Conseil et Accompagnement

Conçu pour minimiser le risque de cyberfraude, le «Customer Security Programme» (CSP) de Swift se veut un programme de sécurité inspiré des meilleures pratiques en matière de protection des environnements critiques. Composé de 16 mesures de contrôle obligatoires et de 11 mesures facultatives, le CSP exige de chaque organisation qu’elle définisse, documente, mette en œuvre un ensemble d’objectifs, de principes et de contrôles. Rappelons, par ailleurs, que le CSP est imposé à toutes les banques. Celles-ci se voient dans l’obligation de se mettre en conformité chaque année par rapport au programme CSP.

Ayant un retour d’expérience riche et varié en matière de sécurité de la plateforme Swift pour avoir conduit plusieurs missions d’investigation suite à la survenance de plusieurs cas de fraude dans la région, HtagHub Group fournit des services de cybersécurité liés au programme SWIFT CSP en Afrique, Moyen Orient et en Europe.

Convaincue de la nécessité de mise en conformité rapide par rapport aux différentes exigences du CSP, HtagHub Group propose une démarche adaptée tenant compte des spécificités de chaque banque.

Notre partenaire, DATAPROTECT est le premier prestataire marocain autorisé à mener des missions de certification PCI DSS par le consortium PCI SSC. En 2011, elle a certifié la banque CBAO qui est devenu la première banque certifiée PCI DSS en Afrique francophone. En 2013, elle a certifié la Banque Centrale Populaire qui est devenu la première banque certifiée au Maroc.

Leur approche s’articule autour des phases suivantes :

Elaborée par le consortium PCI SSC, la norme PA-DSS est un ensemble d’exigences de sécurité qui s’appliquent aux fournisseurs et éditeurs de logiciels de paiement. Notre partenaire , DATAPROTECT, du fait de son retour d’expérience dans le domaine de l’audit et de la mise en place de mécanismes de sécurité pour les organismes manipulant des données de porteurs de cartes, est effectivement en mesure de vous accompagner pour la mise en conformité de vos applications éligibles aux exigences PA-DSS.

Elle est la seule entreprise certifiée PA QSA au Maroc, elle fait partie d’une liste de 79 entreprises certifiées dans le monde. Cette accréditation lui permet d’évaluer la conformité des applications de paiement vis-à-vis de la norme de sécurité des données des applications de paiement PA DSS (Payment Application Data Security Standard).

Ayant mené une centaine de missions d’audit de sécurité des systèmes d’information pour le compte d’organisations exerçants dans divers domaines d’activité, HtagHub Group et son partenaire DATAPROTECT dispose aujourd’hui d’un retour d’expérience très riche et varié en la matière. Des tests d’intrusion externes jusqu’à l’audit de code applicatif, en passant par les tests d’intrusion internes, l’audit des configurations, l’audit d’architecture de sécurité, l’audit de sécurité de poste de travail et l’audit organisationnel de sécurité, l’équipe DATAPROTECT est en mesure d’évaluer les différentes dimensions de la sécurité de l’information, et ce, en se basant sur les standards et référentiels internationalement reconnus.
 

Notre Approche

Pour une mission classique d’audit de sécurité global, notre approche s’articule autour des étapes suivantes :

Audit organisationnel

L’audit organisationnel est réalisé conformément à la norme ISO 27001. Il couvre ainsi l’ensemble des chapitres de la norme tels que :

  • Politiques de sécurité de l’information
  • Organisation de la sécurité de l’information
  • Sécurité liée aux ressources humaines
  • Gestion des actifs
  • Contrôle d’accès
  • Cryptographie
  • Sécurité physique et environnementale
  • Sécurité liée à l’exploitation
  • Sécurité des communications
  • Acquisition, développement et maintenance des systèmes d’information
  • Relations avec les fournisseurs
  • Gestion des incidents liés à la sécurité de l’information
  • Aspects de la sécurité de l’information dans la gestion de la continuité d’activité
  • Conformité

Audit technique

L’audit technique couvre plusieurs volets :

– Tests d’intrusion en aveugle

Il s’agit de mener des simulations sans informations au préalable à partir de l’externe. Pour y parvenir nous nous mettons dans la peau d’un hacker qui ne connaît rien du SI de l’organisation cible sauf son nom et d’essayer d’aller le plus loin possible.

– Tests d’intrusion internes

A travers les tests internes, nous allons devoir simuler des attaques à partir de l’interne pour savoir jusqu’à quel point un utilisateur, certes qui a un accès légitime au système, peut aller. Plusieurs scénarios doivent être explorés à travers ces tests. Il s’agit notamment de :

  • Détournement des mécanismes d’authentification sur les applications métiers
  • Audit d’étanchéité sur les applications critiques
  • Ecoute réseau
  • Captation des messages
  • Usurpation des identités
  • Dénis d’accès
  • Gagner en privilège

– Audit d’architecture

A travers l’audit d’architecture, l’équipe DATAPROTECT examinera le positionnement des différents dispositifs de sécurité au niveau de l’architecture ainsi que la stratégie de sécurité sur les périmètres internes et externes mise en place. Au terme de cette analyse, un design d’architecture de sécurité réseau sera remis, et ce, en tenant compte des failles de sécurité identifiées, du dimensionnement du réseau ainsi que des nouvelles menaces auxquelles l’organisation cible devrait faire face.

