Fondé en 2011 et basé à Paris, le Groupe iDNA accompagne ses clients dans la sécurisation de leurs systèmes d’information, en particulier pour les infrastructures critiques, les environnements industriels et les bâtiments. Le groupe intervient sur l’ensemble du cycle de gestion des risques cyber, de l’audit et du conseil stratégique à la mise en œuvre de solutions et aux services managés, afin d’assurer un maintien durable en condition de sécurité.

Cette opération marque une étape structurante dans le développement d’iDNA. En rejoignant NXO, le groupe bénéficie de l’appui d’un acteur de référence disposant d’une forte présence nationale, d’une expertise reconnue en infrastructures digitales et d’ambitions affirmées en cybersécurité. Ce rapprochement permettra à iDNA d’accélérer son développement, d’élargir son champ d’intervention et de renforcer la valeur apportée à ses clients, notamment face aux enjeux réglementaires croissants (LPM, NIS2).

iDNA devient une filiale de NXO tout en conservant son identité, son autonomie opérationnelle et ses équipes, composées de 40 experts en cybersécurité. Cette organisation garantit la continuité des services et la proximité avec les clients, tout en ouvrant la voie à de nouvelles synergies technologiques et commerciales avec le groupe NXO.

Nathalie Magand, Présidente de NXO, déclare :
« Ajouter la gamme de services et les très fortes expertises d’iDNA permettra à NXO de mieux répondre aux enjeux de cybersécurité des clients grâce à une offre plus complète. Nous sommes ravis d’accueillir les équipes d’iDNA au sein de la famille NXO et résolus à investir dans leurs expertises afin de créer encore plus de valeur et d’innovation pour les clients dans les années à venir. »

Hélène Sauvant et Frédéric Domange, Directeurs Généraux du Groupe iDNA, ajoutent :
« Après 15 années de croissance soutenue, rejoindre le groupe NXO constitue une opportunité majeure pour iDNA. Ce rapprochement va nous permettre d’accélérer nos développements, de renforcer nos expertises et de proposer à nos clients une offre encore plus complète, tout en restant fidèles à nos valeurs et à notre ADN. »

À propos du groupe NXO : 
Partenaire de proximité dans la conception et l’infogérance d’infrastructures sécurisées et de cloud souverain, NXO conçoit, déploie et exploite des solutions de Communication & Collaboration, Infrastructures digitales et Sécurité. Avec un chiffre d’affaires de 330 m€ et 36 implantations en métropole et dans les DROM, NXO compte aujourd’hui 1 200 collaborateurs dont l’expertise reconnue permet d’attirer les meilleurs talents.

Pour en savoir plus, nxo.eu

Cet article iDNA rejoint le groupe NXO est apparu en premier sur iDNA.

Qui es-tu et quel est ton poste au sein du groupe iDNA ?

Je m’appelle Marine, je viens d’avoir 33 ans et j’ai rejoint iDNA en mars 2022. J’occupe un poste mixte : je suis chargée d’administration des ventes et aussi chargée de communication. En dehors du travail, je fais beaucoup de sport : course à pied, trail, triathlon, musculation, et je marche beaucoup. J’aime la nature, la forêt, la montagne, et je prône son respect. Répondre à l’appel à projet de mon entreprise a donc été une évidence.

Quel est ce projet justement ?

J’ai cherché à associer ma passion pour le trail et la randonnée à une cause qui me tient à cœur : la protection de l’environnement. Je cherchais un défi sportif à réaliser pendant mes vacances d’été et j’ai découvert le défi de la Muzelle, aux Deux Alpes. Il existe en 2 versions : 52 et 100 km, j’ai opté pour le plus petit car je veux être sûre de le réussir, et puis il faut que ça reste des vacances.

Je vais parcourir 52 km sur 4 jours, en altitude, avec pas mal de dénivelé positif. Lors de chaque parcours, il y a une barrière horaire à ne pas dépasser. À chaque épreuve terminée dans les temps, iDNA va reverser une somme d’argent à une association qui œuvre pour l’environnement.

L’idée est de sensibiliser nos collaborateurs, mais aussi ceux qui nous suivent sur les réseaux, à l’importance de la préservation de notre belle nature. Je souhaite les faire participer à mon challenge à distance : chaque soir, je publierai sur la page LinkedIn d’iDNA une synthèse de mon parcours du jour et des photos prises lors de la course.

Tu peux nous en dire plus sur le challenge sportif ?

Oui bien sûr ! Il débute le lundi 22 juillet et se termine le vendredi 26, avec un jour de repos au milieu. Voici le détail :

• Lundi 22 juillet – étape n°1 : la crête du Fioc : parcours de 14 km et 650m D+
• Mardi 23 juillet – étape n°2 : le Diable : parcours de 12 km et 800m D+
• Mercredi 24 juillet : repos
• Jeudi 25 juillet – étape n° 3 : la Fée : parcours de 15 km et 1000m D+
• Vendredi 26 juillet – étape n°4 : l’assaut de Venosc : parcours de 11km et 800 D+

Tu le sens comment ?

