The better the question. The better the answer. The better the world works. У вас есть вопрос? У нас есть ответ. Решая сложные задачи бизнеса, мы улучшаем мир. У вас є запитання? У нас є відповідь. Вирішуючи складні завдання бізнесу, ми змінюємо світ на краще. Meilleure la question, meilleure la réponse. Pour un monde meilleur. 問題越好。答案越好。商業世界越美好。 问题越好。答案越好。商业世界越美好。

Si vous étiez la cible d’une cyberattaque, le sauriez-vous?

Cybersécurité

Bien des organisations l’ont appris à leurs dépens : la question n’est pas de savoir si une cyberattaque va se produire, mais bien quand.

Pour les Services consultatifs d’EY, travailler pour un monde meilleur suppose de résoudre des enjeux sectoriels importants et complexes et de saisir les occasions possibles afin de favoriser la croissance, l’optimisation et la protection des entreprises de leurs clients.

La perspective mondiale de notre équipe diversifiée de conseillers et de professionnels de différents secteurs et sa culture axée sur la collaboration nous aident à poser de meilleures questions sur vos défis en cybersécurité. Nous faisons équipe avec vous afin de trouver des réponses plus innovatrices, de jeter des fondations qui protègent l’entreprise d’aujourd’hui, d’adapter ces fondations aux changements qui transforment l’organisation et aux nouvelles menaces, et d’anticiper les attaques possibles.

Ensemble, nous vous aidons à cibler de meilleurs objectifs et à obtenir des résultats durables, depuis l’élaboration de la stratégie jusqu’à son exécution.

Leadership éclairéBlogues Pour en savoir plus

img01

Corriger le tir après une atteinte à la sécurité permet-il d’obtenir une meilleure sécurité dans l’avenir?

Nous avons aidé un important centre médical à reprendre ses activités après une atteinte à la sécurité. Nous avons analysé la cause du problème et recommandé des changements administratifs et techniques visant à atténuer les incidences. Enfin, nous avons conçu un modèle opérationnel de sécurité informatique pluriannuel composé de processus et d’outils robustes pour protéger le centre des opérations de sécurité informatique de l’entreprise.

Pour nous joindre
img02

Faut-il protéger votre infrastructure ou protéger vos biens les plus précieux?

Nous avons aidé une société mondiale en sciences de la vie à rationaliser son modèle opérationnel de sécurité de l’information et sa structure de gouvernance afin de les réunir pour créer un programme mondial de gestion continue de la sécurité informatique, armé de défenses qui protègent en priorité la propriété intellectuelle essentielle contre les cyberattaques.

Pour nous joindre
img03

Cerner les lacunes de cybersécurité amène-t-il de possibles améliorations à long terme?

Nous avons aidé un constructeur automobile mondial à évaluer sa situation sur le plan de la sécurité et son exposition aux risques ainsi qu’à repérer des améliorations possibles. Puis, nous avons créé un plan d’action pluriannuel afin de mettre à jour son programme de cybersécurité pour déjouer les menaces actuelles et tenir compte des technologies émergentes, de sa tolérance au risque et de ses objectifs opérationnels futurs.

Pour nous joindre
img03

Quand «correct» ne suffit plus?

Nous avons aidé un équipementier mondial à renforcer sa batterie de mesures de sécurité. Nous avons élaboré un plan d’action transformationnel qui place les jalons de la tactique d’amélioration de son modèle opérationnel, de ses interventions en cas d’incident et de la protection de la propriété intellectuelle. Ainsi, il a pu mieux établir ses priorités et mettre en place des initiatives de détection des cybercrimes, de réaction et de défense.

Pour nous joindre
img04

Pouvez-vous protéger votre entreprise en protégeant mieux les renseignements de vos clients?

Nous avons aidé une importante société de câblodistribution et de télécommunications à renforcer la protection des données de cartes de crédit de ses clients en procédant à une évaluation de la sécurité et à une transformation selon les normes du Payment Card Industry (PCI), modifiant ainsi sa perception du rôle des outils, des processus et des gens dans la gestion et l’atténuation des risques.

