Expertise et confiance

Nos Centres d’expertise - Sécurité

Les ressources de notre centre d’expertise en sécurité sont des consultants aguerris et dûment certifiés. Grâce à cette équipe, Facilité Informatique est en mesure de satisfaire vos besoins en sécurité quels qu'ils soient :

Infrastructure à clef publique - solutions de sécurité OpenTrust


  Pour compléter notre offre, nous avons établi un partenariat avec OpenTrust afin de vous offrir une solution permettant de rendre vos systèmes plus robustes (cartes à puce). L'offre OpenTrust est essentiellement composée de 6 logiciels de sécurité : OpenTrust PKIOpenTrust SCMOpenTrust CNSOpenTrust eMobileOpenTrust eBankingOpenTrust SPI.

Facilité Informatique est fier d'annoncer que le logiciel OpenTrust-PKI a obtenu la certification Critère Commun (EAL3+).
Pour obtenir plus d'informations concernant les produits de sécurité OpenTrust et/ou obtenir une présentation OpenTrust, n'hésitez pas à nous contacter par courriel : venteopentrust@facilite.com



Les solutions OpenTrust permettent :

  • De sécuriser les infrastructures d’une entreprise : les routeurs CISCO, les VPN, le WiFi sécurisé par certificat, les contrôleurs de domaine Microsoft, les serveurs d’application, les applications elles mêmes, etc.
  • De sécuriser les postes de travail dans un environnement Microsoft, Linux, Unix, MacOS et les devices mobiles : SmartPhone (WindowsMobile6, BlackBerry, Iphone), les PDA, etc.
  • De sécuriser et de chiffrer/déchiffrer les informations : (dé)chiffrement de disques durs, de disques partagés, chiffrement de courriels, chiffrement de documents, ...
  • D’assurer la non répudiation grâce à la signature électronique : signature de courriels, signature de documents, signature de formulaires en ligne, etc.
  • De réduire le nombre d'identifiants utilisateurs et mots de passe en les remplaçant par une identité numérique unique placée dans une carte à puce. Ceci permet alors d’obtenir un accès physique aux bâtiments, stationnement souterrain, imprimantes (RFID), et un accès logique via SmartCard Logon. On parle de projet de convergence accès logiques TI et accès physiques.
  • De garantir la confidentialité et l'intégrité de l'information et d’une communication.
  • De supporter les migrations et la réimportation d’une solution (PKI ou ICP ou IGC) existante (Entrust, Microsoft, ...).
  • D’ajouter une couche de sécurité forte aux logiciels de GIA. OpenTrust travaille de plus en plus sur des projets d'intégration avec des solutions de GIA (IBM, Oracle/SUN, Novell, ...). Ceci permet de renforcer la gestion du cycle de vie d'un compte utilisateur tout en lui offrant une sécurité élevée. De plus, cela permet de garantir et de renforcer l'identité d'une personne ou d'une machine en lui apportant la possibilité de s'authentifier fortement, de faire du chiffrement et déchiffrement, ainsi que de la signature numérique.

Le même logiciel OpenTrust-PKI peut vous permettre d'accentuer la sécurité sur les comptes utilisateurs, mais également de renforcer la sécurité de votre réseau d'entreprise. OpenTrust et Facilité Informatique proposent un modèle financier plus intéressant et plus souple, ainsi qu'un éventail de fonctionnalités plus évoluées que nos concurrents.

Gestion des identités et des accès


Comment concilier deux tendances contradictoires: d’une part la liberté d’agir n’importe où et à tout moment, devenu possible grâce aux nouvelles technologies et, d’autre part, la sécurité des données personnelles, la protection des informations échangées et l’intégrité des transactions effectuées?

Notre offre de service sur la gestion des identités et des accès vous permet de naviguer parmi toutes les composantes de cette suite de solutions en retenant les composantes qui s’appliquent à votre contexte. Notre service d’accompagnement vous aidera dans les études préliminaires, la justification et la création du cahier de charges. Nos experts pourront ensuite être mis à contribution pour l’intégration et la définition des processus et règles d’affaires pour assurer le succès de ces initiatives stratégiques.

Sécurité organisationnelle et gouvernance


La confidentialité, l’intégrité et la disponibilité de l’information sont importantes pour maintenir l’avantage concurrentiel, la conformité juridique et l’image de marque d’une organisation sans sous-estimer les bénéfices financiers qui s’y rattachent. L’alignement de la sécurité de l’information avec la mission organisationnelle est primordial. Les politiques de sécurité constituent l'assise première sur laquelle l’organisation établira ses lignes directrices. Ces lignes directrices émanent de la haute direction de l’organisation et diffusent ses attentes, normes et règles concernant la sécurité.

