Sécurité : 40 questions à se poser

Rédaction

Mettre en œuvre une politique de sécurité suppose de bien couvrir tous les domaines. On peut débuter avec une check-list de bonnes questions à se poser.

  1. Qui est responsable de la cybersécurité dans l’organisation ?
  2. Y-a-t-il un RSSI dans l’entreprise ?
  3. Y-a-t-il un comité transversal pour traiter les problématiques de cybersécurité ?
  4. Des exercices de sécurité sont-ils régulièrement organisés ?
  5. Comment sont priorisés les actifs stratégiques de l’entreprise ?
  6. Comment sont protégées les informations sur les clients ?
  7. Comment sont identifiés les incidents de sécurité ?
  8. Quel a été le scénario de la dernière attaque ?
  9. Quel a été le dernier incident provoqué par un tiers (sous-traitants, partenaire…) ?
  10. Quels ont été les résultats du dernier test d’intrusion ?
  11. Quelles sont les compétences des équipes sécurité ?
  12. Une partie de la sécurité est-elle externalisée ?
  13. Quelles les principes de la politique de sécurité ?
  14. A quelle fréquence les utilisateurs sont-ils formés à la sécurité ?
  15. Comment sont contrôlés les accès aux applications ?
  16. Les configurations logicielles et matérielles sont-elles sécurisées ?
  17. Les risques sont-ils régulièrement mesurés ?
  18. Les logiciels achetés sont-ils analysés sur le plan de la sécurité ?
  19. Quels sont les processus pour analyser la sécurité des réseaux sans fil ?
  20. Y-a-t-il un dispositif de récupération des données ?
  21. Comment sont sécurisées les connexions réseaux ?
  22. Y-a-t-il des outils spécifiques pour identifier les logiciels malveillants ?
  23. Quelle est la procédure pour contrôler les accès administrateurs ?
  24. Quelle est la procédure pour réduire le risque lié aux accès administrateurs ?
  25. Existe-t-il une liste noire des sites Web ?
  26. Les logs de connexion sont-ils analysés ?
  27. Existe-t-il une procédure de limitation de transfert d’informations stratégiques vers l’extérieur ?
  28. Quelle est la formation dédiée à la gestion des incidents ?
  29. Des tests d’intrusion sont-ils régulièrement effectués pour mesurer le degré de risque ?
  30. Existe-t-il un plan de secours ?
  31. Comment les RSSI s’informent-ils sur la sécurité et les risques ?
  32. Quels sont les mécanismes de sécurité physique pour prévenir les attaques contre les données et les infrastructures ?
  33. Les accès distants sont-ils contrôlés ?
  34. Les réseaux sont-ils cloisonnés ?
  35. Existe-t-il une procédure spécifique pour contrôler les médias amovibles (clés USB) ?
  36. Les tiers qui ont accès au SI sont-ils recensés ?
  37. Comment sont diffusées les alertes sécurité ?
  38. Les tiers accédant au SI sont-ils recensés ?
  39. Comment sont recensés les accès non autorisés aux applications et terminaux ?
  40. Quelle est la procédure utilisée pour communiquer sur les incidents de sécurité ?

Source : Bitsight.