sans recrutement, sans mobilisation excessive de vos équipes, et avec l’assurance de disposer d’un expert dédié à vos priorités.

La certitude que vous pourrez vous concentrer sur votre création de valeur

Une mission pouvant également couvrir votre conformité au RGPD avec le même expert dédié

Notre abonnement inclut :

Un expert : 4 jours minimum par mois

Une solution SAS de pilotage du risque cyber (XDR – protection unitaire et transverse de vos poste informatique, formation et sensibilisation). En option, il est possible de la compléter par une solution « Privacy » pour la partie RGPD,

2 EDR serveur (Endpoint Detection & Response) pour couvrir 2 de vos systèmes les plus sensibles. Un EDR est un outil permettant une analyse comportementale, et un monitoring des actions d’un terminal ou d’un serveur.

Ce rôle de RSSI peut compléter l’action de votre DPO (Responsable des Données
Personnelles) dans le cadre du RGPD, voire d’en prendre également la responsabilité.