1 - Introduction

Ce questionnaire d'auto-évaluation s'adresse aux entreprises ou autres organisations de la région Occitanie qui ont un infrastructure dédiée à l'entreprise mais pas de personnel en charge de l'informatique.
Pour accéder à un autre questionnaire cliquez ici.

Pour plus d'informations sur le vocabulaire utilisé et les bonnes pratiques de sécurité, consultez la page Glossaire et Règles de sécurité
https://www.cyberocc.com/glossaire-diag

Les champs marqués d'une astérisque sont obligatoires.

Code d'identification

La saisie d'un code d'identification est préférable pour l'enregistrement du formulaire d'analyse en fin de diagnostic mais n'est pas obligatoire.
Vous pouvez écrire à contact@cyberocc.fr pour obtenir un code d'indentification.

Saisir votre code d'identification :

Section suivante

2 - Informations Générales

Nom de l'entreprise *

Implantations géographiques

Dans cette section, une 'implantation' correspond à une présence de l'entreprise, que ce soit dans des locaux spécifiques, ou dans des locaux partagés. Seuls les employés doivent être comptés comme effectifs (i.e. ne pas comptabiliser les prestataires, stagiaires, etc.).

L'entreprise a-t-elle plusieurs implantations en Occitanie? *

Quel est l'effectif en occitanie? *





L'entreprise a-t-elle des implantations hors Occitanie?

Quel est l'effectif hors d'occitanie?





Personnes ayant accès au système d'information, hors salariés

Au delà des employés de l'entreprise, d'autres personnes peuvent avoir un accès au système informatique de l'entreprise, que ce soit de manière permanente ou ponctuelle; ces personnes peuvent éventuellement présenter des risques spécifiques.

Autres:

Section précédente Section suivante

3 - Maillage Économique

Le but de cette section est de permettre à AD'OCC de mieux vous connaître afin d'améliorer l'accompagnement qu'elle peut vous offrir.

Secteur(s) d'activité de l'entreprise

Préciser les principaux secteurs d'activité dans lesquels l'entreprise intervient *

Secteurs à enjeux majeurs

Préciser quels sont les secteurs où les enjeux sont jugés majeurs pour l'entreprise, notamment s'il y a des concurrents étrangers sur le secteur

Activité à l'international

Si l'entreprise exerce une activité à l'international, que ce soit en terme d'export ou de présence via des partenariats, en quoi consiste-t-elle ?

Section précédente Section suivante

4 - Prise en compte de la sécurite informatique

Règles d'utilisation du Système d'Information (SI)

L'entreprise dispose-t-elle d'une charte informatique ?

La charte informatique est un document qui définit les conditions générales d’utilisation des systèmes d’information et de communication de l'entreprise.

Cette charte informatique est-elle annexée au règlement intérieur ?

Arrivée & départ des collaborateurs

L'entreprise a-t-elle établi un protocole d'arrivée/départ des collaborateurs ?

Un encadrement particulier existe-t-il pour les collaborateurs externes à la société ?

Protection physique des biens et locaux

Les locaux de l'entreprise disposent-ils d'une alarme anti-intrusion ?

Un traitement approprié est-il prévu en cas de déclenchement de l'alarme ?

L'accès au réseau physique de l'entreprise est-il sécurisé ?

Protection des données

L'entreprise a-t-elle mis en place une sauvegarde des données ?

Ces sauvegardes ont-elles lieu à intervalles réguliers ?

Des tests de restauration des données sont-ils effectués régulièrement ?

La perte de données est-elle couverte par une assurance ?

L'entreprise stocke-t-elle des données dans le "cloud" ?

L'entreprise a-t-elle pris en compte les risques liés au stockage des données dans le cloud ?

Données à caractère personnel

L'entreprise a-t-elle mis en place une démarche de mise en conformité au RGPD ?

L'entreprise a-t-elle nommé un DPD ou DPO ?

L'entreprise a-t-elle documenté sa mise en conformité ?

L'entreprise a-t-elle mis en place une politique de protection des données personnelles ?

L'entreprise fait-elle mention de sa politique de protection des données personnelles sur son site internet ?

Section précédente Section suivante

5 - Maîtrise du système d'information

Connaître son système d'information (SI)

L'entreprise dispose-t-elle d'une Cartographie de son SI ?

Des processus/procédures existent-elles pour assurer le maintien à jour de cette cartographie ?

Protection de l'accès à Internet

L'entreprise est-elle dotée d'un pare-feu protégeant son réseau informatique d'Internet ?

L'entreprise sait-elle comment ce pare-feu est paramétré ?

Le paramétrage d'un pare-feu nécessite des compétences spécifiques!

Protection de l'accès depuis Internet

L'entreprise a-t-elle déployé un VPN pour permettre un accès depuis Internet à son système informatique ?

L'accès depuis Internet aux système informatique est-il protégé ?

Réseau Wi-Fi

L'entreprise a-t-elle mis en place un point d'accès Wi-Fi pour les visiteurs ?

Ce point d'accès Wi-Fi donne-t-il accès au réseau interne de l'entreprise ?

Répondre 'Oui' si un système connecté à ce point d'accès Wi-Fi a un accès non filtré au réseau interne de l'entreprise.

Surveillance du réseau

L'entreprise a-t-elle mis en place une surveillance de son réseau informatique ?

