CYBERSECURITY CHECKLIST

80 questions pour analyser la sécurité de votre système d’informations

Par Sylvanus HOUGBEKEY, Consultant Audit & Conseil SI

Image source

Thèmes :
• Documentation et formalisation des procédures de sécurité
• Sauvegarde et sécurité
• Sécurité du matériel et des données
• Sécurité des accès et des communications
• Formation sur les protocoles de sécurité
• Traitement et réponse aux incidents
• Politique de développement des logiciels
• Tests logiciels
• Gestion des externes et prestataires

Sylvanus HOUGBEKEY - 2022

 # Questions OUI NON
DOCUMENTATION ET FORMALISATION DES PROCEDURES
DE SECURITE
1 Avez-vous créé une politique de sécurité adaptée à la taille et à la
culture de votre organisation ?
2 Les politiques de sécurité sont-elles documentées et mises à jour ?
3 Le maintien de la sécurité de l'organisation fait-il partie de la
description de poste de chaque employé ?
4 Tous les employés sont-ils tenus de signer des accords de
confidentialité ?
5 Tous les prestataires (gestionnaires d'installations, coursiers,
entreprises de maintenance, nettoyeurs) sont-ils explicitement
informés des politiques et normes de l'organisation qui s'appliquent
à leurs activités ?
6 Les prestataires sont-ils empêchés de pénétrer sans surveillance
dans les zones qui contiennent des systèmes et des informations
sensibles ?
7 Des mentions légales sont-elles affichées sur les écrans de
connexion et d'authentification, avertissant que tout accès ou
utilisation non autorisé constitue une intrusion illégale ?
8 L'organisation limite-t-elle l'accès des employés aux systèmes et
informations critiques ?
9 Classifiez-vous vos données, en identifiant les données sensibles et
non sensibles ?
10 Est-il interdit explicitement aux employés d'installer des logiciels
personnels ou non autorisés sur l'ordinateur, l'ordinateur portable,
la tablette, smartphone ou tout autre appareil fourni par
l'organisation ?
11 Les employés sont-ils tenus d'avoir un mot de passe " fort " sur les
smartphones et autres appareils sur lesquels ils ont accès aux
courriels de l'entreprise ou à d'autres informations sensibles ?
12 Les politiques de l'organisation définissent-elles l'utilisation
appropriée du courrier électronique, de l'accès à Internet et de la
messagerie instantanée par les employés ?
13 Est-il explicitement interdit aux employés de partager des mots de
passe et de permettre à d'autres employés d'utiliser leurs
ordinateurs et leurs appareils portables ?
14 Existe-t-il des procédures pour empêcher que les ordinateurs soient
laissés en état de connexion, même brièvement ?
15 L'employé qui est responsable d'un équipement informatique donné
est-il tenu de superviser la sécurité de cet équipement ?
16 Chaque pièce d'équipement est-elle étiquetée à l'aide d'un
identifiant permanent et/ou le numéro de série est-il enregistré
pour déterminer à qui est confiée la pièce d'équipement ?
17 Existe-t-il des recommandations pour empêcher les employés de
quitter les locaux de l'entreprise avec des informations sensibles
transportées sur des clés USB ou d'autres supports ?
18 Les employés sont-ils suffisamment incités à signaler les violations
de la sécurité et les pratiques de sécurité inappropriées, tout en

80 questions pour analyser la sécurité de votre système d’informations

PAGE 1
 étant protégés contre les représailles ou les reproches liés à un tel
signalement ?
19 Existe-t-il une procédure permettant de révoquer immédiatement si
nécessaire tous les mots de passe et/ou d'empêcher l'accès aux biens
de l'entreprise, à la propriété intellectuelle des données, aux dossiers
des clients, aux zones physiques restreintes et à tout fournisseur ou
client de l'organisation ?
20 Est-il interdit aux employés de permettre à d'autres membres du
personnel ou à toute autre personne d'utiliser leur carte
magnétique, leur clé, leur numéro d'identification personnel et
autres pour accéder aux installations ou systèmes d'information ?

SAUVEGARDE ET SECURITE

21 Les systèmes d'exploitation, les programmes et les informations

d'exploitation sont-ils sauvegardes ainsi que les
données/enregistrements ?
22 Les données sont-elles sauvegardées à une fréquence adaptée à leur
sensibilité et à leur importance pour l'organisation ?

23 La procédure de sauvegarde prévoit-elle de vérifier que les données

ne contiennent pas de codes hostiles tels que des chevaux de Troie
ou des virus ?
24 Si les informations sauvegardées sont exclusives ou sensibles, sont-
elles chiffrées et stockées comme telles pendant le processus de
sauvegarde ?
25 Toutes les copies de sauvegarde sont-elles protégées contre la perte
par le feu, le vol et les dommages accidentels ?

26 Existe-t-il plusieurs sauvegardes, de sorte que si l'une d'elles est

perdue ou corrompue, le système peut toujours être restauré ?

