adesso Security Services

adesso Security Services vous aide à établir des cadres stratégiques qui permettent une gestion ciblée des risques, notamment en matière d’exigences réglementaires.

Dresser un état des lieux de la situation actuelle

• Réalisation d'analyses GAP, d'audits & d'évaluations de maturité à l'aide du « xAIT Readiness Check ».
• Rapport sur les résultats d’analyse

Mettre en place des structures

• Mise en place de la gouvernance, des instruments de contrôle et des infrastructures de contrôle des risques et de la conformité
• Évaluation d’outils de support

Combler les lacunes

• Détecter et corriger les points de vulnérabilité
• Préparation et suivi de l'audit

Normes

• BAIT, VAIT, KAIT, ZAIT (BaFin)
• Loi sur la sécurité informatique
• Kritis
• NIST

Un système de management de la sécurité de l'information (SMSI) doit être mis en place pour assurer une gestion appropriée des données à protéger. Il aide à identifier les mesures nécessaires, à les mettre en œuvre et à surveiller leur niveau d’efficacité.

Indépendamment des standards

• Analyse de la maturité du SMSI
• Élaboration d'une feuille de route pour la mise en place et l'optimisation d'un SMSI
• Modélisation du réseau d'information
• Réalisation d'analyses de la structure, des besoins de protection et des risques
• Élaboration de concepts de sécurité
• Création de politiques
• Mise en œuvre de mesures de sensibilisation et de formation

Indépendamment des fabricants

• Mise en œuvre de mesures visant à minimiser les risques
• Conception d'outil de support SMSI
• Accompagnement sur la voie de la certification
• CISO / ISO aaS

Normes

• ISO/IEC 2700x
• Protection informatique de base et norme minimale TIC selon BSI
• Normes spécifiques au secteur - par exemple B3S, TISAX, WLA, etc.

Le Business Continuity Management (BCM) est un élément clé de la gestion des risques de l'entreprise. Ce concept soutient la sécurité des processus commerciaux critiques et garantit qu'ils puissent être maintenus en tout moment, de façon continue.

Conseil

• Mise en place d'un système de Business Continuity Management (BCMS)
• Mise en place d'un système de IT Service Continuity Managements (ITSCM)
• Création de politiques et de processus
• Réalisation d'analyses d'impact sur les entreprises (BIA)
• Élaboration de plans de continuité des activités et de plans d'urgence (pour le domaine IT)
• Mise en place de formations

Audits

• Analyses des risques
• Examen des mesures de préparation aux situations d'urgence
• Réalisation de tests d'urgence

Normes

• ISO 22301, ISO 27031
• BSI 100-4, 200-4
• ITIL
• KritisV

Dans notre monde de plus en plus globalisé et numérisé, les actes cybercriminels sont désormais monnaie courante. Pour tenir les menaces à distance de l'entreprise, il est essentiel d’assurer le contrôle et la sécurité des systèmes informatiques.

Stratégique et tactique

• Analyse des risques existants en matière de cybersécurité au moyen d'une « analyse des cyberrisques ».
• Validation des exigences en matière de conformité, de sécurité et de risques
• Introduction d'un cadre de gestion des risques et de la sécurité
• Mise en place d'une gestion de l'externalisation
• Conception d'un système de gestion des identités et des accès (IAM)
• Architecture réseau pour les audits

Opérationnel

• Choix et mise en place de l'infrastructure de sécurité (SIEM, SOC, SOAR, gestion des vulnérabilités)
• Réalisation d'audits de sécurité du cloud et de contrôles de configuration
• Création de check-lists de sécurité pour les opérations informatiques
• Formation du service IT sur la sécurité du cloud
• Monitoring
• Conception et réalisation de campagnes d’hameçonnage (phishing)

Les failles de sécurité des applications et des API constituent d’importantes vulnérabilités très appréciées des pirates informatiques, qui peuvent ainsi neutraliser l’ensemble des mesures de sécurité d’une infrastructure. La mise en place de cycles de vie sécurisés de développement logiciels est donc essentiel pour créer des logiciels sûrs.

