Description du pack

Le pack Essentiel contient un diagnostic cyber gratuit de votre système d'information et une prestation de tests d'intrusion pour votre site Internet.

1. Diagnostic cyber

   Le diagnostic cyber vise à mesurer la maturité de votre entreprise au niveau de la sécurité informatique, et le cas échéant, vous aider à prendre conscience des bonnes et mauvaises pratiques en termes de gouvernance qui sont susceptibles d’augmenter ou de réduire votre exposition au risque cyber.

   Le diagnostic est réalisé à distance par l'un de nos experts en s'appuyant sur un questionnaire.

   A l’issue du diagnostic, vous obtenez une notation détaillée de l’exposition de votre entreprise aux risques cyber et vous recevez par email des recommandations et une proposition de plan d'action pour mettre en œuvre les mesures accessibles pour une protection globale de votre entreprise.

   Note : Le diagnostic cyber proposé reste un premier niveau d'évaluation. Vous ne devez pas vous fier aux résultats du diagnostic comme seul moyen d’identifier et de mesurer votre exposition aux risques cyber. Les tests d'intrusion du pack Essentiel visent à compléter les résultats obtenus.

2. Tests d'intrusion

   Cette prestation vise à découvrir des vulnérabilités sur votre site Internet, vérifier leur exploitabilité et leur impact dans les conditions réelles d’une attaque, à la place d’un attaquant potentiel.

   Les tests d'intrusion sont réalisés depuis Internet, en situation de « boîte noire », à savoir sans compte client sur votre site Internet.

   A l’issue des tests d'intrusion, un rapport de vulnérabilités contenant les constats et les propositions de remédiation, et un support de restitution expliquant les résultats des tests vous sont envoyés.

   Note : En fonction de la complexité de votre site Internet déterminée par l'auditeur, des tests en « boîte grise », c'est-à-dire avec des comptes client, peuvent être inclus au sein du pack Essentiel.

Description du pack

Le pack Suivi contient un diagnostic cyber gratuit de votre système d'information, une prestation de tests d'intrusion pour votre site Internet, et des tests mensuels du niveau d'exposition de votre site Internet.

1. Diagnostic cyber

   Le diagnostic cyber vise à mesurer la maturité de votre entreprise au niveau de la sécurité informatique, et le cas échéant, vous aider à prendre conscience des bonnes et mauvaises pratiques en termes de gouvernance qui sont susceptibles d’augmenter ou de réduire votre exposition au risque cyber.

   Le diagnostic est réalisé à distance par l'un de nos experts en s'appuyant sur un questionnaire.

   A l’issue du diagnostic, vous obtenez une notation détaillée de l’exposition de votre entreprise aux risques cyber et vous recevez par email des recommandations et une proposition de plan d'action pour mettre en œuvre les mesures accessibles pour une protection globale de votre entreprise.

   Note : Le diagnostic cyber proposé reste un premier niveau d'évaluation. Vous ne devez pas vous fier aux résultats du diagnostic comme seul moyen d’identifier et de mesurer votre exposition aux risques cyber. Les tests d'intrusion du pack Suivi visent à compléter les résultats obtenus.

2. Tests d'intrusion

   Cette prestation vise à découvrir des vulnérabilités sur votre site Internet, vérifier leur exploitabilité et leur impact dans les conditions réelles d’une attaque, à la place d’un attaquant potentiel.

   Les tests d'intrusion sont réalisés depuis Internet, en situation de « boîte noire », à savoir sans compte client sur votre site Internet.

   A l’issue des tests d'intrusion, un rapport de vulnérabilités contenant les constats et les propositions de remédiation, et un support de restitution expliquant les résultats des tests vous sont envoyés.

   Note : En fonction de la complexité de votre site Internet déterminée par l'auditeur, des tests en « boîte grise », c'est-à-dire avec des comptes client, peuvent être inclus au sein du pack Suivi.

3. Tests mensuels

   La découverte de vulnérabilités étant constante, les tests mensuels permettent de détecter ces nouvelles menaces afin que votre site Internet demeure protégé.

   Cette prestation est donc complémentaire aux tests d'intrusion réalisés et vous permet un vrai accompagnement sécurité sur la durée.

   A l’issue de chaque mois, un rapport d'exposition contenant les nouvelles menaces éventuelles et les propositions de remédiation vous est envoyé. Si besoin, notre expert sécurité qui vous est dédié peut échanger avec vous sur le contenu du rapport.

Description du pack

Le pack Avancé contient un diagnostic cyber gratuit de votre système d'information, une prestation de tests d'intrusion pour votre site Internet, et des tests mensuels du niveau d'exposition de votre site Internet.

En complément, un module de sensibilisation à la cybersécurité est inclus dans les prestations du pack Avancé.

1. Diagnostic cyber

   Le diagnostic cyber vise à mesurer la maturité de votre entreprise au niveau de la sécurité informatique, et le cas échéant, vous aider à prendre conscience des bonnes et mauvaises pratiques en termes de gouvernance qui sont susceptibles d’augmenter ou de réduire votre exposition au risque cyber.

   Le diagnostic est réalisé à distance par l'un de nos experts en s'appuyant sur un questionnaire.

