Auto-évaluation maturité de la SSI Existe-t-il des mots de passe différents pour accéder aux données sur l'ensemble des supports (dont smartphones et tablettes) ? Oui Non Aucun L’entreprise possède-t-elle une politique de mot de passe adapté, 8 caractères minimum avec 3 des 4 catégories suivantes : majuscules, minuscules, chiffres, caractères spéciaux (@, €, /, ...) ? Oui Non Aucun Etes-vous vigilants à ce que vos données et documents de travail ne puissent être visualisés (verrouillage du poste de travail, filtre de protection, etc.) ? Oui Non Aucun Les sauvegardes sont-elles faites sur des solutions dont la confidentialité est garantie (solution sécurisée, localisation des données, chiffrement des données sensibles, etc.) ? Oui Non Aucun Testez-vous régulièrement les sauvegardes en restaurant quelques dossiers ou fichiers ? Oui Non Aucun Quels contrôles mettez-vous en place en matière d'installation et de mise à jour des systèmes et logiciels ?Choix multiple possible Vous faites souvent les mises à jour proposées des systèmes et logiciels : Windows, Adobe, Java, Office, Flash, etc. Vous vérifiez que les mises à jour sont faites exclusivement à partir des sites officiels des éditeurs (https). Vous configurez autant que possible l'installation automatique des mises à jour. Vous vous assurez que les droits octroyés sur les systèmes d'information sont bien révoqués lors d'un départ d'un collaborateur. Vous évitez les systèmes d'exploitation obsolètes (Windows XP, Windows 2003) et les versions logicielles anciennes (Office, Adobe…) Aucun de ces contrôles Quels contrôles mettez-vous en place en matière d'email ?(94% des cyber-attaque se déclenche à partir d’un email, source : groupe Delta), choix multiple possible Vous vérifiez la cohérence entre l'expéditeur présumé et le contenu du message Vous ne vous contentez pas des informations affichées sur les emails, vous ne cliquez pas sur les liens et gardez un esprit critique : malheureusement vous n’avez pas gagné à la loterie ! Vous ne répondez jamais à une demande d'informations confidentielles Vous vous méfiez des emails et appels ayant un caractère d'urgence Vous vérifiez l’identité de l’émetteur de l’email (contre-appel vers un numéro déjà référencé) en cas de doute Vous n’ouvrez pas de pièces jointes et liens "url" de destinataires inconnus ou dont le titre ou le format paraissent incohérents avec ce que vous envoient habituellement vos contacts (attention aux extensions js/html/exe/pif ou pièce jointe suspicieuses). Vous renforcez les procédures internes et tout particulièrement les procédures de confirmation des banques, modification des RIB fournisseurs (contre-appel) et la bonne séparation des fonctions. Vous disposez d’un système de filtrage et de protection d’email, (Vade Secure, …). Aucun de ces contrôles Des anti-virus et pares-feux sont-ils bien installés (et à jour) sur tous les postes et serveurs ? Oui Non Aucun Les réseaux sans fil (wifi) ;Choix multiple possible Ne sont pas utilisés dans l’entreprise Sont utilisés sans distinction par des personnes externes comme interne à l’entreprise Sont protégés par le protocole WPA2 Les imprimantes sont toutes protégées par un mot de passe Aucune de ces réponses Prenez-vous garde à ne diffuser aucune information pouvant être utilisée de manière malveillante ou risquant d'altérer l'image de la marque de l'entreprise (e-réputation) ? Oui Non Aucun Disposez-vous d'une charte informatique ? Oui Non Aucun Les collaborateurs sont-ils sensibilisés et formés sur les bonnes pratiques à mettre en œuvre en matière de cybersécurité ? Oui Non Aucun L'entreprise et l'ensemble des collaborateurs sont-ils prévenu si quelque chose de suspect est détécté ou en cas d'attaque ? Oui Non Aucun Pour la gestion des données personnelles, quelles sont les réponses qui correspondent au fonctionnement de votre entreprise ?Choix multiple possible Aucune donnée personnelle autre que les données de l’employé (exemple ; client) Une personne responsable de toutes les actions liées aux données personnelles Une explication écrite sur le cycle de vie des données interne (comment sont-elles récupérées, comment sont-elles stockées, où et quand sont-elles détruites) Une explication orale ou écrite pour les employés sur le comportement à adopter pour les cas concernant les données personnelles Une surveillance vidéo, ou des photos prises, qui contiennent des visages ou des personnes et éventuellement des données de localisation Aucun de ces process n'est défini Les responsabilités IT et Sécurité de l'Information ... sont définies en interne, avec une personne spécialisée à régler les problèmes informatiques sont définies en interne, avec des personnes aux formations et métier spécialisés dans la cybersécurité sont définies en externe, par un contrat ont définies en externe par un tiers, sur demande selon les besoins, sans contrat pour lier les entreprises ne sont pas définis ; chacun résout son problème ou fait appel à un autre employé avec plus de compétence dans le domaine Aucun Au cours des 12 derniers mois, avez-vous été victimes d’une tentative de cyberattaque (attaque informatique) au sein de votre entreprise ? Oui Non Je ne sais pas Aucun Time's up