– Audit de configuration

Il s’agit de revoir les configurations des dispositifs de sécurité et de les examiner en fonction des meilleures pratiques dans le domaine.

– Audit de poste de travail

Il s’agit d’auditer la sécurité du poste de travail en conformité avec les meilleures pratiques dans le domaine.

Plan d’actions

L’audit organisationnel et technique de la sécurité permettront à l’équipe DATATAPROTECT d’élaborer un plan d’actions détaillé et d’identifier les différents chantiers de sécurité sur le court, moyen et long terme.

Nos atouts

La réalisation des missions d’audit de sécurité SI a été conçue comme une offre à valeur ajoutée, à travers :

– La réalisation de la mission par des consultants compétents:

  • Consultants formés et certifiés : CEH, OSCP, CISSP, CISA, PCI QSA, PA QSA, CISSP, ISO 27001 Lead Auditor, ISO 27001 Lead Implementer,
  • Consultants expérimentés : expérience confirmée sur des projets similaires
  • Respect de la confidentialité : Elaboration d’un protocole de communication pour une meilleure protection et communication des résultats d’audit

– Un très bon retour d’expérience en sécurité des systèmes d’information:

  • Plus de 100 missions d’audit de sécurité SI
  • Veille permanente en matière de sécurité SI
  • Expertise et outillage spécifique pour les tests d’intrusion

– La mise en place d’un Laboratoire d’Ethical Hacking :

  • La norme est largement redondante et nécessite une lecture adaptée
  • L’approche 27001 n’est pas un gage de qualité propre mais de l’amélioration continue
  • L’approche 27001 contribue aux besoins réglementaires (ex. : PCI-DSS) sous réserve d’ajustements de l’approche

– Une accréditation mondialement reconnue en tant que PCI QSA et PA QSA

 

La cartographie des risques, positionnement des risques majeurs selon différents axes tels que l’impact potentiel et la probabilité de survenance, a pour objectif d’orienter le plan d’audit interne et d’aider le management à prendre en compte la dimension risque dans son pilotage interne.

NOTRE APPROCHE

La réalisation d’une cartographie des risques informatiques doit en premier lieu prendre en compte les enjeux métiers et les activités les plus sensibles pour l’organisation, que ce soit en termes financiers, réglementaires ou d’image. La bonne appréhension des processus clés de l’organisation et l’implication des parties prenantes sont donc des impératifs préalables à toute activité de recensement des risques informatiques. La deuxième étape consiste à identifier les actifs matériels et immatériels les plus critiques, puis d’en réaliser un criblage en termes de valeur et d’importance vitale pour l’organisation. Enfin, qu’il soit d’origine interne ou externe, l’ensemble des menaces et des évènements redoutés par l’organisation doivent être inventoriés. Ces évènements peuvent être classés en deux catégories : les évènements inhérents à la nature même de l’organisation, tels que la dépendance vis-à-vis d’une application clé développée en interne (événements endogènes), et les évènements exogènes comme les attaques virales, les intrusions ou les catastrophes naturelles.

 

L’image de l’adolescent cherchant désespérément à explorer une vulnérabilité d’un serveur sur l’internet depuis sa chambre au sous-sol est révolue. Aujourd’hui, de nouveaux groupes très structurés sont à l’origine d’actes cybernétiques visant à porter préjudice aux systèmes d’information des organisations privées et publiques. Dans cette perspective, il est vital aujourd’hui pour les organisations :

  • De maîtriser les risques métiers liés à la cybersécurité ;
  • De se préparer aux cyberattaques ;
  • De confiner les cyberattaques en identifiant leurs causes et leurs conséquences.

NOS ATOUTS

Pour mieux cerner le périmètre, HtagHub Group propose plusieurs typologies de tests, et ce, en tenant compte des besoins, des attentes et des contraintes du client.

– Un très bon retour d’expérience en la matière:

  • Une capitalisation sur plusieurs missions similaires
  • Une industrialisation de la démarche d’accompagnement à la mise en place de chantiers de cybersécurité
  • Veille permanente en matière de cybersécurité

 

Le Plan de Continuité d’Activité (PCA) est conçu et mis en œuvre pour réduire les impacts de ces éventuels sinistres. Les différents plans constituant le PCA (Plan de secours informatique, Plan de gestion de crise, Plan de repeuplement, etc.) permettront de garantir la continuité des activités que l’entreprise considère comme critiques et essentielles à sa survie.

