Sécurité de l’information
Gouver
nance & stratégie
Une sécurité de l’information efficace n’est pas un produit que vous achetez. C’est une discipline de gouvernance que vous construisez : structurée, documentée, alignée sur vos objectifs business et votre environnement réglementaire, et mesurable à tous les niveaux.
Que vous établissiez une responsabilité en matière de cybersécurité au niveau du conseil d’administration, que vous vous prépariez à la certification ISO 27001, que vous répondiez aux obligations de la loi fédérale suisse sur la protection des données, ou que vous construisiez une résilience éprouvée face aux perturbations opérationnelles, notre équipe Gouvernance et Stratégie fournit des résultats prêts pour l’audit, alignés sur votre activité et adaptés au contexte réglementaire suisse.
Défis
Les lacunes de gouvernance qui exposent les organisations suisses au risque
La plupart des organisations ne manquent pas de sensibilisation à la cybersécurité. Elles manquent des structures de gouvernance, des responsabilités documentées et des processus testés qui transforment cette sensibilisation en un programme de sécurité défendable et auditable. Dans les institutions financières régulées par la FINMA, les organisations de santé et les opérateurs d’infrastructures critiques en Suisse, cet écart entraîne des conséquences réglementaires et financières directes.
Les situations les plus courantes pour lesquelles nous sommes sollicités sont les suivantes :
- Absence de CISO officiellement nommé ou de stratégie de sécurité documentée au niveau exécutif
- Manque d’engagement et de soutien de la direction / du management
- Absence de programme structuré de sécurité de l’information (pas de feuille de route établie)
- Politiques de sécurité de l’information obsolètes ou incomplètes ne résistant pas à un audit
- Certification ISO 27001 exigée par les clients, partenaires ou régulateurs, sans feuille de route de mise en œuvre
- Obligations liées à la nLPD non respectées depuis l’entrée en vigueur de la loi en septembre 2023
- Absence de BCP ou de DRP testés, malgré les exigences de la circulaire FINMA 2023/1 ou de DORA
- Absence de capacité structurée de réponse de crise, et aucune preuve de simulation ou de test
Périmètre des services
Sept services. Un cadre de gouvernance intégré.
Notre practice Gouvernance et Stratégie couvre l’ensemble des besoins en gouvernance de la sécurité de l’information. Chaque service peut être mobilisé indépendamment ou combiné dans le cadre d’un programme de gouvernance complet.
CISO as a Service
Direction stratégique en cybersécurité sur une base temps plein, intérimaire ou virtuelle. Nous fournissons une orientation en matière de sécurité, une supervision des risques et un reporting au niveau exécutif, alignés sur votre contexte réglementaire et vos priorités business.
Résultat clé : stratégie de sécurité définie, cadre de gouvernance établi et programme de gestion des risques documenté.
DPO as a Service
Délégué à la protection des données externe et indépendant pour les organisations suisses soumises à la nLPD et au RGPD. Notre équipe pluridisciplinaire de consultants techniques et juridiques agit de manière impartiale, sans conflit d’intérêts.
Résultat clé : conformité complète à la nLPD et au RGPD, registre des traitements documenté et processus de réponse aux violations testé.
Analyse des écarts
Une évaluation structurée de votre posture de sécurité par rapport à ISO 27002, NIST CSF, SWIFT, TISAX, CIS ou autres référentiels. Résultats fondés sur des preuves, scores de maturité et recommandations priorisées.
Résultat clé : référentiel objectif de votre niveau de conformité et feuille de route de remédiation claire et priorisée.
Évaluation des risques
Une évaluation de vos risques en sécurité de l’information, fondée sur une méthodologie structurée. Nous identifions des scénarios de menaces, évaluons leur probabilité et leur impact sur l’activité, puis produisons un registre des risques priorisé avec des options de traitement.
Résultat clé : un registre des risques documenté, un plan de traitement des risques, et une communication des risques adaptée au niveau exécutif.
Mise en œuvre d’un SMSI
Accompagnement de bout en bout pour la mise en œuvre de la norme ISO 27001, depuis l’analyse initiale des écarts jusqu’à la documentation, l’intégration des risques, la sensibilisation du personnel et la préparation à l’audit de certification.
Résultat clé : SMSI prêt pour l’audit, documentation obligatoire complète et préparation à la certification ISO 27001.
Continuité des activités et résilience opérationnelle
Conception du BIA, du BCP et du DRP alignée sur la norme ISO 22301, la circulaire FINMA 2023/1 et DORA. Nous définissons les objectifs RTO et RPO en adéquation avec votre activité, documentons les procédures de reprise et validons les plans par des exercices.
Résultat clé : capacité de continuité d’activité testée et documentation de résilience conforme aux exigences réglementaires.
Gestion de crise
Documentation structurée de réponse de crise, formation des équipes de crise et exercices de simulation d’une demi-journée ou d’une journée complète avec une session formelle de retour d’expérience (RETEX). Conçu pour une utilisation réelle en situation de pression, et non pour un simple exercice de conformité.
Résultat clé : équipe de crise formée, procédures testées et plan d’amélioration documenté.
« Nous collaborons avec ce partenaire, et plus particulièrement Frédéric Noyer, depuis plusieurs années dans les domaines du CISO et de la gouvernance des données dans une vraie relation de confiance. Leur accompagnement se distingue par un haut niveau de professionnalisme, une grande qualité d’écoute et une réelle capacité à s’adapter à nos enjeux. Grâce à leur expertise, nous avons pu structurer et faire évoluer dans la durée un SMSI robuste et à forte valeur ajoutée pour notre organisation. »
Prochaine étape
Planifiez une consultation en gouvernance
Vous ne savez pas quel service correspond à votre situation ? Nous proposons une consultation initiale en gouvernance afin d’identifier vos priorités les plus urgentes, de cartographier les exigences réglementaires applicables (nLPD, FINMA, ISO 27001 ou DORA) et de définir une feuille de route pragmatique.