Au lieu de créer les politiques de sécurité en réaction à une situation problématique ou avec l’objectif de rencontrer une norme, l’offre de Facilité Informatique porte sur le choix des activités critiques de l’entreprise et leur portée. Dès qu’une activité est retenue, toutes les étapes menant au contrôle opérationnel sont immédiatement créées en respectant l’intégrité documentaire. Cette approche du haut vers le bas permet une concordance entre les objectifs organisationnels et les politiques qui en découlent, l’uniformité dans l’application de la sécurité d’un service à l’autre, facilite la conformité aux lois et règlements et réduit le risque des administrateurs.

Plan directeur de sécurité


Notre service d’accompagnement dans la création d’un Plan Directeur de sécurité procède par la mise en place d’une méthode structurée de collecte et d’analyse d’information qui mènera à la formulation de recommandations et à la création du Plan Directeur des Infrastructures de Sécurité Informatique. En cours de projet, Facilité Informatique s’assurera d’effectuer les validations appropriées auprès du client. Ces points de contrôle seront effectués avec le soutien de documents ou de présentations.
La figure 2 représente le cycle complet de la démarche de réalisation du Plan Directeur des Infrastructures de Sécurité Informatique incluant les points de contrôle.

Le projet sera mené selon une méthodologie proposée par le gouvernement du Québec pour ses Ministères et organismes qui définit les activités en quatre phases.

Gestion de la conformité


Les entreprises sont souvent confrontées à des obligations de conformité à des normes générales comme la Loi sur la Protection des renseignements personnels ou à des règles sectorielles telles la conformité PCI pour les marchands et les exigences du NERC pour le secteur de l’énergie. Les gestionnaires doivent souvent ajouter ces tâches à leur agenda déjà chargé et essayer de comprendre la portée de ces lois et règlements sur leur exploitation.

Facilité Informatique possède l’expertise d’affaire et la compétence technologique pour supporter les entreprises dans l’atteinte de ces objectifs de conformité. Nos spécialistes ont développés des gabarits et autre outils pour identifier les écarts et proposer un plan d’action pour mettre en place les processus et contrôles requis par ces obligations. Notre assistance vous permettra de garder le focus sur vos activités spécifiques et vous permettra d’éliminer les effets que la non-conformité pourrait avoir sur vos activités commerciales.

En plus d’assurer le respect des exigences liées à la conformité, le service de conformité offre un certain nombre d’avantages stratégiques à divers niveaux de votre entreprise :

  • Du point de vue organisationnel, la certification s’inscrit dans le cadre d’un processus de diligence raisonnable et permet de s’assurer de l’efficacité de vos efforts visant à sécuriser votre entreprise à tous les niveaux.
  • Du point de vue juridique, la certification démontre que votre entreprise respecte l’ensemble des lois et règlements applicables.
  • Du point de vue de l’exploitation, le processus de certification vous permet de mieux comprendre les systèmes d’information, leurs faiblesses, la façon de les protéger et la façon de s’assurer que des politiques et des procédures plus fiables sont en place.
  • Du point de vue commercial, comme pour les normes de la série ISO 9000 qui sont mises au point pour permettre aux organisations de conserver un système de gestion de qualité, cette norme représente une marque de confiance à l’égard de vos capacités en matière de confidentialité, d’intégrité et de disponibilité. Vos partenaires, actionnaires et clients obtiennent l’assurance que vos données et vos systèmes sont sécuritaires.
  • Du point de vue financier, l’utilisation d’un système de gestion de la sécurité basé sur des normes permet de réduire les coûts liés à la violation des règles de sécurité, ce qui est important pour les intervenants et les autres investisseurs, et de réduire aussi le montant des primes d’assurance.
  • Du point de vue humain, le processus sensibilise les employés par rapport aux questions de sécurité et à leurs responsabilités au sein de l’entreprise.

Le forfait Analyse de la conformité aux normes de sécurité de l’information de Facilité Informatique s’exécute en trois étapes :

  • Une évaluation initiale de votre niveau de conformité actuel.
  • Une analyse détaillée des résultats.
  • Un guide pour atteindre la conformité et la conserver.

