Tu souhaites un plan de cybersécurité clé en main ?
Dans cette vidéo nous vous présentons nos process clés pour mettre en place la sécurité de l'information dans une petite entreprise !
Dans cette vidéo nous vous présentons nos process clés pour mettre en place la sécurité de l'information dans une petite entreprise !
Category
🤖
TechnologieTranscription
00:00 [Musique]
00:08 Donc nos process clés pour mettre en place la sécurité de l'information, la cybersécurité.
00:14 Donc déjà, on a un dicton, c'est que sans maîtrise, on est un peu détourné.
00:18 Sans maîtrise, la cybersécurité n'est rien.
00:20 Donc sans maîtrise, ça veut dire quoi ?
00:22 Ça veut dire que si vous mettez en place la cybersécurité, des bonnes pratiques,
00:27 mais que vous ne contrôlez pas, vous êtes absolument certain
00:30 que dans deux mois c'est terminé, les failles elles sont réapparues.
00:33 Et puis vous n'avez aucune possibilité de dire à vos clients ce que vous avez mis en place.
00:37 Donc ce qui veut dire que la cybersécurité, déjà ça doit s'appuyer sur trois piliers.
00:41 L'humain, donc les sensibilisations, les formations, le développement de compétences,
00:46 mais aussi le management.
00:47 Il faut penser un peu management, c'est-à-dire qu'il faut faire participer les personnes,
00:51 il faut de la relation, parce que la sécurité c'est beaucoup de règles.
00:55 Et les règles, ça passe par la relation.
00:57 Si vous pensez que votre document va imposer des règles de sécurité, vous vous trompez.
01:02 En fait, il faut vraiment passer par du relationnel, c'est-à-dire organiser des visios,
01:06 organiser des présentations, parler aux gens,
01:09 ne pas avoir peur de la contestation et de l'opposition,
01:12 pour expliquer pourquoi il y a ces règles, pourquoi elles sont importantes.
01:16 Ça prend du temps, mais en quelques mois on arrive à avoir des résultats.
01:19 Donc l'humain, premier pilier hyper important, sensibilisation, formation.
01:23 Donc les sensibilisations et les compétences.
01:26 Les process, il faut de l'organisation des process, c'est quoi ?
01:29 C'est créer un wiki sur la sécurité, sur les politiques de sécurité.
01:33 Donc là, on va avoir toute la partie qui va vous rapprocher d'Iso 27001, par exemple.
01:37 Et les outils, on ne fait pas de sécurité sans outils.
01:41 Aujourd'hui, c'est pour ça qu'on a une approche très open source
01:44 pour limiter les coûts pour les startups,
01:46 mais les outils c'est fondamental, vous ne ferez pas de sécurité sans outils et sans contrôle.
01:50 Et là, c'est très important de jouer sur la partie des responsabilités,
01:54 de bien bien définir les responsabilités en interne.
01:57 Souvent, il y a une question qu'on nous pose, c'est est-ce qu'il faut forcément un RSSI ?
02:01 J'ai envie de dire oui, à un moment donné, vous allez avoir besoin de ce qu'on appelle
02:04 d'un responsable sécurité technique ou d'un responsable conformité,
02:07 et/ou d'un responsable conformité.
02:08 Mais ce n'est pas indispensable non plus.
02:10 Ce qui est important comme principe, c'est qu'une direction,
02:13 elle doit avoir confiance dans les personnes parce qu'elle a fait une séparation des tâches,
02:17 parce qu'elle a organisé des process de l'humain et des outils.
02:20 C'est tout ça qui va lui donner confiance dans son système de sécurité.
02:23 Donc, c'est les piliers importants à prendre en compte.
02:26 Ensuite, c'est quoi la vie d'une startup en matière de cybersécurité ?
02:29 Alors, je ne sais pas si vous l'avez peut-être vécu déjà,
02:31 mais si vous êtes dans le domaine du numéri,
02:33 vous êtes éditeur de logiciels, vous êtes des startups,
02:35 vous avez forcément eu ce vécu-là.
02:37 On vous pose des questions de sécurité,
02:39 on vous envoie des questionnaires de sécurité
02:41 qui sont longs à remplir et pénibles.
02:43 Et ces questions de sécurité, en fait, ils sont basés sur quoi ?