Honnêtement, ça ne va pas être facile. Même si j’aime la montagne, je n’y vis pas. Je ne suis donc pas très habituée à des forts dénivelés et à l’effort en altitude. En général, je me rattrape dans les descentes : courir en descente, c’est un pur bonheur. Mais là, je ne vais pas pouvoir descendre trop fort. Je cours depuis environ 6 ans, mais il y a quelques mois j’ai déclaré un syndrome de l’essuie-glace au genou droit. Pour ceux qui ne connaissent pas, c’est une douleur latérale du genou qui survient après quelques kilomètres et qui peut être légère comme très handicapante, et peut parfois nécessiter de stopper la course quelques minutes. Pour ma part, elle se déclenche souvent dans les descentes et peut devenir vraiment insupportable, au point de devoir faire une pause. Et comme les parcours sont en montagne… je ne vous fais pas un dessin. En tout cas je ne lâcherai pas et j’irai au bout car l’enjeu est là.

Quelle association as-tu choisie ?

Nous avons choisi, avec Hélène, Aurore et Frédéric, l’association WWF (Fonds Mondial pour la Nature). Elle mène des actions locales dans différentes régions de la planète en ciblant 5 objectifs globaux : la vie des océans, l’alimentation, la vie sauvage, la vie des forêts, le climat et l’énergie.

Comment vont s’articuler les dons ?

À chaque parcours terminé sous la barrière horaire, le groupe iDNA va reverser 100€ à l’association WWF. Si la totalité des 4 parcours est effectuée dans les temps, un bonus complémentaire de 100€ sera débloqué. J’espère de tout cœur atteindre cette belle somme de 500€ !

Un sentiment sur la participation du groupe iDNA ?

Oui, même plusieurs. Déjà, je tiens vraiment à remercier mon entreprise d’avoir lancé cet appel à projets. Ensuite, c’est une chance de travailler dans une structure qui s’intéresse à ses collaborateurs et qui a à cœur de soutenir leurs ambitions personnelles. Je suis fière de participer au développement d’une entreprise qui partage mes valeurs et qui agit pour celles-ci. C’est avec honneur que je vais revêtir les couleurs d’iDNA lors de ce challenge.

Pour suivre les aventures de Marine lors du Défi de la Muzelle, rendez-vous sur notre page LinkedIn du 22 au 26 juillet : LIEN.

Cet article Le groupe iDNA soutient le Challenge de Marine est apparu en premier sur iDNA.

Peux-tu te présenter rapidement ?

Je m’appelle Francisca, j’habite en banlieue parisienne et je suis chargée des Ressources Humaines chez iDNA depuis maintenant 3 ans.

Comment tu te définirais ?

Je suis une personne fiable, sincère et franche. Je ne suis jamais dans le jugement, toujours dans l’empathie. Je suis également très positive, et je pense être agréable à vivre (ses collègues le confirment).

Quel est ton parcours professionnel ?

Rien ne me prédestinait à travailler dans les RH. J’ai d’abord passé un BAC Gestion et Comptabilité pour ensuite me diriger vers une Licence en Comptabilité. J’ai continué avec un Master en Management et Stratégie d’Entreprise, et lors de la première année, j’ai suivi des cours de RH. J’ai adoré. Le côté humain de ce domaine m’a particulièrement plu et j’ai alors pris la décision de me spécialiser.

J’ai donc effectué un deuxième Master, cette fois en Ressources Humaines. J’ai pu y réaliser un premier stage dans un groupe de conseil et d’étude, lors duquel je recrutais des enquêteurs, et un autre dans une société de marketing, où je recrutais des webmasters.

Mes études se sont terminées en pleine période Covid. Mes recherches d’un CDI ont beaucoup pâti de cette période incertaine. Aurore, RRH du groupe iDNA, m’a proposé un stage. Même si ce n’est pas le format de contrat que je recherchais, j’ai accepté. Et j’ai bien fait ! Car ce stage s’est finalement transformé en CDI.

Être RH dans l’IT, cela comporte des spécificités ?

En IT, on fait beaucoup de sourcing (chasse de tête), contrairement à d’autres domaines où les candidatures affluent. En effet, les profils IT sont très recherchés et sollicités. C’est à nous de dénicher les bons profils et de les convaincre de nous rejoindre.

Ce fonctionnement nécessite beaucoup de réactivité : le process de recrutement ne doit pas être trop long, les profils ayant en parallèle beaucoup d’opportunités. Il faut également être capable de s’adapter et savoir convaincre. La difficulté de ce poste me challenge tous les jours, et j’aime ça.

Qu’est-ce qui te plait le plus dans ton poste ?

La difficulté du recrutement, inhérente au domaine de l’IT comme expliqué précédemment, me challenge tous les jours. J’adore ça ! Me connaissant, la facilité m’aurait lassée.

J’aime aussi le fait qu’on ait affaire à des profils différents tous les jours. Aujourd’hui on recrute un(e) Architecte SSI, demain on recrutera un(e) Ingénieur(e) Réseau. On n’est pas dans la routine, il faut s’adapter sans cesse.

Tu nous présentes une journée type ?

Après un bon thé, j’entame ma veille sur les missions qui pourraient correspondre à nos candidats. Si une mission me semble pertinente, j’en discute avec Aurore. Ensuite, je passe au recrutement. Je vérifie les CV et les candidatures reçues, je passe beaucoup de temps sur LinkedIn, à la recherche de profils pouvant coïncider à nos différents besoins, puis j’en contacte certains. Je fais aussi de l’administratif et je réponds aux sollicitations de nos collaborateurs, je mets à jour les documents obligatoires… Je participe également de temps en temps à la stratégie marketing, avec Marine et Aurore. J’arrive à bien varier mes actions sur une journée, cette diversité me plait.

