Avez-vous un inventaire complet de vos outils de production …
7.1
... Détaillé en volume, en précisant celui installé, utilisé et celui en stock ?
7.2
... Détaillé en valeur d’achat et résiduelle, avec leur numéro de série respectif ?
7.3
... Détaillé par disponibilité sur le marché (ce matériel est-il toujours en vente, où et quand) ?
Cet inventaire est-il réalisé et mis à jour …
7.4
... Au fil de l’eau ?
7.5
... Au fur et à mesure des acquisitions ?
7.6
... Au fur et à mesure des installations ?
7.7
... Régulièrement, au minimum annuellement ?
7.8
... A chaque création de département ou lancement d’un nouveau produit ?
7.9
... A l’occasion d’un déménagement ?
7.10
... Au départ des machines revendues ou jetées ?
7.11
... A chaque mouvement ou expédition de maintenance ?
7.12
... A chaque évolution importante dans le circuit de production ?
7.13
Classez-vous correctement les divers éléments de ce parc ?
7.14
... Par famille de produits (UC, écrans, imprimantes, etc.) ?
7.15
... Par fonction dans le circuit de production ?
7.16
... Par criticité (ce matériel est-il indispensable à la production) ?
L’inventaire du parc informatique est-il réalisé par …
7.17
... Un responsable informatique ?
7.18
... ... Connaît-il bien le circuit de production et la criticité du produit qu’il inventorie ?
7.19
... Un responsable de production ?
7.20
... ... Connaît-il suffisamment tous les éléments informatiques nécessaires à la production ?
7.21
L’inventaire des outils indispensables a t’il été communiqué aux fournisseurs éventuels ?
7.22
Est-ce que le contrat d’assurance est corrigé au fil de l’eau ou régulièrement ?
7.23
Les logiciels installés ont-ils tous été acquis, quelle qu’en soit la durée d’utilisation ?
7.24
Avez-vous l’inventaire des logiciels indispensables à la production ?
7.25
Le contrat d’embauche protège-t’il les configurations de production ?
7.26
Avez-vous défini une clause relative à la confidentialité dans ces contrats ?
7.27
Avez-vous ce type de clause dans les accords ou contrats avec des sociétés tierces ?
7.28
Cette clause est-elle appliquée pour du matériel ou du logiciel en prêt ?
Les salles serveurs accueillent les ordinateurs et équipements communs, appelés serveurs, autocommutateurs, et autres éléments techniques. En général, la présence d’un employé y est exceptionnelle, la température et l’exiguïté aussi.
Oui Non ?
8.1
Avez-vous la liste des salles serveurs ?
... Sont-elles toutes équipées…
8.2
... ... D’un système d’alarme incendie ?
8.3
... ... D’un porte avec son contrôle d’accès ?
8.4
... ... D’une protection antistatique ?
8.5
... ... D’un accès de secours régulièrement vérifié ?
8.6
... ... ... Avec porte avec barre antipanique ?
8.7
... ... ... Avec fenêtre condamnée, mais physiquement accessible ?
8.8
... ... D’un système de refroidissement ?
8.9
Y-a t’il dans chaque salle un éclairage de secours indépendant du circuit principal ?
8.10
... Pouvez-vous préciser la période de vérification de bon fonctionnement de cet éclairage ?
Y a t’il dans chaque salle un système de contrôle d’énergie, des onduleurs et autres éléments,
Pouvez-vous préciser pour tous les éléments…
8.11
... Leur puissance maximum ?
8.12
... Leur tolérance à la panne ?
8.13
... La charge de secours et son autonomie ?
8.14
... La dernière vérification de bon fonctionnement ?
8.15
Les systèmes de sécurité permettent-ils d’alerter des équipes extérieures au site ?
8.16
Les accès et divers mouvements sont-ils enregistrés automatiquement ou manuellement ?
8.17
Les consignes traditionnelles pour ce type de salles, telles que l’interdiction de fumer, de boire, de manger, sont-elles transmises, signalées, appliquées et contrôlées régulièrement ?