Pour nous joindre
img04

Améliorer la conformité peut-il vous rendre plus confiant envers votre sécurité?

Nous avons aidé une société aérienne ayant un portail de ventes en ligne à blinder son système de traitement des paiements, sachant qu’une atteinte à la sécurité serait catastrophique. Nous avons élaboré un programme de réhabilitation selon les normes Data Security Standard (DSS) du PCI afin d’atténuer le risque opérationnel et de valoriser l’atteinte des normes du PCI.

Pour nous joindre
img04

Auriez-vous avantage à appliquer les mêmes pratiques de pointe que vos concurrents?

Nous avons aidé une multinationale pharmaceutique à s’inspirer de la stratégie de cybersécurité de ses concurrents et pairs pour élaborer la sienne. Une évaluation d’efficacité nous a permis de détecter les points à améliorer et de dresser un plan d’action englobant les processus organisationnels, les gens et le changement technologique.

Pour nous joindre

  • Quelle est notre raison d’être

    Chez EY, nous avons pour objectif de travailler ensemble pour un monde meilleur pour nos clients, nos gens et nos collectivités. Nous nous efforçons de laisser notre marque en améliorant la performance et la confiance des entreprises.

  • Comment nous le faisons

    Les solutions novatrices que nous proposons à nos clients découlent du caractère international de nos équipes. La collaboration hors du commun et continue entre les professionnels d’EY et nos clients permet aux entreprises de devenir meilleures.

    Nous travaillons sur le long terme avec différentes organisations, y compris des entreprises, des gouvernements, des forces armées et des organismes de bienfaisance, afin d’accroître la confiance et de maintenir la vigilance pour contrer toute forme d’activités cybercriminelles. Nous choisissons les bonnes personnes et les idées les plus efficaces et innovatrices pour résoudre votre problématique.

  • Ce que nous faisons

    Nous savons résoudre des problématiques importantes et tirer parti des occasions pouvant favoriser la croissance, l’optimisation et la protection de nos clients, aujourd’hui comme demain.

    La cybersécurité ne se limite pas à la technologie. C’est un enjeu beaucoup plus large et fondamental pour les affaires. Nous sondons votre entreprise afin de mieux vous connaître et de bien discerner les menaces en présence, et pour vous aider à réaliser que les menaces sont souvent plus étendues, et les solutions requises, plus importantes que vous ne le croyez.

    Nous vous aidons à passer à l’action, à vous adapter et à anticiper les risques afin de renforcer votre cybersécurité globale. En vous armant de connaissances et de ressources appropriées, vous pouvez accroître vos capacités et votre protection.

    Nous vous aidons à cerner vos besoins au moyen d'une évaluation de votre programme de cybersécurité, en vous aidant à déterminer vos actifs les plus importants ou essentiels, qu’il s’agisse de propriété intellectuelle ou de machinerie automatisée. Vous saurez ainsi quels sont les mécanismes de cybersécurité dont vous avez le plus besoin et bâtir de solides remparts de défense contre les cyberattaques.

    Nous vous aidons à dresser une stratégie de cybersécurité couvrant toute votre organisation qui convient aux risques et vulnérabilités en présence et à vos besoins. En déployant notre approche unifiée et sa batterie de mesures, nous vous aidons à sensibiliser votre effectif à la cybersécurité et à son rôle de renfort.

    À long terme, vous devez élaborer des tactiques pour détecter et décourager les cyberattaques, et faire des exercices de mise en scène de votre plan d’action prévoyant divers scénarios d’attaque ou d’incident. Dans ce but, nous vous aidons à construire une méthodologie robuste d’évaluation des risques et un mécanisme éprouvé d’intervention en cas d’incident. Votre organisation s’en trouvera ainsi bien informée et préparée aux éventualités.

    En vous faisant profiter de nos capacités en détection d’attaques informatiques, nous vous aidons à tracer un portrait d’ensemble et détaillé de vos vulnérabilités et à comprendre tous les angles d’attaque possibles, que les menaces viennent de pirates informatiques futés et déterminés, d’atteintes à la sécurité causées par une erreur accidentelle commise en interne, d’appareils mobiles appartenant à vos employés ou encore de risques inconnus posés par une technologie que votre entreprise a elle-même acquise.