Une réussite particulière à partager ?

Pas spécifiquement. Chaque recrutement est une victoire. On prête une attention particulière au caractère de nos profils, pour faire en sorte qu’ils s’accordent bien avec l’équipe. Alors quand je constate qu’un nouveau collaborateur ou une nouvelle collaboratrice s’intègre bien, je suis plus qu’heureuse.

Tu as évolué depuis ton arrivée ?

Oui, et très vite ! J’ai démarré par un stage, qui s’est soldé par la signature d’un CDI. Au départ je ne faisais que du recrutement. Au fil du temps, j’ai demandé à intégrer une partie administrative et commerciale à mon poste. Ma manager et la direction ont été très à l’écoute de mon souhait et ont accepté.

Des valeurs professionnelles qui te tiennent à cœur ?

L’ambiance, l’esprit d’équipe et la confiance. Chez iDNA, on ne travaille pas sous pression, l’ambiance est très agréable et j’aime venir au bureau. L’esprit d’équipe est vraiment présent. Parfois je peux être bloquée sur un recrutement, les managers réussissent toujours à se libérer du temps pour m’aider, il y a une véritable facilité d’échange.

J’apprécie beaucoup mes managers, il y a de la confiance et on ressent que l’on compte dans l’entreprise. C’est le rêve pour un premier CDI.

Comment ça se passe si on candidate pour un poste au sein du groupe iDNA ?

Après l’envoi de votre CV, vous allez être recontacté(e) par une chargée de recrutement ou moi-même, afin de programmer un premier entretien en visio. Lors de cet entretien, nous allons nous intéresser à votre personnalité et à vos compétences générales.

Si cette première étape est réussie, nous mettons en place un deuxième entretien avec un référent technique iDNA. Cet entretien est purement technique et est mené par un de nos experts.

L’entretien technique est réussi ? On passe à l’entretien final avec la direction. Après validation, nous vous envoyons une proposition. Bienvenue !

Un message à faire passer aux futurs candidats ?

Cela fait maintenant 3 ans que j’ai rejoint le groupe iDNA. Je m’y sens bien. On travaille avec des experts, les équipes sont donc sérieuses mais l’ambiance est au rendez-vous.

Rejoindre notre groupe c’est être certain de pouvoir évoluer et de réaliser des missions très intéressantes.On œuvre dans beaucoup de secteurs différents, de la PME au CAC40. On forme continuellement nos consultants sur les nouvelles technos et les dernières innovations. Il y a un réel plan d’évolution et je pense en être la preuve. Si ces aspects comptent pour vous, vous savez quoi faire.

Cliquez ici pour découvrir nos offres d’emploi

Cliquez ici pour suivre Francisca sur LinkedIn

Cet article Portrait de Francisca, Chargée des Ressources Humaines au sein du groupe iDNA est apparu en premier sur iDNA.

Peux-tu te présenter rapidement ?

Je m’appelle Aurore, j’ai 47 ans, j’habite en banlieue parisienne et je suis la responsable RH du groupe iDNA depuis maintenant 8 ans.

Quel est ton parcours professionnel ? 

J’ai commencé ma carrière en tant que professeur des écoles. J’ai enseigné à mes élèves de primaire pendant 7 ans, puis j’ai donné des cours de français pendant 3 ans à des étudiants de BTS. En parallèle, j’ai repris mes études pour me spécialiser en psychologie dans l’enseignement. Institutrice, c’est un très beau métier et je suis fière d’avoir pu transmettre à la génération suivante. Toutefois, l’aspect répétitif (le sentiment de repartir à zéro tous les ans alors que mes élèves s’envolaient vers d’autres horizons) ainsi que les difficultés inhérentes à ce métier, m’ont fait prendre la décision de changer de voie.

J’ai postulé pour rejoindre une entreprise spécialisée dans l’IT en tant qu’assistante administrative. Le poste venait d’être pourvu mais la DRH, ayant vu en moi les qualités nécessaires, m’a proposé celui d’assistante RH et recrutement. J’ai dit oui, et c’est là que j’ai mis un premier pied dans ce domaine. J’ai continué d’évoluer dans cet univers, en changeant d’entreprise une seconde fois.

Au bout de quelques années en tant que chargée de recrutement, une amie m’a parlé d’iDNA, et je l’en remercie encore. Son dirigeant cherchait une Chargée des RH. J’ai pu envoyer mon CV avant même que l’annonce ne soit publiée. J’ai été reçue par Hélène et Frédéric, associés du groupe iDNA, avec qui le courant est tout de suite passé. Mêmes valeurs, même vision des choses, je me suis immédiatement projetée, et rejoindre le groupe est devenu pour moi une évidence !

Je me souviens avoir demandé à Frédéric, à la fin de l’entretien : « Finalement, allez-vous publier votre annonce de recrutement ? » Il m’a répondu « non ». Comme quoi, il faut savoir saisir les opportunités quand elles se présentent !

Être RH dans l’IT, quelles en sont les spécificités ?

