CONSEIL

Nos interventions dans le cadre d’activités de conseil,
sont extrêmement variées :

 

 

  • Mise en place de démarche de management de la sécurité, mission d’expertise sur la signature électronique, problématique du vote électronique, missions d’analyses de risques, rédaction de cahier des charges…

Conseil et expertise

Cabinet de conseil et d’expertise, Oppida réalise des prestations d’assistance à maîtrise d’ouvrage sur l’ensemble des domaines de la sécurité des systèmes d’information.  La nature des prestations que nous réalisons s’inscrit dans un très large cadre.

Oppida intervient en assistance à la maîtrise d’ouvrage sur de nombreux projets complexes. L’expertise peut couvrir l’ensemble des domaines de la SSI

 

    • Les sujets récurrents sont :
    • – assistance maîtrise d’ouvrage
    • – les études d’architectures de sécurité

    – la réalisation de dossiers de sécurité intégrant les spécifications fonctionnelles et techniques d’un système à concevoir ou déjà en production

    – l’assistance à l’élaboration de cahiers des charges, puis de dépouillement

    – l’assistance dans le cadre de projets nécessitant un haut degré de sécurité

    – l’assistance à l’intégration et à la validation de produits SSI

metier-CONSEIL1

Analyse de risques

Les études de risques sont généralement déroulées selon la méthode EBIOS®, recommandée par l’ANSSI.

    • En fonction des attentes de nos clients, d’autres méthodes peuvent cependant être utilisées :

 

– ISO 27005

– Mehari

  • – Méthode propriétaire

 

 

 

Les résultats de l’analyse de risques sont spécifiques aux besoins de nos clients et peuvent servir, entre autres à :

 

    • – la rédaction de cahiers des charges sécurité pour un système à concevoir
  • – la formalisation d’un guide d’audit pour un système déjà conçu
  • – la conception d’un dossier de sécurité pour une autorité d’homologation
  • – l’élaboration d’une Politique de Sécurité

Assistance à l'homologation des systèmes

Oppida intervient auprès de partenaires étatiques et industriels pour l’assistance à l’homologation de systèmes ou d’interconnexion, aussi bien dans un cadre national qu’international (OTAN, UE).

Les différentes phases pour lesquelles Oppida est en mesure et a été amené à intervenir sont :

 

    • – formalisation du besoin de sécurité par les études EBIOS dans le cadre de la rédaction d’une FEROS

 

    • – assistance à différents stades de la conception (réponse à appel d’offre à conception détaillée) par :

 

    • – l’identification des fonctions de sécurité et des éléments dimensionnant de l’architecture permettant de satisfaire le besoin de sécurité

 

      • – l’identification des mesures de sécurités permettant la couverture des risques et réalisation de la traçabilité associée

     

    • – formalisation des mesures et procédures selon le référentiel ad hoc (politiques et plans de sécurité, PES, SSRS, SISRS, SecOps, etc…)
    • – rédaction des notes de synthèse et présentation aux autorités

 

 

    • Ces prestations ont été menées dans les contextes suivants (liste non exhaustive donnée à titre d’exemples) :

 

    • – messagerie OTAN Réseau d’infrastructure des armées

 

    • – systèmes de navigation de missile Services provider pour système de navigation satellite.

Management de la sécurité et de l'information

Une démarche adaptée de management de la sécurité de l’information est une étape clé de maîtrise de risques quelque soit l’organisme, sa taille et son domaine d’activité (grande entreprise, PME, TPE, administration, collectivité locale, établissement de santé, etc…).

Le patrimoine informationnel fait en effet partie des éléments clés dont dépend non seulement le bon fonctionnement de tout organisme et son développement, mais également sa survie (fichiers clients, commandes, données de facturation, résultats de recherche et développement, etc…)     Oppida dispose de toutes les compétences et de l’expérience requises pour pouvoir couvrir et traiter, de manière complète, cohérente et adaptée, l’ensemble des aspects en matière de sécurité de l’information, techniques et non-techniques (organisation, politiques et procédures de sécurité, sensibilisation, gestion / suivi / contrôle, etc…). L’objectif de l’approche d’Oppida, via une approche structurée de management de la sécurité de l’information, est de permettre à ses clients d’obtenir le bon niveau de sécurité, sur les bonnes informations et les bons systèmes, ou bon moment et au bon coût.

