Ce site utilise des cookies pour améliorer votre navigation et réaliser des statistiques de visites.
En savoir plus sur l'utilisation des cookies et la manière de modifier vos paramètres.
La gestion des risques et de la conformité des SI est incontournable pour opérer dans de nombreuses industries. Elle doit être mise en œuvre de façon systématique et organisée pour permettre une parfaite maîtrise des opérations. Les ingénieurs SCASSI vous conseillent à chaque étape, depuis le diagnostic jusqu’à la mise en œuvre, le contrôle et l’amélioration de vos dispositifs, afin de vous assurer de leur conformité vis-à-vis des réglementations et de vos politiques de gestion des risques.
SCASSI vous accompagne dans la mise en place d’un système de gestion de la sécurité, à travers une approche basée sur l’étude des risques.
NOS COMPÉTENCES TECHNIQUES CYBERSÉCURITÉ
Analyse de risques EBIOS sur un système complet
Analyse de risques, définition et traitement des exigences de sécurité sur système dual (civil / militaire)
Analyse de risques sur référentiels métiers (ex TARA)
Conformité CFONB système bancaire sur Internet
Accompagnement à la certification ISO 27001 HDS
Audits organisationnels et physiques
Accompagnement à la conception d’architecture logicielle sécurisée
Réalisation d’analyses de risques « sur-mesure » ou offres packagées
Sécurisation du traitement des données à caractère personnel (CNIL, RGPD)
Analyse et accompagnement à la conformité règlementaire et normative : ISO 27001, LPM, ii901, RGPD, RGS, HDS, PCI-DSS
Processus de sécurité : homologation des SI, sécurité dans les projets, gestion des accès…
Politiques de sécurité et coaching RSSI
Pilotage et management de la sécurité (indicateurs, tableaux de bord, plans directeurs…)
PCA et PRA : stratégies de secours, pilotage, gestion de crise
Fourniture des exigences et spécifications de sécurité – AMOE AMOA
Accompagnement vers une conformité à la LPM
Ce sont nos clients qui en parlent le mieux...
« Scassi a contribué significativement à l'obtention de la certification initiale ISO 27001 de nos activités Cloud Services, en apportant le conseil et l'expertise appropriés pour ce projet stratégique. »
Le système d’information est au cœur de l’outil de production. Il est crucial de garantir un niveau de protection optimal à l’entreprise et à ses ressources. Les ingénieurs SCASSI vous accompagnent dans le conception et l'exploitation optimale d’infrastructures de sécurité. L’objectif : garantir aux applications et aux utilisateurs un socle de communication sécurisé et robuste et appuyer efficacement le métier.
NOS COMPÉTENCES TECHNIQUES CYBERSÉCURITÉ
Audit d’infrastructure
Security by Design des SI métier
Création et pilotage d’un SOC orienté métier (offre WINSOC)
Optimisation des Infrastructures SSI (offre OPTIMIZE)
Sécurisation des architectures et infrastructures ICS et SCADA (automates, ModBUS…)
Conformité II901
Gestion des vulnérabilités
Contrôle d'accès (authentification, gestion des droits...)
Architecture L2/L3 (haute disponibilité, optimisation...)
Défense en profondeur, sécurité périmétrique (WAF, Proxy...)
Surveillance & gestion des incidents (SIEM, logs, alertes…)
Droits et règlementation
Les ingénieurs Scassi évaluent la résistance système et vous accompagne dans la définition et l’implémentation des exigences sécurité dans tout projet industriel, jusqu’à l’obtention des homologations nécessaires
Nos périmètres d’action sont les SI métiers, les systèmes critiques et embarqués et les SI.
NOS COMPÉTENCES TECHNIQUES CYBERSÉCURITÉ
Tests d'intrusion (PENTEST) :
- Mode boite noire, boite grise et boite blanche
- Depuis les infrastructures internes ou depuis l’extérieur
- Recherche d’information publique
Audit de code (C/C++, PHP, Python, Java, NodeJS...)
Audit de configuration
Audit conjoint (site web + application mobile, IOT + infrastructure de gestion)
Domaines Web, applicatifs, systèmes, embarqué critique, IOT, mobile
Gestion de la cyber sécurité dans les projets de développement logiciels
Audit de sécurité applicative et des pratiques de développement
Audit d’environnement de développement
Analyse Forensic (dead ou live), recherche de preuves, analyse des sources d'une intrusion
Méthodologie Software Vulnerability Analysis (SVA)
Conception d’architectures sécurisées OU Architecture SSI embarqués / COTS
Gestion des vulnérabilités : cartographie des COTS (ex: composant AUTOSAR, linux Yocto...), gestion des flux de vulnérabilités
Tests d’intrusion sur SI et applications Product LifeCycle Management
Support SSI dans les processus de certification (DO 178C, ECSS, ARINC…)
Appui à la sécurisation de technologies sous Export Control
Evaluation des vulnérabilités vis-à-vis de PCI-DSS :
- Etat des lieux et plan d’action
- MOE de la feuille de route
- Audit à blanc – préparation à l’audit de certification
RÉFÉRENTIELS UTILISÉS
Critères communs ISO 15408 - CVE/CWE - CAPEC - OWASP - OSSTMM - ISAAF
Normes ARINC pour l'aéronautique
ENVIRONNEMENTS TECHNIQUES
Linux - Windows - C/C++ - PHP - JAVA Tomcat - Apache
Ce sont nos clients qui en parlent le mieux...
« Compte-tenu de leur expertise dans le domaine, nous avons choisi les équipes de SCASSI pour nous supporter dans la réalisation de tests d'intrusion sur plusieurs de nos systèmes embarqués. »
« Scassi a réalisé un audit de code pour nous. Grâce à une méthode de projet flexible et orientée vers les résultats, les ingénieurs de SCASSI ont pu démontrer leur capacité d'adaptation et être force de proposition. Ils ont formulé des recommandations et des conclusions qui peuvent maintenant être réutilisées dans d'autres actions pour améliorer et sécuriser nos applications.»
Les ingénieurs DFIR (Digital Forensics & Incident Response) de SCASSI travaillent au sein de notre centre d'opérations de sécurité et offrent un service différencié qui combine des renseignements sur les menaces provenant de différentes sources avec une réponse aux incidents et une expertise en matière de criminalistique numérique.
NOS COMPÉTENCES TECHNIQUES CYBERSÉCURITÉ
Exécution d'une analyse technique avancée dans le cadre du processus de réponse aux incidents (analyse des logiciels malveillants, analyse du trafic, analyse des artefacts, analyse des communications, criminalistique numérique).
Gestion de crise, notifications et communications avec des tiers.
Conception de modèles de rapports, de suivi et de tableaux de bord pour les processus de communication des incidents de sécurité et de gestion de crise.
Conception de procédures de réponse aux incidents et de gestion de crise.
Soutien à la création de laboratoires pour appuyer le service de réponse aux incidents.
Rédaction de rapports d'analyse médico-légale, de rapports sur les menaces et de manuels de jeu
Corrélation SIEM et SOAR (Azure Sentinel, IBM Qradar, ...)
Outils de ticketing (Servicedesk Plus, Jira, Remedy, ServiceNow, ...)
Outils médico-légaux (X-Ways Forensics, Cellebrite Forensics, etc.)s
Processus de sécurité : homologation des SI, sécurité dans les projets, gestion des accès…
Références et collaborations
NIST SP 800-86, INCIBE-CERT, CCN-CERT
Environnements de travail
Linux - Windows - SCADA - dispositifs mobiles, environnements hybrides