Le premier élément qui me vient à l’esprit, c’est que c’est un secteur très concurrentiel. Les consultants sont très sollicités, et ce même quand ils ne sont pas en recherche d’emploi. Dans l’IT, on ne recrute pas qu’un à deux profils par an, on recrute et on développe l’entreprise tout au long de l’année. C’est un travail de tous les jours, avec beaucoup de rebondissements !

Dans l’IT, les technologies et les produits évoluent sans cesse. Nous avons donc un véritable devoir de formation envers nos collaborateurs.

Qu’est-ce qui te plait le plus dans ton poste ?

Déjà, j’adore mon métier. Pour répondre à la question, je dirais l’opportunité d’évoluer et la variété de mes missions. Aujourd’hui, j’aide encore au recrutement, notamment en manageant deux chargées de recrutement, mais je gère aussi l’administratif lié aux RH, ainsi que la sous-traitance avec nos partenaires, et j’appuie notre équipe commerciale.

Selon moi, une bonne variété de missions jointe à une évolution régulière sont indispensables à la conservation de la motivation. En tout cas, moi, c’est ce qui me fait garder la niaque !

Quelles sont les valeurs professionnelles qui te tiennent à cœur ?

L’exigence. J’aime les gens qui ont l’envie de bien faire et qui sont exigeants envers eux-mêmes. Une qualité que je retrouve chez iDNA.

L’humain. Le monde de l’entreprise traverse une période difficile, ces dernières sont parfois contraintes de faire des choix. Nous en sommes conscients mais nous avons à cœur de faire le maximum pour que nos collaborateurs se sentent bien et s’épanouissent, et nous n’arrêterons pas. C’est primordial, pour la direction comme pour moi.

La transparence. Elle est essentielle dans nos échanges externes comme dans les échanges internes. Selon moi, c’est la base même de la confiance.

Une réussite particulière à partager ? 

Je suis très fière de mon équipe. Je retrouve un peu ma casquette de professeur quand je manage nos chargées de recrutement. Je suis heureuse de leur transmettre mon expérience et de les accompagner. Je pense qu’on forme une très bonne équipe. Les filles sont persévérantes et elles recrutent de très bons profils, leurs résultats sont gratifiants.

Comment ça se passe si on candidate pour un poste au sein du groupe iDNA ?

Après l’envoi de votre CV, vous allez être recontacté(e) par une chargée de recrutement ou moi-même, afin de programmer un premier entretien en visio. Lors de cet entretien, nous allons nous intéresser à votre personnalité et à vos compétences générales.

Si cette première étape est réussie, nous mettons en place un deuxième entretien avec un référent technique iDNA. Cet entretien est purement technique et est mené par un de nos experts fort d’au moins 20 ans d’expérience.

L’entretien technique est réussi ? On passe à l’entretien final avec la direction. Après validation, nous vous envoyons une proposition. Bienvenue !

Un message à faire passer aux futurs candidats ?

Je leur dirais que s’ils souhaitent rejoindre une entreprise à taille humaine, qui porte de vraies valeurs et offre une véritable expertise sur le marché, on est fait pour se rencontrer !

Cliquez ici pour découvrir nos offres d’emploi

Cliquez ici pour suivre Aurore sur Linkedin

Cet article Portrait d’Aurore, Responsable des Ressources Humaines au sein du groupe iDNA est apparu en premier sur iDNA.

Jusqu’à présent, les attaques liées à l’ingénierie sociale (Social Engineering) étaient en tête sur la liste des vecteurs de compromission initiale. C’était sans compter sur l’IA (Intelligence Artificielle) qui est en passe de faire exploser les records !

Une accélération des attaques

Depuis fin 2022, le nombre de phishing a été multiplié par 12 et le nombre de phishing lié au vol de compte a quant à lui été multiplié par 10. Il faut savoir que 68% des e-mails de phishing sont basés sur du texte et l’efficacité de ces derniers se voit nettement renforcée par l’usage de l’IA générative.

L’IA générative en quelques mots

L’Intelligence Artificielle générative (GenAI) est une catégorie d’IA qui se concentre sur la création de données et de contenu de façon indépendante. Elle est capable de reproduire la capacité cognitive humaine de manière globale.

On peut différencier 2 grands types de GenAI :

• L’IA générative généraliste
Ces modèles sont entrainés sur un corpus de données publiques très vaste et ont vocation à répondre à des demandes ou des questions. Tous les prompts et les retours des utilisateurs viennent nourrir l’algorithme qui motorisent l’IA.

• L’IA générative privée
Ces modèles sont destinés à n’interroger que les données d’une organisation. Ils sont généralement pré-entraînés pour répondre à un cas d’usage précis. Les échanges n’entraînent que l’instance privée.

Qu’est-ce que cela implique ?

Les attaques sont plus facilement personnalisables et adaptées à leurs cibles. Par exemple, l’intégration du logo de la société visée peut être réalisée automatiquement. Les pages web de phishing sont de plus en plus ressemblantes aux pages officielles et semblent plus vraies que nature.

Ces attaques sont-elles plus difficiles à reconnaître ?

Pas nécessairement. Les attaques générées à l’aide de l’IA sont certes plus ciblées, comportent moins de fautes d’orthographe ou de grammaire. Toutefois on y retrouve toujours les mêmes vecteurs d’exploitation :

• Des URL pointant vers des domaines inconnus
• Des fichiers souhaitant se faire passer pour ce qu’ils ne sont pas (un fichier PDF avec une extension .EXE par exemple)
• Des adresses d’expéditeurs plus que suspectes

Gardez vos bonnes habitudes !