8.18
Connaissez-vous la charge acceptée au mètre carré par le faux plancher ?
8.19
Si les locaux sont en sous-sol, avez-vous calculé le risque d’une inondation ?
8.20
Les locaux se situant à l’étage supérieur hébergent-ils une salle de bain ou une activité à risque ?
8.21
Un téléphone cellulaire peut-il être utilisé dans ces locaux sans risque de perturbation ?
Les serveurs de fichiers, d’impression et autres ressources partagées par l’ensemble des collaborateurs, parfois également par des partenaires externes, permettent la cohérence des systèmes d’information.
Oui Non ?
9.1
Les serveurs de domaines et autres ressources primordiales sont-ils accessibles, voire dupliqués sur un autre site ?
9.2
Sauvegardez-vous vos données indispensables sur un autre site ?
9.3
Les sauvegardes sur bandes sont-elles cryptées ?
9.4
Les bandes usagées sont-elles déchiquetées et pas simplement jetées dans une poubelle commune ?
9.5
Certains matériels présents dans ces salles serveurs font-ils l’objet d’un contrat de maintenance ?
9.6
... Le fournisseur ou prestataire doit-il faire une visite régulière ?
9.7
... Vos équipes sont-elles informées de cette visite ?
9.8
Avez-vous pour ces salles serveurs envisagé l’impact d’un désastre important ?
9.9
... Les divers matériels sont-ils solidement fixés ?
9.10
Les câbles doivent suivre leur chemin, ne pas traîner au sol ou pendre au plafond. Est-ce le cas ?
Le nettoyage des salles serveurs …
9.11
... Est-il effectué régulièrement ?
9.12
... ... Dans la journée ?
9.13
... ... Au cours d’un week-end ou d’une période de faible production ?
9.14
... ... Suffisamment prévu à l’avance ?
9.15
... ... Les équipes sont-elles informées de ce planning d’interventions ?
9.16
... Prend-il en compte les faux planchers et autres conduites de câbles ?
9.17
... L’intérieur des machines est-il concerné ?
9.18
... ... Et dans ce cas, est-ce un responsable interne qui démonte et remonte ces serveurs ?
9.19
... ... Avez-vous des pièces de rechange en cas d’accidents ?
9.20
Effectuez-vous réuligèrement un audit de conformité dans ces salles ?
9.21
... Cette vérification fait-elle l’objet d’un rapport écrit ?
9.22
Un cahier de suivi d’interventions techniques est-il mis à jour correctement ?
Ces locaux sont censés héberger des équipements de relais, tels que des concentrateurs informatiques, répartiteurs de circuits pour le téléphone et le réseau, etc.
Oui Non ?
10.1
Avez-vous la liste des salles hébergeant les éléments actifs et autres baies de répartition de courants faibles et courants forts ?
... Cet inventaire précise-t’il...
10.2
... ... Si ces salles sont en accès libre ou sélectif ?
10.3
... ... Leur période de visite et de contrôle ?
10.4
... ... Les coordonnés des responsables de ces salles et leur(s) suppléant(s) ?
10.5
Avez-vous pour ces locaux techniques envisagé l’impact d’un désastre important ?
10.6
... Les divers matériels sont-ils solidement fixés ?
10.7
... Des équipements sont-ils empilés ?
10.8
Les câbles doivent suivre leur chemin, ne pas traîner au sol ou pendre au plafond. Est-ce le cas ?
10.9
... Vérifiez-vous régulièrement ce point ?
10.10
... ... Cette vérification fait-elle l’objet d’un rapport écrit ?
10.11
Ces locaux techniques sont-ils régulièrement nettoyés ?
10.12
Avez-vous la liste des salles annexes, caves et autres pièces hébergeant vos matériels et matériaux destinés à la maintenance sur site, à la production quotidienne et celles servant de débarras ?
10.13
Les archives de l’entreprise sont-elles correctement protégées ?
Le réseau électrique fournit l’énergie nécessaire à vos outils de production. Le réseau informatique permet de relier tous les ordinateurs et les machines entre eux.