Section précédente Section suivante

6 - Gestion du système informatique

Prestataire

Le système d'information de l'entreprise est-il administré par un prestataire externe ?

L'administration inclue l'installation des systèmes, leur paramétrage suivant des consignes de l'entreprise et les bonnes pratiques, et leur gestion dans le temps jusqu'à la gestion de la fin de vie.

La prestation inclue-t-elle la gestion de la sécurité ?

Paramétrage des systèmes, gestion des comptes des utilisateurs, application des mises à jour de sécurité, etc.

Le prestataire fournit-il des comptes rendus d'activité ?

Risques spécifiques

L'entreprise identifie-t-elle des risques spécifiques liés à la gestion du système informatique ?

Section précédente Section suivante

7 - Gestion des postes de travail

Les 'postes de travail' sont les PC (Windows, Mac ou Linux) que les collaborateurs utilisent pour accéder au système informatique de l'entreprise.

Comptes utilisateurs

Les utilisateurs disposent-ils de comptes nominatifs avec mot de passe ?

Les mots de passe des comptes sont-ils robustes ?

Les comptes des utilisateurs sont-ils distincts des comptes 'administrateurs' ?

Être 'administrateur' permet de paramétrer le système informatique (par ex. paramétrer les PC, installer ou supprimer des logiciels, accéder à des documents, etc.)

Les utilisateurs sont-ils administrateur de leur PC ?

Répondre 'Oui' si les utilisateurs ont la possibilité de gérer eux-mêmes leur propre PC de façon par exemple à y installer les logiciels dont ils ont besoin. Cette pratique présente de nombreux risques de piratage.

Correctifs de sécurité

Correspond aux mises à jour du système et des services applicatifs installés sur les PC.

La mise à jour des postes de travail est-elle effectuée à intervalles réguliers ?

Outils de protection

Les postes de travail sont-ils protégés par un antivirus maintenu à jour ?

Le pare-feu interne des postes de travail est-il configuré pour apporter une protection ?

Médias amovibles

On entend par média amovible les clés USB, disques externes, CD-ROM et DVD-ROM utilisés pour stocker et transférer des données d'un système à un autre.

L'utilisation des médias amovibles est-elle verrouillée ou sécurisée ?

Il peut s'agir d'exigences dans la charte informatique, de mesure techniques spécifiques ou de procédures.

Protections des données

Le chiffrement ('cryptage' par abus de langage) permet de conserver l'aspect confidentiel des données en les rendant illisibles à toute personne non légitime, notamment en cas de vol ou de perte.

Le(s) disque(s) interne(s) des postes de travail sont-ils chiffrés ?

Les médias amovibles sont-ils chiffrés ?

Équipements personnels

Certaines entreprises permettent à leurs collaborateurs de travailler directement sur leur propres PC, pratique souvent connue sous le nom de 'BYOD'.

Les équipements personnels sont-ils utilisés dans le cadre des activités de l'entreprise ?

Cette question concerne autant la capacité technique d'un collaborateur à utiliser ses propres équipements que l'autorisation de l'entreprise de le faire (tracé par ex. dans la charte informatique).

Risques spécifiques

L'entreprise identifie-t-elle des risques spécifiques liés aux postes de travail des utilisateurs ?

Section précédente Section suivante

8 - Gestion des équipements mobiles

Les équipements mobiles sont les smartphones et tablettes utilisés par les collaborateurs dans le cadre de leur activité professionnelle.

Équipements mobiles fournis par l'entreprise

Les équipements mobiles sont-ils systématiquement mis à jour ?

Les équipements mobiles font-ils l'objet du même niveau d'attention en terme de sécurité que les postes de travail ?

Équipements mobiles personnels

Les équipements mobiles personnels peuvent-ils être utilisés dans le cadre des activités de l'entreprise ?

Cette question concerne autant la capacité technique d'un collaborateur à utiliser ses propres équipements que l'autorisation de l'entreprise de le faire (tracé par ex. dans la charte informatique)

Risques spécifiques

L'entreprise identifie-t-elle des risques spécifiques liés à l'utilisation des matériels mobiles ?

Section précédente Section suivante

9 - Gestion de la sécurite informatique

Cette section concerne l'organisation que l'entreprise a mise en place pour gérer les risques liés à l'informatique.

En cas d'incident de sécurité informatique

Une chaîne d'alerte a-t-elle été établie dans l'entreprise ?

Un plan de continuité de l'activité a-t-il été établi ?

Sécurisation des échanges avec les tiers

Des protocoles sécurisés ont-ils été mis en place avec les partenaires de l'entreprise ?

Sensibilisation des utilisateurs

L'entreprise assure-t-elle une sensibilisation des utilisateurs aux risques du numérique ?

Cette sensibilisation est-elle régulière (au mons une fois par an) ?

Incidents informatiques

L'entreprise estime-t-elle être une cible potentielle d'acteurs malveillants ?

Au delà des attaques non ciblées, le positionnement d'une entreprise sur le marché ou son savoir-faire peuvent l'exposer à des attaques ciblées (pour des activités d'espionnage économique, de déstabilisation, etc.).

L'entreprise a-t-elle déjà subi des attaques informatique ?

Si possible, fournir une description sommaire des incidents informatiques subis

Sans entrer dans les détails ni divulguer d'informations critiques, indiquer en complément le traitement qui a été fait, si un dépôt de plainte a eu lieu, ainsi que le préjudice estimé.

Section précédente Section suivante