Evaluation de sécurité
Il suffit de jeter un coup d’œil aux gros titres de l’actualité pour comprendre pourquoi les entreprises sont à ce point préoccupées par leur sécurité informatique. Les rapports incessants de piratages commandités par un État, d’attaques par déni de service, de ransomware et de fuites causées par des initiés malveillants reflètent les menaces de cybersécurité auxquelles font face au quotidien les organisations gouvernementales, les établissements scolaires et les institutions de soins de santé, les sociétés financières, les banques, les cabinets d’avocats, les détaillants, les ASBL et de nombreuses autres organisations.
Le nombre d’attaques et de violations de données notoires fructueuses est également représentatif des faiblesses que présentent de nombreuses entreprises et organisations en termes de sécurité. Il n’est pas étonnant qu’à l’ère des menaces en rapide évolution et des réglementations en constante mutation, les entreprises peinent à protéger leurs données en tout temps. La sécurité de l’information est synonyme de travail acharné et de persévérance. Il convient donc de vous assurer que votre sécurité repose sur des fondations solides, mais également de vous adapter aux nouveaux défis qui se présentent.
Information générale
Ressources
| Oui | Non | ? | |
|---|---|---|---|
| Faites-vous des affaires en dehors de l’Europe ? | |||
| Un membre de votre organisation est-il chargé de tâches spécifiquement liées à la sécurité de l’information ? | |||
| Disposez-vous d’un département IT ? | |||
| Externalisez-vous votre support IT ? | |||
| Gérez-vous des données personnelles sensibles (origine raciale ou ethnique, opinions politiques, croyances religieuses ou philosophiques, affiliation à un syndicat ; données relatives à la santé ou à la vie sexuelle et à l’orientation sexuelle ; données génétiques ou biométriques) ? | |||
| Disposez-vous d’un inventaire de tous les appareils physiques et logiciels détenus par votre organisation ? |
Gestion des données et droits d’accès
Gestion des données et droits d'accès
| Oui | Non | ? | |
|---|---|---|---|
| Disposez-vous de logiciels antivirus et anti-spyware à jour sur vos ordinateurs? | |||
| Disposez-vous de logiciels antivirus et anti-spyware à jour sur vos serveurs ? | |||
| Les utilisateurs disposent-ils d’un droit d’administration locale sur leur ordinateur ? | |||
| Disposez-vous de logiciels antivirus et anti-spyware à jour sur vos appareils mobiles (ordinateurs portables, tablettes, smartphones…) ? | |||
| Cryptez-vous les données sensibles en transit ? | |||
| Cryptez-vous les données sensibles au repos (stockées dans les bases de données) ? | |||
| Cryptez-vous les données confidentielles stockées sur des appareils portatifs tels que des ordinateurs portables, smartphones, clés USB… ? | |||
| Les serveurs sont-ils configurés pour permettre de retrouver qui a accédé à un système et quelles modifications ont été apportées ? | |||
| Existe-t-il un contrôle d’accès formel aux privilèges d’administrateur système ? | |||
| Stockez-vous des données confidentielles dans le cloud ? | |||
| Supprimez-vous les fichiers ou les données inutiles au moins une fois par an, en particulier les informations sensibles ? | |||
| Tous les logiciels et fichiers téléchargés sur Internet sont-ils scannés à l’aide d’un antivirus, d’un anti-malware ou d’un filtre de contenu avant d’être exécutés ? |
Sécurité reseau IT
Réseau ICT
| Oui | Non | ? | |
|---|---|---|---|
| Utilisez-vous des pare-feu, des routeurs ou d’autres appareils pour protéger votre réseau ? | |||
| Avez-vous modifié les mots de passe administrateur par défaut de vos périphériques réseau ? | |||
| Le réseau de l’entreprise est-il équipé d’un système de détection ou de prévention des intrusions ? | |||
| L’accès sans fil est-il autorisé au sein de votre organisation ? | |||
| Avez-vous sécurisé la connexion sans fil ? | |||
| Autorisez-vous l’accès à distance à votre réseau ? | |||
