Introduction

Ce questionnaire d'auto évaluation s'adresse aux PME/PMI/ETI de la région Occitanie qui ont un infrastructure dédiée à l'entreprise mais pas de personnel en charge de l'informatique; si ce n'est pas le cas de votre entreprise, veuillez retourner à la page d'accueil.

NB: Les champs marqués d'une astérisque doivent être renseignés, et l'envoi des données saisies n'est effectif qu'une fois la fin du questionnaire atteinte).

Code d'accès *

La saisie d'un code d'accès est indispensable pour la soumission du formulaire d'analyse en bas de page.

Veuillez saisir votre code d'accès (si vous n'en disposez pas, veuillez formuler une demande auprès de AD'OCC).

Section précédente Section suivante

Informations Générales

Nom de l'entreprise *

Implantations géographiques

Dans cette section, une 'implantantion' correspond à une présence de l'entreprise, que ce soit dans des locaux spécifiques, ou dans des locaux partagés. Seuls les employés doivent être comptés comme effectifs (i.e. ne pas comptabiliser les prestataires, stagiaires, etc.).

L'entreprise a-t-elle plusieurs implantations en Occitanie? *

Oui

Quel est l'effectif en occitanie? *

De 1 à 9
de 10 à 49
de 50 à 199
plus de 200

L'entreprise a-t-elle des implantations hors Occitanie?

Oui

Quel est l'effectif hors d'occitanie?

De 1 à 9
de 10 à 49
de 50 à 199
plus de 200

Personnes ayant accès au système d'information, hors salariés

Au delà des employés de l'entreprise, d'autres personnes peuvent avoir un accès au système informatique de l'entreprise, que ce soit de manière permanente ou ponctuelle; ces personnes peuvent éventuellement présenter des risques spécifiques.

Stagiaires
Intérimaires
Prestataires
Autres:

Section précédente Section suivante

Maillage Économique

Le but de cette section est de permettre à AD'OCC de mieux vous connaître afin d'améliorer l'accompagnement qu'elle peut vous offrir.

Secteur(s) d'activité de l'entreprise

Préciser les principaux secteurs d'activité dans lesquels l'entreprise intervient *

Secteurs à enjeux majeurs

Préciser quels sont les secteurs où les enjeux sont jugés majeurs pour l'entreprise, notamment s'il y a des concurrents étrangers sur le secteur

Activité à l'international

Si l'entreprise exerce une activité à l'international, que ce soit en terme d'export ou de présence via des partenariats, en quoi consiste-t-elle ?

Section précédente Section suivante

Prise en compte de la sécurite informatique

Charte informatique

Il est recommandé de créer une charte informatique qui indique les contraintes d'utilisation du système informatique de l'entreprise; annexer cette charte au règlement intérieur de l'entreprise permet de la rendre applicable. Il faut évidemment aussi que toutes les personnes concernées aient été informées de celle-ci et de toute modification qui y est apportée.

L'entreprise dispose-t-elle d'une charte informatique ?

Oui

Cette charte informatique est-elle annexée au règlement intérieur ?

Oui

Arrivée & départ des collaborateurs

L'entreprise a-t-elle établi un protocole d'arrivée/départ des collaborateurs ?

Le suivi rigoureux des collaborateurs, qu'ils soient employés de l'entreprise ou non (des prestataires par exemple), et notamment en cas de départ de l'entreprise permet de supprimer les accès informatiques qui ne sont plus nécessaires, et de limiter ainsi les risques de piratage.

Oui

Le cas échéant, un encadrement particulier existe-t-il pour ces collaborateurs externes à la société ?

Si des risques spécifiques aux collaborateurs qui ne sont pas employés de l'entreprise ont été identifiés, des mesures de deminution de risques spécifiques peuvent être définies (par exemple la nécessité de ne pas laisser intervenir seul un personne, lui interdire de donnecter son PC ou smartphone, etc.)

Oui

Protection physique des biens et locaux

L'entreprise dispose-t-elle d'une alarme anti-intrusion et du traitement approprié en cas de déclenchement de celle-ci ?

La question porte ici sur les locaux utilisés par l'entreprise, qu'elle en soit propriétaire ou non.

Oui

L'accès au réseau physique de l'entreprise est-il sécurisé ?

