Evaluation CyQeM

Qu'est-ce qu'une évaluation cybersécurité CyQeM?

Evaluation des pratiques en sécurité complète, pragmatique et rapide

L'évaluation CyQeM s’adresse aux responsables de la gestion, de la gouvernance et du contrôle du risque Cyber. Elle est particulièrement efficace pour :

  • évaluer de manière exhaustive et objective les pratiques existantes en sécurité,

  • analyser leurs adéquation et pertinence,

  • les comparer aux meilleures pratiques du marché et du secteur.

Elle permet de déterminer les pratiques appropriées pour une organisation et de projeter une feuille de route pour engager une amélioration.

Elle est disponible en deux versions :

  • la version Complète évalue 114 pratiques à travers 5 niveaux de maturité pour en déduire la couverture de 35 objectifs de sécurité organisés en 14 domaines;

  • la version Essentiels se focalise sur les 50 pratiques essentielles.

Pourquoi réaliser une évaluation CyQeM ?

L'évaluation CyQeM permet de faire un point complet, identifier les priorités et engager une amélioration

La gestion de la sécurité peut rapidement s'avérer compliquée. Face à cette complexité, les organisations se retrouvent souvent dans la difficulté pour définir les priorités. C'est dans cette situation que l'Evaluation CyQeM s'avère particulièrement efficace. Son référentiel très complet permet de n'omettre aucun élément important. L'outil d'évaluation CyQeM est issu de plus de 15 ans d'expérience en conseil d'entreprises de toutes tailles allant des grandes multinationales aux petites PMEs.

Un véritable couteau suisse, l'évaluation CyQeM est particulièrement adaptée pour aborder des divers problématiques :

Besoins internes

  • Faire un point à 360° de la sécurité et engager un plan d'amélioration priorisé

  • Réaliser un benchmark du dispositif sécurité sous tous ses aspects

  • Engager l'implémentation de la certification ISO27001 de gestion de risques

  • Évaluer les pratiques en vue de souscription d'une assurance cyber

Gouvernance

  • Rassurer la gouvernance de l'entreprise sur le contrôle de la gestion du risque cyber

  • Evaluer rapidement le niveau de sécurité dans les fusions-acquisitions en phase de Due diligence

  • Réaliser un benchmark des filiales par rapport au groupe ou entre les filiales

Gestion des fournisseurs

  • S'assurer de la bonne gestion de la sécurité chez ses fournisseurs ou sous-traitants

  • Evaluer rapidement le niveau de sécurité chez des fournisseurs lors des appels d'offre

Relation client

  • Rassurer ses clients et partenaires sur les pratiques de sécurité existantes en démontrant une démarche d'amélioration engagée

  • Gérer le reporting de conformité

  • Gérer divers questionnaires provenant des régulateurs ou des clients

Comment sont évaluées les pratiques dans CyQeM?

L'évaluation CyQeM est à la fois

  • exhaustive grâce à son référentiel très complet

  • et pragmatique car les niveaux de maturité définis pour chaque pratique permettent une évaluation précise et rapide.

référentiel d'évaluation

Evaluation exhaustive - grâce à son référentiel

  • En s’appuyant sur les référentiels de meilleures pratiques applicables à la gestion de la sécurité d’information, notre approche permet de garantir la complétude de l’évaluation. En effet, un dispositif de sécurité efficace est composé de multiples contrôles complémentaires situés dans les différentes couches du système d’information.

  • Ainsi, pour fournir une vision complète du niveau de sécurité, notre méthodologie évalue les 114 pratiques de sécurité répondant aux 35 objectifs et organisées en 14 domaines. Cette structuration de l'évaluation en 14 domaines correspond à une pratique établie.

  • Cette norme recense les meilleures pratiques sans faire la distinction ni de la criticité du secteur d'activité (défense vs. commerce par exemple) ni de la taille de l'organisation. Basé sur une expérience solide en évaluation, notre référentiel propose des réponses types en fonction des pratiques réellement constatées chez les clients. Cette approche pragmatique permet d'atteindre des résultats très rapidement.