    De plus, nous vous soutenons dans la création d’un écosystème informatique qui vous protège tout en protégeant les organisations auxquelles vous êtes lié et à qui vous faites implicitement confiance, comme vos fournisseurs.

Comment nous pouvons aider

Chez EY, nous possédons une perspective intégrée des aspects du risque organisationnel, et la cybersécurité forme un élément clé dont EY est un leader reconnu sur le terrain actuel des technologies mobiles, des médias sociaux et de l’infonuagique.

Gestion du programme de cybersécurité

Le cadre de travail Cyber Program Management (CPM) d’EY repose sur une analyse poussée de la place qu’occupe la sécurité de l’information dans votre structure globale de gestion des risques.

Comment nous pouvons aider.

Les organisations constatent une recrudescence des risques, certaines qu’une atteinte à la sécurité informatique est une quasi-fatalité.

En portant intérêt à sa structure et à sa culture d’entreprise et aux risques en présence, une organisation apprend à mieux protéger les données essentielles à sa survie et à sa prospérité. Pour y arriver, bien des sociétés doivent entreprendre une transformation fondamentale de la compréhension du mode interne de sécurité de l’information.

La création d’un programme de sécurité musclé par des renseignements de pointe sur les menaces et les risques opérationnels renforcera la résilience contre des risques en mouvance constante. Pourtant, peu de sociétés possèdent en interne les compétences et les ressources appropriées pour simultanément assurer la sécurité de leurs actifs d’information et optimiser leur performance opérationnelle.

Quel que soit leur secteur, les organisations peuvent tirer avantage d’une évaluation objective de leurs programmes et structures de sécurité de l’information. Le cadre de travail Cyber Program Management (CPM) d’EY est fondé sur une analyse approfondie du processus d’intégration de la sécurité de l’information à l’intérieur de la structure globale de gestion du risque d’une organisation.

Une évaluation CPM permet de :

  • comprendre l’exposition au risque de votre organisation;
  • évaluer le degré de maturité de votre programme de cybersécurité actuel et relever les possibilités d’amélioration;
  • dresser un plan d’action qui place les jalons des priorités d’investissement et des initiatives de changement organisationnel;
  • collecter de l’information afin de disposer de données de comparaison avec d’autres organisations;
  • vérifier si vos investissements en sécurité vous protègent mieux.

Pour de plus amples renseignements, téléchargez le rapport complet.

Centres des opérations de sécurité

Le service Centres des opérations de sécurité gérés d’EY redéfinit les opérations de sécurité dans l’optique de contrer la prochaine génération de cybermenaces. Nous offrons des capacités pointues de détection des menaces et de réaction.

Les processus et la technologie utilisés en appui de la fonction Sécurité de l’information dressent une véritable muraille de cybersécurité. Ils sont plus efficaces quand ils sont centralisés, structurés et coordonnés. Voilà pourquoi un Centre des opérations de sécurité est un point de départ utile.

Un Centre des opérations de sécurité efficient peut être l’arme principale de détection des menaces informatiques, agissant comme un bouclier contre les cyberpirateries. Il peut permettre aux fonctions de sécurité de l’information de déclencher une riposte plus prompte, de mieux collaborer et de partager les connaissances plus efficacement.

Toutefois, vu l’invasion du numérique et la sophistication et l’étendue actuelles des menaces, la protection de la propriété intellectuelle, des opérations, de la marque et de la valeur pour les actionnaires d’une entreprise n’a jamais été aussi importante.

Nous assistons à l’émergence d’une troisième génération de Centres des opérations de sécurité. Ces centres mêlent des compétences spécialisées en cybersécurité, en renseignement de pointe sur les menaces, en science informatique et en analytique. L’ensemble, qui dépasse la somme de ses parties, forme des écosystèmes avancés de Centres des opérations de sécurité.

Pour de plus amples renseignements sur les éléments essentiels au succès d’un Centre des opérations de sécurité, télécharger le rapport complet.

