Les bonnes questions à se poser

Lorsque l’on est chef d’entreprise, Directeur Financier, Responsable Informatique, et que l’on travaille avec un prestataire de service, nous aimons travailler en confiance.

Mais la confiance suffit-elle ?

Au-delà de l’aspect toujours agréable d’échanger au feeling avec une personne qui vous accompagne dans la protection de votre patrimoine numérique et/ou qui a en charge le fonctionnement de votre système, il est essentiel de mettre sur la table le périmètre d’application et des responsabilités partagées ou non entre plusieurs interlocuteurs/ou services.

Les recommandations officielles et votre responsabilité engagée

Pour l’ANSSI, des centaines de recommandations sont fournies ici. Certaines sont à jour, d’autres déjà dépassées. Certaines sont adaptées, et d’autres pas.

Ce qui est sûr c’est que ces recommandations (schémas techniques à l’appui) servent de base juridique pour s’assurer notamment auprès des entreprises cyber-attaquées que l’ensemble des bonnes pratiques ont été mises en place ; le cas échéant, non seulement l’entreprise pourra être accusée de ne pas avoir mis les moyens en œuvre pour sa sécurité et la sécurité de ses clients, tout comme un Responsable Informatique pourra être licencié pour faute grave et manquement à ses obligations.

En plus de se retrouver elle-même dans une situation parfois très critique (arrêt d’activité, perte totale ou partielle de données, …), une cyberattaque pourra aussi avoir un engagement pénal sur la responsabilité d’une entreprise à protéger l’ensemble de ses données.

Des critères qui doivent vous interpeller

En tant que Chef d’entreprise, DAF ou Responsable Informatique, des repères très factuels et très logiques peuvent vous orienter sur la position globale dans laquelle vous vous situez :

• Un budget informatique doit se situer entre 0 et 2% du CA, jusqu’à 5 à 9% selon les catégories de sensibilité des données et les exigences de disponibilité,
• Un serveur se crypte dans votre entreprise, que se passe-t-il ? le savez-vous ? quelles procédures sont mises en place ? qui fait quoi ?
• Possédez-vous une Garantie de Reprise d’Activité ? vous a-t-on parlé de PRA, PCA ? savez-vous si vous payez cette garantie, les technologies mises en place pour la continuité de service, et les responsabilités induites ?
• Connaissez-vous la composition d’un budget informatique ? (La réponse est ici)
• Quels outils donnez-vous à votre équipe informatique pour sécuriser votre système d’information ?
• Possédez-vous des tableaux de bord, des indicateurs du suivi de votre système d’information ?
• Travaillez-vous avec un partenaire qui vous vend du temps passé ? du temps de régie ? ou travaillez-vous avec un partenaire payé pour anticiper/éviter les pannes et maintenir votre parc au niveau de sécurité recommandé ?
• Avez-vous calculé votre risque ? combien vous coûte un temps d’indisponibilité ? une perte partielle ou totale de vos données ?

Nous sommes à votre écoute pour vous aider à répondre à toutes vos questions ; vous pouvez aussi nous contacter pour l’organisation d’un audit de sécurité.

Prendre rendez-vous ici