Oui Non ?
11.1
Avez-vous un schéma détaillé de vos locaux ?
11.2
Connaissez-vous le nombre de prises occupées, libres, défectueuses ?
11.3
Si vous utilisez plusieurs réseaux distincts, les prises permettent-elles de les identifier ?
Le câblage informatique principal, la dorsale…
11.4
... Est-ce de la fibre optique ou un autre média offrant au minimum les mêmes résistances ?
11.5
... Est-elle doublée, empruntant deux voies distinctes dans l’immeuble ?
11.6
... Est-elle correctement protégée contre le piratage et les rongeurs ?
11.7
Les liens inter-sites, entre les bâtiments, sont-ils eux aussi doublés, en ayant pris soin d’emprunter un chemin différent, en particulier au niveau de la pénétration du bâtiment ?
11.8
Si vous utilisez le même média pour votre téléphone et votre informatique, avez-vous mis en place un lien de secours ?
11.9
Avez-vous au moins quelques lignes téléphoniques ne passant pas par votre PABX ?
11.10
Votre réseau informatique peut-il accueillir des postes supplémentaires rapidement ?
11.11
... Si oui, le peut-il sans remettre en cause l’existant ?
11.12
... Cette opération peut-elle être réalisée un jour férié ?
11.13
Auditez-vous régulièrement le réseau pour vérifier qu’un élément extérieur n’y est pas branché ?
Oui Non ?
12.1
Les machines-outils indispensables ont-elles besoin du réseau informatique pour produire ?
12.2
Vos fournisseurs et leurs équipes de maintenance sont-ils informés de l’évolution du parc de ce type de machines ?
12.3
... Est-ce que ces équipes de maintenance sont joignables aisément ?
12.4
... Si besoin, pourront-ils intervenir sans difficulté sur les divers sites ?
12.5
... Votre équipe de surveillance, vos gardiens, ont-ils la liste des intervenants extérieurs dont l’accès est autorisé dans l’entreprise ?
12.6
... Un cahier de procédures d’intervention a-t’il été transmis à ces intervenants ?
12.7
... Ont-ils toute la documentation nécessaire à cette intervention ?
12.8
... ... Cette documentation est-elle mise à jour par vos équipes ?
12.9
... ... Est-ce que l’éventuel intervenant a lu ce document et en accepte les termes ?
12.10
Est-ce que toutes les interventions font l’objet d’un compte-rendu immédiat ?
12.11
Est-ce que toutes les interventions font l’objet d’un compte-rendu mensuel, une synthèse des opérations ?
12.12
... Si oui, ces opérations et l’évolution de ces interventions sont-elles étudiés régulièrement ?
Oui Non ?
Est-ce que les utilisateurs…
13.1
... Enregistrent des données importantes sur leur disque dur local ?
13.2
... Enregistrent les données importantes sur le serveur de fichiers ?
13.3
... Recopient régulièrement leur travail sur un serveur de fichiers ?
13.4
... Effectuent des copies de sauvegarde sur disquette ?
13.5
... ... Si oui, cette disquette est-elle rangée dans un endroit sûr ?
13.6
Est-ce que les utilisateurs impriment des données confidentielles ?
13.7
... Si oui, est-ce que les brouillons sont jetés dans une poubelle commune ?
13.8
... Utilisent-ils un broyeur ?
13.9
... Le personnel de ménage prend-il un soin particulier de ce type de déchets ?
Les utilisateurs possédant un portable…
13.10
... Ont-ils signé une convention spécifique les informant des risques de perte ?
13.11
... Doivent-ils entrer un mot de passe au démarrage de la machine (bios) ?
13.12
... Ont-ils la possibilité de crypter tous les fichiers ?
13.13
... Ont-ils la possibilité de crypter certains fichiers avec une clé privée non référencée ?
13.14
... S’ils cryptent leurs fichiers, un administrateur interne à l’entreprise peut-il les décrypter ?
13.15
... Ce portable est-il suffisamment protégé pour empêcher les installations sauvages de logiciels ?
