Questions sécurité

Synonyme de calme, de tranquillité, de confiance, la sécurité engendre la quiétude. Elle est devenue en quelques années le principal credo d’associations et fournisseurs de services, voyant naître par moment des normes et autres documents chantant la qualité et la rigueur dans un refrain parfois difficile à parcourir pour le novice. En guise de récréation, voici un florilège de question sous forme de QCM.

Dans ce sujet connexe, il est bon de prendre du recul. L’expert est souvent aveuglé dans son périmètre et l’ignorant ne s’inquiétera pas sur le propos. L’indolent mettra toute son énergie à en minimiser la démarche avec une lésinerie des plus surprenantes. Et si on se rend vite compte sur le terrain que certains points ne sont qu’apories à classer sur le rayon des vœux les plus pieux, bien souvent, la réponse attendue à chacune de nos questions tient de la logique la plus basique, du simple bon sens.

Inconfort, incident, désastre, les mots ne manquent pas pour colorer chaudement les réunions les plus ferventes à son sujet. Voyons ici quelques points qui ne demandent qu’à être complétés.

Ce document n’apporte pas de solutions, ne présente pas de produits, ne dessine pas de méthodes, ne propose pas de règles. Eventuellement, c’est à vous d’ajouter vos questions, d’y puiser une quintessence, celle qui conviendra à vos objectifs.

La sécurité n’est pas un problème informatique ni une faiblesse paranoïaque, c’est un état d’esprit, d’une question permanente.

Les références

Inspiré de nombreuses règles, de constats, de témoignages, d’expériences échangées avec des confrères et passionnés, ce document ne présente pas de liens Internet sur le sujet. Vous trouverez aisément les éléments complémentaires et probablement plus passionnants que mes écrits grâce aux moteurs de recherche, d’autres sur www.quesaco.org/liens.php . Les mots clés les plus fréquents sont par exemple " ISO 17799 ", " sécurité ", " normalisation ", " qualité " et " NF ". Mais avant de vous lancer dans le chemin de croix, mesurez bien votre courage et surtout votre disponibilité. www.calife.org présente également quelques remarques sur nos outils quotidiens.

La démarche sécurité

Les questions ci-dessous peuvent être largement complétées, adaptées à votre environnement, ignorées, consultées au hasard. Si la question vous paraît pertinente, la réponse que vous pouvez y apporter est somme toute binaire :

• " oui " ou " non ", ce qui vous réconfortera peut-être.
• " je ne sais pas ", qui amènera probablement son propre lot de requêtes complémentaires.

Evitez-les " ça n’arrivera jamais " ou autres " ça n’a aucune importance ".

Dans tous les cas, espérons que ce document vous apportera quelque chose. Ne serait-ce qu’en synthèse. La sécurité pour la sécurité ne sert à rien sans le calcul du risque. Au delà de ratifier une écriture comptable pour se prémunir d’une quelconque mésaventure juridique, la définition et la mise en place d’une politique de sécurité correspond à un besoin et une volonté de pérennité.