27 Lorsque les supports de stockage ne sont plus nécessaires, existe-t-il

des procédures sûres pour les détruire ou les réutiliser ?

28 Les sauvegardes sont-elles conservées suffisamment longtemps pour

qu'il reste une copie complète si le système est arrêté dans le cadre
d'une demande de rançon ou d'une attaque malveillante ?
29 Tous les journaux d'activité pertinents sont-ils sauvegardés et
stockés en toute sécurité pour éviter toute altération ?

30 Les configurations des équipements de réseau (commutateurs et des

routeurs) sont-elles sauvegardées régulièrement ?

31 Les sauvegardes sont-elles régulièrement stockées dans un lieu

physiquement ou géographiquement éloigné ?

80 questions pour analyser la sécurité de votre système d’informations

PAGE 2
32 Les sauvegardes sont-elles régulièrement testées pour s'assurer
qu'elles fonctionnent comme il se doit ?

33 Existe-t-il des procédures pour faire face à la perte ou au vol de

données de sauvegarde non chiffrés qui sont exclusives ou de nature
sensible ?

SECURITE DU MATERIEL ET DES DONNEES

34 Tous les équipements électroniques (matériel et logiciels) sont-ils

répertoriés sur une liste d'inventaire précise et, le cas échéant,
conservés dans une zone sécurisée ?
35 Existe-t-il des procédures documentées, rapides et faciles, pour
mettre à jour l'inventaire chaque fois qu’un équipement doit-être
déplacé ou que la personne chargée de l'utiliser change ?
36 Existe-t-il une procédure pour le retrait et la destruction des disques
durs ou d'autres supports lorsque l'équipement atteint la fin de sa
vie utile ou est autrement mis hors service de façon permanente ?
37 Lorsque l'équipement est réaffecté à un autre employé, existe-t-il
une procédure permettant de s'assurer que des informations
sensibles ne sont pas laissées sur la machine et que l'employé à qui
l'équipement est confié n'y a normalement pas accès ?
38 Existe-t-il des contrôles périodiques pour s'assurer que l'équipement
est bien là où il est censé être ?

39 Avez-vous des politiques concernant la sécurité des ordinateurs

portables (par exemple, verrouillage par câble ou chiffrement de
disque, etc) ?
40 Les équipements électroniques particulièrement importants sont-ils
conservés dans un centre de données, une pièce ou une armoire
sécurisée ?
41 Les barrières physiques d'accès à l'équipement sont-elles
proportionnelles à la valeur de l'équipement et des données qu'il
contient ?
42 Vos politiques et procédures précisent-elles les méthodes utilisées
pour contrôler l'accès physique à vos zones sécurisées, comme les
serrures de porte, les systèmes de contrôle d'accès, les agents de
sécurité ou la surveillance vidéo ?
43 Disposez-vous d'un processus pour couper efficacement l'accès aux
installations et aux systèmes d'information lorsqu'un employé ou un
contractant quitte son emploi ?
44 Existe-t-il des restrictions claires et rigoureusement appliquées sur
les personnes ayant accès au centre de données, à la salle
informatique ?
45 Existe-t-il des politiques strictes décrivant les procédures d'accès au
centre de données ou à la salle informatique en dehors des heures
de travail ?

80 questions pour analyser la sécurité de votre système d’informations

PAGE 3
46 L'accès physique aux interfaces de console des systèmes de sécurité,
tels que ceux utilisés pour gérer les pare-feu, les systèmes de
vidéosurveillance et d'intrusion, est-il limité aux utilisateurs
autorisés ?
47 Assurez-vous que les utilisateurs ont un logiciel anti-virus chargé et
actif sur les systèmes ?

48 Les documents qui contiennent des informations sensibles sont-ils

sécurisés ou autrement protégés contre l'impression non autorisée ?

49 L'entreprise dispose-t-elle d'une procédure documentée et

appliquée pour l'élimination sûre des documents papier qui ne sont
plus nécessaires ?
50 Existe-t-il des politiques et des procédures suffisamment
rigoureuses régissant l'utilisation de supports amovibles, tels que les
dispositifs USB ?
51 Existe-t-il des procédures suffisamment rigoureuses pour limiter
l'accès non autorisé aux supports de sauvegarde ?

SECURITE DES ACCES ET DES COMMUNICATIONS

Les points d'accès au réseau ou aux équipements de

52
télécommunication non utilisés sont-ils physiquement désactivés
pour empêcher tout accès non autorisé ?
53 Lorsque les ports de réseau ne sont pas désactivés, existe-t-il des
procédures pour surveiller l'accès non autorisé à ces ports ?

54 Existe-t-il des barrières physiques pour protéger les câbles de réseau

en provenance et à destination de l'équipement afin de réduire les
dommages accidentels ou délibérés ?

