Mon entreprise traite des données à caractère personnel
Si votre entreprise traite des données à caractère personnel, elle doit être conforme au Règlement général pour la protection des données ou RGPD. Ce règlement établit un cadre juridique en matière de protection des données personnelles pour tous les pays de l’UE.
Dans le cadre de son accompagnement à la mise en conformité au RGPD, Orange Cyberdefense propose notamment :
-
un inventaire des traitements existants et une analyse des écarts ;
-
la création d’une feuille de route ;
-
un accompagnement sur les questions de gouvernance des données personnelles et de cybersécurité ;
-
un accompagnement dans le choix et l’intégration de solutions de chiffrement, de contrôle et d’accès aux données et de leur intégrité ;
-
des audits techniques et organisationnels réguliers (pour les sous-traitants également) ;
-
des services de détection et de réponses à incidents ;
-
des formations.
Mon entreprise évolue dans un secteur sensible
Si votre entreprise fait partie des secteurs d’activité suivant, elle est soumise à la loi de programmation militaire ou LPM de 2014-2019 :
-
Energie
-
Transport
-
Gestion de l’eau
-
Industrie
-
Finance
-
Communications
-
Santé
-
Activité militaire
-
Activité civile de l’Etat
-
Activité judiciaire
-
Alimentation
-
Espace et recherche
Près de 250 entreprises françaises sont concernées par la LPM et désignées légalement comme opérateurs d’importance vitale (OIV). Ces OIV sont tenus à un certains nombres d’obligations concernant la cybersécurité. Ils doivent notamment répondre à 20 règles sur la gouvernance, la maîtrise des risques, la maîtrise des SI, la gestion des incidents de sécurité et la protection des systèmes.
OIV et PDIS
Il est obligatoire pour les OIV qu’une partie de leur SI réponde aux exigences de sécurité de la LPM. Les OIV doivent ainsi disposer d’un SOC (Security Operation Center). Ils peuvent monter le leur ou faire appel à un fournisseur de cybersécurité. Dans les deux cas, le SOC doit répondre aux exigences du référentiel PDIS (prestataires de détection des incidents de sécurité).
Etes-vous concerné par la directive NIS ?
Inspiré de la loi de programmation militaire, la Directive NIS (Network and Information System Security) a été adoptée par le Parlement européen en juillet 2016. Comme la LPM, elle désigne des opérateurs de services essentiels (OSE) mais aussi des fournisseurs de services numériques (FSN). A noter que seuls les OSE sont tenus d’appliquer les mesures demandées par la directive NIS. Pour les FSN, cela se fait sur la base du volontariat. Les secteurs d’activités concernées par la directive NIS sont les suivants :
-
Energie
-
Transport
-
Logistique
-
Fourniture et distribution d’eau potable
-
Traitement des eaux non potables
-
Banques, infrastructures de marchés financiers et services financiers
-
Assurances
-
Santé (établissements de soins de santé et produits pharmaceutiques)
-
Infrastructures numériques
-
Education
-
Alimentation et restauration
Orange Cyberdefense accompagne les OSE :
-
par du conseil tout au long de la mise en conformité ;
-
par des solutions techniques exploitées par l’entreprise jusqu’au service totalement géré par nos équipes.
Mon entreprise fournit des biens et services à des grandes entreprises
Non obligatoire légalement, la norme ISO 27001 est pour autant demandée par les grandes entreprises à leurs sous-traitants. Elle atteste de la mise en place d’un système de management de la sécurité de l’information.
Orange Cyberdefense accompagne les entreprises désireuses d’obtenir cette certification via des audits et des prestations de conseil. Nos auditeurs sont certifiés Lead Auditor et/ou Lead Impleter.
Contactez nos experts
