CONSEILS STRATEGIE ET RISQUES
Services :
Mise en place d’une gouvernance sécurité
Politiques de sécurité (PSSI)
Framework de sécurité (NIST CSF)
Evaluation de la maturité cyber (CMMC)
Analyse d’écarts ISO 27001
Accompagnement et conseil aux dirigeants
Détermination d’une stratégie de sécurité
Le résultat sécurité dépend très étroitement de l’aptitude des dirigeants à adopter la stratégie de sécurité de l’entreprise ou du groupe qu’ils dirigent. La sécurité est au cœur de la transformation digitale, comme elle est également centrale dans l’entreprise déjà pleinement ancrée ou née dans l’ère digitale.
Il existe un nombre incroyable de solutions techniques tout à fait pertinentes et performantes, mais la sécurité est avant tout un système intégré reposant sur des femmes et des hommes. Sans intégration systémique, il survient nécessairement une distorsion entre les dépenses et le résultat attendu.
La sécurité est donc un principe organisationnel s’appuyant sur une maitrise humaine, capable d’orchestrer les outils adaptés aux besoins de l’entreprise et de sa stratégie. Dans ce contexte, les dirigeants doivent garantir les moyens de la bonne adaptation de la culture et des ressources, à l’adoption des stratégies de sécurité qu’ils ont la charge de déterminer.
Comprendre les menaces et les enjeux en matière de gouvernance
Cerner les enjeux de sécurité est pour des dirigeants plutôt aisé à considérer s’ils sont bien accompagnés, que ce soit par des conseillers internes et/ou externes. Le Directeur Général, les membre du Board connaissent très parfaitement les besoins en disponibilité et efficacité des éléments critiques sur lesquels reposent le succès de leur entreprise ; ils y investissent du temps et des moyens.
Les difficultés de maitrise au niveau Direction Générale et Board, sont généralement plus liées à la compréhension des menaces et des exigences en matière de gouvernance cyber.
La mission de CAP consiste à permettre aux dirigeants, de comprendre les principes et conditions de bonne adoption des framework cyber dans leur entreprise, afin qu’ils puissent décider et s’engager.
Adopter les bonnes stratégies de gouvernance sécurité
Adopter les bonnes stratégies de gouvernance est déterminant pour préserver le bon équilibre entre les dépenses liées à la sécurité et le résultat attendu. Cette adoption dont l’enjeu est pourtant capital est souvent négligé, cause de nombreux échecs ou changements de cap imposés. Parfois, cela entraine l’incapacité à contrer des attaques alors que les budgets dédiés sont pourtant significatifs.
La mission de CAP est ainsi de permettre cette adoption afin que, lorsque que le cadre et le cap ont été fixés, les décisions puissent ensuite être prises.
Déterminer un budget cyber adapté à vos enjeux
La composante sécurité ne peut plus être ignorée et de nombreuses entreprises ne disposent pas de ligne budgétaire dédiée à la sécurité ni à sa gouvernance. Pour autant, les dépenses de sécurité existent mais il est alors compliqué voir impossible d’en mesurer l’efficacité et parfois encore moins la pertinence. C’est ainsi que des coûts existent, souvent sous dimensionnés et très souvent mal adaptés aux réels enjeux et besoins.
CAP préconise une approche budgétaire par les risques plutôt que de se concentrer sur des modèles de maturité ou des cibles du type « état de l’art ». C’est selon cette approche que CAP accompagne les dirigeants pour faciliter un dimensionnement budgétaire réaliste, efficace et exploitable.
DUE DILIGENCE CYBER
Services :
Offre modulaire d’analyse financière et risque relative à la sécurité, dans le cadre d’une fusion ou acquisition ainsi que celui d’une vente.
La valeur d’une entreprise ne se limite plus à son bilan financier ou social. La capacité d’une entreprise à résister aux malveillances est devenu un pilier essentiel de l’analyse du prix d’une société. Acquérir une société dans le cadre d’une politique de croissance verticale, nécessite donc une compréhension claire des enjeux de sécurité qu’une entreprise est capable de maitriser. CAP a construit une offre multi niveaux permettant à une société qui cible l’acquisition d’une autre société, de pouvoir évaluer le coût réel de son acquisition et ainsi déterminer un prix plafond d’achat adapté à la réalité de la situation. Il s’agit donc pour l’acquéreur, d’un outil d’aide à la décision d’achat au prix juste et pour le vendeur d’un moyen d’aide à la vente au meilleur prix.
• Evaluez le risque cyber d’une entreprise que vous souhaitez acquérir
Il s’agit d’une approche en 3 phases dont chacune est autosuffisante. Ces phases offrent des niveaux de garantie différents. Elles limitent un peu plus à chaque palier les risques liés à l’acquisition et donnent à l’acquéreur à chaque niveau, une meilleure compréhension des coûts qu’il devra consacrer aux risques cyber identifiés qu’il souhaite couvrir.
PHASE 1
Analyse externe automatisée ne nécessitant aucune intervention de la cible d’acquisition. Il n’est pas non plus nécessaire d’informer la cible d’acquisition.
PHASE 2
Inclus la phase 1 + une analyse nécessitant un concours limité de la cible d’acquisition. Cette analyse consomme 3 jours chez la cible d’acquisition. Elle est basée sur la détermination d’un framework cyber NIST ou l’évaluation selon un modèle de maturité CMMC intégralement géré par CAP.
PHASE 3
Inclus les phases 1 et 2 + une évaluation du coût de restructuration de la cible d’acquisition en fonction de critères prédéterminés avec l’acquéreur. Cette phase ne requière pas l’intervention ni la sollicitation de la cible d’acquisition.
• Rassurez vos partenaires financiers ou un futur acquéreur sur votre maitrise cyber
Si vous êtes vendeur, CAP propose de scorer votre maturité cyber selon 3 phases dont chacune est autosuffisante. Elles donnent à chaque palier un peu plus de crédibilité à votre capacité à maitriser les risques cyber. Elles permettent à l’acquéreur d’apprécier votre prix de vente et de limiter son risque lors de l’acquisition.
PHASE 1
Analyse externe automatisée ne nécessitant aucune intervention de votre part. Nous produisons un score explicité relatif à votre exposition aux risques cyber.
PHASE 2
Inclus la phase 1 + une analyse nécessitant un concours limité de votre part. Cette analyse consomme habituellement 3 jours à l’un ou plusieurs de vos interlocuteurs IT/SSI. Elle est basée sur la détermination d’un framework cyber NIST ou d’un modèle de maturité CMMC.
PHASE 3
Inclus les phases 1 et 2 + une évaluation du coût de restructuration vous permettant d’améliorer votre score. Cette phase requière une intervention très limitée (1 à 3 jours/homme) et inclus la participation du CEO, du CFO et du DSI.