   A l’issue du diagnostic, vous obtenez une notation détaillée de l’exposition de votre entreprise aux risques cyber et vous recevez par email des recommandations et une proposition de plan d'action pour mettre en œuvre les mesures accessibles pour une protection globale de votre entreprise.

   Note : Le diagnostic cyber proposé reste un premier niveau d'évaluation. Vous ne devez pas vous fier aux résultats du diagnostic comme seul moyen d’identifier et de mesurer votre exposition aux risques cyber. Les tests d'intrusion du pack Avancé visent à compléter les résultats obtenus.

2. Tests d'intrusion

   Cette prestation vise à découvrir des vulnérabilités sur votre site Internet, vérifier leur exploitabilité et leur impact dans les conditions réelles d’une attaque, à la place d’un attaquant potentiel.

   Les tests d'intrusion sont réalisés depuis Internet, en situation de « boîte noire », à savoir sans compte client sur votre site Internet.

   A l’issue des tests d'intrusion, un rapport de vulnérabilités contenant les constats et les propositions de remédiation, et un support de restitution expliquant les résultats des tests vous sont envoyés.

   Note : En fonction de la complexité de votre site Internet déterminée par l'auditeur, des tests en « boîte grise », c'est-à-dire avec des comptes client, peuvent être inclus au sein du pack Avancé.

3. Tests mensuels

   La découverte de vulnérabilités étant constante, les tests mensuels permettent de détecter ces nouvelles menaces afin que votre site Internet demeure protégé.

   Cette prestation est donc complémentaire aux tests d'intrusion réalisés et vous permet un vrai accompagnement sécurité sur la durée.

   A l’issue de chaque mois, un rapport d'exposition contenant les nouvelles menaces éventuelles et les propositions de remédiation vous est envoyé. Si besoin, notre expert sécurité qui vous est dédié peut échanger avec vous sur le contenu du rapport.

4. Sensibilisation à la cybersécurité

   Le module de sensibilisation à la cybersécurité vise à transmettre aux collaborateurs de votre entreprise les connaissances et les réflexes dont ils ont besoin pour protéger les informations sensibles de votre société.

   En effet, la technologie seule n’offre pas à votre entreprise une protection infaillible contre les cyberattaques et les violations de données.

   Cette prestation est effectuée à distance par notre expert qui vous est dédié.

Objectifs des niveaux

Les niveaux proposés par Phragma ont été pensés comme un accompagnement transverse pouvant s'étaler sur 3 ans afin de développer, de maintenir et d'améliorer le niveau de sécurité de votre entreprise et le niveau de maturité de vos collaborateurs.

En effet, chaque niveau est organisé pour évaluer le niveau de sécurité technique et le niveau de sensibilisation à la sécurité, puis pour maintenir et améliorer ces derniers, tout en incluant une assistance en cas d'incident de sécurité.

Cette approche vous permet donc à la fois de conserver un maximum de temps pour votre coeur de métier, tout en créant de façon sereine et efficace les conditions d'une sécurité réussie et pérenne.

Description du niveau

Le niveau Elémentaire contient les prestations détaillées ci-dessous.

1. Diagnostic cyber

   Le diagnostic cyber vise à mesurer la maturité de votre entreprise au niveau de la sécurité informatique, et le cas échéant, vous aider à prendre conscience des bonnes et mauvaises pratiques en termes de gouvernance qui sont susceptibles d’augmenter ou de réduire votre exposition au risque cyber.

   Le diagnostic est réalisé à distance par l'un de nos experts en s'appuyant sur un questionnaire.

   A l’issue du diagnostic, vous obtenez une notation détaillée de l’exposition de votre entreprise aux risques cyber et vous recevez par email des recommandations et une proposition de plan d'action pour mettre en œuvre les mesures accessibles pour une protection globale de votre entreprise.

   Note : Le diagnostic cyber proposé reste un premier niveau d'évaluation. Vous ne devez pas vous fier aux résultats du diagnostic comme seul moyen d’identifier et de mesurer votre exposition aux risques cyber. Les autres prestations du niveau visent à compléter les résultats obtenus.

2. Tests d'intrusion

   Cette prestation vise à découvrir des vulnérabilités sur votre site Internet, sur votre API ou votre application mobile, vérifier leur exploitabilité et leur impact dans les conditions réelles d’une attaque, à la place d’un attaquant potentiel.

   Les tests d'intrusion sont réalisés depuis Internet ou sur site client, en situation de « boîte noire », à savoir sans compte client sur le périmètre, et en situation de « boîte grise », c'est-à-dire avec des comptes client.

   A l’issue des tests d'intrusion, un rapport de tests contenant les constats et les propositions de remédiation, et un support de restitution expliquant les résultats des tests vous sont envoyés.

3. Contre-audit

   Notre motivation chez Phragma est de rendre la sécurité abordable et de niveler par le haut la maturité des entreprises qui nous rejoigne.

   Ainsi, en cas de vulnérabilités détectées lors des tests d'intrusion, nous vous proposons gratuitement un contre-audit si ce dernier est activé sous 3 mois, réalisable à distance et dans la limite de 10 vulnérabilités détectées.