1- Toujours vérifier l’expéditeur
Même si l’e-mail semble provenir d’un expéditeur connu, contrôlez l’adresse e-mail et son nom de domaine.

2- Toujours vérifier les pièces jointes et les liens
Ce mail ou ces éléments sont-ils attendus de la part de cet expéditeur ? Si un doute se présente, contrôlez en contactant l’expéditeur par téléphone.

3- Toujours signaler un mail malveillant identifié
Dans Outlook, pensez à bloquer les e-mails malveillants : courrier indésirable > bloquer l’expéditeur

Vous avez malencontreusement ouvert un lien ou un fichier malveillant ? Coupez immédiatement la connexion internet de votre poste. Contactez ensuite le plus vite possible votre manager et le RSSI avec le maximum des informations dont vous disposez.

Mieux vaut prévenir que guérir

On ne peut pas tout contrôler, mais on peut se prémunir ! Des outils adaptés et une bonne connaissance des risques informatiques peuvent éviter bien des déboires. Nous pouvons vous accompagner pour la mise en place d’un outillage efficace et la formation de vos équipes en matière de cybersécurité.

L’impact de l’IA sur la cybersécurité vous intéresse ?

L’IA générative, bien que très puissante, n’en est qu’à ses débuts. Pourtant elle engendre déjà de nombreux bouleversements dans le monde de l’IT. Ce sujet sera à l’honneur au forum International de la Cybersécurité, qui se déroulera à Lille, du 26 au 28 mars 2024.
Nous serons présents ! Venez nous rencontrer sur notre stand E1-7, situé dans l’espace CFI.

Cet article Les IA font évoluer les attaques est apparu en premier sur iDNA.

Cette méthode, qui gagne en popularité, offre une perspective unique et pragmatique pour évaluer et gérer les risques de manière plus efficace et précise.

Cet article revient sur les principes fondamentaux de la méthode FAIR et son application concrète.

FAIR: Factor Analysis of Information Risk

Le standard FAIR est un modèle analytique permettant d’évaluer et de quantifier les risques financiers de manière objective et reproductible. Il propose une approche structurée pour évaluer les risques liés à la sécurité, à la conformité réglementaire, aux pannes techniques, aux interruptions de la chaîne d’approvisionnement, et bien d’autres.

Contrairement aux approches traditionnelles, qui se basent souvent sur des évaluations subjectives, la méthode FAIR se fonde sur une analyse factuelle et une compréhension détaillée des facteurs constitutifs des risques.

L’un des principaux avantages de la méthode FAIR réside ainsi dans sa capacité à fournir une vision claire et chiffrée des risquesauxquels une entreprise est exposée, dans un contexte où les incidents opérationnels peuvent avoir un impact significatif sur la productivité et la rentabilité.

Que permet-elle concrètement ?

En adoptant la méthode FAIR, les entreprises peuvent :

1. Comprendre et hiérarchiser les risques par leur impact financier : La méthode FAIR permet d’identifier les risques les plus critiques en se basant sur des données factuelles et des estimations probabilistes. Cela permet aux entreprises de se concentrer sur les risques réellement importants et d’allouer les ressources de manière efficace.

1. Prendre des décisions éclairées: en utilisant des données tangibles, la méthode FAIR aide les dirigeants à prendre des décisions éclairées en matière d’investissement, de politique de sécurité, de gestion des fournisseurs et de planification stratégique car ils connaitront en termes financiers les impacts des potentiels incidents et les couts de remédiation ou prévention.

3. Renforcer la confiance des parties prenantes : en adoptant une approche objective et reproductible pour évaluer les risques, les entreprises industrielles renforcent leur crédibilité et gagnent la confiance des clients, des partenaires commerciaux et des régulateurs.

Une méthode complémentaire

Contrairement aux méthodes traditionnelles plus faciles à déployer, la méthode FAIR s’avère souvent longue à mettre en œuvre car elle nécessite la mobilisation de nombreuses équipes transverses pour collecter l’ensemble des données financières et techniques. Il faudra se poser la question de sa pertinence par rapport aux méthodes qualitatives et la réserver pour des scénarios concernant des actifs critiques qui engagent la responsabilité financière de l’organisation, ou devant justifier des investissements stratégiques.

Dans la pratique, la méthode FAIR intervient donc en complément des méthodes traditionnelles. À savoir que les informations collectées lors des analyses déjà réalisées pourront être réutilisées par la suite sur d’autres scénarios. Autrement dit, plus la méthode sera déroulée, plus son usage en sera facilité.

Notre retour d’expérience 

1. En permettant de quantifier financièrement des scénarios de risques, FAIR permet de faire le lien entre les experts cybersécurité, les responsables métiers et la direction générale.

2. L’utilisation d’une taxonomie des facteurs distincts qui composent le risque apporte une de la clarté dans l’analyse et évite des interprétations ou des malentendus. Aussi la manière dont ces facteurs sont liés entre eux (relations).

3. La collecte des informations est un process long et manuel, d’habitude associé à de longues réunions de travail dans lesquelles les parties prenantes doivent être accompagnées par des experts.

4. Attention à la qualité de la collecte de données lors de l’analyse. En effet, il est nécessaire de collecter des informations pertinentes, qui soient défendables devant un Comité de Direction.

