Offre de services

CFSSI vous offre des services-conseils aux niveaux stratégique, tactique et opérationnel. Avec l'expertise qu'elle possède, notre firme est en mesure de vous aider dans les domaines suivants :

Formation et sensiblisation

Formation

La formation en sécurité de l'information vise à développer les compétences des employés de l'entreprise dans les divers domaines de la sécurité (architecture, gestion des risques, sécurité physique et environnementale) afin d'assurer la sécurité des ressources informationnelles et permettre de répondre aux besoins d'affaires organisationnels. La formation permet de s'assurer que les employés et les dirigeants de l'entreprise parlent le même langage, utilisent l'ensemble des bonnes pratiques de l'industrie de la sécurité informationnelle, et ce, de manière efficiente. La formation est donc la clé du succès de toute stratégie de sécurité organisationnelle, car il est primordial que les employés et les dirigeants possèdent le bon niveau de connaissance en fonction du rôle que chaque employé occupe au sein de l'entreprise. Bref, les meilleures mesures technologiques seront vaines si les collaborateurs ne savent pas les appliquer ou ne les comprennent pas.

Sensibilisation

La sensibilisation en sécurité de l'information se veut un éveil aux menaces, risques et vulnérabilités qui nous entourent. Elle vise à développer des comportements sécuritaires et à adopter de bonnes pratiques en matière de sécurité. Si un employé ou un dirigeant n'est pas sensible à la sécurité de l'information, il sera difficile de lui faire accepter les mesures de sécurité que l'on veut mettre en place. C'est pourquoi, il faut savoir cibler les différents groupes d'individus afin de trouver les bons exemples et identifier les risques et les menaces auxquels ils font face. La sensibilisation exige un travail de collaboration importante avec les membres de l'entreprise pour mieux comprendre les contraintes que les spécialistes de la sécurité mettent en place. Enfin, il ne faut pas oublier que pour avoir du succès en sensibilisation, il faut en faire un processus continu et suivre l'actualité en sécurité de l'information afin de se garder à jour sur une base régulière.

Investir en formation et en sensibilisation

La sécurité de l'information ne se limite plus à implanter des technologies pour protéger son entreprise. La sécurité dépend du plus faible de ses maillons. Plus souvent qu'à son tour, c'est l'humain qui compromet la sécurité. Ce dernier fait partie des mécanismes de défense, tout comme la technologie. Il est primordial que les employés de l'entreprise, incluant ses dirigeants, comprennent qu'ils ont un rôle essentiel à jouer en sécurité, et ce, quel que soit son niveau hiérarchique dans l'entreprise. En investissant en formation et en sensibilisation, on augmente de façon significative la sécurité de l'entreprise, tout en s'assurant que les besoins d'affaires seront pris en compte et que les solutions à implanter seront appropriées.

Notre approche

Pour parvenir à mettre en place la formation et la sensibilisation en sécurité de l'information, il faut couvrir les niveaux stratégique, tactique et opérationnel. CFSSI élabora avec vous une vision qui tient compte des besoins d'affaires qui se traduit par un plan stratégique visant une période de 3 à 5 ans. Du point de vue tactique, le tout se concrétise par des programmes de formation et de sensibilisation qui permettront d'atteindre la vision qui fait partie intégrante du plan stratégique. Enfin, au point de vue opérationnel, c'est la mise en place de processus pour soutenir ces programmes. Tout au long de votre cheminement, CFSSI vous accompagnera et déterminera avec vous, vos besoins en la matière, et ce, tout en tenant compte de la mission et la vision d'affaires de l'entreprise ainsi que vos préoccupations.

Formation et sensibilisation sur mesure

En plus de son service de mise en place de la formation et de la sensibilisation en sécurité de l'information, CFSSI peut développer des activités de formation et de sensibilisation sur mesure, ainsi que des campagnes de sensibilisation qui seront adaptées à votre réalité. Contactez-la, son équipe se fera un plaisir de vous rencontrer pour déterminer vos besoins en la matière.

Gestion des incidents

Incident

On parle d'un incident, en sécurité de l'information, dès l'instant où la disponibilité, l'intégrité ou la confidentialité a été compromise. La disponibilité consiste à pouvoir accéder à des données, au moment voulu, par les personnes ayant besoin de celles-ci pour accomplir leur travail. L'intégrité vise à s'assurer que les données ne sont pas modifiées ou supprimées à l'insu des personnes ayant l'habileté de les gérer. Enfin, la confidentialité a pour objet de limiter l'accès aux données uniquement aux gens ayant l'habileté de les consulter, les modifiés et les supprimer.

