Forum International de la Cybersécurité (FIC 2022 - Lille/France)
Contactez-nous
Ahligo, derrière ETI Ecobank
Tél/What: +228 99 88 74 74
Email: contact@htaghubgroup.org
Hotline: +228 99 88 74 74 - Email: contact@htaghubgroup.org
Conseil et Accompagnement
Conçu pour minimiser le risque de cyberfraude, le «Customer Security Programme» (CSP) de Swift se veut un programme de sécurité inspiré des meilleures pratiques en matière de protection des environnements critiques. Composé de 16 mesures de contrôle obligatoires et de 11 mesures facultatives, le CSP exige de chaque organisation qu’elle définisse, documente, mette en œuvre un ensemble d’objectifs, de principes et de contrôles. Rappelons, par ailleurs, que le CSP est imposé à toutes les banques. Celles-ci se voient dans l’obligation de se mettre en conformité chaque année par rapport au programme CSP.
Ayant un retour d’expérience riche et varié en matière de sécurité de la plateforme Swift pour avoir conduit plusieurs missions d’investigation suite à la survenance de plusieurs cas de fraude dans la région, HtagHub Group fournit des services de cybersécurité liés au programme SWIFT CSP en Afrique, Moyen Orient et en Europe.
Convaincue de la nécessité de mise en conformité rapide par rapport aux différentes exigences du CSP, HtagHub Group propose une démarche adaptée tenant compte des spécificités de chaque banque.
Notre partenaire, DATAPROTECT est le premier prestataire marocain autorisé à mener des missions de certification PCI DSS par le consortium PCI SSC. En 2011, elle a certifié la banque CBAO qui est devenu la première banque certifiée PCI DSS en Afrique francophone. En 2013, elle a certifié la Banque Centrale Populaire qui est devenu la première banque certifiée au Maroc.
Leur approche s’articule autour des phases suivantes :
Elaborée par le consortium PCI SSC, la norme PA-DSS est un ensemble d’exigences de sécurité qui s’appliquent aux fournisseurs et éditeurs de logiciels de paiement. Notre partenaire , DATAPROTECT, du fait de son retour d’expérience dans le domaine de l’audit et de la mise en place de mécanismes de sécurité pour les organismes manipulant des données de porteurs de cartes, est effectivement en mesure de vous accompagner pour la mise en conformité de vos applications éligibles aux exigences PA-DSS.
Elle est la seule entreprise certifiée PA QSA au Maroc, elle fait partie d’une liste de 79 entreprises certifiées dans le monde. Cette accréditation lui permet d’évaluer la conformité des applications de paiement vis-à-vis de la norme de sécurité des données des applications de paiement PA DSS (Payment Application Data Security Standard).
Notre Approche
Pour une mission classique d’audit de sécurité global, notre approche s’articule autour des étapes suivantes :
Audit organisationnel
L’audit organisationnel est réalisé conformément à la norme ISO 27001. Il couvre ainsi l’ensemble des chapitres de la norme tels que :
Audit technique
L’audit technique couvre plusieurs volets :
– Tests d’intrusion en aveugle
Il s’agit de mener des simulations sans informations au préalable à partir de l’externe. Pour y parvenir nous nous mettons dans la peau d’un hacker qui ne connaît rien du SI de l’organisation cible sauf son nom et d’essayer d’aller le plus loin possible.
– Tests d’intrusion internes
A travers les tests internes, nous allons devoir simuler des attaques à partir de l’interne pour savoir jusqu’à quel point un utilisateur, certes qui a un accès légitime au système, peut aller. Plusieurs scénarios doivent être explorés à travers ces tests. Il s’agit notamment de :
– Audit d’architecture
A travers l’audit d’architecture, l’équipe DATAPROTECT examinera le positionnement des différents dispositifs de sécurité au niveau de l’architecture ainsi que la stratégie de sécurité sur les périmètres internes et externes mise en place. Au terme de cette analyse, un design d’architecture de sécurité réseau sera remis, et ce, en tenant compte des failles de sécurité identifiées, du dimensionnement du réseau ainsi que des nouvelles menaces auxquelles l’organisation cible devrait faire face.
– Audit de configuration
Il s’agit de revoir les configurations des dispositifs de sécurité et de les examiner en fonction des meilleures pratiques dans le domaine.
– Audit de poste de travail
Il s’agit d’auditer la sécurité du poste de travail en conformité avec les meilleures pratiques dans le domaine.
Plan d’actions
L’audit organisationnel et technique de la sécurité permettront à l’équipe DATATAPROTECT d’élaborer un plan d’actions détaillé et d’identifier les différents chantiers de sécurité sur le court, moyen et long terme.
Nos atouts
La réalisation des missions d’audit de sécurité SI a été conçue comme une offre à valeur ajoutée, à travers :
– La réalisation de la mission par des consultants compétents:
– Un très bon retour d’expérience en sécurité des systèmes d’information:
– La mise en place d’un Laboratoire d’Ethical Hacking :
– Une accréditation mondialement reconnue en tant que PCI QSA et PA QSA
La cartographie des risques, positionnement des risques majeurs selon différents axes tels que l’impact potentiel et la probabilité de survenance, a pour objectif d’orienter le plan d’audit interne et d’aider le management à prendre en compte la dimension risque dans son pilotage interne.