Contactez-nous :

Notre entreprise dispose d’experts en gestion des risques, prêts à accompagner les entreprises dans une démarche adaptée à leurs besoins.

Si vous êtes intéressé(e) par l’implémentation de la méthode FAIR et que vous souhaitez bénéficier de l’expertise de nos équipes, n’hésitez pas à nous contacter. Nos experts sont disponibles pour discuter de vos besoins spécifiques et vous guider tout au long du processus de mise en œuvre.

Ne laissez pas les risques compromettre votre succès.

En adoptant la méthode FAIR en complément des méthodes qualitatives, vous pouvez améliorer la gestion des risques au sein de votre entreprise, renforcer votre position concurrentielle et assurer la pérennité de vos activités face aux défis du marché actuel.

Cet article La méthode FAIR : un guide vers une gestion efficace des risques pour votre entreprise. est apparu en premier sur iDNA.

DORA : Digital Operational Resilience Act

Dans un contexte de plus en plus marqué par la transformation numérique, l’interconnexion grandissante des réseaux et la multiplication des cyberattaques, les services financiers doivent redoubler de vigilance.

La nouvelle réglementation DORA s’inscrit dans ce constat et a pour finalité de garantir la stabilité financière et la protection des consommateurs en cas de cyberattaque.

Son objectif : améliorer la résilience opérationnelle informatique des entités financières. Comment ? Grâce à un cadre de gouvernance et de contrôle interne spécifique, qui vient renforcer les normes et directives existantes (comme ISO27001 ou encore NIS2).

Le règlement DORA a été publié au Journal Officiel de l’UE le 27 décembre 2022 et entrera en application le 17 janvier 2025.

Qui est concerné par DORA ?

DORA concerne tout le secteur bancaire et financier des entités financières, de toutes tailles et opérant au sein de l’Union-Européenne (établissements de crédit, entreprises d’investissements, établissements de paiement…).

Elle impacte également les prestataires TIC (Technologies de l’Information et de la Communication), qui leur fournissent des services.

La réglementation se compose de 5 piliers :

• Pilier 1 : La gestion des risques liés aux TIC
• Pilier 2: La gestion et le reporting des incidents TIC et des cybermenaces
• Pilier 3: Les tests de résilience opérationnelle numérique
• Pilier 4: La gestion des risques liés aux prestataires de services TIC
• Pilier 5: Le partage d’informations et de renseignements en matière de cybersécurité

Nous avons choisi de concentrer cet article sur les piliers 3 et 4 de la réglementation : les tests de résilience et la gestion des risques liés aux tiers.  Les autres piliers feront l’objet d’un article spécifique.

Focus sur les tests de résilience opérationnelle numérique (Pilier 3)

Qu’est-ce que ça implique ?

Toutes les entreprises concernées sont désormais dans l’obligation de mettre en place un programme spécifique complet pour adresser les nouvelles exigences de la réglementation. Ce programme intègrera une série d’évaluations, de tests, de méthodologies, de pratiques et d’outils, tout en mettant l’accent sur les tests techniques.

Son objectif : mettre en place des contrôles afin de s’assurer de l’efficacité des systèmes qui garantissent la résilience du SI.

À l’issue de ce programme, les entreprises devront se faire auditer et se verront délivrer un certificat de conformité.

Les entreprises classifiées critiques selon la réglementation devront organiser un test de pénétration complémentaire à grande échelle tous les 3 ans (exercice de type « Red Team »).

Ce test devra être réalisé par des testeurs indépendants et couvrira les services critiques en impliquant les tiers du secteur des TIC basés dans l’UE. Le scénario devra être approuvé en amont par l’autorité de régulation.

Le défi est lancé !

Pour être en conformité en janvier 2025, les entreprises concernées par la réglementation devront prévoir une campagne d’évaluation de la résilience de leurs systèmes d’informations critiques avec récupération des preuves d’ici la fin de l’année 2024.

Cet enjeu nécessitera beaucoup de préparation et une charge de travail importante. Le fait que cette campagne implique obligatoirement les tiers critiques dans le domaine des TIC signifie aussi que ces derniers devront participer à cette préparation.

Focus sur la gestion des risques liés aux prestataires de services TIC (Pilier 4)

Ce pilier a pour vocation de veiller à ce que les organismes financiers disposent d’un niveau approprié de contrôle et de surveillance de leurs sous-traitants et ressources externes liés aux TIC, en particulier ceux qui sous-tendent des fonctions critiques.

Qu’est-ce que ça implique ?

Les organismes financiers seront dans l’obligation de disposer d’une stratégie et d’une politique définies en matière de risques des tiers liés aux TIC. Le directeur des risques et conformité ou un membre de l’organe de gestion en sera propriétaire.

Devra être établi un registre standard d’informations contenant la vue complète de tous leurs fournisseurs concernés ainsi que les services qu’ils fournissent et les fonctions qu’ils traitent. Un rapport sur les modifications apportées à ce registre devra être remis au régulateur tous les ans.

Les fournisseurs de services TIC devront être évalués selon certains critères avant la conclusion d’un contrat (ex : leur niveau de sécurité, le risque de concentration, le risque de sous-traitance…).