Gestion des cybermenaces

Il est important de comprendre et de prioriser les processus de renseignements sur les cybermenaces. Nous aidons à intégrer ces processus dans les opérations de sécurité de votre organisation afin d’ajouter de la valeur.

Actuellement, la cybersécurité ne prévient pas toutes les attaques.

Une cyberattaque peut porter atteinte à votre marque et à votre réputation. Vous risquez aussi de perdre un avantage concurrentiel, de vous placer involontairement en situation de non-conformité à une loi ou à un règlement, et d’essuyer de lourdes pertes financières.

Soixante-sept pour cent des répondants à notre Global Information Security Survey voient une montée des menaces pour leur environnement de sécurité de l’information. Il est temps de réévaluer la vulnérabilité de votre organisation et les risques pour sa survie.

Le service Renseignement sur les cybermenaces est un processus avancé qui permet à une organisation d’extraire des informations utiles parmi les résultats d’une analyse des risques contextuels et situationnels. Le processus peut être adapté aux types de menace propres à l’organisation, à son secteur et à ses marchés.

Ces informations peuvent faire une différence notable pour la capacité d’une organisation à prévoir les atteintes à la sécurité, sinon à riposter rapidement et efficacement aux attaques confirmées, en déclenchant les mécanismes de défense avant et pendant l’attaque.

En intégrant le service Renseignement sur les cybermenaces dans les différentes strates des opérations de sécurité, ce service aidera à définir les menaces possibles et à placer les données historiques en contexte. À mesure que votre programme de Renseignement sur les cybermenaces gagnera en maturité, il vous proposera des capacités prédictives qui aideront la direction à prendre des décisions fondées sur des précédents historiques plutôt que des décisions intuitives.

Pour en savoir plus sur le service Renseignement sur les cybermenaces et comment il peut être un atout pour la continuité de votre organisation et, ultimement, son succès, télécharger le rapport complet.

Gestion de l’identité et de l’accès

La gestion de l’identité et de l’accès est une défense de base à l’intérieur de tout programme de sécurité de l’information et représente une des barrières de sécurité que les usagers franchissent le plus couramment.

La gestion de l’identité et de l’accès contrôle l’accès aux ressources de l’entreprise.

Par le passé, la gestion de l’identité et de l’accès se résumait à appliquer des capacités de contrôle de gestion et de conformité en matière d’accès. Ces solutions se bornaient souvent à acheter des technologies dont la mise en œuvre était déficiente.

Les coûts étaient élevés et la valeur obtenue, limitée. Les organisations peinaient alors à atteindre un niveau satisfaisant de conformité, et les solutions déployées ne contrôlaient qu’un petit nombre d’applications et de systèmes.

Pensés pour atténuer les risques, réduire les coûts et améliorer l’efficacité opérationnelle, les services de gestion de l’identité centralisés, normalisés et automatisés restaient inefficients. De nos jours, beaucoup d’organisations comprennent, voire respectent, leurs obligations de conformité.

Si la conformité demeure un dictat pour les initiatives qui s’y rattachent, la gestion de l’identité et de l’accès évolue, s’exprimant comme un programme fondé sur le risque, armé de capacités de gestion des droits d’accès et d’exécution de contrôles d’accès logique.

Étapes du cycle de vie de la gestion de l’identité et de l’accès

La gestion de l’identité et de l’accès peut être représentée en plusieurs étapes.

Le diagramme de cycle de vie de la gestion de l’identité et de l’accès illustre les étapes suivies par les usagers dès leur entrée en service dans une entreprise pour accéder aux outils et aux biens qui sont nécessaires pour leur travail. Le cycle de vie de la gestion de l’identité et de l’accès comprend aussi les étapes qui maintiennent les accès appropriés pour un employé qui change de fonction, ou qui modifie ou retire des droits d’accès au moment d’un départ ou d’un changement de rôle.

