Logo Connect3S
Connect3S Audit & PSSI

Sécurisez votre entreprise avec des audits experts à Nice

🎯 Découvrez nos méthodologies éprouvées

Connect3S applique les standards ANSSI et ISO pour sécuriser votre entreprise avec rigueur et efficacité.

📞 Parlons de votre projet 🌐 En savoir plus sur Connect3S

Notre méthodologie de sécurisation

Connect3S applique les méthodologies reconnues par l'ANSSI (EBIOS Risk Manager) et les normes internationales ISO 27001 / ISO 27005 pour garantir la robustesse de votre sécurité informatique.

🔬 La méthode EBIOS Risk Manager (EBIOS RM)

EBIOS RM est la méthode officielle de l'ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information) pour identifier, analyser et traiter les risques cyber de manière structurée et reproductible.

Pourquoi EBIOS RM ?

  • Reconnaissance officielle : Recommandée par l'ANSSI et exigée pour certaines certifications
  • Adaptée aux PME : Existe en version complète ou allégée selon votre maturité
  • Approche par scénarios : Identifie les chemins d'attaque réels (ransomware, phishing, vol de données)
  • Priorisation claire : Permet de chiffrer les risques et d'investir en conséquence

Les 5 ateliers EBIOS RM

Atelier 1 : Cadrage et socle de sécurité

Nous identifions les missions essentielles de votre entreprise, les actifs critiques (serveurs, données clients, applications métier), et nous vérifions que le socle de sécurité de base est en place (antivirus, pare-feu, sauvegardes).

Livrables : Cartographie des actifs, vérification des mesures de sécurité existantes

Atelier 2 : Sources de risque

Qui pourrait vous attaquer et pourquoi ? Nous identifions les sources de menaces : cybercriminels opportunistes, concurrents malveillants, salariés mécontents, hacktivistes, États-nations.

Livrables : Liste des menaces pertinentes pour votre secteur d'activité

Atelier 3 : Scénarios stratégiques

Nous définissons les objectifs visés par les attaquants : voler vos données, paralyser votre activité, détruire votre réputation, soutirer de l'argent (ransomware).

Livrables : Matrice des scénarios d'attaque et de leurs impacts métier

Atelier 4 : Scénarios opérationnels

Comment les attaquants pourraient-ils atteindre leurs objectifs ? Nous détaillons les chemins d'attaque : phishing → vol d'identifiants → accès au serveur → exfiltration de données.

Livrables : Cartographie des scénarios d'attaque détaillés (kill chains)

Atelier 5 : Plan de traitement des risques

Nous évaluons chaque risque (probabilité × impact) et définissons les actions : réduire (nouvelles mesures), accepter (risque faible), transférer (assurance cyber), éviter (abandon de l'activité à risque).

Livrables : Plan de Traitement des Risques (PTR) priorisé avec budget et calendrier

📄 Rédaction de votre PSSI

La PSSI (Politique de Sécurité des Systèmes d'Information) est le document de référence qui formalise votre stratégie de sécurité. Elle est obligatoire pour l'ISO 27001 et fortement recommandée par l'ANSSI pour toutes les entreprises.

Contenu d'une PSSI complète

  • Objectifs de sécurité et périmètre
  • Organisation de la sécurité (rôles, responsabilités)
  • Classification des actifs (données critiques, sensibles, publiques)
  • Politique de gestion des accès et des identités
  • Politique de sauvegarde et de restauration
  • Gestion des incidents de sécurité
  • Sensibilisation et formation des équipes
  • Conformité réglementaire (RGPD, NIS2, ISO 27001)

Charte utilisateur

  • Utilisation acceptable des ressources informatiques
  • Règles de création et gestion des mots de passe
  • Interdiction d'installation de logiciels non autorisés
  • Utilisation de la messagerie et d'Internet
  • Gestion des équipements personnels (BYOD)
  • Procédures en cas de perte/vol de matériel
  • Sanctions en cas de non-respect

Procédures de sécurité opérationnelles

  • Procédure d'onboarding/offboarding (arrivée/départ salarié)
  • Gestion des mots de passe et MFA (authentification forte)
  • Politique de mise à jour et de patch management
  • Procédure de sauvegarde quotidienne/hebdomadaire
  • Tests de restauration semestriels
  • Surveillance et monitoring des systèmes
  • Gestion des logs et des événements de sécurité

🚨 Plans de Continuité et de Reprise d'Activité (PCA/PRA)

Le PCA (Plan de Continuité d'Activité) et le PRA (Plan de Reprise d'Activité) garantissent que votre entreprise peut continuer à fonctionner même en cas de sinistre majeur (cyberattaque, incendie, panne généralisée).