La réalisation d’une cartographie des risques informatiques doit en premier lieu prendre en compte les enjeux métiers et les activités les plus sensibles pour l’organisation, que ce soit en termes financiers, réglementaires ou d’image. La bonne appréhension des processus clés de l’organisation et l’implication des parties prenantes sont donc des impératifs préalables à toute activité de recensement des risques informatiques. La deuxième étape consiste à identifier les actifs matériels et immatériels les plus critiques, puis d’en réaliser un criblage en termes de valeur et d’importance vitale pour l’organisation. Enfin, qu’il soit d’origine interne ou externe, l’ensemble des menaces et des évènements redoutés par l’organisation doivent être inventoriés. Ces évènements peuvent être classés en deux catégories : les évènements inhérents à la nature même de l’organisation, tels que la dépendance vis-à-vis d’une application clé développée en interne (événements endogènes), et les évènements exogènes comme les attaques virales, les intrusions ou les catastrophes naturelles.
L’image de l’adolescent cherchant désespérément à explorer une vulnérabilité d’un serveur sur l’internet depuis sa chambre au sous-sol est révolue. Aujourd’hui, de nouveaux groupes très structurés sont à l’origine d’actes cybernétiques visant à porter préjudice aux systèmes d’information des organisations privées et publiques. Dans cette perspective, il est vital aujourd’hui pour les organisations :
NOS ATOUTS
Pour mieux cerner le périmètre, HtagHub Group propose plusieurs typologies de tests, et ce, en tenant compte des besoins, des attentes et des contraintes du client.
– Un très bon retour d’expérience en la matière:
Le Plan de Continuité d’Activité (PCA) est conçu et mis en œuvre pour réduire les impacts de ces éventuels sinistres. Les différents plans constituant le PCA (Plan de secours informatique, Plan de gestion de crise, Plan de repeuplement, etc.) permettront de garantir la continuité des activités que l’entreprise considère comme critiques et essentielles à sa survie.
Notre approche
L’approche de HtagHub Group s’articule autour des phases suivantes :
La sécurité est un voyage. Non pas une destination. La menace évolue rapidement. Seul un exercice récurrent de tests d’intrusion permettra d’évaluer constamment l’état de la sécurité SI de l’organisation. Cet exercice est d’autant plus important qu’aujourd’hui avec la vulgarisation des attaques, l’exploitation des failles est devenue une tâche qui n’est pas réservée seulement aux experts dans le domaine. Même les personnes n’ayant pas le background technique, avec peu de moyens et une volonté de nuire peuvent causer du tort au SI de l’organisation.
De nombreuses études montrent que l’être humaine demeure le maillon faible de la chaîne de sécurité. Il continue à être la cible privilégiée des attaquants qui comptent sur sa naïveté ou son manque d’attention pour déjouer les contrôles mis en place. Dans cette perspective, HtagHuB Group vous propose une démarche d’audit d’ingénierie sociale afin de mieux cerner la dimension humaine de la sécurité
Notre approche s’articule autour des étapes suivantes :
Par infrastructures critiques, on entend les biens et services revêtant une importance capitale pour la population et l’économie, tels que l’énergie, les transports, la finance, la santé, ou la défense. Des perturbations graves de l’approvisionnement en électricité, des trafics ferroviaires ou autres pourraient provoquer des dommages importants.
Dans ce cadre, HtagHub Group vous propose une démarche garantissant une protection intégrale des infrastructures critiques :
La dématérialisation fait partie intégrante de la transformation digitale. Cependant, avant de mettre en place un processus de dématérialisation, il est essentiel de s’interroger sur la protection des données.
LE POINT SUR LA DEMAT2RIALISATION ACTUELLE
La dématérialisation des documents répond à la transformation numérique de tous les secteurs d’activité ainsi qu’à leur enjeu de mobilité professionnelle. La dématérialisation fait partie intégrante de la stratégie de l’entreprise et lui apporte des avantages concrets et une véritable valeur ajoutée !
Cependant, le fait de dématérialiser les documents d’une entreprise et d’utiliser par la suite le numérique dans les échanges peut entrainer certains risques, notamment au niveau de la sécurité informatique : perte de données confidentielles, atteinte à l’image de l’entreprise, perte de valeur des documents…
Dans ce cas, il faudra s’assurer que le prestataire de solutions de dématérialisation assure une sécurité de vos données, afin de vous éviter les mauvaises surprises !
S’ENGAGER AUPRES D’UN PRESTATAIRE EXPERT COMME HtagHub Group
Selon une étude menée par les dirigeants sont de plus en plus attentifs à la protection de leurs documents dématérialisés. Les entreprises cherchent à agir en amont, à se prémunir en protégeant et sécurisant leurs données à la source, qu’elles soient personnelles comme professionnelles.
C’est pour cela que la plupart des entreprises sont à la recherche d’un prestataire de dématérialisation qui garantisse également la protection de l’ensemble de leurs documents. En effet, de plus en plus de documents à forte valeur juridique se retrouvent dématérialisés : contrats, factures fournisseurs, bulletins de paie, données de santé… Il est alors très fortement conseillé aux entreprises de choisir le prestataire qui fera la différence en termes de sécurité.
Avant de se lancer dans ce « projet sécurité », il sera nécessaire d’en discuter longuement avec le prestataire choisi et de se poser ensemble les bonnes questions afin d’apporter la meilleure protection à vos données :
A partir de là, votre prestataire sera en mesure d’établir les paramétrages de sécurisation adaptés au fonctionnement de votre entreprise, à l’évolutivité de votre secteur et à la nature des flux et documents dématérialisés.
Ahligo, derrière ETI Ecobank
Tél/What: +228 99 88 74 74
Email: contact@htaghubgroup.org