#savethedate : Anticipez les nouvelles exigences de cybersécurité : Conseils &amp; retours d’expérience de PME
J'aurai le plaisir d'animer cette table ronde le mardi 15 octobre à la CCI de Troyes, dans le cadre du Rendez-vous du numérique. Avec notre panel d'experts, nous aborderons pourquoi il est essentiel de se conformer aux nouvelles exigences de cybersécurité, en partageant des conseils pratiques et des retours d’expérience de PME.
Cette session vous aidera à mieux comprendre les impacts concrets sur vos processus quotidiens et à mieux vous préparer pour l'avenir. D'autres conférences sur l'intelligence artificielle et des annonces clés en matière de cybersécurité rythmeront également cette journée riche en contenu.
Ne manquez pas cette opportunité unique d'en apprendre plus et d'échanger avec des professionnels du secteur !


Plus d'informations ici =&gt; <a href="https://lerdvdunumerique.fr/">Le Rendez-vous du Numérique - L'évènement troyen incontournable (lerdvdunumerique.fr)</a>

Anticipez les nouvelles exigences de cybersécurité : Conseils & retours d’expérience de PME

Dans le paysage numérique européen, quatre figures se dressent au loin, prêtes à transformer la manière dont les entreprises et nos institutions abordent la cybersécurité. À première vue, ces régulations peuvent sembler aussi redoutables que les Quatre Cavaliers de l’Apocalypse, apportant avec elles des exigences nouvelles, des coûts additionnels, et une pression constante pour se conformer.


Elles suscitent l’inquiétude, le doute, et parfois même la crainte d’un avenir incertain.


Mais ce serait négliger l’autre facette de ces régulations, celle des Quatre Mousquetaires de la cyber-résilience, œuvrant avec ardeur pour défendre les entreprises contre les menaces grandissantes du monde numérique. Plutôt que de les voir comme des forces destructrices, elles peuvent être perçues comme des alliées fidèles, armées pour prévenir, protéger et renforcer les défenses numériques.


Explorons ces deux visions contrastées des régulations CRA, NIS 2, DORA et EUCS. Sont-elles des cavaliers annonciateurs de contraintes, ou des mousquetaires prêts à protéger l’Europe numérique ?


<h2 class="wp-block-heading">Les quatre forces en action : que représentent-elles ?</h2>


<h3 class="wp-block-heading">CRA (Cyber Resilience Act)</h3>


Imaginez un bouclier invisible qui protège non seulement les appareils connectés mais aussi les logiciels utilisés à travers l'Europe. Le CRA impose aux fabricants et aux développeurs de renforcer la sécurité dès la conception, couvrant tout le cycle de vie des produits et logiciels, avec l'obligation de corriger rapidement les failles découvertes.


<h3 class="wp-block-heading">NIS 2 (Directive sur la sécurité des réseaux et de l'information)</h3>


Imaginez un filet de sécurité qui s'étend à travers toute l'Europe, conçu pour capturer et protéger les entreprises et services critiques contre les cybermenaces. NIS 2 ne se contente pas simplement d'élargir ce filet pour inclure davantage de secteurs : il renforce également les mailles en introduisant des principes de résilience, de gestion proactive des risques, et de réponse aux incidents.


<h3 class="wp-block-heading">DORA (Digital Operational Resilience Act)</h3>


Visualisez une armure numérique pour les institutions financières, les rendant capables de résister à n'importe quelle attaque numérique. DORA impose des tests réguliers et une gestion stricte des risques liés aux technologies, assurant que les systèmes financiers restent solides face aux crises numériques.


<h3 class="wp-block-heading">EUCS (European Cybersecurity Certification Scheme)</h3>


Imaginez un label de qualité pour la cybersécurité, reconnaissable dans toute l'Europe. L'EUCS offre une certification harmonisée pour les produits et services numériques, garantissant leur fiabilité et sécurité.


<h2 class="wp-block-heading">Les Quatre Cavaliers de l’Apocalypse : la pression qui s’abat sur les entreprises</h2>


Ces régulations représentent une réelle contrainte pour les entreprises : une épée de Damoclès prête à s’abattre.


Pour beaucoup, elles signifient des obligations supplémentaires, des investissements conséquents, et une révision profonde de leurs processus internes.


La pression pour se conformer est forte, et les sanctions en cas de non-respect peuvent être lourdes. Les entreprises se retrouvent face à une urgence : s’adapter ou risquer de se retrouver dépassées, voire pénalisées.