   A l’issue du contre-audit, un rapport de contre-audit contenant les nouveaux constats et les propositions de remédiation, et un support de restitution expliquant les résultats des tests vous sont envoyés.

4. Campagne de faux phishing

   Cette prestation vise à prendre le pouls du niveau de sensibilisation à la cybersécurité de vos collaborateurs. Le format pragmatique de cette campagne vous permet donc d'évaluer le niveau de risque lié au facteur humain. Cette approche d'une évaluation cartographiée des risques cyber est structurante pour piloter votre politique de sécurité des systèmes d'information et pour ajuster l'action en matière de sensibilisation.

   La campagne de faux phishing est effectuée à distance sur la base de scénarios sur étagère proposés par Phragma.

   A l’issue de la campagne, un rapport présentant les résultats et un support de restitution vous sont envoyés.

5. Contrôles du niveau d'exposition

   La découverte de vulnérabilités étant constante, les tests mensuels permettent de détecter ces nouvelles menaces afin que votre site Internet, votre API ou votre application mobile demeure protégé.

   Cette prestation est donc complémentaire aux tests d'intrusion réalisés et vous permet un vrai accompagnement sécurité sur la durée.

   A l’issue de chaque mois, un rapport d'exposition contenant les nouvelles menaces éventuelles et les propositions de remédiation vous est envoyé. Si besoin, notre expert sécurité qui vous est dédié peut échanger avec vous sur le contenu du rapport.

6. Sensibilisation à la cybersécurité

   Le module de sensibilisation à la cybersécurité vise à transmettre aux collaborateurs de votre entreprise les connaissances et les réflexes dont ils ont besoin pour protéger les informations sensibles de votre société.

   En effet, la technologie seule n’offre pas à votre entreprise une protection infaillible contre les cyberattaques et les violations de données.

   Cette prestation est effectuée à distance par notre expert qui vous est dédié. Le module de sensibilisation est proposé en fonction des résultats des tests d'intrusion et de la campagne de faux phishing.

7. Assistance en cas d'incident de sécurité

   Gérer un incident de sécurité ne s’improvise pas, il est donc important de procéder de façon structurée afin de concilier efficacité et rapidité, tout en conservant une démarche d’amélioration continue.

   Nous pouvons intervenir chez vous le plus rapidement possible afin d'endiguer l'incident, approfondir la compréhension du problème et proposer des mesures pour éradiquer l'incident et ses causes.

Objectifs des niveaux

Les niveaux proposés par Phragma ont été pensés comme un accompagnement transverse pouvant s'étaler sur 3 ans afin de développer, de maintenir et d'améliorer le niveau de sécurité de votre entreprise et le niveau de maturité de vos collaborateurs.

En effet, chaque niveau est organisé pour évaluer le niveau de sécurité technique et le niveau de sensibilisation à la sécurité, puis pour maintenir et améliorer ces derniers, tout en incluant une assistance en cas d'incident de sécurité.

Cette approche vous permet donc à la fois de conserver un maximum de temps pour votre coeur de métier, tout en créant de façon sereine et efficace les conditions d'une sécurité réussie et pérenne.

Description du niveau

Le niveau Intermédiaire contient les prestations détaillées ci-dessous.

1. Diagnostic cyber

   Le diagnostic cyber vise à mesurer la maturité de votre entreprise au niveau de la sécurité informatique, et le cas échéant, vous aider à prendre conscience des bonnes et mauvaises pratiques en termes de gouvernance qui sont susceptibles d’augmenter ou de réduire votre exposition au risque cyber.

   Le diagnostic est réalisé à distance par l'un de nos experts en s'appuyant sur un questionnaire.

   A l’issue du diagnostic, vous obtenez une notation détaillée de l’exposition de votre entreprise aux risques cyber et vous recevez par email des recommandations et une proposition de plan d'action pour mettre en œuvre les mesures accessibles pour une protection globale de votre entreprise.

   Note : Le diagnostic cyber proposé reste un premier niveau d'évaluation. Vous ne devez pas vous fier aux résultats du diagnostic comme seul moyen d’identifier et de mesurer votre exposition aux risques cyber. Les autres prestations du niveau visent à compléter les résultats obtenus.

2. Tests d'intrusion

   Cette prestation vise à découvrir des vulnérabilités sur votre site Internet, sur votre API ou votre application mobile, vérifier leur exploitabilité et leur impact dans les conditions réelles d’une attaque, à la place d’un attaquant potentiel.

   Les tests d'intrusion sont réalisés depuis Internet ou sur site client, en situation de « boîte noire », à savoir sans compte client sur le périmètre, et en situation de « boîte grise », c'est-à-dire avec des comptes client.

   A l’issue des tests d'intrusion, un rapport de tests contenant les constats et les propositions de remédiation, et un support de restitution expliquant les résultats des tests vous sont envoyés.

3. Contre-audit

   Notre motivation chez Phragma est de rendre la sécurité abordable et de niveler par le haut la maturité des entreprises qui nous rejoigne.

   Ainsi, en cas de vulnérabilités détectées lors des tests d'intrusion, nous vous proposons gratuitement un contre-audit si ce dernier est activé sous 3 mois, réalisable à distance et dans la limite de 8 vulnérabilités détectées.

