ESEC
Un article de Wikipédia, l'encyclopédie libre.
 Logo de ESEC |
|
| Repères historiques | |
| Dates clés : | 2000 : Création de l'entité ESEC 2007 : L'ESEC crée 6 pôles de compétences 2008 : Le laboratoire de l'ESEC réussit l'évaluation à la certification CSPN |
|---|---|
| Fiche d’identité | |
| Siège social : |  Paris, France |
| Direction : | Edouard JEANSON |
| Activité(s) : | Agence d'experts de la Sécurité des Systèmes d'Information |
| Produit(s) : | Conseils, Solutions Sécurité, Recherche et développement, services informatiques, formations, Test d'intrusion, Audit ISO 2700X, accompagnement RSSI, Plan de continuité d'activité/Plan de continuité, Architectures sécurisée, IT gouvernance, ... |
| Société mère : | Sogeti, elle-même filiale à 100% de Capgemini |
| Effectif : | 50 |
| Site corporatif : | Site ESEC et Blog ESEC |
| Principaux concurrents | |
| Devoteam Apogée, HSC, Accenture, ATOS Origin, ... | |
 |
|
L'ESEC (pour European Security Expertise Center) est une agence de SOGETI dédiée à la Sécurité des Systèmes d'information.
Au sein de cette agence, 50 consultants experts sont spécialisés dans les différents domaines de la sécurité des S.I.
Pour mieux répondre aux besoins de ses clients, l'ESEC est organisée en 6 pôles de compétences et propose de nombreuses solutions à travers trois axes : technique, organisationnel et R&D, le tout en respectant nos valeurs humaines.
En effet, l'ESEC a ainsi réalisé un grand nombre de prestations pour des grands comptes ou dans l'administration : audits organisationnels, tests d'intrusion, mise en place d'architectures sécurisées, sécurisation système, accompagnement RSSI, ...
Sommaire |
[modifier] Le savoir-faire de l'ESEC
[modifier] Des compétences très diverses pour répondre à chaque besoin pour chacun
Dans le but de couvrir l'ensemble des domaines de la sécurité informatique, l'agence ESEC s'est développée sur un large panel de compétences aussi bien techniques, organisationnelles que juridique.
* Nos compétences techniques:
o Sécurité de l’infrastructure
o Sécurité des accès logiques
o Sécurité VoIP/ToIP
o Gestion des identités
o Solutions SIM
o Virtualisation
* Nos compétences organisationnelles et juridiques:
o Politique de sécurité
o Organisation de la sécurité
o Plan de continuité d’activité
o Plan de reprise d’activité
[modifier] De la rigueur, des normes et de la méthodologie pour des résultats précis et pertinents
Afin d'assurer à l'entreprise un niveau de sécurité, les consultants s'engagent à suivre les normes et les méthodes reconnues. Ainsi, l'ESEC souhaite être conforme aux politiques et règles de l'entreprise pour la conforter dans un process de normalisation ou labéliser un niveau de sécurité élevé.
* Normes et législation
o CNIL
o ISO 27001
o LEN
o Sarbanes-Oxley
* Common Criteria— ISO 15408
o EBIOS
o ISO/CEI 13335-3
o MARION
o MEHARI
o etc.
[modifier] Les pôles de compétences de l'ESEC
[modifier] Pôle Conformité, Gouvernance et Architecture
Le pôle de compétences « Architectures sécurisées, conformité et gouvernance de la sécurité du SI » de l’ESEC se propose d’accompagner les entreprises dans leur démarche de sécurisation de leur SI et dans leur engagement de conformité aux législations et réglementations applicables. En effet, composé d’une dizaine d’experts du domaine (ingénieurs et juristes), ce pôle est spécialisé dans la sécurisation des architectures et dans la gouvernance de la sécurité du SI sous respect des contraintes légales et réglementaires.