Définir le risque
	Le petit Robert donne au mot risque la définition "Danger éventuel plus ou moins prévisible.". Du plus petit larcin au désastre le plus grave, essayons de déterminer ce qui peut mettre en péril à plus ou moins long terme la bonne marche de l’entreprise.
		Oui	Non	?
1.1	Est-ce qu’un vol, simple larcin ou détournement de fonds, peut vous faire perdre de l’argent ?
1.2	Avez-vous des secrets de fabrication stratégiques pour l’entreprise, que ce soit pour sa production quotidienne ou les projets d’évolution sur le long terme ?
1.3	Est-ce qu’une malveillance dans votre circuit de fabrication peut vous faire perdre de l’argent ?
1.4	Est-ce qu’un désastre, tel un incendie ou un tremblement de terre, peut vous faire perdre de l’argent ?
1.5	Vous êtes-vous renseigné si votre entreprise est située dans un environnement industriel, économique, politique ou culturel à risque ?
1.6	Savez-vous si les locaux d’un de vos partenaires essentiels se trouvent dans un environnement industriel, économique, politique ou culturel à risque ?
	Dans tous les cas préalablement cités, pouvez-vous quantifier, en cas de sinistre…
1.7	... La perte financière immédiate ?
1.8	... La perte de profit, sur un mois, un an et 3 ans ?
1.9	... La perte de confiance de vos équipes ?
1.10	... L’impact sur l’image de marque de l’entreprise ?
1.11	... L’impact sur l’environnement, vos partenaires, vos voisins, vos amis, votre famille ?
La trésorerie et la motivation commerciale
	Votre trésorerie est à l’abri. Espérons-le !
		Oui	Non	?
2.1	Avez-vous un inventaire financier complet et régulièrement vérifié ?
2.2	La motivation des équipes fait-elle partie de votre capital ?
2.3	Vos commerciaux sont-ils conscients qu’une décision de leur part peut-faire baisser les profits de l’entreprise ?
2.4	... Si oui, avez-vous les moyens de contrôler cette prise de conscience ?
Les circuits de distribution
		Oui	Non	?
3.1	Vos produits sont-ils distribués dans des pays dits à risques ?
3.2	Les circuits de distribution sont-ils indépendants des risques internes et externes ?
3.3	Si une gamme de produits en stock est défectueuse, avez-vous les outils ou les moyens nécessaires à sa correction immédiate ?
3.4	Si un produit vendu se révèle dangereux pour le consommateur, avez-vous les moyens de corriger rapidement cette erreur ?
Les ressources extérieures
		Oui	Non	?
4.1	Constituez-vous un vivier permanent, un répertoire de partenaires et de collaborateurs externes, capables de vous aider en cas de sinistre ?
4.2	Connaissez-vous la puissance électrique nécessaire à la production courante ?
4.3	Avez-vous calculé la puissance électrique nécessaire à la reprise d’activité après un sinistre ?
4.4	Inventoriez-vous les autres sources d’énergie et ressources indispensables à l’entreprise ?
4.5	Notez-vous les pannes et autres incidents de sources d’énergie dans votre zone géographique sur les 3 dernières années ?
4.6	Le plan de reprise globale rédigé tient-il compte de ces ressources ?
4.7	... Si oui, ce plan de reprise est-il mis à jour régulièrement ?
Les collaborateurs
		Oui	Non	?
5.1	Devez-vous informer tous les collaborateurs sur la politique de sécurité choisie ?
5.2	... Si oui, donnez-vous cette formation régulièrement ?
5.3	Faites-vous de même pour les nouveaux arrivants, quel que soit leur contrat ?
5.4	Déléguez-vous la sécurité ?
5.5	... Si oui, nommez-vous des responsables par département/services et par situation géographique ?
5.6	... Vérifiez-vous régulièrement la présence de ces responsables et leur degrés d’implication ?
5.7	Avez-vous rédigé clairement les procédures de sécurité ?
5.8	... Si oui, ce document est-il transmis régulièrement aux différents responsables ?
5.9	... Avez-vous les moyens de vérifier la bonne diffusion de votre information ?
5.10	... Ces procédures sont-elles régulièrement mises à jour ?
5.11	... Les mises à jour de ces procédures sont-elles rapidement assimilées par vos collaborateurs ?
Les accés distants
	Les modems et les fréquences radio permettent les connexions distantes des partenaires extérieurs sur les ressources de l’entreprise. L’inverse est vrai également, il ne faut pas l’oublier.
		Oui	Non	?
6.1	Avez-vous un inventaire des modems et autres périphériques de ce type, présents dans l’entreprise ?
6.2	Le PABX est-il paramétré pour empêcher les appels de l’extérieur sur ces modems ?
6.3	Le PABX est-il paramétré pour raccrocher la ligne en cas d’inactivité sur un modem ?
6.4	Le modem ou son logiciel sont-ils paramétrés pour raccrocher la ligne en cas d’inactivité du poste de travail ?
	Est-ce que le poste de travail est protégé...
6.5	... Contre l’installation sauvage d’un modem ?
6.6	... Contre l’installation sauvage d’une unité de stockage inconnue ?
6.7	Votre réseau est-il protégé pour empêcher la connexion d’un équipement étranger ?
Le parc de production
	Vos matériels de production peuvent être classés grossièrement en 7 familles :