Les prises réseau dans un lieu public rendent aisée la connexion au réseau d’entreprise par des visiteurs, ce qui présente des risques de piratage; la protection de l'accès au réseau filaire permet de limiter ces risques.

Oui

Protection des données

L'entreprise a-t-elle mis en place une sauvegarde des données ?

Les données informatiques sont souvent devenues primordiales à l'activité de l'entreprise, une perte de celles-ci (que ce soit en cas d'incident matériel, ou suite à un acte de malveillance type rançongiciel) peut avoir un impact très fort. Une sauvegarde des données permet de limiter ce risque.

Oui

Des tests de restauration des données ont-il été menés cette année passée ?

Trop souvent les sauvegardes ne sont pas testées, ce qui conduit à un faux sentiment de sécurité des données, effectuer des tests réguliers de restauration limite ce risque.

Oui

La perte de données est-elle couverte par une assurance ?

Tout comme d'autres risques, il est possible de contracter une assurance pour limiter certains risques (attention toutefois aux clauses limitant la couverture de l'accurance).

Oui

L'entreprise a-t-elle stocke-t-elle des données dans le 'cloud' ?

Le stockage de données dans le 'cloud' permet un accès facilité aux données mais présente aussi certains risques notamment liés à la confidentialité et l'intégrité des données.

Oui

L'entreprise a-t-elle apréhendé les risques liés au stockage des données dans le cloud ?

Des mesures de diminution de risques peuvent avoir été mises en place (par ex. ne pas stocker certaines données critiques ou les chiffrer, ou encore disposer de mesures contractualles adaptées).

Oui

Données à caractère personnel

Cette section porte sur la conformité de l'entreprise vis à vis du Règlement Général sur la Protection des Données (RGPD), entré en vigueur en Mai 2018.

L'entreprise a-t-elle nommé un Délégué à la Protection des Données (DPO) ?

Oui

L'entreprise a-t-elle documenté sa mise en conformité vis à vis du RGPD ?

Oui

Le cas échéant, l'entreprise a-t-elle une mention concernant sa politique de confidentialité des données personnelles sur son site web ?

Oui

Section précédente Section suivante

Maîtrise du système d'information

Cartographie du système informatique

La maîtrise de d'un système informatique nécessite d'identifier tous ses composants (postes de travailn, serveurs, équipements réseaux, applications, données, etc.) Ces éléments sont généralement regroupés sous le terme de 'cartographie'.

L'entreprise dispose-t-elle d'une cartographie de son système informatique ?

Oui

Des processus/procédures existent-elles pour assurer le maintien à jour de cette cartograpie ?

Pour conserver sa valeur de référentiel, la cartographie devrait être mise à jour suite à toute évolution du système d'information.

Oui

Protection de l'accès à Internet

L'entreprise est-elle dotée d'un pare-feu protegeant son interface avec Internet ?

Un pare-feu est un dispositif permettant d'interdire des flux de données jugés inutiles ou dangereux, de façon à limiter notamment les risques d'utilisation illégale du système informatique et les fuites de données.

Oui

L'entreprise sait-elle comment ce pare-feu est paramétré ?

Le paramétrage d'un pare-feu nécessite des compétences spécifiques, une méconnaissance du paramétrage effectif du pare-feu peu induire en erreur quant au niveau réel de protection offer par ce dernier.

Oui

Protection de l'accès depuis Internet

L'entreprise a-t-elle déployé un VPN pour permettre un accès depuis Internet à son système informatique ?

Un VPN (Virtual Private Network) est un dispositif permettant un accès sécurisé à un réseau depuis un réseau tiers (typiquement Internet).

Oui

L'accès depuis Internet aux système informatique est-il protégé ?

Afin de ne pas exposer inutilement les systèmes internes de l'entreprise, des mesures de protection sont souvent mises en oeuvre, typiquement .

Oui

Réseau Wi-Fi

L'entreprise a-t-elle mis en place un point d'accès Wi-Fi pour les visiteurs ?

Il s'agit ici d'un point d'accès Wi-Fi permettant aux visiteurs d'avoir un accès à Internet ou à certaines ressources de l'entreprise de manière maîtrisée.

Oui

Ce point d'accès Wi-Fi donne-t-il accès au réseau interne de l'entreprise ?

Répondre 'Oui' si un système connecté à ce point d'accès Wi-Fi a un accès non filtré au réseau interne de l'entreprise.

