Conformité RGPD, Sécurité & Audit
Nous intervenons en tant que consultant, référent, DPO externe ou encore RSSI externe pour sécuriser votre système d'information et mettre en conformité votre organisme sur les normes et référentiels actuels.
Dans le cadre du déploiement et de la mise en œuvre de votre stratégie de gouvernance des données personnelles, Hamynä mène un audit préalable (appelé cartographie) de l’ensemble des traitements de données personnelles existants dans votre organisation.
Cet audit permet d’avoir une visibilité accrue sur les personnes concernées, les finalités, les destinataires ainsi que les cycles de vie.
L’audit classique : impliquant une cartographie intégrale de vos traitements de données personnelles et de vos processus sur le fondement des obligations légales et réglementaires mais également des dernières préconisations de la CNIL. A l’issue de cet exercice, un rapport assorti d’un plan d’action vous est remis pour atteindre vos objectifs de conformité.
L’audit des sous-traitants : impliquant une analyse complète de l’intégralité de vos sous-traitants eu égard aux traitements qu’ils gèrent dans le cadre de vos relations contractuelles. Une étude des processus et des risques, entre autres, sera menée pour déterminer le niveau de conformité de chacun.
L’audit de Site Web : Grâce à notre service d'attestation “HamynÄttest”, Hamynä vous permet d’évaluer la conformité de vos Sites Web via une analyse s’articulant autour d’un référentiel comportant 5 grandes catégories (cookies, mentions légales, formulaires, politique de confidentialité et sécurité) et regroupant une centaine de points de contrôle.
Hamynä vous accompagne également sur l’externalisation de votre Délégué à la Protection des Données (communément appelé DPO pour Data Protection Officer).
Nous proposons des solutions de DPO externalisé, adaptées à vos besoins, qui se matérialisent sous forme de forfaits (horaire, journalier ou mensuel).
Nous vous aiderons donc dans la mise en oeuvre de vos actions de conformité par un ensemble d’actions stratégiques comme : les formalités auprès de la CNIL, la rédaction des clauses, chartes et procédures, la formation et la sensibilisation du personnel, la réalisation d’audits RGPD, la construction de votre registre des traitements de données et des actions correctives afférentes à vos traitements, la réalisation des analyses d’impact à la vie privée, la veille juridique, etc…
Vous n'avez aucune visibilité sur votre situation en matière de sécurité ? Vous avez un doute sur votre niveau de maturité ? Vous sentez que votre activité est exposée à des menaces cyber ? Vous avez décelé des failles de sécurité ?
N’attendez plus et menez un audit de sécurité permettant d’embrayer un processus de sécurisation de votre système d’information.
Un audit de sécurité consiste en une analyse complète de votre système d’information, en fonction du ou des périmètre(s) nécessaire(s) (physique, organisationnel et/ou technique). Cet audit permet de déceler les vulnérabilités pesant sur votre SMSI et de mettre en exergue les points d’amélioration de votre stratégie de sécurité.
Hamynä vous accompagne dans la réalisation d’audits de sécurité pour vous aider à connaître tous les axes et opportunités d’amélioration et vous permettre de sécuriser votre entreprise eu égard à votre Politique, à vos enjeux mais également à votre stratégie.
Hamynä est doté d’experts en sécurité, certifiés et qui se basent sur tous les référentiels en matière de sécurité de l’information, pour vous accompagner au mieux dans votre stratégie.
Notre méthodologie d’audit est fondée sur les dernières normes et guidelines en vigueur et notre expertise prend en considération les menaces habituelles et les dernières menaces connues.
Hamynä développe son activité d’audit sur trois axes différents mais complémentaires :
Dans le cadre de la mise en œuvre d’un SMSI, la protection physique d’un ou de plusieurs sites d’une entité est fondamentale dans la stratégie d’une organisation mais est également une bonne pratique incontournable dans le sécurisation des informations.
Hamynä réalise une évaluation approfondie de votre sécurité physique en fonction du périmètre établi ; quel que soit le périmètre établi (service, département, site, multi-sites) et quelle que soit la zone géographique !
Il s’agit d’auditer la bonne application des mesures de sécurité physiques et techniques afin de déceler les failles de sécurité et vulnérabilités de votre site.
Un plan d’action vous est remis à l’issu de cet audit déterminant les mesures de protection minimales à intégrer sur base d’une évaluation du risque et ce, en fonction de la classification des informations (criticité des données) mais également en fonction de la criticité des lieux à protéger (industrie, énergie, établissements médicaux et médico-sociaux, établissement bancaires, zones militaires…etc).
