1 - Audit et conformité

Certaines organisations ont des besoins et exigences en conformité tels que l'ISO 27001, PCI-DSS, GDPR. DevUP vous aide dans le cycle de certification des différentes normes et référentiels du marché de la sécurité de l’information en proposant de l’intégration mais aussi de l’accompagnement au RSSI (responsable de la sécurité de l’information, DSI (directeur des systèmes d’information). Pour ce faire nous proposons les services suivants:

• - intégration des processus d'un SMSI (système de gestion de la sécurité de l'information). Pour ce faire, nous utilisons la méthodologie issue de l'ISO 27003 afin d’établir un SMSI (système de gestion de la sécurité de l’information). Comme son nom le suggère, cela insère la sécurité dans le long terme, de manière efficace et efficiente à toutes les étapes d’un système d’information (gouvernance, architecture, technique).


• - audit organisationnel, afin de comparer les bonnes pratiques en matière de gestion des risques de l’organisation aux exigences demandées par la norme ISO 27001, RGPD (Règlement européen sur la protection des données) ou bien un référentiel interne. Une méthode « maison » inspirée de l’ISO 27002 et de ses mesures permet ainsi de créer une « scorecard » représentant l’état de santé du système d’information et ainsi créer un plan de remédiation.


• - analyse de risque afin d’évaluer les évènements redoutés par l’organisation et de determiner un plan d’action efficace et ainsi améliorer la sécurité du système d’information. Pour y arriver, nous utilisons la méthode EBIOS 2010 et RM.

2 - Sécurité des applications

Pour les applications et l’intégration continue (DevOps), DevUP propose:

• - Mise en place d’un cycle de développement sécurisé (S-SDLC) dont l’objectif est d’introduire la sécurité au sein du processus de développement. Par la suite, nos consultants procèdent à l'élaboration de modèle de maturité afin de rester dans un processus d'amélioration continue idéal pour un pipeline DevOps. Un suivi en régie ou un accompagnement des managers en sécurité de l'information est possible pour la prise en main du S-SDLC. Pour nous épauler, nous utilisons des frameworks tels que BSIMM, OPENSAMM et SDL de chez Microsoft.


• - audit des applications, l’objectif est d’évaluer la sécurité des briques logicielles et R&D d’une organisation. Les bonnes pratiques en matière de développement, d’analyse statique de code avec des logiciels spécialisés. La revue de code manuel est mise en place afin d’élaborer un diagnostic précis du niveau de sécurité des applications WEB, MOBILE ou lourde.

3 - Test d'intrusion

Il est conseillé de faire un test d'intrusion chaque année pour les applications contenant des informations sensibles. Cet exercice est indispensable pour minimiser l'impact des cybers attaques en localisant les différentes vulnérabilités d'une application avant les cybercriminels. Pour ce faire, nous utilisons les méthodes "Testing guide OWASP" et PTES (Penetration Testing Execution Standard).

Nos consultants experts dans le domaine sont certifiés et n'hésitent pas à participer aux événements Français dans la matière. La veille technologique et les principaux outils professionnels du marché sont également intégrés dans nos prestations.

4 - Réponse à incident

Si la sécurité d'un système où des données ont été compromises, une réponse aux incidents est alors nécessaire avec l'intervention d'un spécialiste en investigation numérique (Digitals Forensics). DevUP vous accompagne dans la réponse à incident sur les systèmes Windows et les applications WEB afin de contenir la menace et rétablir les systèmes. Notre méthode consiste à collecter, préserver, analyser et rapporter des preuves pouvant servir devant un tribunal ou bien à remettre le SI en place. Nous travaillons en collaboration avec un cabinet d'avocat spécialiste du numérique quand l'intervention nécessite un besoin juridique.