   A l’issue du contre-audit, un rapport de contre-audit contenant les nouveaux constats et les propositions de remédiation, et un support de restitution expliquant les résultats des tests vous sont envoyés.

4. Audit d'architecture

   Dans une optique de défense en profondeur, cette prestation consiste à vérifier par la conformité des pratiques de sécurité relatives au choix, au positionnement et à la mise en œuvre des dispositifs matériels et logiciels déployés au sein du système d’information de votre entreprise. L’audit peut être étendu aux interconnexions avec des réseaux tiers, et notamment Internet.

   L'audit d'architecture est réalisé sur la base d'entretiens physiques ou à distance avec les personnes compétentes et habilitées de votre entreprise, ainsi que la vérification par échantillonnage de la configuration de certains équipements de sécurité vis-à-vis de l’état de l’art ou de vos exigences et règles internes.

   A l’issue de l'audit, un rapport contenant les constats et les propositions d'amélioration, et un support de restitution expliquant les résultats de l'audit vous sont envoyés.

5. Campagne de faux phishing

   Cette prestation vise à prendre le pouls du niveau de sensibilisation à la cybersécurité de vos collaborateurs. Le format pragmatique de cette campagne vous permet donc d'évaluer le niveau de risque lié au facteur humain. Cette approche d'une évaluation cartographiée des risques cyber est structurante pour piloter votre politique de sécurité des systèmes d'information et pour ajuster l'action en matière de sensibilisation.

   La campagne de faux phishing est effectuée à distance sur la base de scénarios sur étagère proposés par Phragma.

   A l’issue de la campagne, un rapport présentant les résultats et un support de restitution vous sont envoyés.

6. Contrôles du niveau d'exposition

   La découverte de vulnérabilités étant constante, les tests mensuels permettent de détecter ces nouvelles menaces afin que votre site Internet, votre API ou votre application mobile demeure protégé.

   Cette prestation est donc complémentaire aux tests d'intrusion réalisés et vous permet un vrai accompagnement sécurité sur la durée.

   A l’issue de chaque mois, un rapport d'exposition contenant les nouvelles menaces éventuelles et les propositions de remédiation vous est envoyé. Si besoin, notre expert sécurité qui vous est dédié peut échanger avec vous sur le contenu du rapport.

7. Sensibilisation à la cybersécurité

   Le module de sensibilisation à la cybersécurité vise à transmettre aux collaborateurs de votre entreprise les connaissances et les réflexes dont ils ont besoin pour protéger les informations sensibles de votre société.

   En effet, la technologie seule n’offre pas à votre entreprise une protection infaillible contre les cyberattaques et les violations de données.

   Cette prestation est effectuée à distance par notre expert qui vous est dédié. Le module de sensibilisation est proposé en fonction des résultats des tests d'intrusion et de la campagne de faux phishing.

8. Assistance en cas d'incident de sécurité

   Gérer un incident de sécurité ne s’improvise pas, il est donc important de procéder de façon structurée afin de concilier efficacité et rapidité, tout en conservant une démarche d’amélioration continue.

   Nous pouvons intervenir chez vous le plus rapidement possible afin d'endiguer l'incident, approfondir la compréhension du problème et proposer des mesures pour éradiquer l'incident et ses causes.

Objectifs des niveaux

Les niveaux proposés par Phragma ont été pensés comme un accompagnement transverse pouvant s'étaler sur 3 ans afin de développer, de maintenir et d'améliorer le niveau de sécurité de votre entreprise et le niveau de maturité de vos collaborateurs.

En effet, chaque niveau est organisé pour évaluer le niveau de sécurité technique et le niveau de sensibilisation à la sécurité, puis pour maintenir et améliorer ces derniers, tout en incluant une assistance en cas d'incident de sécurité.

Cette approche vous permet donc à la fois de conserver un maximum de temps pour votre coeur de métier, tout en créant de façon sereine et efficace les conditions d'une sécurité réussie et pérenne.

Description du niveau

Le niveau Expert contient les prestations détaillées ci-dessous.

1. Diagnostic cyber

   Le diagnostic cyber vise à mesurer la maturité de votre entreprise au niveau de la sécurité informatique, et le cas échéant, vous aider à prendre conscience des bonnes et mauvaises pratiques en termes de gouvernance qui sont susceptibles d’augmenter ou de réduire votre exposition au risque cyber.

   Le diagnostic est réalisé à distance par l'un de nos experts en s'appuyant sur un questionnaire.

   A l’issue du diagnostic, vous obtenez une notation détaillée de l’exposition de votre entreprise aux risques cyber et vous recevez par email des recommandations et une proposition de plan d'action pour mettre en œuvre les mesures accessibles pour une protection globale de votre entreprise.

   Note : Le diagnostic cyber proposé reste un premier niveau d'évaluation. Vous ne devez pas vous fier aux résultats du diagnostic comme seul moyen d’identifier et de mesurer votre exposition aux risques cyber. Les autres prestations du niveau visent à compléter les résultats obtenus.