[modifier] Pôle Politique de sécurité, Gestion des risques et Continuité d'activité
* Assistance à la Maîtrise d'Ouvrage
o Conseil en stratégie de sécurité, définition de plan d’actions sécurité,
rédaction des documents réglementaires de la sécurité (charte, guides techniques et modes opératoires)
o Rédaction de cahiers des charges pour le choix de solutions de secours utilisateurs
et système d’information, grille de dépouillement
o Définition de tableaux de bord de sécurité (performance, qualité de service, sécurité, …)
o Sensibilisation à la problématique sécurité, formation à la fonction de RSSI
o Accompagnement personnalisé et coaching : prise de fonctions, cadrage, grands projets,
montée en compétence, construction de vision partagée,
o …
* Assistance à Maîtrise d'Œuvre
o Conception et mise en œuvre d’architectures de sécurité
o Validation de choix de solutions et de plates-formes techniques de secours
et accompagnement à la mise en œuvre et tests de validation
o Pilotage des projets et accompagnement dans les phases de contrôles et
de suivi (plan de test, gestion des évolutions,…)
o Assistance à la mise en œuvre d’une organisation
et tests d’activation de gestion de crise
o Identification et évaluation des risques, stratégie de continuité,
dispositif de protection et de prévention, plan de continuité des activités,
o …
[modifier] Pôle Tests d'Intrusion
En testant et simulant les possibilités d’attaques de son système d’information,
l’entreprise en identifie les failles et vulnérabilités afin d’être en mesure de le protéger d’une action malveillante interne ou externe.
C’est l’objectif des audits techniques de sécurité et des tests d'intrusions. Ils ont pour rôle :
* De recueillir les informations accessibles sur la configuration du système d’informatique ; * De rechercher les possibilités d’intrusion externe sur un réseau ; * De tester la capacité à prendre le contrôle de tout ou partie d’un système d’information,
en connexion interne ou externe ; * D'énumérer les failles potentielles en analysant le niveau de risque,
les impacts et la criticité de chacune ; * D'évaluer au final le niveau de sécurité d'un réseau, d'un groupe de machine
ou d'un serveur particulier ; * De préconiser des actions de sécurisation pour se prémunir des vulnérabilités
et failles détectées.
Ces tests sont généralement demandés de façon :
* Ponctuelle : Afin de connaître son niveau de sécurité de son système d’information
ou dans le cadre d’un processus (modification du système d’information …) ; * Récurrente : Afin d’évaluer et de maintenir son système d’information
à un niveau de sécurité optimum.
[modifier] Pôle Audit, Systèmes de Management de la Sécurité de l'Information
L’offre Audit du SI s’adresse aux Directions générales, auditeurs internes, Risk Manager et Responsables de la Sécurité des Systèmes d’Information dont la préoccupation est d’assurer la gouvernance, l’optimisation des processus métiers, la gestion des risques d’entreprise et le management de la sécurité de l’Information.
La conduite des audits ISO 2700x est conforme à la méthodologie présentée par la norme ISO 19011.Cette norme donne des recommandations sur le management de programmes d’audits, la réalisation des audits, l’évaluation de systèmes de management et sur la compétence et les qualités d’un auditeur.
[modifier] Pôle Solution Sécurité
L'offre du pôle Solution Sécurité est basée sur une méthodologie rigoureuse:
- L'intégration spécifique
- Un modèle de réussite basé sur le conseil et l'adaptabilité
- Une connaissance précise ...
- ... accompagnée d'une méthodologie complète ...
- ... le tout, dans le perfectionnement.
[modifier] Pôle R&D
L'équipe Recherche et Développement (R&D) de l'ESEC, actuellement composée de 5 ingénieurs chercheurs, travaille essentiellement sur la sécurité des systèmes : analyse de code (ex.: C, web), audits de produits (ex.: IPS, VPN), reverse engineering (ex. : analyse de codes malicieux et d'exploits). Elle intervient également en soutien pour des missions particulières (ex. : analyses et développements pendant des tests d'intrusion). Les actions de la R&D sont orientées dans 3 directions :
- Anticiper les nouvelles formes d'attaques et les parades associées
- Renforcer les compétences des collaborateurs de l'ESEC
- Sensibiliser et former
[modifier] Les références de l'ESEC
Les consultants rédigent tous les mois une newsletter [1]
De nombreux articles ont été écrits dans la presse spécialisée [2]
Un blog est maintenu par l'équipe Recherche & Développement [3]