Oui

Surveillance du réseau

L'entreprise a-t-elle mis en place une surveillance du réseau ?

La 'surveillance du réseau' est une pratique qui consiste à identifier des éléments anormaux sur un réseau, typiquement des connexions non légitimes, une consommation anormale de bande passante, une utilisation à des horaires non prévus, etc.

Oui

Section précédente Section suivante

Gestion du système informatique

Cette section traite de la manière dont le système informatique est géré.

Prestataire

Le système d'information de l'entreprise est-il administré par un prestataire externe ?

L'administration inclue l'installation des systèmes, leur paramétrage suivant des consignes de l'entreprise et les bonnes pratiques, et leur gestion dans le temps jusqu'à leur décommissionnement.

Oui

La prestation inclue-t-elle la gestion de la sécurité ?

On entend par gestion de la sécurité le paramétrage des systèmes, la gestion des comptes des utilisateurs, l'application des mises à jour de sécurité, etc.

Oui

Le prestataire fournit-il des comptes rendus d'activité ?

Oui

Risques spécifiques

L'entreprise identifie-t-elle des risques spécifiques liés à la gestion du système informatique ?

Section précédente Section suivante

Gestion des postes de travail

Les 'postes de travail' sont les PC (Windows, Mac ou Linux) que les collaborateurs utilisent pour accéder au système informatique de l'entreprise. Ces équipements, s'ils ne sont pas correctement gérés, peuvent induire des risques de piratage de l'entreprise.

Comptes utilisateurs

Les utilisateurs disposent-ils de comptes nominatifs ?

Un 'compte' est un identifiant qui permet d'accéder au système informatique, que ce soit sur les PC ou les applications. Suivant les configurations et les besoins, une personne physique peut avoir plusieurs comptes.

Oui

Les mots de passe des comptes sont-ils robustes ?

Un attaquant aura plus de mal à deviner un mot de passe 'robuste' et aura donc plus de difficulté à usurpater l'identité des collaborateurs de l'entreprise. Les mots de passe robustes sont composés de lettres (majuscules et minuscules), de chiffres et de caractères spéciaux, et sont de longueur suffisante.

Oui

Les comptes des utilisateurs sont-ils distincts des comptes 'administrateurs' ?

Être 'administrateur' permet de paramétrer le système informatique (par ex. paramétrer les PC, installer ou supprimer des logiciels, accéder à des documents, etc.)

Oui

Les utilisateurs sont-ils administrateur de leur PC ?

Répondre 'Oui' si les utilisateurs ont la possibilité de gérer eux-mêmes leur propre PC de façon par exemple à y installer les logiciels dont ils ont besoin. Cette pratique présente de nombreux risques de piratage.

Oui

Correctifs de sécurité

Les correctifs de sécurité sont des mises à jour du système et des logiciels installés sur les PC, ils sont publiés par les éditeurs respectifs. Les appliquer sur les systèmes concernés permet de supprimer les vulnérabilités correspondantes, et de limiter ainsi les risques de piratage.

La mise à jour des postes de travail est-elle effectuée à intervalles réguliers ?

Oui

Antivirus

Les postes de travail sont-ils protégés par un antivirus maintenu à jour ?

NB: un antivirus qui n'est pas maintenu à jour en terme de version de logiciel et de bases de signatures voit son efficacité grandement diminuée.

Oui

Pare-Feu

Un pare-feu est un dispositif permettant d'interdire des flux de données jugés inutiles ou dangereux, de façon à limiter notamment les risques d'utilisation illégale du système informatique et les fuites de données.

Le pare-feu interne des postes de travail est-il configuré pour apporter une protection ?

Oui

Médias amovibles

On entend par média amovible les clés USB, disques externes, CD-ROM et DVD-ROM utilisés pour stocker et transférer des données d'un système à un autre. Ceux-ci sont parfois utilisés comme vecteur d'attaque, ou comme moyen de fuite de donnée.

L'utilisation des médias amovibles est-elle verrouillée ou sécurisée ?

Il peut s'agir d'exigences dans la charte informatique, de mesure techniques spécifiques ou de procédures, par ex. désactivation des périphériques USB, bouchage des ports USB, ou encore scan des clés USB avant utilisation.