2. Tests d'intrusion

   Cette prestation vise à découvrir des vulnérabilités sur votre site Internet, sur votre API ou votre application mobile, vérifier leur exploitabilité et leur impact dans les conditions réelles d’une attaque, à la place d’un attaquant potentiel.

   Les tests d'intrusion sont réalisés depuis Internet ou sur site client, en situation de « boîte noire », à savoir sans compte client sur le périmètre, et en situation de « boîte grise », c'est-à-dire avec des comptes client.

   A l’issue des tests d'intrusion, un rapport de tests contenant les constats et les propositions de remédiation, et un support de restitution expliquant les résultats des tests vous sont envoyés.

3. Contre-audit

   Notre motivation chez Phragma est de rendre la sécurité abordable et de niveler par le haut la maturité des entreprises qui nous rejoigne.

   Ainsi, en cas de vulnérabilités détectées lors des tests d'intrusion, nous vous proposons gratuitement un contre-audit si ce dernier est activé sous 3 mois, réalisable à distance et dans la limite de 6 vulnérabilités détectées.

   A l’issue du contre-audit, un rapport de contre-audit contenant les nouveaux constats et les propositions de remédiation, et un support de restitution expliquant les résultats des tests vous sont envoyés.

4. Audit de configuration

   Dans une optique de défense en profondeur, cette prestation consiste à vérifier par échantillonnage la mise en œuvre de pratiques de sécurité conformes à l’état de l’art ou aux exigences et règles de votre entreprise en matière de configuration des dispositifs matériels et logiciels déployés dans votre système d’information. Ces dispositifs peuvent notamment être des systèmes d'exploitation (serveur ou poste de travail), des applications ou des produits de sécurité.

   L'audit de configuration peut être effectué sur site client ou à distance, en fonction des contraintes de récupération des traces d'audit.

   A l’issue de l'audit, un rapport contenant les constats et les propositions d'amélioration, et un support de restitution expliquant les résultats de l'audit vous sont envoyés.

5. Audit organisationnel

   Cette prestation vise à s'assurer que les politiques et procédures de sécurité définies au sein de votre entreprise pour assurer le maintien en conditions opérationnelles et de sécurité d’une application ou de tout ou partie de votre système d’information sont conformes au besoin de sécurité, vis-à-vis de l’état de l’art ou aux normes en vigueur. Cet audit permet ainsi de compléter les mesures techniques mises en place.

   L'audit organisationnel peut être effectué sur site client ou à distance, en fonction des contraintes de récupération des documents.

   A l’issue de l'audit, un rapport contenant les constats et les propositions d'amélioration, et un support de restitution expliquant les résultats de l'audit vous sont envoyés.

6. Contrôles du niveau d'exposition

   La découverte de vulnérabilités étant constante, les tests mensuels permettent de détecter ces nouvelles menaces afin que votre site Internet, votre API ou votre application mobile demeure protégé.

   Cette prestation est donc complémentaire aux tests d'intrusion réalisés et vous permet un vrai accompagnement sécurité sur la durée.

   A l’issue de chaque mois, un rapport d'exposition contenant les nouvelles menaces éventuelles et les propositions de remédiation vous est envoyé. Si besoin, notre expert sécurité qui vous est dédié peut échanger avec vous sur le contenu du rapport.

7. Sensibilisation à la cybersécurité

   Le module de sensibilisation à la cybersécurité vise à transmettre aux collaborateurs de votre entreprise les connaissances et les réflexes dont ils ont besoin pour protéger les informations sensibles de votre société.

   En effet, la technologie seule n’offre pas à votre entreprise une protection infaillible contre les cyberattaques et les violations de données.

   Cette prestation est effectuée à distance par notre expert qui vous est dédié. Le module de sensibilisation est proposé en fonction des résultats des tests d'intrusion et de la campagne de faux phishing.

8. Assistance en cas d'incident de sécurité

   Gérer un incident de sécurité ne s’improvise pas, il est donc important de procéder de façon structurée afin de concilier efficacité et rapidité, tout en conservant une démarche d’amélioration continue.

   Nous pouvons intervenir chez vous le plus rapidement possible afin d'endiguer l'incident, approfondir la compréhension du problème et proposer des mesures pour éradiquer l'incident et ses causes.

Description de la prestation

Les tests d'intrusion visent à découvrir des vulnérabilités sur le périmètre de l'audit, puis vérifier leur exploitabilité et leur impact dans les conditions réelles d’une attaque, à la place d’un attaquant potentiel.

Les tests d'intrusion sont réalisés depuis Internet ou sur site client, en situation de « boîte noire », à savoir sans compte client sur le périmètre, et en situation de « boîte grise », c'est-à-dire avec des comptes client.

A l’issue des tests d'intrusion, un rapport de tests contenant les constats et les propositions de remédiation, et un support de restitution expliquant les résultats des tests vous sont envoyés.

Description de la prestation

En partenariat avec Bpifrance, le Diag Cybersécurité est un accompagnement simple de 4 jours en 4 étapes.