| Votre entreprise exige-t-elle une authentification à deux facteurs pour l’accès à distance (p.ex. utilisation d’un token en combinaison avec un nom d’utilisateur et un mot de passe pour la connexion VPN) ? |
Administration des systèmes
Administration des systèmes
| Oui | Non | ? | |
|---|---|---|---|
| Les correctifs de sécurité sont-ils installés régulièrement sur les postes de travail et sur les serveurs ? | |||
| Des sauvegardes sont-elles effectuées à intervalles réguliers ? | |||
| Le processus de sauvegarde et de restauration a-t-il été vérifié ? | |||
| L’organisation stocke-t-elle des sauvegardes hors site ? | |||
| L’organisation crypte-t-elle ses sauvegardes ? | |||
| Disposez-vous de solutions d’hébergement alternatives (redondantes) en cas de panne ? | |||
| Disposez-vous d’un plan de continuité d’activité (BCP) ? |
Sécurité physique
Sécurité physique
| Oui | Non | ? | |
|---|---|---|---|
| L’accès au(x) bâtiment(s) est-il surveillé pendant et après les heures d’ouverture ? | |||
| L’accès physique aux équipements de traitement des données (serveurs et équipements réseau) est-il limité ? | |||
| Les salles informatiques sont-elles protégées contre l’incendie et les inondations ? | |||
| L’organisation dispose-t-elle d’un site de secours « chaud » ? | |||
| Avez-vous un système d’alarme ? | |||
| Des caméras de sécurité sont-elles installées sur vos sites ? | |||
| Les travailleurs et/ou visiteurs doivent-ils porter un badge ? |
Site web
Site Web
| Oui | Non | ? | |
|---|---|---|---|
| Avez-vous un site web ? | |||
| Votre site web public est-il hébergé par un fournisseur tiers ? | |||
| Vos contrats d’hébergement web avec des fournisseurs tiers sont-ils à jour et comblent-ils toutes vos attentes en matière de sécurité ? | |||
| Un test d’intrusion a-t-il été effectué sur votre site web ? |
Comment votre ou vos sites web publics sont-ils sécurisés ? (Cochez toutes les propositions applicables.)
Support
Support
| Oui | Non | ? | |
|---|---|---|---|
| Avez-vous accès à un helpdesk ? | |||
| Disposez-vous d’une assurance cybersécurité ? | |||
| Des SLA (Service Level Agreements) ont-ils été conclus avec vos fournisseurs afin d’entretenir votre infrastructure informatique ? | |||
| Disposez-vous de contrats de maintenance pour votre matériel informatique et vos logiciels ? |
Mobilité et BYOD
Mobilité et BYOD
| Oui | Non | ? | |
|---|---|---|---|
| Autorisez-vous le BYOD (Bring your own device) ? | |||
| Autorisez-vous le télétravail ? |
Politiques et procédures de gestion du risque
Politiques et procédures de gestion du risque
| Oui | Non | ? | |
|---|---|---|---|
| Disposez-vous d’une version écrite de votre politique de sécurité ? | |||
| L’organisation dispose-t-elle d’un plan formel de réaction aux incidents ? | |||
| Disposez-vous d’un plan de reprise d’activité ? | |||
| Les responsabilités et risques liés à la cybersécurité ont-ils été identifiés et communiqués aux travailleurs et aux tierces parties ? | |||
| Votre entreprise propose-t-elle un programme d’éducation et de sensibilisation des utilisateurs à la cybersécurité ? | |||
| Une stratégie a-t-elle été mise en place pour rétablir la réputation de l’organisation à la suite d’un événement lié à la cybersécurité ? | |||
| Des évaluations du risque sont-elles réalisées et documentées régulièrement ou dès que le système, les installations ou d’autres conditions changent ? La direction est-elle informée des nouveaux risques ? | |||
| Disposez-vous d’une politique régissant l’accès aux réseaux sociaux ? | |||
| L’organisation dispose-t-elle d’une politique écrite relative aux mots de passe qui détaille la structure requise pour ces mots de passe ? | |||
| Les utilisateurs disposent-ils d’un identifiant unique et d’un mot de passe complexe pour accéder au système ? | |||
| Disposez-vous d’une politique régissant l’installation de logiciels non standardisés sur les ordinateurs ? |