 

Notre approche

L’approche de HtagHub Group s’articule autour des phases suivantes :

  • Détermination de la gouvernance de la continuité d’activité
  • Définitions des rôles et responsabilités pour la réussite du projet PCA.
  • La classification des activités de l’entreprise : Réussir une connaissance parfaite des processus opérationnels, de supports et de pilotage de l’entreprise.
  • La réponse aux risques : Méthodologie de cotation et de traitement des risques d’indisponibilité appliquée à l’organisme.
  • Les besoins métiers :
    • Analyse des enjeux métiers à travers le déroulement d’une analyse Business Impact Analysis – BIA
    • Définition des exigences de continuité (RTO/DMIA, RPO/PDMA)
    • Définition des Besoins de Repli des utilisateurs
  • Elaboration de la Stratégie de Continuité : Prise en compte des processus vitaux et intégration des besoins en ressources humaines vitales.
  • Formalisation du PCA :
    • Le Plan de Continuité des Opérations
    • Le Plan de Reprise Utilisateur
    • Dimensionnement et choix du site de repli
    • Les PRAs (Procédures de Reprise d’Activité)
    • Le Dispositif de Crise Opérationnel et Décisionnel
    • Les procédures de gestion de crise / Communication de Crise
  • L’amélioration continue du PCA :
    • Campagne de formation des acteurs du PCA
    • Définition et documentation de Tests du PCA (Fiche de tests, Procédures de tests, dispositif de suivi,…)
    • Exécution des Tests PCA
  • Définition du dispositif d’amélioration continue ou de Maintien en Conditions opérationnelles (MCO)

La sécurité est un voyage. Non pas une destination. La menace évolue rapidement. Seul un exercice récurrent de tests d’intrusion permettra d’évaluer constamment l’état de la sécurité SI de l’organisation. Cet exercice est d’autant plus important qu’aujourd’hui avec la vulgarisation des attaques, l’exploitation des failles est devenue une tâche qui n’est pas réservée seulement aux experts dans le domaine. Même les personnes n’ayant pas le background technique, avec peu de moyens et une volonté de nuire peuvent causer du tort au SI de l’organisation.

De nombreuses études montrent que l’être humaine demeure le maillon faible de la chaîne de sécurité. Il continue à être la cible privilégiée des attaquants qui comptent sur sa naïveté ou son manque d’attention pour déjouer les contrôles mis en place. Dans cette perspective, HtagHuB Group vous propose une démarche d’audit d’ingénierie sociale afin de mieux cerner la dimension humaine de la sécurité

Notre approche s’articule autour des étapes suivantes :

Par infrastructures critiques, on entend les biens et services revêtant une importance capitale pour la population et l’économie, tels que l’énergie, les transports, la finance, la santé, ou la défense. Des perturbations graves de l’approvisionnement en électricité, des trafics ferroviaires ou autres pourraient provoquer des dommages importants.

Dans ce cadre, HtagHub Group vous propose une démarche garantissant une protection intégrale des infrastructures critiques :

La dématérialisation fait partie intégrante de la transformation digitale. Cependant, avant de mettre en place un processus de dématérialisation, il est essentiel de s’interroger sur la protection des données.

 

LE POINT SUR LA DEMAT2RIALISATION ACTUELLE

La dématérialisation des documents répond à la transformation numérique de tous les secteurs d’activité ainsi qu’à leur enjeu de mobilité professionnelle. La dématérialisation fait partie intégrante de la stratégie de l’entreprise et lui apporte des avantages concrets et une véritable valeur ajoutée !

Cependant, le fait de dématérialiser les documents d’une entreprise et d’utiliser par la suite le numérique dans les échanges peut entrainer certains risques, notamment au niveau de la sécurité informatique : perte de données confidentielles, atteinte à l’image de l’entreprise, perte de valeur des documents…
Dans ce cas, il faudra s’assurer que le prestataire de solutions de dématérialisation assure une sécurité de vos données, afin de vous éviter les mauvaises surprises !

 

S’ENGAGER AUPRES D’UN PRESTATAIRE EXPERT COMME HtagHub Group

Selon une étude menée par les dirigeants sont de plus en plus attentifs à la protection de leurs documents dématérialisés. Les entreprises cherchent à agir en amont, à se prémunir en protégeant et sécurisant leurs données à la source, qu’elles soient personnelles comme professionnelles.

C’est pour cela que la plupart des entreprises sont à la recherche d’un prestataire de dématérialisation qui garantisse également la protection de l’ensemble de leurs documents.  En effet, de plus en plus de documents à forte valeur juridique se retrouvent dématérialisés : contrats, factures fournisseurs, bulletins de paie, données de santé… Il est alors très fortement conseillé aux entreprises de choisir le prestataire qui fera la différence en termes de sécurité.

Avant de se lancer dans ce « projet sécurité », il sera nécessaire d’en discuter longuement avec le prestataire choisi et de se poser ensemble les bonnes questions afin d’apporter la meilleure protection à vos données :

  • Quelle est la nature des documents dématérialisés ?
  • Quel volume de documents ai-je dématérialisé ?
  • Quel cadre juridique respecter pour les documents à forte valeur juridique ?

A partir de là, votre prestataire sera en mesure d’établir les paramétrages de sécurisation adaptés au fonctionnement de votre entreprise, à l’évolutivité de votre secteur et à la nature des flux et documents dématérialisés.

 

Forum International de la Cybersécurité (FIC 2022 - Lille/France)

Contactez-nous

Ahligo, derrière ETI Ecobank

Tél/What: +228 99 88 74 74
Email: contact@htaghubgroup.org