L’audit organisationnel permet d’apprécier la maturité et la conformité de nos clients vis-à-vis des normes, réglementations et référentiels en vigueur, en lien avec la sécurité des systèmes d’informations.
Hamynä vous accompagne en ce sens, et notamment en ayant pour objectif d’identifier les vulnérabilités liées aux différents processus d’exploitation de votre entité en lien avec le Système de Management de la Sécurité de l’Information.
Ce type d’audit peut prendre la forme d’un bilan de maturité, d’une analyse d’écarts visant à évaluer sa maturité organisationnelle. Pour cette activité, nos consultants se basent principalement sur la famille des normes ISO/CEI 2700X, le RGPD ainsi que les guides de bonnes pratiques de Sécurité de l’Information.
A l’issue de cet audit organisationnel, Hamynä vous remettra un plan d’action structurant, par ordre de priorité, l’ensemble des mesures correctives à intégrer dans votre établissement pour améliorer votre sécurité organisationnelle.
Dans un contexte actuel et quotidien de cybermenaces, toute organisation est exposée à des cyberattaques liées soit à des risques internes (erreurs accidentelles ou malicieuses, collaborateurs ou anciens collaborateurs malveillants, accès aux données peu restreints,...) soit à des risques externes (logiciels malveillants, intrusion, social engineering, …).
Pour aller plus loin et avoir une garantie d’un système d’information peu faillible, Hamynä vous accompagne également sur un bilan technique de votre sécurité. L’audit technique vise à évaluer le niveau de sécurité d’un système d’information par le biais de tests d’intrusion, scans de vulnérabilités au niveau applicatif, réseau ou infrastructure et système.
Cet audit garantit la disponibilité du système d’information, l’intégrité des données contenues et la confidentialité des accès et permet d’avoir une véritable visibilité sur l’activité, bienveillante et/ou malveillante, présente sur votre système d’information.
Dans la démarche de mise en œuvre de bonnes pratiques de sécurité de son organisation, l’appréciation des risques cybersécurité et RGPD est une étape importante. Hamynä vous accompagne dans l’élaboration de vos analyses de risques ainsi que de vos Études d’Impact à la Vie Privée (EIVP).
La méthodologie utilisée par Hamynä pour la réalisation d’analyse de risques s’appuie sur la méthodologie EBIOS-RISK MANAGER (2018) éditée par l’ANSSI et sur la norme ISO 27005. EBIOS RM permet d’apprécier les risques numériques et d’identifier les mesures de sécurité à mettre en œuvre pour les maîtriser. Elle permet aussi de valider le niveau de risque acceptable et de s’inscrire à plus long terme dans une démarche d’amélioration continue. Enfin, cette méthode permet de faire émerger les ressources et arguments utiles à la communication et à la prise de décision au sein de l’organisation et vis-à-vis de ses partenaires.
Hamynä s’inspire donc de cette méthodologie pour analyser les risques en identifiant et définissant le niveau de sécurité à atteindre d’une part et définir une stratégie de traitement du risque d’autre part.
Hamynä vous accompagne en tant que “référent sécurité”. L’objectif est d’assurer la fonction de RSSI, pour votre compte, à temps partiel ou à temps complet !
Cet accompagnement permet d’établir un socle de sécurité (processus, organisation, maturité, planification…), en attendant une stratégie mieux ficelée ou des moyens supérieurs. Des profils pour piloter la gouvernance de la cybersécurité sont fréquemment sollicités, d’autres plus techniques peuvent soutenir les équipes pour le déploiement de mesures de sécurité.
Hamynä accompagne également votre RSSI dans l’objectif de le guider, de l’assister et/ou, éventuellement, de le monter en compétence dans le contexte d’une prise de fonction par exemple.
Ainsi, l’accompagnement du RSSI proposé par Hamynä se caractérise par plusieurs fonctions comme d’assurer des échanges et des entretiens avec les collaborateurs afin d’établir un suivi personnalisé des projets en cours, de soutenir la rédaction de la documentation sécurité, de soutenir la mise en oeuvre d’un comité de pilotage sécurité, d’assurer un suivi de projet avec la Haute direction mais également de conseiller, d’assister, de sensibiliser et de former le RSSI et les fonctions clés dans le cadre de leurs missions impliquant la sécurité des systèmes d’information.
Voici quelques questions qui nous sont régulièrement posées sur les obligations en matière de conformité RGPD et de cybersécurité