<h2 class="wp-block-heading">Les Quatre Mousquetaires : les défenseurs de la cyber-résilience</h2>


Cependant, ces mêmes régulations peuvent aussi être vues comme des alliés précieux. En les adoptant, les entreprises renforcent leur défense contre les cybermenaces, améliorent leur résilience, et établissent une base solide pour un environnement numérique sécurisé.


CRA, NIS 2, DORA et EUCS agissent alors comme des Mousquetaires au service de la prévention et de l'amélioration continue. Ils protègent les infrastructures critiques et soutiennent les entreprises dans leur quête d'une cybersécurité robuste et fiable. Plutôt que des contraintes, ces régulations deviennent des leviers pour bâtir une confiance accrue et un avantage concurrentiel durable.


<h2 class="wp-block-heading">Les alliés de l’ombre : PSSI, ISO 27001 et SOC 2 à la rescousse</h2>


Alors que les Quatre Cavaliers de l’Apocalypse imposent des défis réglementaires et que les Quatre Mousquetaires défendent la résilience numérique, d’autres alliés se tiennent prêts à épauler les entreprises dans leur quête de sécurité.


Parmi eux, la PSSI (Politique de sécurité du système d'information), l’ISO 27001, et le SOC 2, véritables gardiens de l’ombre, apportent des stratégies et des boucliers supplémentaires pour renforcer la défense, même lorsque les entreprises ne sont pas directement ciblées par les régulations européennes.


Ces cadres offrent des lignes directrices claires pour structurer une approche proactive de la cybersécurité, en anticipant les menaces et en comblant les brèches avant que les attaques ne surviennent. Ils agissent comme des conseillers stratégiques, aidant les entreprises à se préparer aux batailles quotidiennes du monde numérique. Dans une réalité où les fuites de données sont légion et où chaque faille de sécurité peut être exploitée par des assaillants, ces outils deviennent des atouts indispensables.


Les données sensibles échappent chaque jour à la vigilance, mettant en lumière l’importance d’une défense en profondeur. En s’appuyant sur la PSSI, l’ISO 27001 et le SOC 2, les entreprises renforcent leur armure et se préparent à affronter non seulement les Cavaliers mais aussi toutes les menaces invisibles qui rôdent.


Ces standards, combinés aux régulations européennes, permettent non seulement de se conformer aux exigences, mais aussi de bâtir un bastion de confiance et de résilience pour prospérer dans un univers numérique sans cesse plus menaçant.

CRA, NIS 2, DORA & EUCS : les Quatre Cavaliers de l’Apocalypse ?

Si vous êtes dans le domaine de l'informatique, vous savez déjà que la PSSI n'est pas juste une suite de lettres posées là par hasard. Pour les autres, la PSSI, c’est la Politique de Sécurité des Systèmes d’Information (ou les Politiques de Sécurité du Système d'Information, j'ai entendu les deux).


<h2 class="wp-block-heading">Pourquoi une PSSI ?</h2>


Imaginez une entreprise où tout fonctionne parfaitement : les données clients sont protégées, les systèmes tournent sans accroc, et tout le monde travaille en toute sérénité. Pourtant, la menace d'une cyberattaque plane toujours. Un pirate informatique pourrait, à tout moment, tenter de s'introduire dans vos systèmes. Et là, c’est la panique : données volées, réputation en jeu, et des heures à essayer de réparer les dégâts.


C’est précisément pour éviter ce genre de scénario que la PSSI intervient en amont. Elle n’attend pas que l’incident se produise pour agir. La PSSI définit les mesures de sécurité, les bonnes pratiques, et les protocoles à suivre pour protéger vos informations sensibles dès le départ. Mais ce n’est pas tout ! En cas d’incident, elle guide également la réaction de l’entreprise pour minimiser l’impact, gérer la crise, et rétablir la situation le plus rapidement possible.


La PSSI est donc là à chaque étape : avant pour prévenir, et après pour savoir comment réagir. Elle ne se contente pas de sécuriser, elle prépare aussi l’entreprise à faire face aux imprévus du monde numérique.