L’aspect temporel est un élément important : les organisations et les systèmes d’information, et leur environnement, évoluent en permanence. Les menaces et les risques correspondants évoluent de même. Un mécanisme de sécurité peut être parfaitement valable à un instant donné dans une configuration donnée et devenir complètement obsolète suite à la découverte d’une nouvelle faille de sécurité ou à l’évolution de la configuration du système. Une démarche de sécurité de l’information, tout comme une démarche qualité, doit donc s’inscrire dans le temps pour être réellement efficace.

 

De même, l’aspect financier est également un élément clé, l’argent étant, dans le domaine de la sécurité comme dans beaucoup d’autres, le nerf de la guerre. Les investissements en matière de sécurité de l’information doivent donc être particulièrement rationalisés et pertinents, c’est aussi la valeur ajoutée d’Oppida d’aider ses clients par rapport à cette contrainte.

wordcloud-542

Une véritable démarche de management de la sécurité de l’information, telle que mise en œuvre par Oppida, permet de répondre à ces exigences, en inscrivant la sécurité de l’information dans une approche globale, sur la durée et en cohérence avec les contraintes de l’organisme, notamment en termes de ressources. C’est la seule approche permettant d’optimiser réellement et efficacement les indispensables investissements en la matière.

 

L’objectif d’Oppida est l’optimisation maximale des ressources, tant humaines que financières, qui contribuent à la sécurité de l’information.

Formations

Oppida est agréé en tant qu’organisme de formation. (Déclaration d’activité enregistrée sous le numéro 11 78 80 769 78 auprès du préfet de région d’Ile de France. L’enregistrement ne vaut pas agrément de l’État).

L’approche proposée par Oppida se démarque fortement des formations proposées par les organismes de formation classiques.

 

En effet, nous pensons qu’une formation, pour être efficace, doit s’adapter aux besoins, au vocabulaire, au métier de l’organisation et de son personnel. C’est pourquoi, nous réalisons des formations « sur mesure », dans les locaux de nos clients et sur des projets réels (et non sur des études de cas théoriques, donc loin de la problématique réelle des stagiaires, etc…) adaptées aux objectifs du client et des auditoires ciblés.

 

Les interventions d’Oppida couvrent les aspects Formation et Sensibilisation.

recherche
metier-CONSEIL2
Formation

 

Le catalogue de formations d’Oppida évolue ainsi en permanence (contactez nous pour tout besoin). Il couvre actuellement les thèmes suivants :
– Formation Critères Communs n Formation au Management de la sécurité

– Formation à la réglementation de défense

– Formation sécurité réseau, formation à la réalisation de tests d’intrusion

Sensibilisation aux risques informatiques

 

pour les décideurs : séances d’information sur les impacts des nouvelles menaces ainsi que les responsabilités juridiques pour l’entreprise.

 

pour les utilisateurs du système d’information : sensibilisation à la sécurité des systèmes d’information ; information sur la réalité des risques, les devoirs de chacun pour préserver le savoir faire de l’entreprise. Ces sensibilisations sont complétées par des démonstrations d’attaques permettant « d’animer » les séances.

 

pour les spécialistes : formations spécifiques sur les normes et méthodologies employées en SSI (EBIOS, Critères Communs, etc…) et formations sur des techniques d’attaques, des technologies particulières mettant en œuvre des mécanismes de sécurité.

conseil_formationSSI

 

Les formations SSI sur mesure ont pour objectif de :

 

 

  • – Donner des éléments de réflexion aux décideurs de l’entreprise sur la stratégie de protection de l’information
  • – Faire prendre conscience aux utilisateurs des enjeux et des objectifs de l’entreprise en terme de protection de l’information en les associant à la politique sécurité
  • – Donner aux spécialistes les moyens d’apprécier les nouvelles formes d’attaques et d’orienter les mesures de protections du système d’information, ainsi que de prendre conscience des limites de la technologie dans le domaine de la SSI

 

Oppida assure un transfert de compétences : les formations aux normes et méthodes doivent permettre aux RSSI ou aux auditeurs internes de les implémenter au sein de leur entreprise.