En prévision d’une éventuelle défaillance d’un fournisseur, une stratégie de sortie devra avoir été définie dès le départ. À savoir que la réglementation DORA contient également des lignes directrices concernant le contenu des contrats et les raisons de leur résiliation (qui doit être liée à un risque ou à une preuve de non-conformité).

Avec ce nouveau cadre de surveillance, les fournisseurs essentiels feront aussi l’objet d’évaluations annuelles au regard des exigences de résilience, telles que la disponibilité, la continuité, l’intégrité des données, la sécurité physique, les processus de gestion des risques, la gouvernance, les rapports, la portabilité, les tests…

Ces évaluations seront directement effectuées par le régulateur et impliqueront des sanctions en cas de non-conformité.

Encore un défi !

Rassembler les informations de tous ses fournisseurs TIC, et pas seulement les plus importants, comprenant les services fournis et les fonctions qu’ils sous-tendent est une tâche fastidieuse.

Les grandes organisations financières dépendent généralement de milliers de petits et grands fournisseurs et de systèmes de gestion d’anciens contrats qui peuvent compliquer considérablement l’extraction des données.

Une mise en place plus ou moins difficile

DORA s’applique à la totalité du secteur bancaire et financier et concerne toutes les tailles d’entreprises : de la TPE au grand groupe.

Certains chantiers liés aux exigences de DORA vont nécessiter beaucoup de temps et d’efforts aux équipes impliquées et toutes les entreprises ne sont pas égales face à la mise en place de cette réglementation. En effet, toutes ne disposent pas forcément des moyens d’analyse et de contrôle nécessaires, il leur faudra alors sûrement se faire accompagner.

Pour en savoir plus, n’hésitez pas à nous contacter.

Nos experts peuvent vous faire bénéficier de leurs expériences en termes d’exigences et de bonnes pratiques liées à la résilience opérationnelle numérique, et peuvent vous accompagner de la révision de votre existant à la mise en conformité aux exigences de DORA.

Cet article La nouvelle réglementation DORA : qu’implique-t-elle ? est apparu en premier sur iDNA.

Bonjour Wissam, tout d’abord quel est ton parcours de formation ?

Initialement, je possède un master II en réseaux et systèmes distribués, validé en 2010. Depuis, je me forme en continu. J’ai suivi des formations sur les thèmes suivants : gestion de la sécurité de l’information, cybersécurité, gestion des risques, continuité d’activité, cloud, réseaux et systèmes …

Qu’est-ce qui t’a donné envie de te diriger vers l’univers de l’IT et d’en faire ton métier ? 

Je suis passionnée par les mathématiques depuis toute petite.

Je pense que j’ai été inspirée par mon père, qui était électronicien. Il m’a encouragée à me diriger vers l’informatique et l’IT est devenue une véritable passion au fil de mon apprentissage.

Peux-tu nous décrire ton métier ?

Actuellement je travaille dans le domaine de la GRC (Gouvernance Risques et Conformité), lié à la cybersécurité. Il s’agit principalement de s’assurer que l’entreprise fonctionne de manière éthique, légale et efficace tout en minimisant les risques potentiels. Pour ce faire, il est souvent nécessaire d’utiliser des processus,des technologies, ainsi que des outils spécifiques pour surveiller évaluer et gérer les activités liées à la gouvernance, au risque et à la conformité.

Qu’est-ce que tu préfères dans ce métier et pourquoi ?

Dans ce métier, ce qui me passionne le plus ce sont les challenges à relever, les hauts niveaux de décisions, ainsi que la collaboration entre l’IT et les métiers. Tout cela pour permettre l’évolution d’une organisation, de l’amener à un niveau de maturité élevé, mais aussi l’inscription dans une démarche d’amélioration continue.

Pourquoi as-tu décidé de rejoindre iDNA ?

Je ne connaissais pas iDNA. En lisant une offre d’emploi, j’ai découvert que c’est une société qui a une dizaine d’années de présence sur le marché, spécialisée dans les datacenters, le réseau, le cloud et la cybersécurité. Les points qui ont fait la différence pour moi : le sérieux et la réactivité d’iDNA. Aujourd’hui je pense avoir fait le bon choix.

As-tu rencontré certains obstacles liés au fait que tu sois une femme dans l’IT ?

Au travail, je ne me considère pas vraiment comme une femme mais plutôt comme un profil IT.

J’ai commencé ma carrière comme ingénieure réseaux et systèmes. Les femmes s’y font rares, surtout quand il s’agit d’intervenir sur le réseau d’un client. J’ai pu ressentir quelques jugements hâtifs au départ de certaines de mes interventions. En à peine quelques minutes d’intervention, ils revenaient sur leurs préjugés. J’ai trouvé cela plutôt drôle.

Je pense qu’en tant que femme, il faut mettre les choses au clair dès le départ et montrer qu’on est capable.

Qu’aimerais-tu dire aux étudiantes et étudiants de ce domaine ?  

C’est un domaine très vaste. Il faut d’abord s’atteler à comprendre l’ensemble avant de se spécialiser. De plus, il faut posséder certaines qualités. Le plus important selon moi est d’être passionné(e) et curieux(se), mais aussi savoir communiquer avec les autres, à différents niveaux.

Cet article Wissam : être une femme dans l’IT est apparu en premier sur iDNA.

Bonjour Nacer, peux-tu te présenter en quelques mots ?

