a

Évaluation de la sécurité



A. Gestion (25 pts)

Objectifs, politique et soutien de l'organisation (5 pts)

1-Les membres de l’équipe de direction de l’organisation a-t-il procéder à une évaluation de la posture de cybersécurité sur les risques. Les membres de l’équipe de direction de l’organisation a-t-il procéder à une évaluation de la posture de cybersécurité sur les risques et vulnérabilités potentiels en matière de confidentialité, d'intégrité et de disponibilité des ressources informationnelles.

Oui
Partiellement
Non

2-Les accès des utilisateurs non-utilisés sont-ils révoqués ou supprimés ?

Oui
Partiellement
Non

3-Votre organisation dispose-t-elle de politiques de sécurité de l'information et sont-elles pleinement appliquées ?

Oui
Partiellement
Non

4-Le budget de l'organisation prévoit-il des fonds pour soutenir la sécurité, y compris le personnel, le matériel et les logiciels en fonction du budget total des TI ?

Oui
Partiellement
Non

Mise en œuvre de la gestion de la sécurité (5 pts)

5-Pour donner suite à l’évaluation de la posture de cybersécurité, les membres de l’équipe de direction de l’organisation a-t-il effectué la mise en place de contrôles protégeant contre les risques ?

Oui
Partiellement
Non

6-L’organisation a-t-elle dressé une liste de ses actifs et systèmes d’information qui seront visés par les contrôles de base et, pour tout élément exclu, veuillez fournir la raison d'accepter le ou les risques.

Oui
Partiellement
Non

7-Le système utilise-t-il une authentification à double facteur pour l’accès aux comptes privilégiés ou administrateurs ?

Oui
Partiellement
Non

8-Existe-t-il des procédures clairement documentées qui indiquent comment signaler et documenter les problèmes de sécurité, ainsi que les mesures de réponse et de suivi?

Oui
Partiellement
Non

Planification et préparation de la sécurité (15 pts)

9-Plan de sécurité : L'organisation dispose-t-elle d'un plan de sécurité qui a été considérablement revu et mis à jour au cours des 12 derniers mois ?

Oui
Partiellement
Non

10-Cyber Assurance : L'organisation a-t-elle une cyberassurance contre la perte, le vol de données et les cybers incidents.

Oui
Partiellement
Non

11-Plan de sécurité: Des repères pour l'amélioration immédiate et à long terme des défenses périmétriques et internes

Oui
Partiellement
Non

12-Plan de sécurité: Des améliorations sont nécessaires dans les opérations, par exemple la maintenance, la sauvegarde et la surveillance du système ?

Oui
Partiellement
Non

13-Plan de sécurité: Votre organisation a-t-elle une politique d'utilisation acceptable et appliquez-vous pleinement cette politique ?

Oui
Partiellement
Non

14-Plan de sécurité: Un plan de gestion de la vulnérabilité est-il élaboré et mis en œuvre ? Les vulnérabilités nouvellement identifiées sont-elles atténuées ou documentées comme des risques acceptés ?

Oui
Partiellement
Non

15-Audit de sécurité : Les opérations de sécurité de l'organisation ont-elles été examinées ou auditées par une tierce partie au cours des deux dernières années et un audit interne annuel ?

Oui
Partiellement
Non

16-Si un audit a été réalisé, les recommandations des auditeurs ont-elles été pleinement mises en œuvre ?

Oui
Partiellement
Non

17-Test de pénétration de la sécurité : les opérations de sécurité de l'organisation ont-elles été testées par un groupe extérieur au cours des deux dernières années et un audit interne annuel ?

Oui
Partiellement
Non

18-Si un test de pénétration a été effectué, les recommandations des testeurs ont-elles été pleinement mises en œuvre ?

Oui
Partiellement
Non

19-Effectuer des tâches routinières de gestion de réseau ?

Oui
Partiellement
Non

20-Effectuer régulièrement toutes les tâches liées à la sécurité ?

Oui
Partiellement
Non

21-Fournir un service à la clientèle à des niveaux appropriés ?

Oui
Partiellement
Non

22-Votre réseau est-il conçu de manière à isoler les serveurs web et de messagerie dans une zone semi-isolée communément appelée DMZ ?

Oui
Partiellement
Non

B. Technologie (50 pts)

Périmètre de défense (15 pts)

23-Le périmètre du réseau est-il protégé par un filtre antispam/contenu ?

Oui
Partiellement
Non

24-Le pare-feu et les dispositifs multifonctions comprennent-ils une protection contre les virus et les codes malicieux?

Oui
Partiellement
Non

25-Le spam, le contenu et la protection contre les virus sont-ils activés sur les serveurs de courrier électronique et les serveurs web ?

Oui
Partiellement
Non

26-Votre IPS (Système de prévention d’intrusion) est-il correctement configuré et fonctionne-t-il pleinement pour surveiller les installations critiques ?

Oui
Partiellement
Non

27-Tous les points d'accès sans fil sont-ils entièrement cryptés (aux normes WPA2, WPA3 ou mieux) ?

