Domaines d’intervention
Nous intervenons sur tous les secteurs industriels et financiers, mais avons une
expérience particulière dans les secteurs suivants, en France et à l’international :
- Banque, Assurance et Fonds d’investissements
- Médias
- Industrie de défense
- PME régionales de toutes tailles
Nos grands domaines d’expertise sectorielle sont:
DORA (Digital Operational Resilience Act) est un règlement européen voté en novembre 2022 avec sa directive associée qui s’applique à toutes les entités financières et vise à renforcer la résilience opérationnelle de celles-ci en cas d’attaques cyber ou de défaillance des prestataires et sous-traitants. Ce règlement a été complété en janvier 2024 par des RTS (Regulatory Technical Standards) qui précisent le contenu et la portée de certains articles. À compter de Janvier 2025, toutes les entités financières devront être conformes avec le règlement et ses compléments, avoir enregistré l’ensemble des prestataires et sous-traitants IT, et devront déclarer les incidents évalués comme majeurs, selon les critères de DORA. Les prestataires et sous-traitants des entités financières sont également indirectement concernés par DORA. Le règlement, à la différence d’une directive, s’applique à l’identique pour tous les États membres et est donc un acte contraignant qui doit être mis en œuvre dans sa totalité.
Sur la base de notre expérience opérationnelle, nous proposons différents services allant du diagnostic rapide de maturité, l’audit de conformité avec ou sans proposition de plan d’action, et un accompagnement à la mise en conformité, basée sur une approche innovante pragmatique.
NIS2 (Network and Information Security) à la différence de DORA est une directive européenne publiée en décembre 2022, qui sera transposée en loi nationale fin 2024, dans le même contexte d’expansion des menaces cyber envers les entreprises et états. NIS2 est une évolution significative de la précédente version NIS1, en imposant à l’ensemble des entreprises concernées des 27 états membres un niveau de maturité de cybersécurité identique. De même, la portée des entreprises éligibles est notablement étendu par rapport à la version précédente NIS1, qui va impacter des milliers d’entreprises, de la PME à la multinationale cotée. Également, la coopération entre états membres est renforcée avec la nouvelle directive, donnant un cadre officiel au réseau CyCLONe qui comprend notamment l’ANSSI. NIS2 se concentre sur la sécurité des systèmes d’informations et vient en complément de RGPD qui se focalise sur la protection des données personnelles.
Même si la transcription en loi française de NIS2 n’est pas encore effective, le contenu de la directive a été publié et donne une orientation fiable permettant aux entreprises concernées de se préparer. Nous accompagnons l’ensemble des entreprises dans leur approche de conformité NIS2, avec des offres variées adaptées aux différentes tailles d’entreprise.
NIST (National Institute of Standards and Technology) est une agence américaine non règlementaire qui définit, publie et fait évoluer un cadre de sécurité américain permettant aux entreprises de disposer d’un programme de gestion des risques liés à la sécurité de l’information. Articulé autour de 5 fonctions (6 avec la version NIST 2.0 qui ajoute la gouvernance), multi-sectoriel et flexible, le cadre de référence a été adopté depuis de nombreuses années par de nombreuses entreprises internationales, notamment celles basées aux USA mais pas seulement. De nombreuses entreprises hors USA ont été également adopté ce cadre, par souci de simplicité. Il donne un aperçu global des protocoles de sécurité, des bonnes pratiques, et des contrôles à effectuer dans le cadre de la GRC (Gouvernance, Risque, Conformité) au sein d’une organisation simple ou complexe. Fin 2023, une évolution du standard initialement basé sur 5 piliers a évolué pour prendre en compte la fonction de gouvernance.
Nous accompagnons les entreprises, soit dans leur évaluation de maturité au cadre de référence, leur migration vers la version 2.0, ou l’assistance dans un secteur particulier du NIST, organisationnel ou technique.
© 2024 Shine Consulting International