English (Anglais)Deutsch (Allemand)
Français
Google+
LinkedIn
YouTube
Contact
CIL-BY-TNP2

Cybersécurité

Obligation de sécurité dans le règlement européen (article 32 du GDPR)

Tenant compte de l’état de l‘art, du coût d’implémentation et de la nature, de la portée du contexte et des finalités du traitement ainsi que de la probabilité et de la sévérité des risques pour les droits et libertés fondamentaux des personnes, le Responsable de traitement et le Sous-traitant implémentent les mesures techniques et organisationnelles permettant d’assurer un niveau de sécurité adapté aux risques, ce qui comprend notamment :

  • la capacité à garantir de manière continue la confidentialité, l’intégrité, la disponibilité et la résilience des systèmes et services de traitement
  • la capacité à restaurer la disponibilité et l’accès aux données personnelles,
  • des tests et évaluation de ces mesures.

Exemple de mesures : chiffrement, pseudonymisation

L’ adhésion à un code de conduite ou à un schéma de certification approuvé constitue une preuve simple de conformité de l’entreprise vis à vis de son obligation de sécurité des données.

La notification des failles de sécurité portant sur des données personnelles (art.33 et 34 du RGPD)

Notification des failles de données personnelles à l’autorité compétente :

  • Qui ? Le responsable de traitement
  • Pourquoi ? la violation présente des risques pour les droits et libertés des personnes
  • Quand ? sans délai et dans la mesure du possible dans les 72 h après qu’il en ait eu connaissance,
  • Exception ? si la violation de données ne présente pas de risques pour les droits et libertés des personnes.

Le sous-traitant notifie le responsable de traitement dans les 72h après qu’il en ait eu connaissance .

Information des personnes concernées :

  • Qui ? Le Responsable de traitement
  • Pourquoi ? La violation est susceptible de présenter des risques élevés pour les droits et libertés des personnes
  • Quand ? sans délai
  • Exception ? Le responsable de traitement a implémenté des mesures qui rendent les données inintelligibles telles que le chiffrement ou qui font que le traitement ne présente plus de risques élevés.

Obligation de sécurité des fournisseurs de services de communications électroniques sur les réseaux de communications électroniques ouverts au public

En cas de violation de données à caractère personnel, ledit fournisseur avertit, sans délai, la CNIL.

Lorsque cette violation peut porter atteinte aux données à caractère personnel ou à la vie privée d’un abonné ou d’une autre personne physique, le fournisseur avertit également, sans délai, l’intéressé.

Chaque fournisseur de services de communications électroniques tient à jour un inventaire des violations de données à caractère personnel, notamment de leurs modalités, de leur effet et des mesures prises pour y remédier.

  • une description du processus en place pour enregistrer, surveiller et restreindre l’accès aux données de paiement sensibles et garder la trace de ces accès;
  • une description des dispositions en matière de continuité des activités,
  • un document relatif à la politique de sécurité, comprenant une analyse détaillée des risques.

    • L’obligation de sécurité des prestataires de services de paiement et notification des incidents (PSD2)

    Les prestataires de services de paiement sont responsables des mesures de sécurité. L’obtention de l’agrément en tant qu’établissement de paiement est subordonnée à la soumission, aux autorités compétentes de l’État membre d’origine, d’une demande accompagnée des informations suivantes: (…)

    • une description de la procédure en place pour assurer la surveillance, le traitement et le suivi des incidents de sécurité et des réclamations de clients liées à la sécurité, y compris un mécanisme de signalement des incidents;
    Vulnérabilités et tests d'intrusion
    Service de management de la sécurité
    Conseil sécurité
    Audit organisationnel et fonctionnel sur site

    Vulnérabilités et tests d'intrusion

    Objectifs : <span style="margin: 0px; font-family: 'Helvetica',sans-serif;"

    Etat des lieux factuel et technique du niveau de sécurité effectif d’un système, d’une application ou d’une infrastructure informatique