Principales capacités en gestion de l’identité et de l’accès

Pendant l’élaboration d’un plan de transformation de la gestion de l’identité et de l’accès, vous devez veiller à inclure les capacités recommandées suivantes :

  • Matrices des rôles liés aux postes ou d’accès aux applications, à l’aide d’outils d'exploration des gisements de règles
  • Processus automatisé de demande d’accès et d’approbation d’accès fondé sur les flux de travail, à l’aide des matrices des rôles liés aux postes ou d’accès aux applications et des contrôles de la séparation des tâches
  • Solution d’entreposage des droits d’accès
  • Solutions d’accès par substitut, authentification centrale (couches applications, hôtes et bases de données)
  • Solutions d’authentification fondées sur le risque
  • Services d’analyse de l’identité et d’analyse du comportement s’intégrant à la prévention de la perte de données, à la sécurité de l’information et à la gestion des événements
  • Programme de gouvernance des processus de gestion des données et de l’accès, qui regroupe les RH, les responsables d’applications, la sécurité de l’information et les parties prenantes de la gestion de l’identité et de l’accès
  • Solutions fédérées
  • Solutions émergentes recoupant la sécurité logique et la sécurité physique
  • Conception de solutions prévoyant des exigences d’évolutivité future

Protection des données et protection de la vie privée

Nos services en protection des données et protection de la vie privée permettent aux organisations de déployer des processus et outils qui peuvent faciliter la détection et la prévention des vols de données découlant d’activités d’usagers internes.

Une évaluation des risques pour la prévention des pertes de données fournit des exemples précis et réels de pertes de données dans un environnement client, y compris une fuite de données sensibles ou un stockage de données sur un réseau ou dans des banques de données non protégés.

Nos services en protection de la vie privée aident les organisations à établir un flux transparent d’informations personnelles, respectant des règlements de portée mondiale qui touchent les affaires. L’éventail des services offerts couvre des risques tels que le vol d’identité, une atteinte à la marque ou à la réputation, les poursuites, les actions réglementaires et la situation de conformité à l’échelle mondiale, les pertes financières directes, la perte de valeur marchande, et l’effritement de la confiance des clients et des partenaires.

Aperçu des services offerts :

  • Évaluation de la prévention contre la perte de données
  • Évaluation du programme de protection contre la perte de données
  • Évaluation de la confidentialité et transformation

Résilience des entreprises

Notre approche consiste à amener les entreprises à réfléchir à leur résilience aux crises dans quatre domaines vitaux quant à la protection et la prospérité de toute organisation.

Nos services en résilience des entreprises comprennent la gestion de la continuité des activités (GCA) et de la reprise après sinistre. Ils consistent à proposer aux organisations une approche proactive fondée sur le risque qui intervient en continu en cas d’interruption de services afin de maintenir les fonctions opérationnelles essentielles et de permettre la reprise des services par les gens, les processus et la technologie, et ce, de façon optimale.

Aperçu des services offerts :

  • Évaluation du programme de résilience aux crises
  • Étude des impacts sur les activités
  • Élaboration du plan de continuité des activités, du plan de reprise des activités après sinistre et du plan de gestion de crise

Qui nous sommes

Nous sommes une équipe diversifiée de conseillers et de professionnels de différents secteurs ayant une perspective mondiale et une culture axée sur la collaboration.

Les compétences et les ressources nécessaires en cybersécurité sont une rareté dans les organisations. EY forme et développe des ressources en cybersécurité et peut les déployer dans votre organisation afin de vous faire profiter de leur grande expérience et vous aider à protéger votre organisation à long terme.

Nous faisons tout pour comprendre les enjeux de nos clients et nous savons poser les meilleures questions pour que leurs entreprises deviennent encore meilleures.

Exemples de questions :

  • De quelles idées ou ressources avez-vous besoin pour concevoir un modèle de cybersécurité de l’avenir?
  • Comment pouvons-nous vous aider à protéger votre propriété intellectuelle?
  • Quelles nouvelles technologies Internet apparaîtront et seront une menace pour votre organisation?
  • Comment un concurrent vous a-t-il dépassé en mettant sur le marché un nouveau produit que vous étiez en train de développer en secret?
  • Comment installer des compteurs intelligents dans des pays en voie de développement et les protéger?

Pour nous joindre