Besoin d'accompagnement sur votre conformité ?

Nous intervenons en tant que consultant, référent, DPO externe ou encore RSSI externe pour sécuriser votre système d'information et mettre en conformité votre organisme sur les normes et référentiels actuels.

Accompagnement RGPD

Audit de conformité

Dans le cadre du déploiement et de la mise en œuvre de votre stratégie de gouvernance des données personnelles, Hamynä mène un audit préalable (appelé cartographie) de l’ensemble des traitements de données personnelles existants dans votre organisation.

Cet audit permet d’avoir une visibilité accrue sur les personnes concernées, les finalités, les destinataires ainsi que les cycles de vie.

L’audit classique : impliquant une cartographie intégrale de vos traitements de données personnelles et de vos processus sur le fondement des obligations légales et réglementaires mais également des dernières préconisations de la CNIL. A l’issue de cet exercice, un rapport assorti d’un plan d’action vous est remis pour atteindre vos objectifs de conformité.

L’audit des sous-traitants : impliquant une analyse complète de l’intégralité de vos sous-traitants eu égard aux traitements qu’ils gèrent dans le cadre de vos relations contractuelles. Une étude des processus et des risques, entre autres, sera menée pour déterminer le niveau de conformité de chacun.

L’audit de Site Web : Grâce à notre service d'attestation “HamynÄttest”, Hamynä vous permet d’évaluer la conformité de vos Sites Web via une analyse s’articulant autour d’un référentiel comportant 5 grandes catégories (cookies, mentions légales, formulaires, politique de confidentialité et sécurité) et regroupant une centaine de points de contrôle.

Délégué à la Protection des Données Externalisé

Hamynä vous accompagne également sur l’externalisation de votre Délégué à la Protection des Données (communément appelé DPO pour Data Protection Officer).

curved asset

Nous proposons des solutions de DPO externalisé, adaptées à vos besoins, qui se matérialisent sous forme de forfaits (horaire, journalier ou mensuel).

Nous vous aiderons donc dans la mise en oeuvre de vos actions de conformité par un ensemble d’actions stratégiques comme : les formalités auprès de la CNIL, la rédaction des clauses, chartes et procédures, la formation et la sensibilisation du personnel, la réalisation d’audits RGPD, la construction de votre registre des traitements de données et des actions correctives afférentes à vos traitements, la réalisation des analyses d’impact à la vie privée, la veille juridique, etc…

Accompagnement Cybersécurité

Vous n'avez aucune visibilité sur votre situation en matière de sécurité ? Vous avez un doute sur votre niveau de maturité ? Vous sentez que votre activité est exposée à des menaces cyber ? Vous avez décelé des failles de sécurité ?

N’attendez plus et menez un audit de sécurité permettant d’embrayer un processus de sécurisation de votre système d’information.

Un audit de sécurité consiste en une analyse complète de votre système d’information, en fonction du ou des périmètre(s) nécessaire(s) (physique, organisationnel et/ou technique). Cet audit permet de déceler les vulnérabilités pesant sur votre SMSI et de mettre en exergue les points d’amélioration de votre stratégie de sécurité.

Hamynä vous accompagne dans la réalisation d’audits de sécurité pour vous aider à connaître tous les axes et opportunités d’amélioration et vous permettre de sécuriser votre entreprise eu égard à votre Politique, à vos enjeux mais également à votre stratégie.

Hamynä est doté d’experts en sécurité, certifiés et qui se basent sur tous les référentiels en matière de sécurité de l’information, pour vous accompagner au mieux dans votre stratégie.

Notre méthodologie d’audit est fondée sur les dernières normes et guidelines en vigueur et notre expertise prend en considération les menaces habituelles et les dernières menaces connues.

Hamynä développe son activité d’audit sur trois axes différents mais complémentaires :

L’audit de sécurité physique
L’audit de sécurité organisationnel
L’audit de sécurité technique
Sur le périmètre physique

Dans le cadre de la mise en œuvre d’un SMSI, la protection physique d’un ou de plusieurs sites d’une entité est fondamentale dans la stratégie d’une organisation mais est également une bonne pratique incontournable dans le sécurisation des informations.

Hamynä réalise une évaluation approfondie de votre sécurité physique en fonction du périmètre établi ; quel que soit le périmètre établi (service, département, site, multi-sites) et quelle que soit la zone géographique !

Il s’agit d’auditer la bonne application des mesures de sécurité physiques et techniques afin de déceler les failles de sécurité et vulnérabilités de votre site.

Un plan d’action vous est remis à l’issu de cet audit déterminant les mesures de protection minimales à intégrer sur base d’une évaluation du risque et ce, en fonction de la classification des informations (criticité des données) mais également en fonction de la criticité des lieux à protéger (industrie, énergie, établissements médicaux et médico-sociaux, établissement bancaires, zones militaires…etc).

Sur le périmètre organisationnel

L’audit organisationnel permet d’apprécier la maturité et la conformité de nos clients vis-à-vis des normes, réglementations et référentiels en vigueur, en lien avec la sécurité des systèmes d’informations.

Hamynä vous accompagne en ce sens, et notamment en ayant pour objectif d’identifier les vulnérabilités liées aux différents processus d’exploitation de votre entité en lien avec le Système de Management de la Sécurité de l’Information.

Ce type d’audit peut prendre la forme d’un bilan de maturité, d’une analyse d’écarts visant à évaluer sa maturité organisationnelle. Pour cette activité, nos consultants se basent principalement sur la famille des normes ISO/CEI 2700X, le RGPD ainsi que les guides de bonnes pratiques de Sécurité de l’Information.

A l’issue de cet audit organisationnel, Hamynä vous remettra un plan d’action structurant, par ordre de priorité, l’ensemble des mesures correctives à intégrer dans votre établissement pour améliorer votre sécurité organisationnelle.

