IT Audit

Toute organisation, qu’elle soit grande ou petite, doit pouvoir gérer les risques informatiques de manière adéquate. Ces risques peuvent concerner tant la sécurité des informations, la confidentialité des données, que la gouvernance IT, la gestion des risques, voire la gestion de projet. Les risques informatiques doivent être maîtrisés adéquatement car ils pourraient avoir un impact négatif sur la rentabilité et la réputation de votre organisation.

Notre équipe d’audit IT peut fournir une assurance raisonnable quant à l’efficience, l’efficacité et la sécurité de vos systèmes d’information. Nous pouvons assister votre service informatique ou votre audit interne en prestant des missions d’audit complètes ou en externalisant des profils spécifiques disposant de l’expertise requise.

Comment vous aider?

Notre équipe d’audit IT dispose de l’expertise et de l’expérience nécessaire pour pouvoir évaluer, entre autre, les domaines d’audit suivants :

  • La cyber sécurité
  • La sécurité de l’information
  • La conformité (directives GDPR, NIS, …)
  • La gouvernance informatique
  • La gestion des risques informatiques
  • La gestion de portefeuille et de projet
  • La gestion de service informatique
  • Le PGI/ERP et les systèmes financiers
  • La sécurité du cloud
  • L’automatisation de processus robotique (APR/RPA)
  • La gestion de la continuité des activités et planification de reprise après sinistre

Tous nos auditeurs informatiques sont des auditeurs certifiés de systèmes d’information (ACSI) et sont certifiés COBIT5.

back to top

La gouvernance informatique

Via l’innovation technologique, les cyberattaques et violation de données, les organisations sont en permanence confrontées à des défis d’évolution rapide. Simultanément, les organisations sont confrontées à des demandes et à des attentes croissantes de la part de leurs clients, du législateur et d’autres parties prenantes.

La gouvernance informatique est cruciale pour gérer la diversité de risques au sein de l’organisation et pour garantir de manière adéquate la création de valeur informatique.

La gouvernance informatique ou la saine gestion informatique consiste à appliquer un cadre de structures, de processus et de mécanismes relationnels permettant de parvenir à un meilleur alignement entre l’informatique et l’organisation.

Comment vous aider?

Nos audits et évaluations de la gouvernance informatique sont basées sur le cadre COBIT et fournissent les informations et recommandations nécessaires concernant entre autre : 

  • L’alignement de la stratégie informatique sur la stratégie et les objectifs de l’organisation
  • La création de valeur par l’informatique vers l’organisation
  • L’optimalisation des ressources informatiques
  • La gestion de projet et de portefeuille
  • La gestion de risque informatique
  • La mesure et le suivi des performances informatiques

Tous nos auditeurs informatiques sont des auditeurs certifiés de systèmes d’information (ACSI) et sont certifiés COBIT5.back to top

Sécurité des données et confidentialité

La numérisation des processus d’entreprise entraîne une forte augmentation de la quantité de données disponibles. Simultanément, les organisations sont confrontées à des violations de données et des cyberattaques ainsi qu’à des attentes croissantes de la part du législateur (RGPD/GDPR). S’ils ne sont pas contrôlés de manière adéquate, ces risques peuvent avoir un impact négatif sur la rentabilité et la réputation de l’organisation.

Le RGPD (Règlement Général pour la Protection des Données) implique l’application de nouvelles dispositions plus strictes en matière de traitement des données. Le RGPD, en vigueur depuis mai 2018, porte sur la gestion et la sécurité des données personnelles des citoyens européens.

Les organisations devraient donc prendre les actions et mesures nécessaires concernant :

  • La réalisation d’une analyse de la confidentialité (privacy scan)
  • La prise de conscience et la sensibilisation
  • La cyber sécurité
  • Les procédures de collectes et de stockage de données personnelles
  • La gestion des contrats
  • La surveillance 

Selon le cas, votre organisation peut également être tenue de nommer un délégué à la protection des données (DPD). Pour plus d’informations sur notre DPD-As-a-Service, veuillez consulter la brochure ci-dessous

Comment vous aider?

Nous proposons les services suivants :

  • DPD-As-A-Service
  • Audit de conformité au RGPD
  • Appui à la mise en œuvre des mesures du RGPD
  • Audit de sécurité de l’information

back to top

SOC Rapport – ISAE3402/ISAE3000

Rapport d'assurance tiers

Les organisations sous-traitent souvent un ou plusieurs de leurs processus d’entreprise à un tiers qui fournit des services spécialisés. De cette manière, des informations confidentielles et ou à caractère personnel sont également partagées entre l’organisation et le prestataire de services. Il peut s’agir de transactions financières, de données médicales, d’informations sur les clients, etc.