13.16
... Le portable est-il rapidement identifiable lors d’une connexion distante ?
Les utilisateurs emportant du travail à domicile…
13.17
... Ont-ils été formés sur les risques de piratage ?
13.18
... Sont-ils assurés contre le vol et est-ce que cette assurance couvre le matériel en prêt ?
13.19
... Si un vol a eu lieu chez un collaborateur, pouvez-vous connaître la nature des fichiers qui lui ont été confiés ?
13.20
... Vérifiez-vous lors du retour du fichier, souvent effectué par disquette, que ce fichier n’est pas accompagné d’un virus inconnu ?
Les utilisateurs des services de la messagerie…
13.21
... Ont-ils été informés que la plupart des serveurs de mails sur la planète ne peuvent pas assurer le bon cheminement d’information ?
13.22
... Savent-ils que le fichier joint à un mail peut revenir accompagné d’un virus ?
13.23
... Savent-ils que le message peut-être modifié par un tiers inconnu et lui être renvoyé accompagné d’informations incomplètes ou erronées ?
13.24
... Savent-ils qu’une signature électronique n’est pas la preuve indiscutable d’authenticité ?
13.25
Avez-vous identifié dans chaque groupe de travail une personne pouvant assurer la veille et la sensibilité à la problématique sécurité ?
13.26
... Si oui, l’informez-vous régulièrement des risques encourus ?
13.27
... Cette personne est-elle reconnue comme telle dans son milieu ?
Lors du départ du salarié, celui-ci…
13.28
... Doit-il confier toutes ses données à son responsable hiérarchique, après en avoir assumé le classement, supprimé les fichiers obsolètes ou inintéressants ?
13.29
... Doit-il donner à son responsable ses archives, dossiers ’papier’ et autres disquettes ?
13.30
... ... Si oui, l’ensemble est-il correctement classé, trié ?
13.31
... ... Les badges d’accès et clés numériques des données cryptées sont-ils confiés au responsable direct ?
13.32
... ... Si oui, ce responsable prend-il le temps de vérifier si les fichiers restitués sont cohérents ?
13.33
... ... Les données sensibles sont-elles automatiquement archivées sur un support infalsifiable et pérenne ?
... Le poste de travail du collaborateur ayant quitté sa fonction…
13.34
... ... Est-il complètement re-installé, en prenant soin de détruire par formatage toutes les données égarées sur le disque dur ?
13.35
... ... Ou est-il rangé dans un placard ou autre remise pour une action future, avec une éventuelle et hypothétique re-installation du système ?
13.36
... ... Ou simplement reste-t’il sur le bureau délaissé, en accès libre ou en attente d’un remplaçant ?
13.37
Est-ce qu’un logiciel antivirus a été installé sur toutes les machines sensibles, ou à risque de pénétration (celles équipées d’un lecteur de disquettes, CD-Rom, ...) ?
13.38
Avez-vous l’inventaire des logiciels installés, acquis, en cours d’acquisition sur l’ensemble du parc informatique ?
Qu’il soit interne ou externe à l’entreprise, l’intervenant doit connaître son propre périmètre d’intervention et celui de ses collègues de travail.
Oui Non ?
14.1
En prévision d’un sinistre, avez-vous défini les rôles, responsabilités et périmètres d’intervention de chacun ?
14.2
Avez-vous la liste des personnes sous astreinte, en vacances ?
14.3
... Cette liste a t’elle été transmise aux équipes concernées ?
Oui Non ?
15.1
Vos systèmes informatiques permettent parfois de désactiver automatiquement un utilisateur sur une longue période d’inactivité ?
15.2
... Avez-vous la liste de ceux qui offrent cette possibilité ?
15.3
... Avez-vous la liste de ceux qui n’offrent pas cette possibilité ?
15.4
... ... Pouvez-vous préciser les systèmes dont cette fonction est modifiable par l’utilisateur ?
15.5
Le réseau informatique est-il segmenté, en compartiments plus ou moins privés ?
15.6
Le réseau informatique est-il protégé par au moins 2 pare-feux ?
