Si votre entreprise traite des données à caractère personnel, elle doit être conforme au Règlement général pour la protection des données ou RGPD. Ce règlement établit un cadre juridique en matière de protection des données personnelles pour tous les pays de l’UE.
Dans le cadre de son accompagnement à la mise en conformité au RGPD, Orange Cyberdefense propose notamment :
un inventaire des traitements existants et une analyse des écarts ;
la création d’une feuille de route ;
un accompagnement sur les questions de gouvernance des données personnelles et de cybersécurité ;
un accompagnement dans le choix et l’intégration de solutions de chiffrement, de contrôle et d’accès aux données et de leur intégrité ;
des audits techniques et organisationnels réguliers (pour les sous-traitants également) ;
des services de détection et de réponses à incidents ;
des formations.
Si votre entreprise fait partie des secteurs d’activité suivant, elle est soumise à la loi de programmation militaire ou LPM de 2014-2019 :
Energie
Transport
Gestion de l’eau
Industrie
Finance
Communications
Santé
Activité militaire
Activité civile de l’Etat
Activité judiciaire
Alimentation
Espace et recherche
Près de 250 entreprises françaises sont concernées par la LPM et désignées légalement comme opérateurs d’importance vitale (OIV). Ces OIV sont tenus à un certains nombres d’obligations concernant la cybersécurité. Ils doivent notamment répondre à 20 règles sur la gouvernance, la maîtrise des risques, la maîtrise des SI, la gestion des incidents de sécurité et la protection des systèmes.
OIV et PDIS
Il est obligatoire pour les OIV qu’une partie de leur SI réponde aux exigences de sécurité de la LPM. Les OIV doivent ainsi disposer d’un SOC (Security Operation Center). Ils peuvent monter le leur ou faire appel à un fournisseur de cybersécurité. Dans les deux cas, le SOC doit répondre aux exigences du référentiel PDIS (prestataires de détection des incidents de sécurité).
Inspiré de la loi de programmation militaire, la Directive NIS (Network and Information System Security) a été adoptée par le Parlement européen en juillet 2016. Comme la LPM, elle désigne des opérateurs de services essentiels (OSE) mais aussi des fournisseurs de services numériques (FSN). A noter que seuls les OSE sont tenus d’appliquer les mesures demandées par la directive NIS. Pour les FSN, cela se fait sur la base du volontariat. Les secteurs d’activités concernées par la directive NIS sont les suivants :
Energie
Transport
Logistique
Fourniture et distribution d’eau potable
Traitement des eaux non potables
Banques, infrastructures de marchés financiers et services financiers
Assurances
Santé (établissements de soins de santé et produits pharmaceutiques)
Infrastructures numériques
Education
Alimentation et restauration
Orange Cyberdefense accompagne les OSE :
par du conseil tout au long de la mise en conformité ;
par des solutions techniques exploitées par l’entreprise jusqu’au service totalement géré par nos équipes.
Non obligatoire légalement, la norme ISO 27001 est pour autant demandée par les grandes entreprises à leurs sous-traitants. Elle atteste de la mise en place d’un système de management de la sécurité de l’information.
Orange Cyberdefense accompagne les entreprises désireuses d’obtenir cette certification via des audits et des prestations de conseil. Nos auditeurs sont certifiés Lead Auditor et/ou Lead Impleter.