Sur le périmètre technique

Dans un contexte actuel et quotidien de cybermenaces, toute organisation est exposée à des cyberattaques liées soit à des risques internes (erreurs accidentelles ou malicieuses, collaborateurs ou anciens collaborateurs malveillants, accès aux données peu restreints,...) soit à des risques externes (logiciels malveillants, intrusion, social engineering, …).

Pour aller plus loin et avoir une garantie d’un système d’information peu faillible, Hamynä vous accompagne également sur un bilan technique de votre sécurité. L’audit technique vise à évaluer le niveau de sécurité d’un système d’information par le biais de tests d’intrusion, scans de vulnérabilités au niveau applicatif, réseau ou infrastructure et système.

Cet audit garantit la disponibilité du système d’information, l’intégrité des données contenues et la confidentialité des accès et permet d’avoir une véritable visibilité sur l’activité, bienveillante et/ou malveillante, présente sur votre système d’information.

Analyse de risques

Dans la démarche de mise en œuvre de bonnes pratiques de sécurité de son organisation, l’appréciation des risques cybersécurité et RGPD est une étape importante. Hamynä vous accompagne dans l’élaboration de vos analyses de risques ainsi que de vos Études d’Impact à la Vie Privée (EIVP).

La méthodologie utilisée par Hamynä pour la réalisation d’analyse de risques s’appuie sur la méthodologie EBIOS-RISK MANAGER (2018) éditée par l’ANSSI et sur la norme ISO 27005. EBIOS RM permet d’apprécier les risques numériques et d’identifier les mesures de sécurité à mettre en œuvre pour les maîtriser. Elle permet aussi de valider le niveau de risque acceptable et de s’inscrire à plus long terme dans une démarche d’amélioration continue. Enfin, cette méthode permet de faire émerger les ressources et arguments utiles à la communication et à la prise de décision au sein de l’organisation et vis-à-vis de ses partenaires.

Hamynä s’inspire donc de cette méthodologie pour analyser les risques en identifiant et définissant le niveau de sécurité à atteindre d’une part et définir une stratégie de traitement du risque d’autre part.

Accompagnement RSSI

Hamynä vous accompagne en tant que “référent sécurité”. L’objectif est d’assurer la fonction de RSSI, pour votre compte, à temps partiel ou à temps complet !

Cet accompagnement permet d’établir un socle de sécurité (processus, organisation, maturité, planification…), en attendant une stratégie mieux ficelée ou des moyens supérieurs. Des profils pour piloter la gouvernance de la cybersécurité sont fréquemment sollicités, d’autres plus techniques peuvent soutenir les équipes pour le déploiement de mesures de sécurité.

Hamynä accompagne également votre RSSI dans l’objectif de le guider, de l’assister et/ou, éventuellement, de le monter en compétence dans le contexte d’une prise de fonction par exemple.

Ainsi, l’accompagnement du RSSI proposé par Hamynä se caractérise par plusieurs fonctions comme d’assurer des échanges et des entretiens avec les collaborateurs afin d’établir un suivi personnalisé des projets en cours, de soutenir la rédaction de la documentation sécurité, de soutenir la mise en oeuvre d’un comité de pilotage sécurité, d’assurer un suivi de projet avec la Haute direction mais également de conseiller, d’assister, de sensibiliser et de former le RSSI et les fonctions clés dans le cadre de leurs missions impliquant la sécurité des systèmes d’information.

Questions fréquentes

Voici quelques questions qui nous sont régulièrement posées sur les obligations en matière de conformité RGPD et de cybersécurité

L'acronyme SMSI désigne l’ensemble des politiques, des procédures, des structures de pilotage et de contrôle, des processus et des outils de sécurité afférents à une organisation.
La norme ISO/CEI 27001 est la norme internationale relative à la sécurité des systèmes d'informations. Elle spécifie les exigences relatives aux Systèmes de Management de la Sécurité des Snformations (SMSI). La mise en œuvre de cette norme permet d’achalander la stratégie de toute organisation souhaitant renforcer la sécurité de ses actifs informationnels.
Le RSSI externe est le garant de la sécurité des systèmes d'information. En tant que responsable de la sécurité, il apporte une expertise et une culture de la sécurité et pilote l’amélioration continue de la sécurité.
En tant que garant de la sécurité, le RSSI endosse plusieurs rôles comme la définition de la stratégie de maîtrise des risques, le pilotage des plans d’action sécurité, le pilotage des actions de contrôle et de reporting auprès de la direction, la rédaction de la documentation sécurité et la mise en oeuvre des comités de pilotage sécurité. Outre ces rôles, il intervient également en tant que lanceur d’alerte et assure une fonction de sensibilisation et de formation des collaborateurs.
L’objectif principal est de définir le niveau de sécurité à atteindre en évaluant les risques pesant sur le système d’information. L’analyse de risque consiste en l’étude de l’impact et de la vraisemblance qu’un événement ou qu’un scénario survient en tenant compte des vulnérabilités et des menaces pesant sur le SMSI.
Non, ce n’est pas obligatoire mais la certification est un gage de confiance dans les relations avec les parties prenantes et est un excellent argument marketing permettant de faciliter le développement de ses partenariats, de sa clientèle ou encore de sa réputation.
Le Plan d’Assurance Sécurité (PAS) est un document formalisé, généralement annexé au contrat de prestation, ayant pour but de présenter et/ou préciser à ses clients ou prospects les garanties qu’il offre en matière de sécurité de l’information. Ce document est également valable dans l’autre sens puisqu’il peut également permettre de valider si les prestataires se conforment aux exigences de sécurité définies par le maître d’ouvrage dans le cadre de la prestation