15.7
... Si oui, avez-vous choisi 2 produits de marques différentes et complémentaires ?
15.8
Votre messagerie est-elle protégée par un antivirus centralisé ?
15.9
... Si oui, cet antivirus est-il maintenu quotidiennement ?
15.10
... ... Si oui, l’est-il également en périodes fériées ?
15.11
Vos salles serveurs sont-elles équipées d’un détecteur de mouvement ?
15.12
... Si oui, leur bon fonctionnement est-il régulièrement contrôlé par un organisme indépendant ?
15.13
Y’a t’il un téléphone en salle serveurs ?
15.14
... Si oui, peut-on s’en servir en cas de coupure électrique ?
15.15
... La liste des numéros d’urgence est-elle proche de ce téléphone ?
15.16
... Le bon fonctionnement du téléphone est-il vérifié régulièrement ?
15.17
Les équipes de surveillance peuvent-elles intervenir dans ces salles serveurs ?
15.18
... Si oui, ces équipes sont-elles formées aux différents systèmes d’alerte présents dans ces salles ?
15.19
... Et ces actions de surveillance sont-elles consignées auprès des responsables concernés ?
15.20
Les coordonnées professionnelles et personnelles des responsables sont-elles à la disposition de ces équipes de surveillance ?
15.21
... Si oui, ces équipes doivent-elles vérifier elles-mêmes la validité de ces coordonnées ?
15.22
Lors d’une intervention en salle serveurs par une seule personne connue de l’entreprise, quelqu’un d’autre a-il pour consigne de vérifier périodiquement sa présence et son état de santé ?
15.23
Lors d’une intervention en salle serveurs par une seule personne inconnue de l’entreprise, est-ce que cette personne est accompagnée par un responsable tout au long de son déplacement ?
L’accès aux serveurs informatiques est-il bien limité aux administrateurs qui en ont la responsabilité.
15.24
... L’inventaire des serveurs est services est-il établi régulièrement ?
15.25
... Les administrateurs respectifs sont-ils identifiés ?
15.26
... Ont-ils accès directement au compte d’administration ou doivent-ils s’identifier au préalable sur le système ?
15.27
... Lors de deux accès simultanés en mode administration sur un système, les administrateurs sont-ils immédiatement prévenus de la présence de leur collègue ?
Les machines et systèmes ne permettant pas un niveau logique suffisant de protection…
15.28
... Sont accessibles librement dans la salle serveur ?
15.29
... Sont protégés physiquement, dans une armoire avec serrure ?
15.30
... ... L’armoire n’est ouverte que pendant les périodes d’intervention ?
15.31
... ... Cette action est vérifiée régulièrement ?
15.32
... ... L’accès à cette clé permettant l’accès à cette armoire est strictement réservé et contrôlé régulièrement ?
... Tous les accès en mode administrateur système et autres comptes sensibles sont enregistrés dans un journal d’activité. En général, ce journal est appelé le ’log’
15.33
... ... Est-ce le cas pour tous les systèmes présents dans l’entreprise ?
15.34
... ... Avez-vous la liste des systèmes qui ne permettent par cette action ?
15.35
Les accès distants et alertes routeurs permettent souvent la journalisation de ce type. Les journaux sont-ils centralisés ?
15.36
... Avez-vous la liste des équipements permettant de pénétrer sur votre réseau, et n’offrant pas cette possibilité de contrôle ?
15.37
... Les administrateurs systèmes sont-ils informés de l’existence de ces journaux ?
15.38
... Ces journaux sont-ils contrôlés régulièrement ?
15.39
... En cas de doute, l’administrateur système ne doit pas hésiter à se renseigner auprès de l’éventuel fautif. Le fait-il ?
15.40
... ... Si le présumé fautif ne daigne répondre immédiatement, l’administrateur doit contacter son responsable direct et l’informer. Est-ce le cas ?
15.41
... ... Ce responsable direct apporte-t’il une réponse cohérente et réconfortante à cet embarras ?