Architecture de sécurité


L’architecture de sécurité doit couvrir un ensemble de mesures pour assurer la disponibilité, l’intégrité et la confidentialité. La solution d’Architecture de sécurité de Facilité Informatique propose des mesures de sécurité couvrant l’ensemble des mesures d’intervention possible en:

  • Prévention
  • Détection
  • Réaction

Prévention
Prendre les moyens nécessaires pour protéger les actifs critiques. Elle consiste le plus souvent à adopter la démarche suivante :

  1. Analyse des risques
  2. Définition d'une politique de sécurité
  3. Mise en œuvre d'une solution centrée sur la protection du périmètre physique
  4. Audit des solutions
  5. Mises à niveau des écarts

Détection
Le principe est d'être capable de détecter lorsque les mesures de prévention sont prises en défaut. La détection exige un suivi permanent de l'état des systèmes à protéger et des mécanismes de diffusion des alertes générées. Facilité Informatique vous appuiera à la mise en place de ces outils de détection et au développement des processus d’escalade et de gestion des incidents.

Réaction
S'il est important de savoir qu'une attaque est en cours ou qu'une attaque a réussi il est encore plus important de se donner les moyens de réagir à cet état de fait. Facilité Informatique vous supporte dans la mise en œuvre de procédures d'exploitation spécifiques en cas d'attaque, la rédaction et le test d'un plan de continuité à utiliser en cas de sinistre grave.

Intégration des technologies


Sécurité des réseaux et systèmes


Analyse de risque


Dans son offre de sécurité des technologies de l'information, Facilité Informatique propose des produits et services d'analyse des risques.

Cette évaluation des risques est l'étape préliminaire à la mise en place des technologies de sécurité. En effet, l'analyse des risques permet à l’organisation de quantifier et de qualifier, à partir de métriques, les risques inhérents aux technologies de l'information mises en place dans l'organisation, d'identifier ses priorités et de définir les niveaux de sécurité adéquats à mettre en place.

Cette étape permettra également à l’organisation d'effectuer l'inventaire de ses actifs informationnels et de les classifier en fonction du niveau de sécurité requis.

Processus de sécurité et bastionnage


Le bastionnage des systèmes est le processus d'évaluation et de correction de la posture de sécurité d’un système pour en protéger le fonctionnement contre des accès illégitimes venant de l’externe. Ces procédures sont personnalisées pour chaque entreprise selon les services à livrer et la fonction de la composante dans la livraison de ce service.

Généralement le bastionnage est accompli sur chacune des couches du serveur ou de la composante du réseau en supprimant les services superflus, en appliquant les correctifs de sécurité, et en appliquant un contrôle serré des accès. Comme les attaques et les outils de piratage deviennent de plus en plus sophistiqués, les entreprises doivent s'assurer que leurs systèmes sont constamment mis à jour pour prévenir ces attaques. La démarche de bastionnage est généralement précédée d’une classification des actifs et de l’identification des composantes supportant la livraison de services critiques.

Notre service de bastionnage (hardening) contribue de la façon suivante à votre succès :

  • Veille à ce que les ressources critiques soient mises à niveau avec les derniers correctifs dans le but de prévenir la possibilité de déni de service, de panne ou de problèmes de performance.
  • Active le déploiement rapide d'une configuration de base sécuritaire dans le cadre d’un rétablissement de service à la suite d'un incident de sécurité, et facilite l'audit d'un serveur pour les changements de dernière minute.
  • Évalue l'infrastructure globale de sécurité, en identifie les faiblesses et de fournit des recommandations pour améliorer la posture de sécurité de votre entreprise.
  • Améliore la sécurité des systèmes, autant que possible, avant de tout audit de conformité d’une firme externe.
  • Assure la continuité des opérations, en empêchant les virus et les chevaux de Troie de se propager à de multiples systèmes.
  • Réduit les risques associés à la malice et de l'erreur humaine.


Continuité des activités


La planification de la continuité des activités fait partie intégrante de l’offre Continuité des affaires et résilience pour entreprise. Ce processus de planification proactive assure le maintien des activités essentielles durant un dérangement que ce soit une crise interne à vos activités propres ou étendue à une région comme la pandémie.
La planification de la continuité des activités comprend :
  • Des plans, des processus et des dispositions pour assurer la continuité des activités critiques sur site ou hors site.
L’identification des ressources requises pour assurer la poursuite des activités de l’entreprise, notamment sur le plan du personnel, de l’information, de l’équipement et des installations.