• Les matériels présents sur les bureaux et les ateliers.
• Les matériels assurant le partage des ressources.
• Les matériels permettant de relier le tout ; les éléments actifs, les prises et les câbles.
• Les fournisseurs d’énergie électrique, câbles, onduleurs, piles.
• Les logiciels informatiques.
• Les consommables.
• La documentation de l’ensemble.

Avez-vous un inventaire complet de vos outils de production …

7.1	... Détaillé en volume, en précisant celui installé, utilisé et celui en stock ?
7.2	... Détaillé en valeur d’achat et résiduelle, avec leur numéro de série respectif ?
7.3	... Détaillé par disponibilité sur le marché (ce matériel est-il toujours en vente, où et quand) ?
	Cet inventaire est-il réalisé et mis à jour …
7.4	... Au fil de l’eau ?
7.5	... Au fur et à mesure des acquisitions ?
7.6	... Au fur et à mesure des installations ?
7.7	... Régulièrement, au minimum annuellement ?
7.8	... A chaque création de département ou lancement d’un nouveau produit ?
7.9	... A l’occasion d’un déménagement ?
7.10	... Au départ des machines revendues ou jetées ?
7.11	... A chaque mouvement ou expédition de maintenance ?
7.12	... A chaque évolution importante dans le circuit de production ?
7.13	Classez-vous correctement les divers éléments de ce parc ?
7.14	... Par famille de produits (UC, écrans, imprimantes, etc.) ?
7.15	... Par fonction dans le circuit de production ?
7.16	... Par criticité (ce matériel est-il indispensable à la production) ?
	L’inventaire du parc informatique est-il réalisé par …
7.17	... Un responsable informatique ?
7.18	... ... Connaît-il bien le circuit de production et la criticité du produit qu’il inventorie ?
7.19	... Un responsable de production ?
7.20	... ... Connaît-il suffisamment tous les éléments informatiques nécessaires à la production ?
7.21	L’inventaire des outils indispensables a t’il été communiqué aux fournisseurs éventuels ?
7.22	Est-ce que le contrat d’assurance est corrigé au fil de l’eau ou régulièrement ?
7.23	Les logiciels installés ont-ils tous été acquis, quelle qu’en soit la durée d’utilisation ?
7.24	Avez-vous l’inventaire des logiciels indispensables à la production ?
7.25	Le contrat d’embauche protège-t’il les configurations de production ?
7.26	Avez-vous défini une clause relative à la confidentialité dans ces contrats ?
7.27	Avez-vous ce type de clause dans les accords ou contrats avec des sociétés tierces ?
7.28	Cette clause est-elle appliquée pour du matériel ou du logiciel en prêt ?
Les serveurs informatiques
	Les salles serveurs accueillent les ordinateurs et équipements communs, appelés serveurs, autocommutateurs, et autres éléments techniques. En général, la présence d’un employé y est exceptionnelle, la température et l’exiguïté aussi.
		Oui	Non	?
8.1	Avez-vous la liste des salles serveurs ?
	... Sont-elles toutes équipées…
8.2	... ... D’un système d’alarme incendie ?
8.3	... ... D’un porte avec son contrôle d’accès ?
8.4	... ... D’une protection antistatique ?
8.5	... ... D’un accès de secours régulièrement vérifié ?
8.6	... ... ... Avec porte avec barre antipanique ?
8.7	... ... ... Avec fenêtre condamnée, mais physiquement accessible ?
8.8	... ... D’un système de refroidissement ?
8.9	Y-a t’il dans chaque salle un éclairage de secours indépendant du circuit principal ?
