Trust Center — Sécurité, Conformité & Gouvernance des Données

Cadre de Cybersécurité

Alignement NIST CSF 2.0

Notre approche de sécurité est structurée autour du Cybersecurity Framework 2.0 du National Institute of Standards and Technology (NIST), le standard international de référence pour la gestion des risques cyber.

Identifier

Cartographie exhaustive des actifs informationnels, classification des données par niveau de sensibilité et analyse des risques spécifiques à chaque mission.

Protéger

Chiffrement AES-256 au repos et TLS 1.3 en transit, contrôle d'accès par rôle, authentification multi-facteurs et formation continue de nos équipes.

Détecter

Surveillance continue des accès aux données sensibles, journalisation des événements de sécurité et alertes automatisées en cas d'activité anormale.

Répondre

Plan de réponse aux incidents formalisé, procédure de notification client sous 24h, isolation des systèmes compromis et analyse forensique.

Récupérer

Plan de continuité d'activité testé semestriellement, restauration des données sous 4h (RTO) et perte de données maximale tolérée de 1h (RPO).

Conformité Européenne

Directive NIS2 — Sécurisation de la Chaîne Numérique

En tant que partenaire de conseil pour des entreprises opérant dans l'Union européenne, nous appliquons les exigences de la Directive NIS2 (Network and Information Security 2) pour garantir la sécurité de l'ensemble de notre chaîne logistique numérique.

Gestion des risques

Évaluation formalisée des risques cyber incluant les risques liés à nos fournisseurs et sous-traitants technologiques. Revue semestrielle et mise à jour des mesures de mitigation.

Signalement d'incidents

Procédure de notification des incidents de sécurité significatifs dans un délai de 24 heures auprès des clients concernés, conformément aux obligations NIS2.

Sécurité de la chaîne d'approvisionnement

Audit de sécurité de tous nos fournisseurs technologiques critiques. Clauses contractuelles de sécurité et droit d'audit intégrés dans chaque contrat de sous-traitance.

Gouvernance cyber

Responsabilité de la cybersécurité portée au niveau de la direction. Politique de sécurité des systèmes d'information (PSSI) formalisée et revue annuellement.

Résilience des Données

Protocole de Sauvegarde 3-2-1

Face à la menace croissante des ransomwares, nous appliquons le protocole de sauvegarde 3-2-1 — le standard reconnu par les agences de cybersécurité mondiales (ANSSI, CISA, ENISA).

Copies

Trois copies distinctes de chaque donnée critique — l'originale et deux sauvegardes indépendantes.

Supports

Stockage sur au moins deux types de supports différents — réduisant le risque de défaillance simultanée.

Hors site

Une copie conservée dans un emplacement géographiquement distant — protection contre les sinistres locaux.

Nos sauvegardes sont chiffrées, testées mensuellement et soumises à des exercices de restauration trimestriels. L'objectif : garantir la récupération intégrale de vos données en toutes circonstances.

Échange de Documents

Portail Client Sécurisé

Pour l'échange de documents sensibles — contrats, rapports financiers, plans stratégiques, données de due diligence — nous mettons à disposition de nos clients un portail sécurisé dédié.

Accès Portail Sécurisé

Votre espace confidentiel pour consulter, déposer et télécharger des documents de mission en toute sécurité.

Chiffrement de bout en bout — AES-256

Accéder au portail →

Accès réservé aux clients disposant d'identifiants délivrés par El Alaoui Advisory.
Authentification multi-facteurs requise.

Engagements

Nos Engagements de Sécurité

NDA systématique — Un accord de confidentialité est signé avant toute mission, couvrant l'intégralité des informations échangées, y compris par les partenaires mobilisés (avocats, experts-comptables).

Conformité RGPD & Loi 09-08 — Traitement des données personnelles conforme au Règlement Général européen et à la loi marocaine n° 09-08 relative à la protection des données à caractère personnel.

Conformité PIPL (Chine) — Pour nos clients ayant des opérations impliquant des citoyens chinois, nous appliquons les dispositions de la Personal Information Protection Law, incluant le consentement explicite, la minimisation des données et les restrictions de transfert transfrontalier.

Suppression certifiée — À la fin de chaque mission, les données client sont supprimées de manière sécurisée (effacement conforme NIST SP 800-88) dans un délai de 30 jours, sauf obligation légale de conservation.

Formation continue — L'ensemble de l'équipe suit une formation annuelle en cybersécurité et sensibilisation aux risques, incluant des exercices de simulation de phishing.