Vérification

Dès l'instant qu'un incident, en sécurité de l'information, est confirmé, on doit alors trouver la ou les causes de celui-ci, et s'il y a lieu, les éléments de preuve lorsque des accusations doivent être portées contre un individu. Dans le cas où une preuve informatique doit être présentée au tribunal, on parle alors d'enquête qui consiste à recueillir, analyser et présenter cette preuve.

S'organiser face à l'ennemi

La cybercriminalité est en pleine expansion et personne n'y échappe. Du simple " hacker ", autrefois, qui voulait comprendre le fonctionnement d'un système informatique ou s'introduire dans celui-ci pour montrer ses habiletés, nous sommes maintenant à l'air de la cybercriminalité et d'hacktivisme. L'affaire du piratage du réseau Sony Play Station Network nous rappelle qu'il faut être bien préparé lorsqu'un incident de sécurité survient. Il ne suffit pas de corriger le problème, mais il faut apprendre et améliorer nos interventions dans ce domaine.

Notre approche

Pour se préparer adéquatement à un prochain incident, il faut mettre en place les processus nécessaires pour la préparation, la détection, l'analyse, le confinement, l'éradication, le recouvrement et le bilan d'un incident. Notre approche est basée sur la norme du NIST SP 800-61, et CFSSI l'adapte à votre entreprise.

Une expertise à votre service

CFSSI peut vous accompagner dans l'une des étapes de la gestion d'un incident. Elle a l'expérience requise pour bien vous conseiller dans ce domaine.

Vérifications de sécurité informatique

Procéder dans les règles de l'art

Les vérifications informatiques permettent de rechercher des éléments de preuve, que ce soit pour une utilisation illicite d'un ordinateur par un employé ou bien l'envoi d'un courriel personnel. Malgré qu'un poste informatique puisse appartenir à l'entreprise, un employeur ne peut pas procéder à des vérifications s'il n'a pas informé ses employés qu'il peut le faire. Ceci devrait d'ailleurs faire partie intégrante d'une directive qui se rattache à la politique de sécurité.

Avant de collecter des preuves, vous devriez être conseillés par les ressources humaines ainsi qu'un conseiller juridique. Ceci est important puisque l'entreprise risque de contrevenir à un article d'une convention collective ou d'un contrat de travail ou même d'une loi. Même si ce n'est pas le cas, pour prendre des mesures disciplinaires ou bien porter des accusations envers un employé, il faut s'assurer que l'on puisse prouver, hors de tout doute, que les actes qu'on lui reproche ont bien été commis par celui-ci. Si vous deviez porter plainte à la police, il faut que votre preuve soit bien documentée.

Notre approche

Avant de procéder à des vérifications de sécurité informatique, CFSSI s'assure que certains prérequis existent avant d'aller de l'avant, notamment que les employés ont été informés que l'entreprise peut faire de telles vérifications. De plus, elle travaille avec le service des ressources humaines et, le cas échéant, votre conseiller juridique afin de respecter votre cadre juridique. Aussi un plan de vérifications de sécurité informatique doit être approuvé afin de délimiter la portée des vérifications et décrire la démarche visant à collecter des éléments de preuve. Dès que ce plan obtient l'aval de l'entreprise, CFSSI procède aux vérifications. Elle produit par la suite un rapport contenant les résultats de celles-ci et communique ces résultats ainsi que des recommandations.

Une expertise à votre service

CFSSI a de l'expérience dans le domaine des vérifications. Elle a eu l'occasion de travailler avec les corps policiers pour produire des éléments de preuve dans le cadre d'enquête. Son approche systématique permet de s'assurer que les éléments de preuves soient bien documentés et qu'ils ne soient pas altérés. Lors d'une vérification informatique, la confidentialité et l'intégrité sont essentielles. Une rencontre avec vous saura vous convaincre qu'elle a l'expertise dont vous avez besoin.

Services-conseils

Les bonnes mesures, aux bons endroits

Par les années passées, les gens qui s'occupaient de l'implantation d'une solution technologique mettaient en place des mesures de sécurité sans prendre en compte les besoins d'affaires et sans vérifier si ces mesures étaient les meilleures. Est-ce qu'un pare-feu peut vous protéger d'un trou de sécurité dans une application Web? Supposons que vous avez une base de données sur ce même serveur, et qu'un trou de sécurité existe sur une de vos applications Web, serez-vous protégé? Si votre application Web n'est pas sécuritaire, il y a un risque que quelqu'un puisse obtenir des renseignements confidentiels se trouvant dans votre base de données. La mise en place d'un pare-feu, dans un tel cas, ne garantit pas la protection de cette dernière.