<h3 class="wp-block-heading">Les enjeux de la PSSI</h3>


Les enjeux de la PSSI sont multiples pour une organisation :


<ol class="wp-block-list">
<li>La confidentialité : Protéger les informations sensibles pour éviter qu'elles ne tombent entre de mauvaises mains.</li>


<li>L'intégrité : S'assurer que les données ne sont pas modifiées, altérées ou supprimées sans autorisation.</li>


<li>La disponibilité : Garantir que les informations et les systèmes sont accessibles quand on en a besoin. Parce que bon, avoir des données super sécurisées, c’est bien, mais si personne ne peut y accéder, c’est un peu contre-productif.</li>


<li>La traçabilité : Pouvoir retracer les actions effectuées sur le système d’information pour détecter les anomalies et identifier les responsables en cas de pépin.</li>
</ol>


<h3 class="wp-block-heading">Que contient une PSSI ?</h3>


Une PSSI, ce n’est pas juste une liste de fichiers Word rédigés à la va-vite sur un coin de table. C’est un document stratégique qui doit être clair, précis, et adapté aux spécificités de l’entreprise. Voici quelques éléments que l’on retrouve généralement dans une PSSI :


<ul class="wp-block-list">
<li>Les objectifs de sécurité : On commence par définir ce qu’on veut protéger et pourquoi. Cela peut être des données clients, des informations stratégiques, ou même les emails de la direction (surtout ceux avec des blagues douteuses).</li>


<li>La définition des rôles et des responsabilités : Chacun doit savoir ce qu’il a à faire. Qui est responsable de quoi ? Qui doit intervenir en cas d’incident ? La PSSI met tout cela au clair pour éviter le jeu du “ce n’est pas moi, c’est l’autre”.</li>


<li>L'ensemble des mesures de sécurité : C’est le cœur de la PSSI. On y détaille les moyens à mettre / mis en place : méthodologies, procédures, politique des mots de passe, gestion des sauvegardes, politique de chiffrement des données, moyens pour sécuriser l'architecture web, les postes de travail,... Bref, tout ce qu’il faut pour barricader votre forteresse numérique.</li>


<li>La gestion des incidents : Parce que malgré toutes les précautions, un incident peut toujours arriver. La PSSI prévoit donc des procédures pour détecter, analyser et répondre efficacement aux incidents de sécurité.</li>


<li>La sensibilisation et la formation : On peut avoir la meilleure PSSI du monde, si personne ne la suit, ça ne sert à rien. Former et sensibiliser les employés à la sécurité informatique est donc essentiel. Après tout, le maillon faible de la sécurité reste souvent… l’humain.</li>
</ul>


<h3 class="wp-block-heading">En conclusion</h3>


La PSSI n’est pas qu’un document de plus dans les tiroirs de l’entreprise. C’est un véritable guide pour assurer la sécurité des systèmes d’information et protéger ce qui est souvent le cœur de votre activité : vos données. Alors, la prochaine fois qu’on vous parle de PSSI, vous saurez que c’est bien plus qu’un acronyme barbant.


Gardez-la à jour, respectez-la, et vous serez parés pour affronter les menaces du cyberespace avec sérénité (ou presque) !

La PSSI, c’est quoi ?

Création d'APIs REST avec Symfony, PHP Vanilla et NodeJs
<ul>
<li>Conception, spécifications techniques</li>
<li>Spécificités :
<ul>
<li>Authentification custom ou JWT</li>
<li>Développement avec Symfony (5.X, 6.X), PHP Vanilla et NodeJs</li>
<li>Interface avec base de données (Doctrine ou custom)</li>
<li>Interface avec APIs externes</li>
<li>Utilisation interne et publique</li>
</ul>
</li>
<li>Développement</li>
<li>Gestion des tests</li>
<li>Gestion de la documentation</li>
</ul>

AMOA

AMOE

Conception

Développement

Développement d'API Rest

Mise en place d'architecture haute disponibilité sur des clouds publics (Amazon Web Services et Microsoft Azure) pour une application Saas &amp; sites vitrines
<ul>
<li>Adaptation des composants de l'application afin de tirer partie des avantages et spécificités de chacun</li>
<li>Hébergement simultané de l'application sur plusieurs clouds</li>
<li>Déploiement automatisé</li>
<li>Gestion de la charge</li>
<li>Hébergement "classique" sur serveurs</li>
<li>Hébergement serverless</li>
<li>Utilisation des PaaS (AWS RDS, OpenSearch,...)</li>
</ul>