1. Un pré-cadrage téléphonique entre le consultant, le dirigeant et le responsable SI, permettant de fixer le calendrier de l’intervention.
2. Une visite sur site pour :
• cadrer les objectifs de la mission,
• sensibiliser votre comité de direction,
• évaluer le niveau de sécurité de vos infrastructures SI comme la salle serveur, les postes utilisateurs ou les équipements industriels connectés au réseau,
• interviewer vos responsables SI, vos utilisateurs clés et certains de vos prestataires.
3. À partir des constats effectués lors de la visite sur site, une évaluation du niveau de maturité cyber des pratiques actuelles et une évaluation de la vulnérabilité des principaux actifs de votre entreprise.
4. La restitution du Diag Cybersécurité comprend un état des lieux de la maturité cyber de votre entreprise et un plan d’action présentant des recommandations adaptées à votre contexte. Les actions seront priorisées en fonction de leur complexité de mise en œuvre et de l’impact qu’elles pourraient avoir sur le niveau de sécurité de votre SI. La restitution inclut également des recommandations et éléments de préparation à la gestion de crise cyber.

Le diagnostic se limite à un seul site physique visité.

Un tarif subventionné

Bpifrance subventionne ce diagnostic à hauteur de 50 %. Le reste à charge pour l’entreprise est de 2 200€ HT.

Vous avez la possibilité d’effectuer plusieurs Diag Cybersécurité pour votre entreprise.

Description de la prestation

L'audit « Green IT » vise à permettre une utilisation plus responsable du numérique en apportant des recommandations vis-à-vis des bonnes pratiques pour réduire significativement l’empreinte environnementale, sociale et économique du système d’information de votre entreprise.

L'audit est réalisé par l'intermédiaire d'entretiens physiques ou à distance avec les personnes compétentes et habilitées de votre entreprise sur les différentes thématiques des référentiels d'audit.

A l’issue de l'audit, un rapport contenant les constats et les propositions d'amélioration, et un support de restitution expliquant les résultats de l'audit vous sont envoyés.

Description de la prestation

L'audit de configuration consiste à vérifier par échantillonnage la mise en œuvre de pratiques de sécurité conformes à l’état de l’art ou aux exigences et règles de votre entreprise en matière de configuration des dispositifs matériels et logiciels déployés dans votre système d’information. Ces dispositifs peuvent notamment être des systèmes d'exploitation (serveur ou poste de travail), des applications ou des produits de sécurité.

L'audit de configuration peut être effectué sur site client ou à distance, en fonction des contraintes de récupération des traces d'audit.

A l’issue de l'audit, un rapport contenant les constats et les propositions d'amélioration, et un support de restitution expliquant les résultats de l'audit vous sont envoyés.

Description de la prestation

L'audit d'architecture consiste à vérifier par la conformité des pratiques de sécurité relatives au choix, au positionnement et à la mise en œuvre des dispositifs matériels et logiciels déployés au sein du système d’information de votre entreprise. L’audit peut être étendu aux interconnexions avec des réseaux tiers, et notamment Internet.

L'audit d'architecture est réalisé sur la base d'entretiens physiques ou à distance avec les personnes compétentes et habilitées de votre entreprise, ainsi que la vérification par échantillonnage de la configuration de certains équipements de sécurité vis-à-vis de l’état de l’art ou de vos exigences et règles internes.

A l’issue de l'audit, un rapport contenant les constats et les propositions d'amélioration, et un support de restitution expliquant les résultats de l'audit vous sont envoyés.

Description de la prestation

L'audit de code source consiste en l’analyse de tout ou partie du code source ou des conditions de compilation de votre application dans le but d’y découvrir des vulnérabilités, liées à de mauvaises pratiques de programmation ou des erreurs de logique, qui pourraient avoir un impact en matière de sécurité.

A l’issue de l'audit, un rapport contenant les constats et les propositions d'amélioration, et un support de restitution expliquant les résultats de l'audit vous sont envoyés.

Description de la prestation

L'audit du pipeline CI/CD consiste en une évaluation approfondie de l'ensemble du processus de développement logiciel, depuis la construction jusqu'au déploiement. Il vise à identifier les lacunes, les problèmes de performance et les risques potentiels liés à l'automatisation et à l'intégration continues.

Lors de cette prestation, notre expert examine les différentes phases du pipeline CI/CD, y compris la gestion des versions, la compilation, les tests automatisés, le déploiement et la surveillance. L'auditeur évalue la configuration du pipeline, les pratiques de gestion des sources, les outils utilisés, la sécurité et la conformité, ainsi que la qualité du code et des tests.

A l’issue de l'audit, un rapport contenant les constats et les propositions d'amélioration, et un support de restitution expliquant les résultats de l'audit vous sont envoyés.

Description de la prestation

L'audit Swift CSP est une évaluation approfondie de la conformité et de la sécurité du système de messagerie financière Swift. Cette prestation vise à vérifier si la société utilisant Swift respectent les exigences du programme Customer Security Programme (CSP).

L'audit comprend une analyse détaillée des contrôles de sécurité mis en place, tels que l'authentification forte, la gestion des accès, la protection des données et des infrastructures, la détection des incidents et la résilience opérationnelle. L'objectif principal est de s'assurer que les mesures de sécurité appropriées sont mises en œuvre pour protéger les informations financières sensibles et prévenir les cyberattaques.