02:45 Sur les normes. En France, en Europe, beaucoup lisent au 27 000.
02:48 On vous demande des PSTests, on vous fait des audits.
02:50 Mais il faut savoir que les entreprises, à un moment donné,
02:52 vont forcément vous amener vers une certification.
02:55 Et là, aujourd'hui, comme je disais au début du webinaire,
02:58 les certifications vont devenir quasiment obligatoires
03:01 parce que demain, avec NIS2,
03:03 donc le référentiel, la directive NIS2 européenne sur la sécurité,
03:08 le SMSI va être quasiment obligatoire
03:10 pour tous les sous-traitants de grands groupes OIV et OSE,
03:12 et la certification derrière dans quelques années.
03:15 Donc, il faut bien choisir moralité, construire l'équipe,
03:18 ça, c'est un des principes extrêmement importants.
03:20 C'est, est-ce que vous devez externaliser ou faire en interne ?
03:23 Je dirais que c'est un mix des deux
03:25 qui va être différent en fonction de chacun,
03:26 en fonction de ce que vous voulez faire.
03:29 Mais je dirais qu'il faut, quand même, le plus important,
03:32 c'est de bien choisir ses mentors.
03:33 Donc, de l'expérience, de l'agilité et de l'open source.
03:36 En tout cas, nous, c'est ce à quoi on croit.
03:39 Au niveau français, évidemment,
03:41 ça ne veut pas dire qu'on est fermé à toutes les entreprises externes,
03:44 mais globalement, il faut quand même se rendre en maîtrise
03:47 de sa cybersécurité et utiliser des personnes
03:50 qui ont des vraies expériences et qui ont mis en place
03:53 des dizaines de programmes de cybersécurité en termes d'expérience.
03:56 Parce qu'il n'y a pas que la partie technique
03:58 qui est très, très importante,
03:59 il y a aussi la partie pragmatique, retour d'expérience.
04:02 Nous, on a un laboratoire qui travaille sur des solutions open source
04:05 et qui permet, effectivement, de mettre au point
04:08 des solutions adaptées aux startups, aux petites entreprises.
04:12 Et qui vont devenir grandes, évidemment,
04:13 assez rapidement par la suite.
04:14 Donc ça, je ne le redis pas,
04:16 c'est ce qui nous permet,
04:17 déjà, l'open source, ça permet la souveraineté,
04:20 de vous rendre en maîtrise de votre système de sécurité,
04:23 que ce soit vraiment adapté à vous,
04:24 de vous former aussi, parce que vous allez former votre CTO,
04:27 votre lead dev, vos opérateurs techniques
04:29 à l'utilisation des outils de sécurité,
04:31 et d'aller vite, puisque ça va très vite,
04:33 et d'être très complet,
04:34 parce que les solutions open source aujourd'hui,
04:36 elles couvrent tout le spectre de la cybersécurité.
04:38 Donc, c'est vraiment des solutions auxquelles on croit
04:40 et qui sont très intéressantes pour les petites entreprises.
04:42 Notre méthode, c'est quoi le process filagile ?
04:45 Quand on accompagne des entreprises,
04:46 je vous en parle deux minutes,
04:47 parce que ça peut vous intéresser,
04:49 on a un chef de projet qui va vous suivre
04:51 pendant toute votre mise en conformité
04:53 et votre programme de cyber.
04:54 Vous le voyez toutes les semaines,
04:55 c'est cadencé, c'est hyper efficace.
04:57 On met de l'e-learning en place,
04:59 on fait de la formation,
05:00 on automatise avec les solutions du marché
05:02 pour automatiser votre cybersécurité
05:04 et vos contrôles,
05:05 pour que vous ayez les moindres choses possibles à faire.
05:07 Vous avez tout le support juridique, technique,
05:09 qui est à votre disposition
05:11 pour répondre à toutes vos questions.
05:12 Et bien entendu, parce que nous,
05:13 si on vous déploie un programme de cybersécurité,
05:16 vous allez être conforme aux normes.
05:17 Donc du coup, la 270001, derrière, c'est simple,
05:20 ce n'est pas un truc compliqué.
05:22 Donc n'hésitez pas à nous contacter par rapport à ça.
05:24 [SILENCE]