    Mission :

    • Mise en avant des vulnérabilités d’une application ou d’une infrastructure avec les niveaux de risques associés
    • Recommandations permettant de réduire les risques

    Prestations :

    CIL CONSULTING by TNP vous propose 4 modules de tests à la carte :

    • Cartographie des vulnérabilités
    • Tests d’intrusion
    • Tests applicatifs (tests automatisés et manuels)
    • Déni de service (DDos)

    Service de management de la sécurité

    CIL CONSULTING by TNP vous propose une prestation de « Management de la sécurité as a service »(gestion des outils de sécurité des données par des experts): une approche modulaire et packagée qui permet d’offrir un service complet de monitoring, détection d’alerte et de reporting.
    – Temps d’implémentation considérablement raccourci et maintenabilité simplifiée
    – Pas de coûts cachés
    – Disponibilité du service et interaction avec les clients.

    OUTIL DE GESTION DES LOGS ET DES EVENEMENTS EN MODE Saas
    Solution permettant d’automatiser et de rationaliser le processus de collecte, d’archivage et d’analyse des journaux d’événements provenant des diverses sources du système d’information : applications, systèmes d’exploitation, équipements réseau et de sécurité.

    L’outil dispose d’une interface graphique, qui permet de repérer les anomalies ;

    D’un système d’alerting en temps réel,

    D’un moteur de recherche full text, capable de gérer de gros volumes d’événements, pour retrouver plus facilement les logs par simples mots clés.

    SIEM
    Grâce à cet outil de supervision des incidents de sécurité du SI, nos experts sont en capacité de trouver les anomalies et les comportements suspects, ce qui améliore la détection et la prévention des cybermenaces et des cyberattaques.

    -Analyse comportementale en temps réel de la menace (online realtime)

    -Détection des APT, AET et des menaces furtives

    Rapports personnalisables et tableaux de bords interactifs.

    Conseil sécurité

    Objectifs :

    • Aider à définir et à piloter la stratégie de sécurité.
    • Mettre en place une gouvernance de la sécurité.
    • Accompagner les équipes projets dans la prise en compte des problématiques de sécurité au plus tôt et de manière continue.
    • Intégrer de manière anticipée les exigences sécurité dans la conduite du projet.
    • Maintenir les conditions de sécurité.

    Mission :

    • Contribution à la mise en place d’une gouvernance de la sécurité.
    • Conseils sur les méthodes à mettre en place.
    • Contribution à la définition de l’architecture du point de vue de la sécurité.
    • Contribution aux livrables de sécurité (Exigence de sécurité ; dépouillement d’appels d’offres ; Aspects sécurité du dossier d’architecture …).
    • Recherche de solutions de sécurité adaptées au projet.

    Prestations :

    • Conseil sur mesure : Accompagnement des équipes projet lors d’une étape clé.
    • Conseil Complet : Accompagnement des équipes projet de bout en bout.

    Audit organisationnel et fonctionnel sur site

    Audit réalisé par rapport à un état de l’art (ISO 27002 & 27001, ISO 27018) ou à des politiques ou standards internes (PSSI) ou externes (PCI DSS, HIPPA, Hébergeur Données de Santé…).

    L’audit de sécurité sur site permet d’apprécier la conformité d’une prestation externalisée avec les exigences contractuelles de sécurités prises par le prestataire.

    Des recommandations sont faites en fonction des résultats de l’audit.

    Prestations :

    • Audit de sécurité processus et organisation :
    • Permet d’apprécier la conformité d’une prestation externalisée avec les exigences contractuelles de sécurités prises par le prestataire
    • Audit de sécurité technique :
    • Permet de vérifier si les éléments techniques récupérés par les fournisseurs (fichiers de configuration : Firewall, serveurs, des applications et fichiers de logs) sont conformes à l’état de l’art
    • Scan du réseau en interne.

    X