KEONI CONSULTING
1. Contexte de la missionDans un contexte de renforcement des exigences réglementaires, normatives et opérationnelles en matière de cybersécurité, l'organisation souhaite évaluer la maturité de son système d'information, identifier les risques prioritaires, mesurer les écarts de conformité et définir une trajectoire de remédiation pragmatique et priorisée. 2. Objectifs de la mission· Évaluer la maturité cybersécurité du système d'information au regard des bonnes pratiques et référentiels de référence, notamment ANSSI, NIS2 et ISO 27001. · Identifier les risques cyber majeurs, les vulnérabilités critiques et les écarts de conformité. · Analyser les dispositifs de gouvernance, de protection, de détection, de réaction et de résilience. · Proposer un plan de remédiation priorisé, réaliste et adapté aux enjeux métiers, techniques et réglementaires. · Fournir une synthèse claire à destination des parties prenantes techniques, métiers et décisionnelles. 3. Périmètre d'intervention· Gouvernance SSI, politique de sécurité, organisation et rôles associés. · Gestion des identités et des accès, authentification, habilitations et revues de droits. · Sauvegardes, restauration, continuité d'activité et reprise d'activité : PRA/PCA. · Gestion des incidents de sécurité, procédures d'escalade, journalisation et supervision. · Gestion des vulnérabilités, processus de mise à jour, durcissement et remédiation. · Conformité aux référentiels et exigences applicables : ANSSI, NIS2, ISO 27001 et bonnes pratiques de cybersécurité. 4. Activités principales· Préparer et cadrer la mission : collecte documentaire, entretiens, définition du périmètre et du planning d'audit. · Réaliser les entretiens avec les parties prenantes métiers, IT, sécurité, exploitation et direction. · Analyser les processus, procédures, politiques, preuves documentaires et dispositifs techniques existants. · Évaluer le niveau de maturité cybersécurité et identifier les écarts par rapport aux exigences de référence. · Cartographier les risques, vulnérabilités et points de faiblesse prioritaires. · Formuler des recommandations opérationnelles, organisationnelles et techniques. · Construire un plan d'actions priorisé selon le niveau de criticité, l'effort de mise en œuvre et l'impact attendu. · Présenter les résultats de l'audit et accompagner la compréhension des mesures de remédiation. 7. Livrables attendus· Support de cadrage de la mission et planning d'intervention. · Diagnostic de maturité cybersécurité. · Cartographie des risques, vulnérabilités et points de faiblesse identifiés. · Analyse des écarts de conformité par rapport aux référentiels retenus. · Plan de remédiation priorisé à court, moyen et long terme. · Synthèse exécutive destinée à la direction. · Rapport détaillé d'audit comprenant les constats, niveaux de criticité, impacts, recommandations et priorités d'action. 8. Modalités d'intervention· Intervention sous forme d'entretiens, d'ateliers, d'analyses documentaires et d'analyses de preuves. · Collaboration étroite avec les équipes IT, sécurité, métiers, conformité et direction. · Restitutions intermédiaires possibles afin de valider les constats et priorités. · Restitution finale incluant une présentation synthétique des risques majeurs et du plan de remédiation. · Respect strict de la confidentialité des informations collectées pendant la mission. 9. Critères de réussite· Vision claire et partagée du niveau de maturité cybersécurité de l'organisation. · Identification des risques prioritaires et des vulnérabilités majeures. · Recommandations concrètes, hiérarchisées et adaptées aux contraintes opérationnelles. · Plan d'actions exploitable par les équipes concernées. · Restitution compréhensible par les parties prenantes techniques et non techniques.