Que vous soyez Responsable des Systèmes d'Informations ou Directeur Général/Fondateur, avez-vous toutes les réponses?

Retour

Lors de nos différentes pérégrinations avec Franck mon co-président de notre belle commission Usages Numériques et Cybersécurité au Medef Côte d’Or, nous avons voulu acter un document unique, efficace, pour que tout le monde puisse se poser les bonnes questions, pour son entreprise.

Vous retrouverez dans cet article toutes les questions à vous poser, mais aussi à poser à vos partenaires pour y voir plus clair!

Ainsi, vous oublierez les « je pense que… », « je crois que… »,  » il me semble que… » qui concernent pourtant les réponses essentielles que vous DEVEZ savoir pour connaître comment fonctionne votre système d’information et donc VOTRE ENTREPRISE.

 

Bonne lecture et bon été ! 

 

bel été

 

Notion de gestion des données personnelles

 

  • Quelles informations je possède?
  • Qui sont les Responsables des traitements ?
  • Finalité et Justification des données?
  • Combien de temps vous les conservez ?
  • Les catégories de données traitées ?
  • (N° de sécu, État civil, identité, données d’identification, Vie personnelle…)
  • Qui intervient/accède aux données et à qui sont-elles transmises ?
  • Comment elles sont sécurisées ?
  • Transferts des données hors UE ?

 

Mise en place de process clairs, double validation, de gestion des droits

 

  • Dans votre entreprise, qui fait quoi?
  • Comment savez-vous que les process sont respectés?
  • Sont-ils améliorés?
  • Avez-vous déjà formalisé les process de votre entreprise?
  • Connaissez-vous le terme de « workflow »?
  • Sont-ils intégrés dans votre(os) logiciel(s)?
  • Y’a-t-il des process dans votre entreprise qui nécessitent une notion de double-validation?
  • Etes-vous sûr que certaines décisions sont prises à partir d’informations vérifiées et validées?
  • Est-ce que tout le monde a accès à toutes les informations dans votre entreprise?
  • Avez-vous créer des autorisations/des droits pour l’utilisation des informations et des outils dans votre entreprise?
  • Savez-vous s’il est possible pour un collaborateur de télécharger en toute liberté votre fichier client ou autre information sensible liée directement à votre activité?

 

Formations phishing, sensibilisation, formation utilisation logiciels

 

  • Qui a été et qui reste à former ?
  • Y a-t-il eu des quizz, des évaluations ?
  • Y a-t-il des partages d’informations, communications sur les bonnes pratiques
  • Avez-vous/allez-vous mettre en place des campagnes pour tester vos collaborateurs?
  • Savez-vous si vous utilisez votre logiciel de manière efficiente?
  • Avez-vous le moins possible de données et d’informations en dehors de votre(os) logiciel(s) métier(s)?
  • Formez-vous régulièrement vos collaborateurs à l’utilisation de vos outils numériques?
  • Mettez-vous à jour vos logiciels ? Êtes-vous au courant des « modules » ou options pouvant être utilisées pour l’efficience du traitement de vos données?

 

Utilisation du réseau, objets connectés, connexions et gestions des accès, stratégies pour le télétravail

 

  • Qui a accès à votre réseau?
  • Connaissez-vous l’historique d’utilisation de votre réseau?
  • Est-il sécurisé?
  • Avez-vous répertorié l’ensemble des objets connectés utilisés pour votre entreprise?
  • Sont-ils sécurisés?
  • Possédez-vous des connexions sécurisés?
  • Vos connexions sont-elles supervisées?
  • Possédez-vous des connexions de secours?
  • Savez-vous travailler sans connexion? Si oui combien de temps?
  • Avez-vous mis en place des procédures de gestion des accès?
  • Qui les gèrent?