FORMATION SUR LES PROTOCOLES DE SECURITE

55 Des formations obligatoires sur les procédures de sécurité ou de

cybersécurité sont-elles disponibles dès l’arrivée d’un nouveau
collaborateur ?
56 L'ensemble du personnel reçoit-il une formation périodique sur les
politiques de sécurité de l'organisation, avec des explications sur
l'importance de ces politiques et sur la manière dont elles seront
appliquées ?
57 Les employés sont-ils formés ou avertis de l'importance de surveiller
ou de sécuriser les ordinateurs portables et autres dispositifs
d'information portables lorsqu'ils les emportent en dehors du lieu
de travail ?

80 questions pour analyser la sécurité de votre système d’informations

PAGE 4
58 Les employés sont-ils formés à utiliser des mots de passe "forts" et à
ne pas baser les mots de passe sur des détails biographiques qui
peuvent être accessibles au public ?
59 Des recommandations sur la complexité des mots de passe et
passphrases sont-elles explicitement données aux collaborateurs ?

60 Les employés sont-ils formés à ne pas conserver les mots de passe

dans des endroits peu sûrs comme leur portefeuille, leur sac à main
ou un post-it sur leur ordinateur ?
61 Des stratégies de renouvellement périodique des mots de passe
sont-elles formalisées ?

62 Les employés sont-ils formés/rappelés quels types d'informations

traitées par l'organisation doivent être considérés comme des
informations sensibles ?
63 Les employés sont-ils régulièrement formés à ne pas télécharger de
code exécutable, à ne pas ouvrir de courriels suspects et à ne pas
installer de logiciels personnels sur les systèmes informatiques ?
64 Les employés sont-ils formés à ne pas visiter de sites web illicites,
notamment les sites de partage/téléchargement de fichiers ?

65 Vos employés sont-ils capables d'identifier et de protéger les

données classifiées, y compris les documents papier, les supports
amovibles et les documents électroniques ?

TRAITEMENT ET REPONSE AUX INCIDENTS

66 Le personnel sait-il comment, quand et où signaler une violation de

la politique de l'entreprise ou une éventuelle cyberattaque ?

67 Les employés savent-ils comment isoler et mettre en quarantaine les

systèmes compromis en les retirant du réseau ?

POLITIQUE DE DEVELOPPEMENT DES LOGICIELS

68 L'organisation dispose-t-elle d'une politique écrite détaillant les

étapes et les procédures de développement interne de logiciels ?

69 Le cycle de développement du logiciel suit-il des directives fondées

sur les meilleures pratiques du secteur en matière de sécurité ?

70 Les politiques de sécurité de l'entreprise exigent-elles que tout le

personnel des fournisseurs et des entrepreneurs travaillant au
développement de logiciels réponde à des exigences de sécurité
minimales ?

80 questions pour analyser la sécurité de votre système d’informations

PAGE 5
 71 L'organisation dispose-t-elle d'un système permettant de savoir
exactement quel employé ou collaborateur extérieur a écrit chaque
ligne de code pour tout logiciel produit en interne ?
72 Des commentaires sont-ils maintenus sur le code de chaque section
au fur et à mesure de sa rédaction, afin que les autres développeurs
et les spécialistes de la sécurité puissent comprendre rapidement ce
qu'une section donnée est censée faire ?

TESTS LOGICIEL

73 L'application en cours de développement est-elle conçue pour

chiffrer les informations sensibles qu'elle stocke dans un fichier, une
base de données ou le registre d'un système local ?
74 Les logiciels développés par l'organisation sont-ils soumis à un
examen du code du point de vue de la sécurité, qu'ils aient été
externalisés ou produits en interne, avant que la version finale ne
soit en déploiement ?
75 L'organisation fait-elle appel à des professionnels de la sécurité de
l'information pour tester la vulnérabilité des logiciels qu'elle a
développés, qu'ils aient été externalisés ou produits en interne ?
76 Les spécialistes de la sécurité de l'information de l'organisation
effectuent-ils régulièrement des tests de vulnérabilité sur les
applications au fur et à mesure de leur déploiement ?

GESTION DES RELATIONS EXTERNES ET PRESTATAIRES

77 Des clauses de non-divulgation des informations sont-elles signées

par les prestataires ?

78 Les fournisseurs de logiciels sont-ils tenus de certifier que leur code

a fait l'objet d'une inspection de sécurité rigoureuse et approfondie
avant d'être livré pour déploiement ?
79 Lorsque des mises à jour de logiciels doivent être appliquées, est-il
possible de garantir que ces mises à jour ont été testées de manière
adéquate dans le type d'environnement logiciel concerné avant
d'être installées ?
80 Les employés savent-ils où et à qui ils peuvent s'adresser pour
obtenir des informations supplémentaires et des conseils ?

N.B. : Cette liste est loin d’être exhaustive.

80 questions pour analyser la sécurité de votre système d’informations

PAGE 6