15.42
... ... Un rapport précisant seulement le nombre de ce genre incident fait-il l’objet d’un rapport écrit transmis directement au plus haut responsable ?
15.43
Est-ce que le nombre d’incidents diminue régulièrement ?
15.44
... Si ce n’est pas le cas, que comptez-vous faire pour y remédier ?
L’accès aux systèmes les plus critiques doit faire l’objet d’un suivi très détaillé, permettant de retracer si besoin toutes les connexions, en alertant sur celles anormales pour leur périodicité ou leur durée. On pourra même aller jusqu’à enregistrer toutes les commandes effectuées au cours des sessions et détailler précisément les accès aux périphériques connectés.
15.45
... Est-ce le cas sur votre système critique ?
15.46
... Vos administrateurs systèmes en sont-ils informés ?
15.47
... ... Sont-ils formés aux règles de sécurité ?
15.48
... ... Sont-ils formés aux outils de sécurité ?
15.49
... ... ... Régulièrement ?
... Vos administrateurs systèmes…
15.50
... ... Sont-ils suffisamment responsabilisés à la problématique de la sécurité ?
15.51
... ... Sont-ils interrogés régulièrement sur les risques reconnus ?
15.52
... ... Sont-ils satisfaits de leur travail ? De leur poste ?
15.53
... ... L’un d’entre eux, au moins, assure t’il officiellement la veille sécuritaire ?
15.54
... ... ... En établit-il des rapports écrits ?
15.55
... ... ... Assure-t’il l’animation d’une formation régulière de ses collègues ?
15.56
... ... ... Est-il remplacé durant ses absences ?
15.57
Un audit sécurité est-il réalisé régulièrement ?
15.58
... Les failles, disfonctionnements ou remarques figurant sur le précédent rapport d’audit sont-ils encore présents ?
15.59
... Ce rapport, vos commentaires et engagements sont-ils transmis au plus haut responsable de l’entreprise ?
15.60
... Ce rapport a-t’il été lu par vos équipes ?
15.61
... ... Avez-vous recueilli leurs réactions par écrit ?
15.62
... Ce rapport et vos notes ont-elles fait l’objet de félicitations ou réprimandes de la part de votre responsable direct, et de votre plus haut responsable ?
15.63
Imposez-vous à vos administrateurs à prendre des congés de plusieurs semaines ?
15.64
... Durant ces congés, avez-vous noté des anomalies, des incidents, ou autres sources de tensions au sein des équipes ?
15.65
Les postes d’administration système sont-ils adaptés aux besoins techniques ?
15.66
... Ces postes sont-ils protégés d’une installation sauvage d’un logiciel ludique ou tout autre outil pouvant remettre en cause la fiabilité du système ?
15.67
... Les postes d’administration système font-ils l’objet d’une charte d’installation précise permettant la reconstruction d’un poste complémentaire immédiatement ?
15.68
Avez-vous mis en place un contrôle de sécurité adapté au besoin, tel qu’un contrôle biométrique, une clé aléatoire, etc. ?
15.69
... ... Si oui, le plus haut responsable peut-il administrer ce système directement ?
15.70
Sur les machines sensibles, en plus de vos données, sauvegardez-vous l’état du système ?
15.71
... Est-il envisageable de revenir à un état précis du système sur les 45 derniers jours, quel que soit l’heure demandée ?
15.72
... ... Si oui, en combien de temps pouvez-vous réaliser cette action ?
15.73
... ... Si ce n’est pas le cas, envisagez-vous de mettre en place une solution à ce problème ?
15.74
... Contrôlez-vous cette fonction par une simulation ?
Oui Non ?
16.1
Vos collaborateurs connaissent-ils l’importance, la valeur de leurs données, que ce soit pour eux-mêmes, ou l’entreprise ?
16.2
Sont-ils informés des risques de piratage, d’intrusion ?
16.3
Utilisent-ils un ou plusieurs mots de passe pour accéder à leur poste de travail ?
16.4
Ont-ils connaissance d’une bonne règle de création de mot de passe ?
16.5
Modifient-ils régulièrement ce sésame ?