Au niveau de l'application

• Sécurité dans le cadre du cycle de vie du développement logiciel (SDLC)
• Modélisation des menaces
• Formations pour développeurs
• Concepts de sécurité
• Codage sécurisé
• Sécurité intégrée à la conception
• SecDevOps
• Révision de codes
• Active Directory Audit

Tests d’intrusion et évaluations

• Réseau
• Application web et API web
• Stations de travail
• Applications mobiles et OS (iOS, Android)
• Tests de segmentation (selon PCI DSS)
• Évaluations W-LAN
• Analyses de code statique et dynamique
• Audits d'architecture réseau
• Audits de pare-feu

Les données générées et conservées au sein des systèmes SAP sont bien souvent les plus importantes de l'entreprise. C'est pourquoi il est primordial de les protéger. Nous vous aidons à identifier clairement les risques, à concevoir les systèmes d’autorisations efficaces et sûrs et à automatiser les contrôles.

SAP Security Services

• Contrôle sans faille des systèmes SAP avec le WerthAUDITOR
• Des résultats complets et des recommandations sur les actions nécessaires à assurer une plus grande sécurité

SAP GRC

• Mise en place de SAP GRC pour garantir une gestion efficace des accès
• Contrôles automatiques pour le système de contrôle interne (SCI)
• Expertise professionnelle en matière de risques

Autorisations SAP

• Refonte des autorisations lors d'un déploiement S/4HANA (y compris Fiori et HANA)
• Concepts d'autorisation pour tous les systèmes SAP
• Correction des risques liés aux autorisations en cas d’audit imminent
• Formations pour les utilisateurs et spécialistes SAP sur le thème des autorisations SAP
• Assistance dans le fonctionnement opérationnel de l'administration des rôles

Nous apportons un soutien global à votre entreprise, sur les plans de l'organisation, du personnel et de la technique. adesso assure ses opérations grâce à des processus de monitoring continus. De plus, adesso vous assiste également dans l'utilisation sécurisée du cloud ou de votre centre de données.

Exploitation et reconnaissance

• Surveillance continue grâce à un système de gestion des informations et des événements de sécurité (SIEM)
• Mise en place d'un SOC qui développe de manière proactive la sécurité du cloud et réagit aux attaques
• Analyses régulières et automatisées de l'infrastructure et des applications
• Tests d’intrusions (Pentesting)
• Configuration et sécurisation de plateformes telles que les environnements cloud, les serveurs web ou dans le domaine de l'IdO (Internet des Objets)

Soutenir et conseiller

• Procédures d'authentification comme eID, RFID, cartes à puce, certificats
• Gestion des identités et des accès
• Veille des actualités et informations de sécurité
• Participation active à l'OWASP
• Formations et normes

Création de check-lists de sécurité pour les opérations informatiques

• Formation du service informatique à la sécurité (dans le cloud)
• Programme Security Champions
• CSVS, ASVS, OpenSAMM

Pour pouvoir mettre en œuvre de manière conforme les exigences de la protection des données ou du RGPD de l'UE ainsi que de la nouvelle LPD, il est indispensable de mettre en place un système de gestion (de la protection des données) qui tienne compte de tous les aspects techniques et organisationnels.

Mise en place de systèmes de gestion

• Mise en place d'un système de gestion des informations relatives à la vie privée (PIMS) selon la norme ISO 27701
• Conception et mise en œuvre de la gestion de la protection des données et des processus correspondants conformément au RGPD de l'UE & à la loi n-CH sur la protection des données (registre de traitement, traitement des données de commande, etc.)
• Élaboration de mesures techniques organisationnelles (TOM)
• Opérationnalisation

Recrutement d'un délégué externe à la protection des données- DPO aaS

• Conseil en protection des données
• Coaching
• Évaluation des outils de support
• Organisation de formations et de campagnes de sensibilisation
• Soutien en cas d'urgence concernant la protection des données