top of page
DALL·E 2024-02-29 18.15.28 - Create a smooth gradient image transitioning from deep navy b
proteus le logo de notre label

I. Introduction

Le présent cahier des charges a pour objectif de définir les critères, les exigences et les procédures pour l'obtention et le maintien du label Proteus Cybersecurity. Ce label vise à regrouper et à certifier les aspects clés des normes ISO 27001, CISSP et RGPD afin de garantir une sécurité optimale des systèmes d'information et la protection des données personnelles.

II. Objectifs du label Proteus Cybersecurity :

  • Assurer la conformité avec les réglementations et normes en vigueur dans le domaine de la cybersécurité et de la protection des données.

  • Promouvoir l'adoption des meilleures pratiques de sécurité informatique par les organisations.

  • Renforcer la confiance des clients, partenaires et utilisateurs dans les organisations labellisées.

  • Contribuer à l'amélioration continue des processus et des compétences liés à la cybersécurité.

 

III. Critères d'éligibilité et exigences :

A. Norme ISO 27001

  • Mise en place d'un système de management de la sécurité de l'information (SMSI) en conformité avec la norme ISO/CEI 27001:2013.

  • Identification et évaluation des risques liés à la sécurité de l'information.

  • Définition et mise en œuvre de mesures de protection adaptées aux risques identifiés.

  • Suivi, revue et amélioration continue du SMSI.

 

B. Certification CISSP (Certified Information Systems Security Professional)

  • Appliquer les principes et les pratiques de sécurité définis dans le CBK (Common Body of Knowledge) du CISSP :

 

  • Sécurité et gestion des risques :

  • Ce domaine traite de l'identification, de l'évaluation et de la gestion des risques liés à la sécurité de l'information. Il aborde également les aspects tels que la gouvernance, la conformité légale et réglementaire, et les politiques de sécurité.

  • Sécurité des actifs :

  • Ce domaine concerne la classification, la protection et la gestion des actifs informationnels. Il traite des sujets tels que la classification des données, la gestion des droits d'accès et la protection de la vie privée.

 

  • Architecture et ingénierie de la sécurité :

  • Ce domaine porte sur la conception, la mise en œuvre et la maintenance des systèmes de sécurité. Il couvre des aspects tels que les modèles de sécurité, les contrôles d'accès et les technologies de cryptage.

 

  • Communication et sécurité réseau:

  • Ce domaine traite de la protection des réseaux et des systèmes de communication. Il aborde des sujets tels que la conception sécurisée des réseaux, les protocoles de sécurité, la prévention des intrusions et la détection des anomalies.

 

  • Gestion des identités et des accès :

  • Ce domaine porte sur la gestion et le contrôle des accès aux ressources informatiques. Il traite des aspects tels que l'authentification, l'autorisation, la gestion des comptes et des droits d'accès, ainsi que les technologies d'authentification à facteurs multiples.

 

  • Évaluation et test de la sécurité :

  • Ce domaine concerne l'évaluation et la vérification de la sécurité des systèmes d'information. Il aborde des sujets tels que les audits de sécurité, les tests d'intrusion, les tests de vulnérabilité et l'analyse des incidents de sécurité.

 

  • Sécurité des opérations :

  • Ce domaine porte sur la gestion et la maintenance des opérations de sécurité. Il traite des aspects tels que la surveillance des systèmes, la gestion des incidents, la continuité des activités et la reprise après sinistre.

 

  • Développement sécurisé des logiciels :

  • Ce domaine traite de la conception, du développement et de la maintenance des logiciels sécurisés. Il aborde des sujets tels que les principes de développement sécurisé, la gestion du cycle de vie des applications et la sécurité des bases de données.

 

C. Règlement général sur la protection des données (RGPD)

  • Nommer un délégué à la protection des données (DPO) si nécessaire, conformément aux exigences du RGPD.

  • Mettre en place des processus et des outils pour assurer la conformité avec le RGPD, notamment en matière de collecte, de traitement, de stockage et de suppression des données personnelles.

  • Assurer la protection des données personnelles par des mesures techniques et organisationnelles appropriées.

  • Informer et former le personnel sur les exigences du RGPD et les bonnes pratiques de protection des données.

 

IV. Procédures d'évaluation et de certification :

  • Les organisations souhaitant obtenir le label Proteus Cybersecurity doivent soumettre un dossier de candidature détaillant leur conformité aux critères et exigences définis dans ce cahier des charges.

  • Une équipe d'audit, composée d'experts en cybersécurité, évaluera la conformité de l'organisation et vérifiera les informations fournies dans le dossier de candidature.

  • Si l'organisation répond aux exigences du label, elle recevra une certification valable pour une période de trois ans, renouvelable sous réserve d'un nouvel audit de conformité.

  • Des audits de suivi pourront être effectués de manière aléatoire ou à la suite de plaintes pour vérifier le maintien de la conformité aux exigences du label.

V. Maintien et renouvellement de la certification :

  • Les organisations certifiées sont tenues de maintenir et de démontrer leur conformité aux exigences du label Proteus Cybersecurity tout au long de la période de validité de la certification.

  • Les organisations certifiées doivent informer le comité d'évaluation de toute modification significative de leurs processus, de leur organisation ou de leur infrastructure pouvant affecter leur conformité au label.

  • Six mois avant l'expiration de la certification, les organisations doivent soumettre un dossier de renouvellement détaillant les actions prises pour maintenir et améliorer leur conformité aux exigences du label.

  • Un audit de renouvellement sera effectué par une équipe d'experts en cybersécurité afin de vérifier la conformité de l'organisation et de valider le renouvellement de la certification pour une nouvelle période de trois ans.

 

VI. Suspension et retrait du label :

  • En cas de non-conformité avérée aux exigences du label, l'organisation concernée peut faire l'objet d'une suspension temporaire ou d'un retrait définitif du label Proteus Cybersecurity.

  • L'organisation disposera d'un délai raisonnable pour corriger les non-conformités identifiées et soumettre les preuves de conformité.

  • Si l'organisation ne parvient pas à corriger les non-conformités dans le délai imparti, le comité d'évaluation pourra décider de suspendre ou de retirer définitivement la certification.

 

VII. Responsabilités et engagements des organisations certifiées :

  • Les organisations certifiées s'engagent à respecter et à promouvoir les exigences et les bonnes pratiques de cybersécurité définies par le label Proteus Cybersecurity.

  • Elles s'engagent également à coopérer avec le comité d'évaluation lors des audits de conformité et à fournir toutes les informations et documents nécessaires.

  • Les organisations certifiées sont responsables de la mise en œuvre et du maintien des mesures de sécurité et de protection des données conformes aux exigences du label, ainsi que de la formation et de la sensibilisation de leur personnel.

 

VIII. Confidentialité et protection des informations :

  • Le comité d'évaluation s'engage à préserver la confidentialité des informations fournies par les organisations candidates et certifiées, ainsi qu'à ne divulguer ces informations qu'aux personnes impliquées dans le processus d'évaluation et de certification.

  • Les organisations certifiées autorisent le comité d'évaluation à utiliser leurs noms, logos et informations de certification à des fins de promotion du label Proteus Cybersecurity et de vérification de la validité des certifications.

bottom of page