Oui

Protections des données

Le chiffrement ('cryaptge' par abus de langage) permet de conserver l'aspect confidentiel des données en les rendant illisibles à toute personne non légitime, notamment en cas de vol ou de perte. Les outils de chiffrement diffèrent suivant les systèmes, les plus connus étant TrueCrypt/VeraCrypt, Cryhod, LUKS, FileVault ou encore BitLocker.

Le(s) disque(s) interne(s) des postes de travail sont-ils chiffrés ?

Oui

Les médias amovibles sont-ils chiffrés ?

Oui

Équipements personnels

Certaines entreprises permettent à leurs collaborateurs de travailler directement sur leur propres PC, pratique souvent connue sous le nom de 'BYOD'. Cette pratique, même si elle simplifie la gestion pour l'entreprise n'est pas sans risques techniques ou juridiques.

Les équipements personnels sont-ils utilisés dans le cadre des activités de l'entreprise ?

Cette question concerne autant la capacité technique d'un collaborateur à utiliser ses propres équipements que l'autorisation de l'entreprise de le faire (tracé par ex. dans la charte informatique).

Oui

Risques spécifiques

L'entreprise identifie-t-elle des risques spécifiques liés aux postes de travail des utilisateurs ?

Section précédente Section suivante

Gestion des équipements mobiles

Les équipements mobiles sont les smartphones et tablettes utilisés par les collaborateurs dans le cadre de leur activité professionnelle. Tout comme pour les postes de travail, équipements, ils peuvent induire des risques de piratage de l'entreprise.

Équipements mobiles fournis par l'entreprise

Les équipements mobiles sont-ils systématiquement mis à jour ?

Les mises à jour des équipements mobiles sont généralement 'poussés' par leurs fabricants (s'ils sont sérieux), mais ne sont parfois pas appliqués de manière automatique

Oui

Les équipements mobiles font-ils l'objet du même niveau d'attention en terme de sécurité que les postes de travail ?

Oui

Équipements mobiles personnels

Les équipements mobiles personnels peuvent-ils être utilisés dans le cadre des activités de l'entreprise ?

Cette question concerne autant la capacité technique d'un collaborateur à utiliser ses propres équipements que l'autorisation de l'entreprise de le faire (tracé par ex. dans la charte informatique)

Oui

Risques spécifiques

L'entreprise identifie-t-elle des risques spécifiques liés à l'utilisation des matériels mobiles ?

Section précédente Section suivante

Gestion de la sécurite informatique

Cette section concerne l'organisation que l'entreprise a mise en place pour gérer les risques liés à l'informatique.

En cas d'incident de sécurité informatique

Une chaîne d'alerte a-t-elle été établie dans l'entreprise ?

Oui

Un plan de continuité de l'activité a-t-il été établi ?

Oui

Sécurisation des échanges avec les tiers

Des protocoles sécurisés ont-ils été mis en place avec les partenaires de l'entreprise ?

Les échanges avec les partenaires externes (par ex. les établissements bancaires) peuvent être porteurs de risques (par ex. les faux ordres de virement ou la subsitution de RIB), des mesures de diminution de risques sont souvent nécessaires pour les diminuer.

Oui

Sensibilisation des utilisateurs

L'entreprise assure-t-elle une sensibilisation des utilisateurs aux risques du numérique ?

Beaucoup d'attaques informatiques débutent ou font intervenir les collaborateurs des entreprises, les sensibiliser aux risques et les informer de la conduite à tenir permet de diminuer les risques de piratage.

Oui

Cette sensibilisation est-elle récurrente ?

Une sensibilisation récurrente (au moins annuelle) permet de 'refraîchir la mémoire' des collabotateurs et d'adapter la communication aux menaces nouvelles et risques associés.

Oui

Incidents informatiques

L'entreprise estime-t-elle être une cible potentielle d'acteurs malveillants ?

Au delà des attaques non ciblées, le positionnement d'une entreprise sur le marché ou son savoir-faire peuvent l'exposer à des attaques ciblées (pour des activités d'espionnage économique, de déstabilisation, etc.).

Oui

L'entreprise a-t-elle déjà subi des attaques informatique ?

Oui

Si possible, fournir une description sommaire des incidents informatiques subis

Sans entrer dans les détails ni divulguer d'informations critiques, indiquer en complément le traitement qui a été fait, si un dépôt de plainte a eu lieu, ainsi que le préjudice estimé.

Section précédente Section suivante

Fin du questionnaire

Envoyer les données saisies

Retour rapide aux sections