 

Services centralisés

 

  • Savez-vous ce que ce sont des services centralisés?
  • Qui gère l’inventaire de votre infrastructure?
  • Faites-vous des mises à jours? Sur quel(s) support(s) applicatif(s)?
  • Mettez-vous en place les correctifs/patchs proposés pour le bon fonctionnement et la sécurité des applications que vous utilisez et votre environnement de travail?
  • Qui gère la maintenance opérationnelle de votre Système d’Information?
  • Connaissez-vous le périmètre d’application de chacun de vos partenaires qui interagit dans votre environnement professionnel?
  • Connaissez-vous les responsabilités portées par les partenaires avec qui vous collaborez?
  • Connaissez-vous en temps réel l’état et la documentation de l’ensemble de votre infrastructure?
  • Qu’avez-vous mis en place pour que votre parc fonctionne et soit en sécurité?

 

Sauvegardes

 

  • Vos sauvegardes sont-elles automatisées?
  • Quelle est la fréquence de vos sauvegardes?
  • Quel est le périmètre de vos sauvegardes (tout est sauvegardé? Que le logiciel?)
  • Les sauvegardes sont-elles effectuées sur plusieurs supports? Si oui lesquels?
  • Savez-vous où sont conservées vos sauvegardes?
  • Vos sauvegardes sont-elles testées régulièrement?
  • Quelle perte de données pouvez-vous supporter? (un jour? une semaine? Un mois?)

 

Assistance et Dépannage

 

  • Quelles sont vos conditions d’assistance et de dépannage actuellement?
  • Etes-vous plutôt mode pompier/mode proactif?
  • Possédez-vous des garanties d’assistance et de dépannage?
  • Avez-vous un budget dédié à l’assistance et au dépannage?
  • Connaissez-vous les réflexes à mettre en place en cas de cyberattaque?
  • Que pouvez-vous supporter comme temps d’indisponibilité en cas de panne ou d’attaque?
  • Possédez-vous un Plan de Reprise d’Activité?
  • Possédez-vous des technologies et process spécifiques pour votre reprise d’activité?
  • Possédez-vous un Plan de Continuité de Services?

 

RGPD

 

  • Avez-vous désigné un DPO/DPD (délégué à la protection des données ) ?
  • Avez-vous un registre des traitements de données à caractère personnel ?
  • Y-a-t-il une gestion des accès aux fichiers et données ?
  • Processus des arrivés et départs des collaborateurs ?
  • Y-a-t-il une sécurité physique du lieu de stockage ?
  • Avez-vous défini la marche à suivre en cas de cyberattaque ?

 

Effet papillon, autour de moi

 

  • Avez-vous signé un accord coresponsabilité avec vos sous-traitants qui utilisent vos données à caractère personnel?
  • Vos sous-traitants ont-ils des sous-traitants?
  • Avez-vous défini la marche à suivre en cas de cyberattaque au niveau de la communication vers vos clients et fournisseurs ?
  • Comment échanger vous les informations entre vous?
  • Vos échanges sont-ils sécurisés?
  • Partagez vous plutôt des liens ou des pièces jointes?
  • Partagez-vous l’utilisation d’application ou de logiciel?
  • Connaissez-vous le niveau de sécurisation du système d’information de votre partenaire (vos)?

 

Gestion de crise

 

  • Qu’avez-vous prévu?
  • Qui va gérer?
  • Savez-vous quoi déclarer et à qui?
  • Comment allez-vous procéder pour l’établissement de preuves?
  • Quels outils, méthodes et process entourent la sécurité de votre SI et comment peuvent-ils aider en cas de crise?
  • Possédez-vous les informations nécessaires à votre reprise d’activité?
  • Avez-vous prévu un Plan de Communication de Crise?

 

Assurances

 

  • Possédez-vous une Assurance Responsabilité Civile?
  • Que couvre-t-elle?
  • Considérez-vous que les données de votre entreprise et son fonctionnement lié à l’informatique nécessite la mise en place de dispositions pour s’assurer en cas de crise?
  • Avez-vous calculer votre risque?

 

S’il vous reste des questions sans réponse, contactez-nous!