échelle d'évaluation

Evaluation pragmatique - grâce à son échelle à 5 niveaux uniques pour chaque pratique évaluée

Notre méthodologie d’évaluation mesure pour chaque pratique en question la maturité atteinte selon une échelle à 5 niveaux:

  1. Initial - ce niveau est caractérisé par l'absence de pratiques ou par des pratiques spontanées et informelles

  2. Géré - les pratiques sont réalisées de manière informelle, ponctuelle avec l'appui ou à la demande d'un superviseur

  3. Organisé, défini, structuré et formalisé - le processus a été prédéfini, adapté à l'organisation, généralisé et assimilé

  4. Quantitatif - géré quantitativement avec des automatisations ou avec la coordination et le contrôle du processus à l'aide des indicateurs

  5. Optimal avec une amélioration en continu - optimisation en permanence, l’amélioration est dynamique, institutionnalisée

La force de notre outil est de définir un niveau de maturité spécifique pour chaque pratique évaluée ce qui garantie la précision et la rapidité de l'évaluation.

Comment se déroule l'évaluation?

L'évaluation CyQeM peut être réalisée :

  • soit à distance entièrement en ligne avec une revue de résultats par un expert

  • soit en se faisant accompagner d'un expert tout au long de l'évaluation sur place ou à distance.

Evaluation CyQeM en ligne sans accompagnement

L'évaluation en ligne se déroule en 3 étapes :

  1. Saisie des données en autonomie par vos soins via un accès sécurisé pour garantir la confidentialité de données. L'évaluation complète est composé de 4 modules entre 20 et 40 questions. Chaque module est à remplir par un rôle spécifique dans l'entreprise.

  2. Analyses de données par nos experts qui analysent vos réponses, conduisent des analyses croisées et comparatives, mesurent des écarts, évaluent la maturité par domaine et par objectif.

  3. Résultats sous forme d'un rapport détaillé vous est adressé.

NB. Dans cette version l'effort de collecte de données a été déporté de votre côté pour rendre l'évaluation très abordable. Cette collecte se déroule via des QCM pour plus de simplicité.

Evaluation CyQeM avec accompagnement d'expert

L'évaluation accompagnée est une prestation qui se déroule soit dans vos locaux ou soit à distance :

  1. Collecte & analyse d'informations via des entretiens conduits par nos experts avec les différents responsables dans l'entreprise. Par exemple pour une ETI il s'agira de réaliser entre 4 et 6 entretiens de 2-3 heures chacun. Cette interaction accrue avec l'expert a pour l'avantage de sensibiliser vos équipes sur les pratiques de sécurité en même temps.

  2. Consolidation de données dans l'outil, précédée d'analyses croisées et comparatives conduites par nos experts. Identification des forces et des faiblesses, définition de la cible appropriée, mesure des écarts, identification des axes d'amélioration par domaine et par objectif.

  3. Rapport détaillé contenant tous les résultats de la collecte et de l'analyse.

  4. Synthèse de résultats sous forme d'un rapport de synthèse avec notamment des analyses complémentaires domaine par domaine, une priorisation d'actions et une synthèse globale. Les résultats sont présentés et discutés en session.

Quels sont les résultats attendus ?

Rapport détaillé

Le rapport détaillé contient tous les résultats de la collecte, de la consolidation et de l’analyse des pratiques en sécurité :

  • vue d’ensemble de la maturité atteinte et le score pour chacun de 14* domaines,

  • score détaillé pour chacun de 35* objectifs analysés,

  • vue détaillée de chaque pratique évaluée avec le niveau de maturité atteint et les précisions apportées lors de la collecte,

  • benchmark détaillé de chaque pratique évaluée par rapport aux pratiques généralement constatées,

  • benchmark par domaine et par objectif de sécurité,

  • prédiction du niveau de résistance par rapport aux principaux risques,

  • proposition d'un niveau cible pour chaque domaine et objectif en fonction des pratiques sectorielles,

  • exemples de préconisations permettant d’atteindre les cibles proposées.

* 14 domaines et 35 objectifs pour la version Complète. Le rapport de la version Essentiels contient les mêmes informations pour respectivement: 12 domaines, 20 objectifs et 60 pratiques évaluées.

Rapport de synthèse (optionnel)

En complément du rapport détaillé, le rapport de synthèse contient :

  • une analyse qualitative complémentaire, domaine par domaine, du niveau de maturité atteint,

  • une synthèse de forces et de faiblesses du dispositif existant pour chaque domaine,

  • une proposition de la cible à atteindre à moyen terme pour chaque domaine,

  • une proposition du plan d'action priorisé domaine par domaine,

  • une synthèse de direction.

Dans quel cas choisir un rapport de synthèse :

  • pour bénéficier davantage de l'expertise lors de la collecte de l'analyse et de la restitution,

  • pour obtenir de l'aide d'expert dans la priorisation des actions,

  • quand on a besoin d'un rapport synthétique à présenter dans les différentes instances de management et de gouvernance.