Dans un contexte où de plus en plus d’entreprises et d’administrations doivent faire à des cyberattaques, les stratégies de cybersécurité doivent évoluer pour offrir la meilleure protection possible.
Markus Vervier
CEO de Nemesis
Nemesis BAS a été fondée en 2022, sous la houlette d’une équipe qui s’est associée pour appliquer ses connaissances et améliorer l’état de la sécurité avec une approche plus systématique et continue. « Consultant de manière ponctuelle pour de nombreuses entreprises, je constatais souvent qu’en y refaisant un contrôle quelques mois plus tard, certains problèmes n’étaient pas pleinement solutionnés, du fait de l’absence d’un contrôle permanent », explique Markus Vervier, CEO de Nemesis.
Ce qui n’est pas forcément la faute des entreprises concernées : « Elles essaient souvent du mieux qu’elles peuvent de défendre leur activité, et les grandes entreprises ont les moyens de déployer des mesures d’envergure. Mais ce n’est pas forcément le cas des plus petites structures, qui n’ont pas la possibilité d’engager un expert à l’année. »
Déjouer les plans des cyberpirates
D’où l’initiative de Nemesis Breach and Attack Simulation (BAS) de développer des solutions alternatives : « Nous n’essayons pas de remplacer la présence humaine, mais nous voulons combler l’absence d’un expert. Avec nos tests de sécurité continus et automatisés et notre simulation proactive des violations, nous proposons une protection optimale face aux cybermenaces. »
« Les cyberpirates utilisent les mêmes méthodes que les cambrioleurs : en observant au préalable le périmètre de votre installation et en s’équipant des outils adéquats pour désactiver les alarmes et forcer la porte de vos données informatiques. Notre travail consiste à déjouer leurs plans en connaissant leurs méthodes », précise Markus Vervier.
Concrètement, Nemesis BAS permet donc de simuler des cybermenaces réelles dans un environnement contrôlé. De la sorte, il devient possible pour une entreprise de tester ses défenses existantes et d’identifier les lacunes éventuelles.
Pleinement compatible avec DORA
Parallèlement, l’Union Européenne a développé le Digital Operational Resilience Act (DORA), qui crée un cadre réglementaire sur la résilience opérationnelle numérique. Il contraint les entreprises du secteur financier à s’assurer de pouvoir résister à tous les types de perturbations et de menaces liées à la cybersécurité. Ce règlement s’appliquera à l’ensemble des États membres de l’UE à partir du 17 janvier 2025.
« En tant qu’experts dans le domaine de la cybersécurité, nous sommes heureux que DORA constitue enfin le premier règlement avec des implications pratiques et des tests réels », se réjouit Markus Vervier. « Dans cette optique, nous aidons les entreprises concernées à se conformer à DORA en combinant les rapports de conformité et la gestion des documents avec des tests de contrôle de sécurité technique. »
Une cohérence renforcée
Le business model de Nemesis BAS repose sur une licence par abonnement annuel. Et ce, à des tarifs hautement compétitifs. Nemesis guide donc les sociétés de A à Z dans leur parcours de conformité et fournit une solution pour les exigences de tests techniques demandées par DORA. En centralisant toute la documentation liée à la conformité, Nemesis fournit un référentiel unique et organisé pour la documentation, les politiques de gestion de la sécurité, les rapports et les dossiers d’évaluation DORA.
Les solutions de Nemesis BAS proposent une cartographie intégrée avec la norme ISO27001, standard internationalement reconnu pour la gestion de la sécurité et de l’information. Il en est de même avec la directive européenne NIS2, qui vise à renforcer la résilience des entités critiques face aux cyberattaques. « L’avantage est réel en termes de réduction du temps et des ressources nécessaires à la gestion de la conformité, car les équipes peuvent rationaliser leurs efforts sur des normes similaires. De plus, des rapports automatisés et prêts pour l’audit permettent de gagner du temps et garantissent la cohérence, donnant aux équipes l’assurance qu’elles peuvent facilement répondre aux exigences d’audit et se concentrer davantage sur la résolution des lacunes potentielles en matière de résilience, plutôt que sur les rapports manuels », conclut Markus Vervier.