16.6
Tous vos systèmes permettent-ils la protection par mot de passe ?
16.7
... Localement, sur chaque machine ou application ?
16.8
... Globalement, à l’aide d’un serveur approprié ?
16.9
... ... Si oui, ce serveur est-il fiable, doublé et sécurisé ?
16.10
Même dans le cas d’un mot de passe global, pouvez-vous utiliser un mot de passe local, spécifique à un système ou un degrés supérieur de sensibilité ?
16.11
Un nouveau mot de passe est-il contrôlé pour sa bonne complexité ?
16.12
Si c’est un administrateur qui créé un mot de passe, choisit-il un mot de passe simple pour l’utilisateur, puis s’assure-t’il que ce dernier le modifie rapidement ?
16.13
Est-ce qu’un collaborateur accepte de donner son mot de passe par téléphone ou mail ?
16.14
... Si oui, est-ce qu’il le modifie immédiatement ?
16.15
... ... Cette action est-elle contrôlée ?
Lors du départ d’un collaborateur…
... Est-ce que celui-ci prend le temps de classer ses fichiers, en supprimant les données privées et autres obsolètes ?
... Son mot de passe est…
... ... Transmis au collaborateur le plus proche…
16.16
... ... ... Par sa fonction, à son supérieur ?
16.17
... ... ... Par sa situation géographique ?
16.18
... ... Supprimé ?
16.19
... ... ... En laissant le compte disponible pour la récupération des données ?
16.20
... Le compte et ses données sont immédiatement supprimées ?
16.21
... ... Mais les données de travail sont transmises à son responsable hiérarchique ?
16.22
... Si le compte n’est pas supprimé, votre système permet-il d’identifier les comptes inutilisés durant une certaine période ?
16.23
... ... Si oui, une vérification est-elle effectuée régulièrement ?
16.24
... ... Si oui, les comptes inutilisés sont-ils supprimés ?
16.25
... ... ... Si oui, les utilisateurs concernés sont-ils informés ?
Lors de l’absence prolongée d’un collaborateur…
... Son mot de passe est transmis au collaborateur le plus proche…
16.26
... ... Par sa fonction, à son supérieur ?
16.27
... ... Par sa situation géographique ?
... Son mot de passe est supprimé ou rendu invalide…
Les équipements tels que routeurs, passerelles, ont aussi leur contrôle d’accès.
... Le mot de passe ’usine’ est-il modifié..
16.28
... ... A réception du matériel dans les locaux ?
16.29
... ... A l’installation ?
... Ce mot de passe machine est-il modifié…
16.30
... ... A l’occasion d’un déplacement, d’un déménagement ?
16.31
... ... A la suite d’un incident ou d’un doute ?
16.32
... ... A l’occasion d’un retour de l’atelier ?
16.33
... ... A l’occasion d’une revente ou d’un abandon ?
... Les mots de passe d’administration système…
16.34
... ... Sont choisis au hasard, sans méthode ?
16.35
... ... Sont construits à partir d’une règle précise connue des administrateurs ?
16.36
... ... ... Cette règle est modifiée régulièrement ?
16.37
... ... ... Cette règle est modifiée lors du départ d’un administrateur système, quelle que soit la raison de ce départ ?
16.38
... ... Sont transmis oralement aux autres administrateurs concernés ?
16.39
... ... Sont enregistrés dans un document confidentiel ?
16.40
... ... Sont transmis par fax, mail ou autre mode de communication non maîtrisable ?
16.41
... ... Font l’objet, dans le cas d’un écrit, d’une graphie commune pour en cacher l’évidence ?
16.42
... ... Sont modifiés dès le départ d’un administrateur, quel que soit la raison de ce départ ?
16.43
... ... Sont globalement modifiés en cas d’intrusion ou autre incident, avec la pleine coopération de tous les administrateurs ?
16.44
... ... ... Uniquement dans les périodes ouvrées ?
Résultats : nombre de oui et de non . Dans cas, vous ne connaissez pas la réponse.
RSS 2.0
