top of page
  • LinkedIn
  • Slack

Envie d'en savoir plus?

Vous souhaitez savoir si votre organisation est soumise à la nouvelle réglementation NIS 2 ? Cliquez sur le lien ci-dessous et laissez vous guider.

Directive Nis 2

Vous souhaitez mettre en oeuvre une gouvernance de la sécurité de l'information mais vous ne savez pas par où commencer ? Téléchargez gratuitement notre livre blanc pour mettre en oeuvre les fondements de votre sécurité.

Téléchargez notre livre blanc

Téléchargez gratuitement notre modèle de politique générale de sécurité de l'information.

Modèle de PSSI

Les normes ISO 27000

Norme internationale portant sur la sécurité de l'information.

ISO27001

Exigences (chapitre 5 à 10)
93 mesures de sécurité de l'annexe A
 (en version 2022)

Contenu

Découvrir en vidéo

Norme internationale portant sur la sécurité des données à caractère personnel.

ISO27701

Exigences ISO 27001 + exigences complémentaires
2 annexes pour les mesures de sécurité en tant que responsable de traitement et en tant que sous-traitant

Contenu

Akant - Audit & conseil en sécurité de l'information, protection vie privée et IA. ISO27001 - SOC2 - NIS2 -IA Act - RGPD

Les normes ISO27001 et 27701 s'appuient sur le concept d'amélioration continue, intégré dans son système de management de la sécurité de l'information (SMSI), en suivant une approche Plan-Do-Check-Act (PDCA), aussi connue sous le nom de cycle de Deming.

Plan (Planifier) 

 

Établir les objectifs de sécurité et les processus nécessaires pour délivrer des résultats conformes à la politique de sécurité globale de l'organisation.

Act (Agir)

 

Prendre des actions pour améliorer continuellement la performance des processus de sécurité.

Do (Faire) 

 

Mettre en œuvre et exploiter les processus.

Check (Vérifier)

 

Surveiller et mesurer les processus par rapport à la politique de sécurité, les objectifs, les exigences réglementaires et les rapports pour s'assurer qu'ils sont conformes à ceux-ci.

SOC 2 

Avec un rapport de type 1, les contrôles de votre organisation sont évalués à un moment précis.
Ce rapport reflète un état instantané de votre environnement pour déterminer et démontrer si les contrôles sont correctement conçus et en place.
Par exemple, l’organisme en charge du rapport prendra un exemple d’employé qui a quitté l’entreprise et confirmera que son accès a été correctement révoqué et documenté via un système de ticketing.

 

Un rapport de type 1 présente les caractéristiques suivantes :
• Description du système de votre organisation dans son ensemble
• Évalue la conception des contrôles internes de votre organisation
• Teste un moment/évènement précis dans le temps

SOC 2 Type 1

Découvrir en vidéo

Pour un rapport de type 2, les contrôles de votre organisation sont évalués sur une période de temps (de 3 à 12 mois). Contrairement à un rapport de type 1, un rapport de type 2 agit comme un examen historique de votre environnement pour déterminer et démontrer si les contrôles sont conçus et en place de manière appropriée, ainsi que l’évaluation de leur effectivité au fil
du temps.
Le processus d’audit comprendra des tests d’échantillons au cours de la
période d’audit afin de déterminer si les contrôles de votre organisation
fonctionnent efficacement.

 

Un rapport de type 2 présente les caractéristiques suivantes :
• Description du système de votre organisation dans son ensemble
• Évalue la conception des contrôles de votre organisation, ainsi que leur
efficacité opérationnelle
• Se concentre sur une période de temps pendant laquelle les mesures de sécurités doivent être opérationnelles
• Comprend des descriptions détaillées des tests de l’auditeur et les résultats de ces tests.

SOC 2 Type 2

Le référentiel SOC 2 est composé de cinq principaux critères communs, également appelés "Trust Services Criteria" (TSC).

Le principal critère est nommé Sécurité (Security) : Ce critère concerne les mesures de sécurité mises en place pour protéger les données et les systèmes contre les menaces et les vulnérabilités. Il inclut des contrôles relatifs à l'accès physique et logique, à la gestion des vulnérabilités, à la gestion des incidents de sécurité, à la surveillance des systèmes, etc.

 

Il existe également des critères complémentaires pouvant être inclus au rapport et qui sont décrits ci-dessous.

Disponibilité (Availability)

Ce critère traite de la disponibilité des systèmes et des services. Il englobe des contrôles tels que la planification de la continuité des activités, la redondance des systèmes, la gestion des pannes, la surveillance de la performance, etc.

Vie privée (Privacy)

Ce critère se rapporte à la protection des données personnelles conformément aux réglementations applicables, telles que le RGPD en Europe. Il comprend des contrôles relatifs à la collecte, au stockage, à la gestion et à la divulgation des données personnelles.

Intégrité du traitement (Processing Integrity)

Ce critère se concentre sur l'exactitude et l'intégrité du traitement des données. Il couvre les contrôles liés à la précision des transactions, à la validation des données, à la gestion des erreurs, etc.

Confidentialité (Confidentiality)

Ce critère concerne la protection des informations sensibles contre l'accès non autorisé. Il englobe des contrôles liés à la classification des données, à la gestion des droits d'accès, au chiffrement, à la surveillance de l'accès, etc..

Témoignages

Notre blog.