N : Je suis consultant en cybersécurité depuis environ 5 ans. Mon expérience porte sur l’identification des problèmes de sécurité, l’évaluation des risques et la mise en oeuvre de solutions pour se prémunir contre les menaces qui pèsent sur les entreprises.

J’ai rejoint iDNA cette année, parce que c’est une entreprise à taille humaine spécialisée dans la cybersécurité. Actuellement je suis consultant spécialisé dans la sécurité du Cloud chez un de leurs clients : un grand groupe du secteur bancaire.

Peux-tu nous en dire plus sur ta mission actuelle ?

N : Je réponds aux besoins et aux sollicitations des interlocuteurs tels que les devops,  coachs,  chefs de projets… Ces besoins concernent l’utilisation des services AWS (Amazon Web Services). Je veille aussi à ce que son utilisation fasse l’objet d’une supervision appropriée.

J’ai des tâches en mode « RUN » :
Je gère les accès et les permissions des utilisateurs (AWS / Azure), également la réponse aux problématiques d’applications induites par le déploiement de certaines mesures de sécurité.

Je joue le rôle d’interface avec le Groupe :
En tant que représentant du département Cyber, j’interviens sur des sujets d’infrastructures partagées (type Landing Zone) et je fais évoluer les designs (modèle d’interconnexion hybride, OS Factory, vulnerability management, jogging…).

Actuellement je participe à l’étude Cloud-Native Application Protection Platform (CNAPP). J’identifie les besoins prioritaires en matière d’outils du CNAPP pour notre BU (Business Unit).

Je participe à des ateliers (Proof of Concept) organisés par les éditeurs pour identifier la solution la mieux adaptée aux besoins de notre BU et du Groupe en général.

Je représente l’équipe au sein des communautés de sécurité :
Ces dernières servent à prendre des décisions Groupe sur des sujets d’études précis.
En ce moment, je participe aux communautés de transformation dont l’objectif est d’identifier les analyses de risques réalisées par le Groupe sur les services Cloud (storage account, certificate manager, cloudfront…) pour être en mesure de challenger les contrôles préconisés, si besoin.

Je prends en charge les études et projets sécurité, comme l’AWS Data Perimeter, une réponse au risque de fuite de données « data leakage ». Nous veillons à ce que seules les identités de confiance du Groupe accèdent à des ressources de confiance, à partir de réseaux de confiance.

Il y a aussi l’IAM ROLES. On applique le principe du moindre privilège en fonction des services trustés par le Groupe, des demandes des utilisateurs, mais aussi de votre propre évaluation. On centralise le processus de création des rôles et la gestion des demandes d’exception.

Comment est organisée ton équipe ?

N : Mon équipe se compose d’un Team Leader, d’un Scrum Master et d’experts.

Le Team Leader coordonne nos projets et veille à ce que les objectifs soient atteints dans les délais impartis.
Le Scrum Master quant à lui fait en sorte que notre équipe reste efficace et alignée sur ses objectifs.
Nous sommes plusieurs experts dans le domaine du Cloud, que ce soit sur Azure ou sur AWS.

De quoi se compose une journée type ?

N : Je réponds aux demandes des interlocuteurs. Je gère les aspects opérationnels liés à la sécurité du Cloud. Je participe à des réunions ou des ateliers et je travaille sur des projets de sécurité.

Quels sont tes challenges ?

N : Je dois réussir à vulgariser les scénarios de risque pour convaincre les chefs de projets et les développeurs de mettre en œuvre rapidement les mesures de sécurité nécessaires.

Je dois également rester à jour des dernières évolutions en matière de sécurité Cloud.

Cet article Consultant en Cybersécurité Cloud : en quoi ça consiste ? est apparu en premier sur iDNA.

Cette icône est destinée à indiquer que la connexion entre le navigateur et le site web ne peut pas être altérée ou écoutée par un tiers.

Elle n’indique en aucun cas que le site web en question est fiable. En effet, presque tous les sites de phishing utilisent le protocole HTTPS et affichent l’icône de verrouillage.

En 2021, une étude menée par Google a démontré que seulement 11% des personnes interrogées comprenaient correctement la signification précise du verrou. Nombre d’entre eux ne savaient d’ailleurs pas que cliquer sur l’icône affichait des informations et des contrôles importants.

Google a donc expérimenté le remplacement de l’icône par un symbole plus neutre. Il s’est avéré que les utilisateurs cliquaient beaucoup plus et exprimaient nettement moins de confusion à son égard.

En conséquence, Google a décidé de remplacer officiellement l’icône de verrouillage par le symbole suivant :

Cette icône n’incite plus à penser que le site web est digne de confiance. Elle est également plus facilement cliquable puisqu’elle est plus généralement associée à des paramètres ou à un centre de contrôles.

Par ce nouveau symbole, Google compte donc éradiquer le malentendu selon lequel l’icône du verrou signifie qu’une page web est sécurisée.

Chrome continuera évidemment d’alerter ses utilisateurs lorsque leur connexion n’est pas sécurisée.

La nouvelle icône devrait être lancée dans la version Chrome 117, dont la date de sortie est prévue en septembre 2023.

Lien de l’article complet sur le blog Chromium (en anglais) :

https://blog.chromium.org/2023/05/an-update-on-lock-icon.html

Cet article Chrome remplace l’icône de verrouillage des adresses URL  est apparu en premier sur iDNA.