Dans le même temps, les entreprises sont confrontées à des risques croissants de fuite de données, de cyberattaques et à une législation croissante portant sur la confidentialité. Les clients, les auditeurs, les superviseurs et autres parties prenantes de l’organisation demandent donc à obtenir une certitude suffisante quant aux mesures de contrôle nécessaires prises par le prestataire de services afin que la confidentialité, l’intégrité et la disponibilité des données et des systèmes soient garanties avec une certitude raisonnable.

Le prestataire de services ou un tiers peut fournir efficacement le confort nécessaire aux clients et aux parties prenantes de l’organisation. Moyennant un rapport unique au sujet du système de contrôle et d’organisation (System & Organisation Controls ou SOC Rapport de type ISAE 3402 ou ISAE 3000), toutes les parties prenantes pourront être informées des mesures de contrôle existantes.

Pour plus d’informations, veuillez consulter le lien ci-dessous

Comment vous aider?

  • Attestation ISAE 3402 (SOC1) mettant l’accent sur les risques et les contrôles de l’information de l’information financière
  • Attestation ISAE 3000 (SOC2) mettant l’accent sur les risques liés à la sécurité, la disponibilité, la confidentialité, l’intégrité et la confidentialité des données
  • Rapport de qualité à un prix correct

back to top

ISO 27001

Mise en place d'un système de sécurité de l'information

Aucune organisation n’est à l’abri des cyberattaques ou des violations de données. Il est cependant crucial pour une organisation d’assurer suffisamment la confidentialité, la disponibilité et l’exactitude des informations pour atteindre ses objectifs.

La mise en place d’un système de gestion de la sécurité de l’information (SGSI/SMSI) garantit une approche systématique et fondée sur les risques qui prend en compte les rôles et responsabilités au sein de l’organisation, les processus ainsi que les systèmes informatiques de support pour protéger vos informations. Une telle approche répond aux risques de sécurité de l’information et constitue également une carte réalisable pour chaque organisation, qu’elle soit grande ou petite.  

 
Qu'est-ce que l'ISO 27001?

L’ISO 27001 est la norme internationale en matière de sécurité de l’information. La norme décrit les exigences relatives aux politiques, procédures, processus et systèmes qui doivent être mis en place afin de gérer de manière adéquate les risques de sécurité de l’information en tant qu’organisation.

Pourquoi l'ISO 27001?

  • En tant qu’organisation, vous pouvez faire le choix d’obtenir le certificat ISO 27001. De cette façon, vous donnez à vos clients (et aux autres parties prenantes concernées) le confort nécessaire concernant la sécurité de leurs données 
  • Vous offrez non seulement le confort nécessaire aux clients existants, mais vous informez également les clients potentiels de l’attention et du soin que votre organisation accorde à la sécurité des informations sensibles. Bref, c’est un moyen de vous distinguer de vos concurrents !
  • Un système de sécurité de l’information basé sur l’ISO 27001 garantit également que vous respectez la législation pertinente (le RGPD, par exemple)
  • Lors de l’implémentation de l’ISO 27001, les rôles, les responsabilités et les procédures sont clairement constatés et documentés de manière à ce que votre organisation gagne en efficacité
  • Les risques de continuité au sein de votre organisation sont réduits au minimum

Comment vous aider?

Notre expertise en sécurité de l’information et en gestion des risques, vous aidera à :

  • Mettre en place un système de sécurité de l’information dans votre organisation
  • Préparer et guider votre organisation pour l’obtention du certificat ISO 27001
  • Évaluer votre système de sécurité de l’information et formuler des recommandations concrètes pour augmenter la maturité  

Notre approche se veut pragmatique et nous vous offrons les conseils nécessaires de manière efficace et rentable.

Pour plus d’informations, veuillez consulter le lien ci-dessous

back to top

L'exploration de processys (Process Mining)

Améliorer l’efficience et l’efficacité de vos processus organisationnels

Vos processus organisationnels numérisés ne se déroulent pas toujours comme prévu ou attendu. Cela peut par exemple signifier que le délai d’exécution de votre processus augmente (efficience) ou que les contrôles nécessaires ne sont pas effectués ou qu’ils sont contournés (efficacité).

La complexité et la numérisation des processus organisationnels a pour conséquence qu’il est souvent difficile de les comprendre et de les contrôler pleinement afin de garder le doigt sur le pouls.

Afin d’améliorer vos processus, il est donc nécessaire dans un premier temps de les comprendre et d’avoir une vision complète de leur déroulement dans la réalité.