Notre approche

CFSSI souhaite bien comprendre vos besoins d'affaires et travaille avec vous pour faire l'inventaire des mesures de sécurité en place ou celles à mettre en place. En plus d'être adaptées à votre environnement, CFSSI s'assurera que vous aurez un retour sur l'investissement. Un plan pour prioriser ces mesures pourra également être élaboré avec vous afin que celui-ci s'aligne avec vos priorités.

Une expertise à votre service

CFSSI s'appuie sur des normes internationales reconnues et utilise les meilleurs pratiques du marché pour vous donner le meilleur rapport qualité prix. Pour bien comprendre votre environnement et vos besoins, CFSSI peut vous conseiller en matière de sécurité de l'information.

Sécurisation du courrier électronique

Pour échanger des courriels en toute sécurité

Le courriel est un moyen de communication qui a révolutionné nos vies. On l'utilise à toutes les sauces: pour planifier des réunions, échanger des documents, communiquer avec nos proches lorsque nous sommes à l'extérieur, etc. Saviez-vous que les communications peuvent être interceptées, ce qui peut compromettre la confidentialité de certains documents qui doivent rester confidentiels? Comment peut-on être certain qu'un courriel que l'on reçoit a bien été envoyé par la personne qui prétend être l'auteur du message? Comment peut-on se protéger contre les virus et le pourriel? Si vous possédez votre propre infrastructure de courriel ou que vous avez imparti votre service de courriel, c'est important de pouvoir répondre à ces questions.

Notre approche

Pour bien vous conseiller dans ce domaine, il faut d'abord déterminer comment vous gérez votre courriel. Si vous gérez vous-même votre infrastructure de courriels, nous évaluerons la sécurité de celle-ci et nous vous ferons des recommandations, telles que l'utilisation de protocoles sécurisés, l'utilisation de signature électronique ou bien la mise en place d'une solution pour contrer les virus et les pourriels. Si le service vous est offert par un fournisseur externe, nous verrons avec vous quelles mesures sont mises en place pour assurer la confidentialité de vos échanges de courriel. Tout cela, CFSSI le fait avec vous.

Une expertise à votre service

CFSSI possède plusieurs années d'expérience dans la gestion du courrier électronique. Son personnel a géré des infrastructures contenant des dizaines de milliers de comptes de courriel. Elle a une expertise dans les infrastructures Unix, les serveurs antivirus et antipourriels. Pour en savoir plus, prenez rendez-vous, CFSSI ira vous rencontrer pour en discuter plus en détails.

Sécurisation d'un envrionnement Unix

Contrôler et maitriser Unix

Pour les néophytes, un système Unix peut paraître complexe à gérer. Est-ce que votre personnel possède toute l'expertise pour sécuriser adéquatement vos serveurs? Saviez-vous que même si l'on est protégé contre des virus de type Windows, votre serveur ou vos postes de travail Unix peuvent être aux prises avec un " rootkit "? Voilà des questions à considérer afin de déterminer si vous avez besoin d'une expertise externe pour sécuriser vos environnements Unix. CFSSI vous conseille d'utiliser les services de personnes d'expérience, si vous voulez éviter que votre environnement Unix soit compromis.

Notre approche

CFSSI va travailler avec votre ou vos administrateurs Unix et utiliser des normes reconnues et des outils pour vous aider à évaluer la sécurité de votre environnement. Elle peut aussi vous accompagner dans l'implantation et l'administration de serveurs Unix, et même former votre personnel afin de le rendre autonome. Que ce soit pour l'administration d'un serveur de courriel, d'un serveur de noms (DNS), d'un serveur Web ou des services s'exécutant sur Unix, CFSSI répondra à vos besoins.

Une expertise à votre service

CFSSI compte plus de 20 ans d'expérience dans l'administration de serveurs Unix et la gestion de différentes saveurs Unix (Solaris, HP-UX, AIX, ConvexOS, MacOS X, True64, Ubuntu). Elle sait gérer un système Unix en ligne de commandes, mettre en place des automatismes, développer des " scripts "... Une rencontre suffira à vous convaincre de son expertise.