Logo du pôle
ASSURER LA PROTECTION DE L'INFORMATION ET LA SÉCURITÉ DU
SYSTÈME D'INFORMATION, C'EST NOTRE MÉTIER.

Présentation

EN SAVOIR PLUS
Depuis 1994, avec Edelweb, ON-X est l'un des premiers cabinets de conseil spécialisé en sécurité de l'information. ON-X apporte sa vision et son expertise pour anticiper les nouvelles menaces et accompagner ses clients dans la mise en œuvre de mesures pragmatiques et pérennes de sécurité. ON-X vous accompagne dans la construction de la sécurité au fil de la révolution numérique en vous proposant conseil, expertise et contrôle dans la sécurisation de vos informations et de vos métiers.

Pourquoi nous faire confiance ?

EN SAVOIR PLUS
  • Nous adoptons une démarche de prise en compte des risques métiers dans l’ensemble de nos prestations
  • Nous couvrons l’ensemble du cycle de vie du système d’information
  • Nous visons l’amélioration continue du niveau de sécurité
  • Nous promouvons la sécurité comme une valeur ajoutée pour le business

Nos domaines de compétences

EN SAVOIR PLUS
  • GOUVERNANCE DE LA SÉCURITÉ :
    • Proposer une démarche globale de management de la sécurité.
    • Définir la façon de protéger et de gérer l’information et le système d’information.
    • S’inscrire dans une démarche d’amélioration continue.
    • Offres clés :
      • Schéma directeur SSI
      • PSSI
      • SMSI (ISO 27001, 27002)
      • RSSI délégué
      • Assistance au RSSI
      • Tableau de bord
      • PCA / PRA (ISO 22301)
      • Accompagnement à la création de SOC
  • RISQUES ET CONFORMITÉ :
    • Evaluer les menaces et détecter les vulnérabilités.
    • Obtenir une vision des risques métiers, prenant en compte les risques techniques.
    • Choisir les mesures de sécurité adaptées.
    • Offres clés :
      • Analyse de risques (EBIOS, ISO 27005)
      • Intégration de la sécurité dans les projets
      • Assistance à l’homologation de sécurité
      • Mise en conformité réglementaire
      • CNIL/RGPD, RGS, LPM, II 901, IGI 1300
  • EXPERTISE TECHNIQUE :
    • Accompagner vos projets de sécurité et construire plusieurs lignes de défense.
    • Mettre en place des systèmes robustes conformes à la réglementation et aux exigences fonctionnelles.
    • Offres clés :
      • Etudes et assistance au choix d’architectures et de solutions de sécurité
      • Rédaction de guide de sécurisation
      • Veille en vulnérabilités
      • Maintien en Condition de Sécurité (MCS)
      • Sécurité des systèmes industriels (SCADA)
      • Protection de l’information et lutte contre la fuite d’information (DLP)
      • Gestion des identités (IAM)
      • IGC et service de notarisation
  • AUDIT DE SÉCURITÉ :
    • Obtenir un diagnostic du niveau de sécurité ou de conformité du système d’information.
    • Préparer l’entreprise dans la détection et la gestion d’une attaque.
    • Améliorer le niveau de sécurité du système d’information.
    • Sensibiliser et responsabiliser les acteurs de l’entreprise.
    • Réagir en cas d’incident ou de crise.
    • Offres clés :
      • Etat des lieux
      • Audit organisationnel et physique
      • Audit d’architecture
      • Audit de configuration
      • Audit de code source
      • Tests d’intrusion
      • Ingénierie sociale et Red Team
      • Réponse à incident, analyse de malware et attaque ciblée (APT)
  • SENSIBILISATION ET FORMATION :
    • Faire comprendre aux acteurs de l’entreprise les enjeux de la sécurité.
    • Développer les réflexes pour favoriser une auto-évaluation des risques.
    • Transmettre les bonnes pratiques pour déployer les mesures de sécurité.​
    • Offres clés :
      • Stratégie de sensibilisation
      • Sensibilisation générale
      • Sensibilisation ciblée
      • Coaching
      • E-learning
      • Serious games
      • Campagne de Phishing
      • Formation sur mesure
Notre pôle se compose de consultants expérimentés disposant d’une forte culture sécurité dans le domaine du numérique.

Nos contributions

EN SAVOIR PLUS
  • Organisme certificateur pour l’Autorité de Régulation des Jeux en Ligne (ARJEL)
  • Membre fondateur de la Fédération des Professionnels des Tests Intrusifs (FPTI)
  • Membre actif de la communauté sécurité : Club EBIOS, Club 27001, OSSIR, CLUSIF
  • Membre actif de la communauté de dématérialisation : FNTC / FEDISA
  • Participation dans les groupes de travail de normalisation : IETF, OASIS, AFNOR, ISO

Notre politique de responsible disclosure

EN SAVOIR PLUS
Chez ON-X, nous souhaitons contribuer à l'amélioration de la sécurité des systèmes d’information en mettant à disposition de manière responsable certaines informations sensibles issues de notre expertise.

Durant nos prestations et nos activités de recherche et développement, des failles de sécurité dans des produits du marché peuvent être découvertes.

Nous pensons que le public doit être informé au plus tôt des vulnérabilités trouvées afin qu'il puisse appliquer les mesures nécessaires pour se protéger. Cependant, ces informations mises à la disposition de tous le sont également des attaquants qui peuvent ainsi les utiliser comme de nouveaux moyens de nuire.
C'est pour cette raison que l'éditeur ou le constructeur concerné doit être le premier informé afin d'avoir le temps nécessaire pour proposer un correctif à ses utilisateurs. Ainsi, lorsque notre équipe découvre une faille dans la sécurité d'un produit, les détails sont immédiatement transmis aux acteurs concernés afin qu'ils prennent les mesures adéquates.

Dans le cadre de cette démarche, nous nous réservons le droit de rendre publique les vulnérabilités trouvées après avoir contacté l’éditeur ou le constructeur concerné. Nous estimons qu’un délai de 45 jours est raisonnable et suffisamment incitatif pour que ces derniers agissent. Néanmoins, ce délai peut être revu et modifié en fonction de la menace pesant sur les systèmes d’information.
Nous nous réservons le droit de choisir les détails techniques à publier.
Dans le cadre de vulnérabilités découvertes durant des prestations réalisées par ON-X, les détails ne seront publiés qu'avec l'accord explicite du commanditaire.

ILS NOUS FONT CONFIANCE