La numérisation des processus organisationnels fournit également une quantité croissante de données capturées par les systèmes informatiques. Ces données sont à la disposition de votre organisation et offrent de nouvelles opportunités !

L’exploration de processus permet d’analyser les données disponibles et fournit de nouvelles informations sur l’efficience et l’efficacité de vos processus organisationnels. De cette façon, les processus peuvent en permanence être mieux gérés et améliorés.  

Vous êtes-vous déjà demandé :

  • comment vos processus (p.e. achat, vente) se déroulaient en réalité ?
  • si le déroulement réel de votre processus était conforme aux attentes ou comment il avait été élaboré ?
  • comment certains processus pouvaient-ils être optimalisés ?
  • où se trouvaient les goulots d’étranglement et les inefficacités dans les processus ?

Qu'est-ce que l'exploration de processus / 'process mining'?

L’exploration de processus est une technique d’exploration de données qui permet d’analyser et de visualiser la réalité des processus organisationnels et de les comparer avec la théorie (« comment devrait fonctionner le processus »). Lors de l’exploration de processus, des algorithmes spécifiques sont appliqués aux transactions enregistrées dans vos systèmes informatiques (journaux d’évènements). Ces journaux d’évènements contiennent des données qui peuvent conduire à des informations précieuses et basées sur des faits. En principe, l’exploration de processus peut être appliquée à tout processus numérisé (achat, vente, gestion des incidents, etc).

Comment vous aider?

Partant de votre question, problème et contexte, nous identifions en premier lieu les données pertinentes et les extrayons ensuite de votre système informatique. Ces données doivent ensuite être nettoyées et converties avant d’être téléchargées vers l’outil d’exploration de processus. L’outil analysera automatiquement les données du processus et nous permettra d’avoir un aperçu rapide du déroulement réel de votre processus, des écarts par rapport au processus attendu ou souhaité et des goulots d’étranglement et des inefficacités possibles qui surviennent.

Pour plus d’informations, veuillez consulter le lien ci-dessous

back to top

L'évalutation de la cyber sécurité

L’innovation technologique et la numérisation ont un impact indéniable à la fois sur notre quotidien et sur l’organisation de nos processus d’entreprise. Dans le même temps, nous assistons à une cybercriminalité croissante (phising, ransomware, ingénierie sociale, etc) qui menace la rentabilité et la réputation de votre organisation. En outre, les organisations sont confrontées à des demandes croissantes du législateur et d’autres parties prenantes.

Pour de nombreuses organisations, grandes ou petites, il est difficile de gérer correctement ces cyber-risques et de fournir les mesures de contrôle nécessaires et adaptées à l’organisation.

  • Quelles est la maturité de la cyber sécurité de votre organisation ?
  • Quels sont les risques les plus élevés et inacceptables pour votre organisation ?
  • Êtes-vous conforme au RGPD ?
  • Quels investissements dans la cyber sécurité sont une priorité pour votre organisation et pourquoi ?
 
Évaluation de la cyber sécurité

Nous pouvons identifier les cyber menaces dans 3 domaines principaux : la technologie, les personnes et les processus. Il est donc logique d’aborder la cyber sécurité en couches, en tenant compte de ces 3 domaines. Sur la base de référentiels internationalement reconnus (NIST, ISO 27001, CIS), nous avons développé une méthodologie qui nous permet d’évaluer votre cyber environnement. De plus, les exigences légales du RGPD  ont été intégrées également.

Comment vous aider?

Nos outils permettent d’évaluer les contrôles technologiques au sein de votre organisation. Nous pouvons vous aider avec :

  • L’évaluation des vulnérabilités du réseau : évaluer et analyser votre réseau informatique pour identifier les vulnérabilités éventuelles
  • L’évaluation des vulnérabilités des applications web : identification des vulnérabilités possibles des applications web
  • Test de pénétration : simulation d’une cyber attaque pour passer en revue les données disponibles
  • Gestion des accès : évaluation du contrôle d’accès logique aux systèmes informatiques

Nous vous accompagnons via :

  • La détermination et la mise en place d’une stratégie de formation des collaborateurs et la création d’une sensibilisation suffisante
  • La formation en cyber sécurité permettant d’améliorer la sensibilisation des employés

Enfin, nous vous offrons l’assistance pour les processus via :

  • L’évaluation des politiques et procédures, leur amélioration et leur implémentation
  • Les conseils pour la mise en place du cadre de gouvernance ou de contrôle au sein de votre organisation

Pour plus d’informations, veuillez consulter le lien ci-dessous