Pendant l'audit, nos experts spécialisés effectuent des tests techniques, des analyses de vulnérabilité et des vérifications des processus de sécurité. Ils examinent également les politiques et les procédures de l'organisation en matière de sécurité Swift.

A l’issue de l'audit, un rapport contenant les constats et les propositions d'amélioration, et un support de restitution expliquant les résultats de l'audit vous sont envoyés.

Description de la prestation

L'audit des plateformes de dématérialisation partenaire vise à apporter à la DGFiP une présomption de conformité du service candidat. Cette étape est essentielle pour obtenir l'immatriclution de la plateforme et pouvoir opérer en tant que PDP.

Durant l'audit, nos experts spécialisés effectuent des contrôles relatifs à :

• L'intéropérabilité des échanges,
• L'identification et l'authentification des utilisateurs,
• L'émission et la transmission des factures électroniques,
• Recueil des données de transaction et de paiement,
• La transmission des données de facturation, de transaction et de paiement au PPF,
• Traitement et à la conservation des données à caractère personnel,
• La traçabilité et la conservation des preuves,
• Contenu du dosssier d'immatriculation.

A l’issue de l'audit, un rapport contenant les constats et les propositions d'amélioration, et un support de restitution expliquant les résultats de l'audit vous sont envoyés.

Description de la prestation

L'audit organisationnel vise à s'assurer que les politiques et procédures de sécurité définies au sein de votre entreprise pour assurer le maintien en conditions opérationnelles et de sécurité d’une application ou de tout ou partie de votre système d’information sont conformes au besoin de sécurité, vis-à-vis de l’état de l’art ou aux normes en vigueur. Cet audit permet ainsi de compléter les mesures techniques mises en place.

L'audit organisationnel peut être effectué sur site client ou à distance, en fonction des contraintes de récupération des documents.

A l’issue de l'audit, un rapport contenant les constats et les propositions d'amélioration, et un support de restitution expliquant les résultats de l'audit vous sont envoyés.

Description de la prestation

En amont de l'évaluation de votre service de confiance par un organisme accrédité par l'ANSSI, nous vous proposons une assistance pouvant prendre plusieurs formes comme l'aide à la rédaction documentaire et l'évaluation en amont de votre conformité aux exigences des normes applicables.

Nous pouvons également être présents lors de l'évaluation, et si besoin vous accompagner dans le processus de correction ou d'envoi de votre demande de qualification à l'ANSSI.

Ayant déjà réalisés pour l'ANSSI des évaluations eIDAS dans le cadre de leurs expériences professionnelles, nos experts sont en capacité de vous accompagner efficacement pour la réussite de votre demande de qualification.

Services de confiance

Chez Phragma, nous maîtrisons l'ensemble des services de confiance qualifiés prévus par le règlement eIDAS, à savoir :

• Horodatage électronique qualifié
• Envoi recommandé électronique qualifié
• Délivrance de certificats qualifiés de signature électronique, de cachet électronique et d’authentification de site internet
• Conservation qualifiée des signatures électroniques qualifiées et des cachets électroniques qualifiés
• Validation qualifiée des signatures électroniques qualifiées et des cachets électroniques qualifiés

Description de la prestation

En amont de l'évaluation de votre service de vérification d'identité à distance par un centre d'évaluation autorisé par l'ANSSI, nous vous proposons une assistance pouvant prendre plusieurs formes comme l'aide à la rédaction documentaire, l'évaluation en amont de votre conformité aux exigences du référentiel applicable, etc.

Nous pouvons également réaliser des attaques relatives à la biométrie, à la fois par présentation (deepfake) et par injection vidéo. Ces tests visent à simuler des tentatives d'usurpation d'identité ou d'utilisation d'identité synthétique, et permettent de mesurer la robustesse des algorithmes de détection et la réaction des opérateurs humains.

Ayant déjà réalisés des évaluations PVID dans le cadre du schéma de certification de l'ANSSI, nos experts sont en capacité de vous accompagner efficacement pour la réussite de votre demande de certification PVID.

Description de la prestation

En amont des audits d'homologation pour les Entités Essentielles et les Entités Importantes, nous vous proposons une assistance pouvant prendre plusieurs formes comme l'aide à la rédaction documentaire et l'audit à blanc des règles de la Directive NIS 2.

Nous pouvons également être présents lors des audits réalisés par l'organisme PASSI, et si besoin vous accompagner dans le processus de correction et d'homologation.

Ayant déjà été qualifiés comme auditeurs PASSI sur toutes les portées d'audit, nos experts sont en capacité de vous accompagner efficacement pour la réussite de votre homologation à la Directive NIS 2.

Description de la prestation

En amont des audits d'homologation réalisés par l'organisme PASSI, nous vous proposons une assistance pouvant prendre plusieurs formes comme l'aide à la rédaction documentaire et l'audit à blanc des règles de la réglementation applicable.

Nos experts sont tous de nationalité française et ont déjà été auditeurs PASSI au sein de sociétés qualifiées PASSI-LPM. Ils sont donc pleinement en capacité de vous accompagner efficacement pour la réussite de votre homologation LPM.