Oui
Partiellement
Non

28-Les défenses du périmètre sont-elles régulièrement testées pour déterminer leur vulnérabilité à la pénétration ?

Oui
Partiellement
Non

29-Des filtres web sont-ils en place pour se conformer aux exigences légales, avec la possibilité de dérogations autorisées ?

Oui
Partiellement
Non

30-Votre VPN est-il configuré pour fournir un accès sécurisé à tous les utilisateurs distants autorisés ? Les utilisateurs utilisent-ils un deuxième facteur d’authentification ?

Oui
Partiellement
Non

31-L’organisation a-t-elle mis en place un filtrage des courriels ?

Oui
Partiellement
Non

32-L’organisation a-t-elle mis en place un pare-feu DNS pour les requêtes DNS dirigées vers l’internet ?

Oui
Partiellement
Non

33-Disposez-vous d'une surveillance en direct des intrusions sur le réseau et de la protection contre les virus ? Votre organisation installe-t-elle un logiciel anti-malware et ce logiciel est-il correctement configuré, mis à jour et contrôlé ?

Oui
Partiellement
Non

Gestion des réseaux locaux (15 pts)

34-Le réseau est-il entièrement documenté et l'inventaire des équipements est-il à jour ?

Oui
Partiellement
Non

35-Tous les serveurs critiques sont-ils protégés par des unités redondantes ?

Oui
Partiellement
Non

36-Normalisation et redondance : Avez-vous la capacité de remplacer un équipement défectueux ?

Oui
Partiellement
Non

37-Partenaires et fournisseurs externes : Avez-vous validé l'efficacité des capacités de protection de la confidentialité des données et de sécurité contre les intrusions de toutes les parties extérieures avec lesquelles vous partagez des données confidentielles ?

Oui
Partiellement
Non

38-Les sauvegardes: Se produit-il régulièrement?

Oui
Partiellement
Non

39-Les sauvegardes: Gestion centralisée?

Oui
Partiellement
Non

40-Les sauvegardes: Stocké hors site?

Oui
Partiellement
Non

41-Les sauvegardes: Chiffrés

Oui
Partiellement
Non

42-Votre organisation a-t-elle un plan de politique de recouvrement ?

Oui
Partiellement
Non

43-Ransomware : Les actifs critiques sont-ils sauvegardés afin de pouvoir restaurer à partir d'incidents de rançon ?

Oui
Partiellement
Non

44-Protocoles de maintenance et de surveillance : La surveillance du réseau en ce qui concerne la largeur de bande, les connexions et les types de fichiers

Oui
Partiellement
Non

Gestion du réseau étendu (WAN) (20 pts)

45-Protocoles de maintenance et de surveillance : La maintenance préventive de routine des ordinateurs de bureau, des serveurs LAN, des appareils de réseau

Oui
Partiellement
Non

46-Protocoles de maintenance et de surveillance : Le test programmé des performances du réseau

Oui
Partiellement
Non

47-Normalisation et redondance : Avez-vous la capacité de remplacer un équipement défectueux ?

Oui
Partiellement
Non

48-Votre organisation stocke-t-elle des informations sensibles qui pourraient potentiellement compromettre sa capacité à poursuivre ses activités si elles étaient exfiltrées (propriété intellectuelle, informations gouvernementales, dossiers financiers, données de cartes de paiement, etc.)

Oui
Partiellement
Non

49-Gestion des mises à jour et des virus : Un logiciel de protection contre les virus est-il installé et mis à jour automatiquement sur chaque poste de travail ?

Oui
Partiellement
Non

50-Gestion des mises à jour et des virus : Les vulnérabilités des logiciels sont-elles systématiquement corrigées sur tous les postes de travail ?

Oui
Partiellement
Non

51-Gestion des mises à jour et des virus : Ajoutez un point supplémentaire si le correctif est appliqué automatiquement.

Oui
Partiellement
Non

52-Partenaires et fournisseurs externes : Avez-vous validé l'efficacité des capacités de protection de la confidentialité des données et de sécurité contre les intrusions de toutes les parties extérieures avec lesquelles vous partagez des données ou dont vous recevez des services (par exemple, les salaires, le courrier électronique, l'hébergement web, le fournisseur d'accès Internet, etc.) ?

Oui
Partiellement
Non

53-Le chiffrement : Toutes les données relatives aux employés et aux finances sont-elles chiffrées lors du stockage et du transit ?

Oui
Partiellement
Non

54-Sécurité de l’infonuagique : Les contrats sont-ils structurés de manière que la sécurité soit prise en compte ? Le contrat délimite la répartition complète des responsabilités entre l'organisation et le fournisseur. Le contrat ou l'accord de niveau de service comprend l'enregistrement et la notification des événements 1.Protection DDOS 2.Conditions de disponibilité 3.Détection et prévention des intrusions Propriété des données 4.Sécurité des données 5.Respect des exigences légales et réglémentaires.