PCA : Continuité d'Activité

Le PCA définit les processus critiques de votre entreprise et les mesures à mettre en place pour maintenir l'activité minimale en mode dégradé.

  • Identification des processus métier critiques
  • Définition des modes dégradés acceptables
  • Solutions de secours (sites de repli, télétravail forcé)
  • Communication de crise (clients, fournisseurs, salariés)
  • Équipe de gestion de crise et procédures d'activation

PRA : Reprise d'Activité

Le PRA définit les procédures techniques de restauration de vos systèmes IT en cas de sinistre, avec des objectifs chiffrés.

  • RPO (Recovery Point Objective) : perte de données maximale acceptable
  • RTO (Recovery Time Objective) : durée maximale d'interruption acceptable
  • Procédures de restauration des serveurs et données
  • Tests de reprise semestriels avec scénarios réalistes
  • Documentation détaillée (serveur par serveur)

Exemples de RPO/RTO par typologie d'entreprise

  • E-commerce : RPO = 1h, RTO = 4h (activité très critique)
  • Cabinet comptable : RPO = 24h, RTO = 48h (selon la période)
  • PME industrielle : RPO = 8h, RTO = 24h (production peu digitalisée)
  • Société de services : RPO = 4h, RTO = 8h (dépendance forte aux outils IT)

🏆 Accompagnement ISO 27001 & ISO 27005

ISO 27001 est la norme internationale de référence pour le management de la sécurité de l'information (SMSI). Elle garantit à vos clients et partenaires que vous gérez la sécurité de manière rigoureuse et continue.

ISO 27001 : Certification SMSI

La norme ISO 27001 impose la mise en place d'un Système de Management de la Sécurité de l'Information (SMSI) comprenant :

  • Rédaction d'une PSSI
  • Analyse de risques (ISO 27005 ou EBIOS RM)
  • Documentation des 114 contrôles de sécurité
  • Audits internes réguliers
  • Revue de direction annuelle
  • Amélioration continue

ISO 27005 : Gestion des risques

La norme ISO 27005 décrit le processus de gestion des risques de sécurité de l'information de manière structurée :

  • Établissement du contexte
  • Identification des risques
  • Analyse et évaluation des risques
  • Traitement des risques
  • Acceptation des risques résiduels
  • Surveillance et revue des risques

Parcours d'accompagnement ISO 27001 par Connect3S

Phase 1 : Diagnostic initial

Nous évaluons votre niveau de maturité par rapport aux exigences ISO 27001 et identifions les écarts à combler (gap analysis).

Phase 2 : Analyse de risques

Réalisation de l'analyse de risques EBIOS RM (ou ISO 27005) et rédaction du Plan de Traitement des Risques (PTR).

Phase 3 : Rédaction PSSI & procédures

Création de la PSSI, des politiques de sécurité, des procédures et de la documentation des 114 contrôles ISO 27001.

Phase 4 : Mise en œuvre des contrôles

Déploiement des mesures de sécurité identifiées : EDR, firewall, sauvegardes, MFA, chiffrement, sensibilisation des équipes.

Phase 5 : Audits internes

Réalisation des audits internes pour vérifier la conformité aux exigences ISO 27001 et identifier les actions correctives.

Phase 6 : Préparation audit de certification

Accompagnement lors de l'audit de certification réalisé par un organisme accrédité (AFNOR, Bureau Veritas, etc.).

Prêt à sécuriser votre entreprise avec une méthodologie éprouvée ?

Connect3S vous accompagne de l'audit initial jusqu'à la certification ISO 27001, en appliquant les méthodologies reconnues (EBIOS RM, ISO 27005) adaptées aux TPE/PME.

Demander un accompagnement

📞 09.70.77.3003