Description de la prestation

Notre évaluation indépendante vise à mesurer votre résilience opérationnelle numérique selon les 5 piliers de DORA, grâce à la mobilisation de nos équipes cybersécurité, réglementations et métiers.

Sur la base de l’évaluation effectuée, une analyse d'écart est formalisée. La liste des écarts de conformité est établie selon les degrés de difficulté et les priorités.

Les actions sont quantifiées, priorisées, et leurs conditions de suivi sont définies au sein d'une feuille de route pour faciliter vos projets de mise en conformité. Le Règlement DORA prévoit la validation de ce plan d’actions par l’organe de direction, dont l’implication est attendue dans la gestion du risque lié aux TIC.

En complément de l'évaluation, un accompagnement opérationnel peut être mis en place afin de vous assister dans la réalisation de vos travaux grâce à nos experts en cybersécurité : audit de sous-traitants, audit technique, rédactions de politiques organisationnelles, etc.

Description de la prestation

En fonction de votre niveau de maturité, notre assistance vise à vous aider sur la compréhension et l'implémentation des exigences opérationnelles et techniques définies par le PCI SSC, et à évaluer leur niveau de conformité.

Lors de l'assistance PCI-DSS, nos experts en sécurité informatique examinent les politiques de sécurité, les procédures opérationnelles, les réseaux, les systèmes et les applications de votre société pour identifier les éventuelles vulnérabilités et les écarts par rapport aux exigences de conformité.

A l’issue de la prestation, un rapport contenant les constats et les propositions d'amélioration, et un support de restitution expliquant les résultats de l'audit vous sont envoyés.

Description de la prestation

Vous souhaitez sécuriser vos capitaux immatériels, mais la taille de votre entreprise ne vous permet pas de disposer d’un spécialiste sécurité en permanence ? Optez pour le RSSI à temps partagé. Vous aurez ainsi un expert dédié qui vous accompagnera de façon durable et capitalisera sur les connaissances de votre entreprise pour mieux vous conseiller.

Notre prestation de RSSI à temps partagé vous offre la possibilité d’accéder à une expertise à un coût réduit. Vous faites ainsi des économies tout en réduisant les risques par rapport aux menaces de cybersécurité.

Vous avez également la maîtrise du temps de présence de notre expert selon vos besoins et l’avancement de vos projets. Vous décidez du nombre de jours de présence par semaines, par mois. Nos experts sont en capacité d’auditer votre organisation et votre système d'information de façon pragmatique pour mettre en place un schéma directeur qui couvrira vos principaux risques et qui sera adapté aux nouvelles menaces.

Explication du score

Les efforts mis en œuvre dans l'écoconception du présent site permettent d'atteindre une note globale de C sur une échelle de A à G.

Malgré le respect de toutes les bonnes pratiques de conception, voir l'image ci-dessous, la taille du DOM de notre site est un peu trop importante, or ce critère est prépondérant dans le calcul du score EcoIndex. En effet, le navigateur Internet parcourt tous les éléments du DOM un par un pour savoir quoi et comment afficher. Ainsi, plus le DOM est complexe et plus le poste sur lequel le navigateur s'exécute doit être puissant. Autrement dit, plus le DOM est petit et moins on risque de déclencher l’obsolescence d’un terminal vieillissant.

Conscient de cet impact dans le calcul de la note globale, nous avons fait le choix chez Phragma de ne pas resteindre les informations décrites sur notre site, afin que ce dernier demeure le plus clair et exhaustif possible.

Pour plus de détails : http://ecoindex.fr/

En vertu de l'article 6 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique, il est précisé aux utilisateurs du site Internet www.phragma.fr l'identité des différents intervenants dans le cadre de sa réalisation et de son suivi.

L’éditeur du site se réserve le droit de modifier sans préavis le contenu des présentes mentions légales à tout moment.

Propriétaire et éditeur du site

Responsable de la collecte des données personnelles

Les informations recueillies dans le formulaire de contact sont enregistrées dans un fichier informatisé par la société Phragma en tant que responsable de traitement. La base légale du traitement concerne l'exécution de la demande de contact.

Types de données collectées et finalité

Les données marquées par un astérisque dans le formulaire de contact doivent obligatoirement être fournies. Dans le cas contraire, la demande de contact ne pourra être effectuée en utilisant le présent site.

Les données collectées sont communiquées uniquement à la société Phragma. Aucune commercialisation ou autre utilisation de vos données personnelles n'est effectuée par la société Phragma.

Les données collectées sont conservées durant le temps nécessaire aux différents échanges concernant la demande de contact.

Droit d’accès, de rectification et d’opposition

Vous pouvez accéder aux données vous concernant, les rectifier, demander leur effacement ou exercer votre droit à la limitation du traitement de vos données.

Consultez le site cnil.fr pour plus d’informations sur vos droits.

Pour exercer ces droits ou pour toute question sur le traitement de vos données dans ce dispositif, vous pouvez contacter notre service chargé de l’exercice de ces droits : donnees@phragma.fr

Si vous estimez, après nous avoir contactés, que vos droits « Informatique et Libertés » ne sont pas respectés, vous pouvez adresser une réclamation à la CNIL.