Oui
Partiellement
Non

55-Mots de passe : Existe-t-il une politique d'authentification et d'autorisation à l'échelle de l'organisation et est-elle activement appliquée ?

Oui
Partiellement
Non

56-Mots de passe : Si tous les ordinateurs sont protégés par un mot de passe, donnez 1 point.

Oui
Partiellement
Non

57-Mots de passe : Si les mots de passe doivent être changés périodiquement, donnez 1 point.

Oui
Partiellement
Non

C. Continuité des activités (15 pts)

Plan de gestion de crise informatique (7 pts)

58-Plan de gestion des crises informatiques : Disposez-vous d'un modèle basé sur les actifs qui comprend les détails de tous les systèmes et qui est revu et mis à jour chaque année ?

Oui
Partiellement
Non

59-Inventaire et redondance : Le plan comprend-il une évaluation complète de l'inventaire et des redondances nécessaires en matière d'équipement ?

Oui
Partiellement
Non

60-Votre organisation a-t-elle mis en place et testé des capacités de reprise après sinistre pour les systèmes critiques ?

Oui
Partiellement
Non

61-Gestion de crise : Un plan de gestion de crise/continuité opérationnel a-t-il été rédigé ou mis à jour au cours des deux dernières années ?

Oui
Partiellement
Non

62-Formation et tests : Les membres du personnel se sont-ils exercés à mettre en œuvre le plan de gestion des crises au cours de l'année écoulée, puis ont-ils révisé le plan en fonction de cette expérience ?

Oui
Partiellement
Non

Sécurité environnementale (4 pts)

63-Catastrophes environnementales : Votre infrastructure de réseau est-elle située et installée dans une zone protégée des inondations, des ouragans, des tornades ou d'autres menaces naturelles d'importance régionale ?

Oui
Partiellement
Non

64-Protection contre l'incendie : Les serveurs de réseau sont-ils protégés par des alarmes et des équipements d'extinction d'incendie appropriés ?

Oui
Partiellement
Non

65-Contrôle de la température et de l'humidité : Les équipements de réseau sont-ils correctement ventilés ?

Oui
Partiellement
Non

66-Le pouvoir : Tous les serveurs et appareils de réseau sont-ils protégés par des dispositifs d'alimentation sans coupure (UPS) ?

Oui
Partiellement
Non

Sécurité physique (4 pts)

67-Lieux sécurisés : Tous les dispositifs de réseau sont-ils situés dans des installations sécurisées exclusivement dédiées à l'exploitation du réseau ?

Oui
Partiellement
Non

68-Infrastructure sécurisée : Tous les commutateurs, concentrateurs et armoires électriques sont-ils situés dans des espaces qui ne sont pas également utilisés par les gardiens, les bibliothécaires, etc.

Oui
Partiellement
Non

69-Sécurité de l'équipement : Tous les équipements situés dans les zones à forte fréquentation sont-ils sécurisés pour éviter les vols ?

Oui
Partiellement
Non

70-Le pouvoir : Tous les serveurs et appareils de réseau sont-ils protégés par des dispositifs d'alimentation sans coupure (UPS) ?

Oui
Partiellement
Non

71-Contrôle d'accès : Les installations informatiques sont-elles accessibles aux étudiants et au personnel uniquement dans des circonstances contrôlées (cartes d'identité, journaux d'entrée) ?

Oui
Partiellement
Non

D. Partie prenante/utilisateur final (10 pts)

Engagement des utilisateurs et communication avec les parties prenantes (10 pts)

72-Tous les utilisateurs ont-ils reçu une formation de sensibilisation à la cybersécurité ou votre organisation a-t-elle effectuer des tests d’hameçonnage ?

Oui
Partiellement
Non

73-Communication : Des mises à jour sur la technologie et la sécurité sont-elles régulièrement envoyées aux parties prenantes par courrier électronique, bulletins d'information, affiches et médias publics ?

Oui
Partiellement
Non

74-Rétroaction : Existe-t-il un service d'assistance pour suivre les problèmes et les suggestions ? Existe-t-il des forums électroniques et en face à face réguliers pour les commentaires, suggestions et plaintes des utilisateurs ? Le retour d'information est-il écouté avec respect et pris en compte ?

Oui
Partiellement
Non

75-Résumé : Avez-vous créé une 'communauté de confiance' dans laquelle les utilisateurs assument la responsabilité de leur rôle en matière de sécurité et ont également le sentiment que leurs droits sont respectés et que leurs besoins sont pris en compte ?

Oui
Partiellement
Non

76-Sensibilisation : Les dirigeants font-ils preuve de compétence et de connaissance des pratiques stratégiques de sécurité ? Les utilisateurs intègrent-ils les pratiques de sécurité essentielles dans l'utilisation des technologies.

Oui
Partiellement
Non

77-Contrôle d'accès : L'accès du personnel à la technologie est-il contrôlé en fonction du besoin de savoir et du moindre privilège, la notion du RBAC (Rôle Base Access Control) est-il configuré dans votre répertoire d’annuaire ?

Oui
Partiellement
Non