Sécurité

Architecture multicloud haute disponibilité

Conception de sites internet vitrine : gestion de projet et développement
<ul>
<li>Rédaction des spécifications fonctionnelles et techniques</li>
<li>Gestion des équipes de développement</li>
<li>Gestion de la recette</li>
</ul>
Briques techniques :
<ul>
<li>Framework CSS : Bootstrap</li>
<li>Librairies de composants : ChakraUI, Tailwind, Fluent UI</li>
<li>Utilisation de CMS (WordPress) en mode classique</li>
<li>Utilisation de CMS en mode HeadLess : front avec NextJs + WordPress en Headless avec API Rest</li>
</ul>
&nbsp;

Conception & Réalisation de Sites vitrines

Rédiger des spécifications fonctionnelles et techniques afin de concrétiser la vision du projet en se basant sur un cahier des charges et/ou sur le travail réalisé au cours d’ateliers avec les clients finaux (externe ou internes).
Les projets peuvent être techniques ou fonctionnels :
<ul>
<li>sites internet</li>
<li>applications</li>
<li>webservices</li>
</ul>

Spécifications techniques & fonctionnelles

Recueil et traduction des besoins en vue de la rédaction de cahier des charges qu’ils soient formels (appels d’offre) ou plus informels (élaboration de cahier des charges pour un outil à faire développer par des équipes en interne).
Les projets peuvent être techniques, organisationnels ou fonctionnels :
<ul>
<li>sites internet, applications, webservices,...</li>
<li>organisation du SI</li>
</ul>
&nbsp;

Rédaction de cahier des charges

Gestion de projets Web de A à Z du côté client comme du côté agence.
Gérer les équipes sous ma responsabilité : des développeurs, d’autres chefs de projets, des web designeurs et des ingénieurs d’hébergement. Ceci comprend la gestion de leur planning, la réponse aux questions, la mise au clair des incompréhensions.
Rédiger des spécifications fonctionnelles et techniques afin de concrétiser la vision du projet concerné en se basant sur un cahier des charges et/ou sur le travail réalisé au cours d’ateliers avec les clients finaux (externe ou internes).
Gérer la recette fonctionnelle et technique
Quelques exemples :
<ul>
<li>CEA  (Commissariat à l’énergie atomique et aux énergies alternatives)
<ul>
<li>Création du site interne de la DSI pour une base de connaissance ;</li>
<li>Refonte de la charte graphique complète des sites du CEA (toujours l’actuelle) : création de tous les principes de navigation, respect des normes d’accessibilité, intégration HTML applicable sur les sites Sharepoint du CEA.</li>
</ul>
</li>
<li>Plus Belle la Vie : Création du site communautaire (2011/2012).</li>
<li>Editions Harlequin : divers sites vitrine.</li>
<li>Editions Hachette Jeunesse : Divers sites vitrine et sites communautaires de lecteurs.</li>
<li>Equidia &amp; PMU : Refonte de tous les sites des chaines TV et interface avec le PMU pour les paris sportifs.</li>
<li>France TV : Refonte de sites d’émissions (C dans l’Air par exemple).</li>
<li>Radio France : Spécifications fonctionnelles et techniques sur des projets internes.</li>
<li>Grytics</li>
</ul>

Gestion de projets Web

Conception, développement et gestion d'applications Saas de A à Z
<ul>
<li>Conception fonctionnelle</li>
<li>Conception technique</li>
</ul>
Réalisations :
<ul>
<li>Grytics</li>
</ul>

Audit

Développement Applications web Saas

Maitrise d’interface aux solutions de paiement : Stripe, Paypal
<ul>
<li>Gestion des one-time payments et abonnements</li>
<li>Interface avec solution métier pour gérer ses spécificités (gestion des droits, gestion des commandes,...)</li>
</ul>

Interface avec solutions de paiement

Utilisation de différentes APIs de Microsoft : Graph API, Yammer API, Activity API
<ul>
<li>Interface avec les services d'authentification (Consumer et Business)</li>
<li>Interface avec les endpoints dédiés à Yammer</li>
<li>Interface avec les endpoints dédiés à l'Activity API pour les tenants Azure</li>
<li>Interface avec les services SAML</li>
</ul>
Conception technique des interfaces (en Php et NodeJs)
Développement
Gestion de l'examen des applications

Interface avec APIs Microsoft

Utilisation de la Graph API de Meta (Facebook)
<ul>
<li>Interface avec Facebook Connect pour la gestion de l'authentification</li>
<li>Interface avec les endpoints dédiés aux Groups</li>
<li>Interface avec les endpoints dédiés aux Pages</li>
<li>Interface avec les endpoints dédiés à Workplace</li>
</ul>
Conception technique des interfaces (en Php et NodeJs)
Développement
Gestion de l'examen de l'application par Meta

