De nombreuses organisations nous consultent d'abord pour obtenir un avis indépendant sur leur approche en matière de sécurité numérique ou de l'information. Parfois, cela s'inscrit dans le cadre d'un audit formel ou d'une évaluation par le conseil d'administration. D'autres fois, il s'agit d'une première étape pour les organisations sans programme structuré ou dont la sécurité de l'information était jusqu'à présent considérée comme une simple fonction informatique. Ces évaluations peuvent vous aider à mieux cerner les risques, à améliorer la protection des données ou des travaux sensibles et à garantir le respect du devoir de diligence envers votre équipe et vos partenaires.

Nous concevons des processus d'évaluation adaptés à votre contexte et à vos objectifs spécifiques. Si vous ne savez pas par où commencer, nous vous aiderons à identifier vos priorités et à définir les contours de votre réussite.

Selon vos besoins, nous pourrions :

• S’engager au niveau du conseil d’administration ou de la haute direction, en apportant des garanties grâce à des approches axées sur la gouvernance.
• Concentrez-vous sur les risques pratiques et les scénarios de menaces probables fondés sur votre réalité opérationnelle.
• Auditer ou évaluer un programme de sécurité existant ou identifier les lacunes là où il devrait y en avoir un.

Que vous travailliez avec une équipe interne de gestion des risques ou une équipe informatique, que vous utilisiez un service externalisé ou que vous partiez de zéro, nous pouvons vous aider à comprendre votre situation actuelle, à cartographier votre exposition et à construire une voie à suivre.

Le cas échéant, nous intégrons notre travail d’évaluation dans une stratégie de changement plus large, en aidant vos équipes à s’approprier les données et les risques numériques, en renforçant les politiques et les pratiques et en élaborant une feuille de route vers la conformité ou l’investissement.

Cadres d'évaluation

Nous sommes flexibles en matière de cadres et de méthodologies, car il est rare qu'une solution unique convienne à tous. Notre équipe possède une expérience de travail avec différents modèles et niveaux de maturité. Nous vous aiderons à choisir l'outil ou la combinaison d'outils adaptés à vos besoins.

Nous travaillons avec:

• Normes internationales telles que ISO 27001, PCI-DSS et SOC 2.
• Des outils de la société civile comme SAFETAG.
• Cadres alignés sur le gouvernement tels que Cyber ​​Essentials et NIST CSF.
• Modèles basés sur le contrôle comme les contrôles de sécurité critiques CIS.

Mais nous savons aussi quand il ne faut pas recourir à un cadre formel. Parfois, une simple analyse des risques est plus utile qu'une liste de contrôle de conformité.

À quoi s'attendre d'une évaluation

Nous travaillons avec vous pour :

1. Clarifier l’objectif et les résultats. Cherchez-vous à comprendre votre surface d'attaque ? À rassurer votre conseil d'administration ? À évaluer un programme existant ? Ou à orienter des changements plus vastes ?
2. Concevoir une approche adaptée. Cela peut inclure:
   • Revues documentaires ou sur papier.
   • Évaluations techniques d'outils et de plateformes.
   • Engagement du personnel pour comprendre l’utilisation, la culture et la gouvernance.
   • Cartographie des données et identification des actifs.
   • Alignement du cadre (le cas échéant).
   • Transfert de connaissances à votre équipe interne.
3. Planifiez une sortie solide et les prochaines étapes. En fonction de vos objectifs, cela peut inclure :
   • Rapports formels ou informels.
   • Débriefings de leadership ou d'équipe.
   • Ateliers ou formations de suivi.
   • Accompagnement ou soutien à la mise en œuvre.

Si vous êtes au début de votre parcours, nous pouvons vous recommander un examen plus léger, basé sur un cadre, pour cartographier les zones à risque et prioriser les prochaines étapes, avant de revenir à un audit plus formel lorsque vous êtes prêt.