Aller au contenu

Gouvernance Risque et Conformité

  • par

🔐 Normes, Référentiels & Cadres de Sécurité

  • ISO 27001 : SMSI, politique, mesures de sécurité
  • ISO 27002 : bonnes pratiques organisationnelles et techniques
  • ISO 27005 : méthodologie complète de gestion des risques
  • NIS2 : obligations de gouvernance, sécurité et reporting
  • RGPD : registres, minimisation, confidentialité, sensibilisation
  • NIST Cybersecurity Framework
  • CIS Controls v8 (IG1/IG2)
  • Recommandations ANSSI & guides de bonnes pratiques
  • ENISA Threat Landscape, CLUSIF

⚠️ Analyse & Gestion des Risques

  • Analyse de risques EBIOS RM
    • cadrage, sources de risque, événements redoutés
    • scénarios de menace
    • mesures existantes / à mettre en œuvre
  • Cartographie des risques métiers et techniques
  • Registre des risques & priorisation
  • Gestion des risques résiduels
  • Suivi du cycle de traitement des vulnérabilités
  • Définition d’objectifs de sécurité alignés au métier

📘 Documentation SSI & Gouvernance

  • Création / mise à jour de l’ensemble des documents SSI :
    • PSSI complète
    • Charte informatique + annexes
    • Procédures de gestion des accès
    • Procédure de sauvegarde & PRA/PCA
    • Plan de réponse à incident (PRI)
    • Politiques de journalisation
    • Processus de maintien en condition de sécurité (MCS)
  • Rédaction de guides internes, modèles, instructions
  • Construction d’un cadre de conformité adapté TPE/PME

🧪 Audit Organisationnel & Maturité Cyber

  • Audit des processus IT :
    • gestion incidents
    • changements
    • vulnérabilités
    • accès / privilèges
  • Analyse de maturité sécurité (ISO/NIST)
  • Recommandations stratégiques pour dirigeants
  • Plan d’amélioration sécurité 12–36 mois
  • Analyse des écarts entre exigences & état réel du SI

🛡 Pilotage Stratégique de la Sécurité

  • Définition des priorités SSI
  • Alignement sécurité <-> objectifs métiers
  • Mise en place d’indicateurs (KPI) et tableaux de bord sécurité
  • Suivi du MCS & vulnérabilités critiques
  • Préparation / animation de comités SSI
  • Accompagnement DSI / DG dans la prise de décision
  • Intégration sécurité dans les projets IT

🎓 Sensibilisation & Accompagnement

  • Campagnes de sensibilisation (phishing, RGPD, MFA, hygiène numérique)
  • Ateliers sécurité pour dirigeants, managers, utilisateurs
  • Création de supports pédagogiques (guides, vidéos, slides)
  • Mise en place d’une culture cybersécurité TPE/PME

🧩 Exemples de réalisations (projets concrets liés)

  • Création d’un socle minimal sécurité TPE/PME (mémoire)
  • Audit organisationnel & gouvernance (missions HCI)
  • Documentation SSI complète (procédures, politiques, PRI)
  • Mise en conformité interne (RGPD + durcissement AD/M365)
  • Élaboration feuille de route sécurité pour ESN