Interface avec APIs Meta

Rédaction de PSSI (politique de sécurité des systèmes de l'information) bilingue (français et anglais)
Audit
Recommandations techniques et organisationnelles
Implémentations des mesures &amp; contrôles de sécurité

Création d'un framework de management du système d'information

Mise en conformité de procédures et pratiques de PME afin d'obtenir la certification SOC2 Type 1.
<ul>
<li>Audit et Etude de l'existant</li>
<li>Formation des équipes</li>
<li>Rédaction des politiques et procédures</li>
<li>Création du framework de suivi</li>
</ul>

Mise en conformité SI avec SOC2

Mise en conformité de procédures et pratiques de PME afin d'obtenir la certification ISO 27001:2022.
<ul>
<li>Audit et Etude de l'existant</li>
<li>Formation des équipes</li>
<li>Rédaction des politiques et procédures</li>
<li>Création du framework de suivi</li>
</ul>

Mise en conformité SI avec ISO 27001

Création de l'architecture de websockets avec SocketIo (interface en Php, NodeJs et ReactJs)
Développement du système
Types de réalisation :
<ul>
<li>Envoi de notifications à un client</li>
<li>Identification d'utilisateur</li>
<li>Système complexe de jeu en ligne</li>
</ul>

Interface / gestion de websockets

Gestion des audits de sécurité d'un point de vue applicatif et développement
<ul>
<li>Mise en place de procédures internes</li>
<li>Sélection de prestataires pour organisation de pentests</li>
<li>Tenue d'audit de sécurité (revue et audit de code, pentest en mode gray box et white box)</li>
</ul>

Audit de sécurité

Création d'interface avec un message broker afin de réaliser des tâches de façon asynchrone.
Interface avec RabbitMq et AWS SQS
Tâches simples et complexes asynchrones réalisées :
<ul>
<li>Tâches de maintenance</li>
<li>Envoi d'email</li>
<li>Traitement d'image</li>
<li>Requête à des services tiers (récupération de datas en masse)</li>
</ul>

Interface avec broker

Création d'interfaces avec différents fournisseurs d'identité avec le protocole SAML:
<ul>
<li>Okta</li>
<li>Microsoft Entra ID (ex Azure Active Directory)</li>
<li>OneLogin</li>
<li>Ping Identity</li>
</ul>
Conception technique de l'interface avec le service d'identité existant
Rédaction des spécifications techniques et fonctionnelles
Développement de l'interface avec SimpleSAMLPhp

Interface avec systèmes de SSO

Réalisation d'une application Microsoft Teams pour offrir une expérience du Saas Grytics au sein de <a href="https://learn.microsoft.com/fr-fr/microsoft-365-app-certification/teams/1339-sas-grytics-companion" target="_blank" rel="noopener">Teams</a>.
<ul>
<li>Conception des interfaces dans le respect des guidelines de Microsoft (adaptation des principes de navigation et de la charte graphique)</li>
<li>Conception technique pour permettre l'interface entre l'application Teams / les services d'identification de Microsoft / les webservices du Saas</li>
<li>Réalisation des spécifications techniques</li>
<li>Gestion de la soumission, du parcours de test et de l'obtention de l'attestation Publisher et Microsoft 365</li>
</ul>
&nbsp;

Réalisation d'application Microsoft Teams

Réalisation de revues et d'audits de code :
<ul>
<li>PHP (Vanilla, Symfony, WordPress)</li>
<li>Javascript (ReactJs, NodeJs, NextJs)</li>
<li>MySQL</li>
</ul>
Analyses statique et dynamique
&nbsp;

Revue & audit de code

Organisation et tenue d'audits internes afin de valider les processus établis dans le cadre d'une certification ISO ou SOC 2

Audits internes

Conception d'architecture permettant de stocker, d'analyser et de consulter ces analyses une grande quantité de données (&gt; 2 millions)
<ul>
<li>Architecture Ops : utilisation intelligente des services AWS</li>
<li>Architecture et conception du back office : optimisations MySQL, gestion du cache, aplatissement des données</li>
</ul>
Cas : Grytics

Management de la Sécurité du Système d'information

Missions principales :

Types de livrables :

Projets réalisés

Création d'un framework de management du système d'information

Mise en conformité SI avec SOC2

Mise en conformité SI avec ISO 27001

Revue & audit de code

Audit de sécurité