8.10	... Pouvez-vous préciser la période de vérification de bon fonctionnement de cet éclairage ?
	Y a t’il dans chaque salle un système de contrôle d’énergie, des onduleurs et autres éléments,
	Pouvez-vous préciser pour tous les éléments…
8.11	... Leur puissance maximum ?
8.12	... Leur tolérance à la panne ?
8.13	... La charge de secours et son autonomie ?
8.14	... La dernière vérification de bon fonctionnement ?
8.15	Les systèmes de sécurité permettent-ils d’alerter des équipes extérieures au site ?
8.16	Les accès et divers mouvements sont-ils enregistrés automatiquement ou manuellement ?
8.17	Les consignes traditionnelles pour ce type de salles, telles que l’interdiction de fumer, de boire, de manger, sont-elles transmises, signalées, appliquées et contrôlées régulièrement ?
8.18	Connaissez-vous la charge acceptée au mètre carré par le faux plancher ?
8.19	Si les locaux sont en sous-sol, avez-vous calculé le risque d’une inondation ?
8.20	Les locaux se situant à l’étage supérieur hébergent-ils une salle de bain ou une activité à risque ?
8.21	Un téléphone cellulaire peut-il être utilisé dans ces locaux sans risque de perturbation ?
	Les serveurs de fichiers, d’impression et autres ressources partagées par l’ensemble des collaborateurs, parfois également par des partenaires externes, permettent la cohérence des systèmes d’information.
		Oui	Non	?
9.1	Les serveurs de domaines et autres ressources primordiales sont-ils accessibles, voire dupliqués sur un autre site ?
9.2	Sauvegardez-vous vos données indispensables sur un autre site ?
9.3	Les sauvegardes sur bandes sont-elles cryptées ?
9.4	Les bandes usagées sont-elles déchiquetées et pas simplement jetées dans une poubelle commune ?
9.5	Certains matériels présents dans ces salles serveurs font-ils l’objet d’un contrat de maintenance ?
9.6	... Le fournisseur ou prestataire doit-il faire une visite régulière ?
9.7	... Vos équipes sont-elles informées de cette visite ?
9.8	Avez-vous pour ces salles serveurs envisagé l’impact d’un désastre important ?
9.9	... Les divers matériels sont-ils solidement fixés ?
9.10	Les câbles doivent suivre leur chemin, ne pas traîner au sol ou pendre au plafond. Est-ce le cas ?
	Le nettoyage des salles serveurs …
9.11	... Est-il effectué régulièrement ?
9.12	... ... Dans la journée ?
9.13	... ... Au cours d’un week-end ou d’une période de faible production ?
9.14	... ... Suffisamment prévu à l’avance ?
9.15	... ... Les équipes sont-elles informées de ce planning d’interventions ?
9.16	... Prend-il en compte les faux planchers et autres conduites de câbles ?
9.17	... L’intérieur des machines est-il concerné ?
9.18	... ... Et dans ce cas, est-ce un responsable interne qui démonte et remonte ces serveurs ?
9.19	... ... Avez-vous des pièces de rechange en cas d’accidents ?
9.20	Effectuez-vous réuligèrement un audit de conformité dans ces salles ?
9.21	... Cette vérification fait-elle l’objet d’un rapport écrit ?
9.22	Un cahier de suivi d’interventions techniques est-il mis à jour correctement ?
Les locaux techniques
	Ces locaux sont censés héberger des équipements de relais, tels que des concentrateurs informatiques, répartiteurs de circuits pour le téléphone et le réseau, etc.
		Oui	Non	?
10.1	Avez-vous la liste des salles hébergeant les éléments actifs et autres baies de répartition de courants faibles et courants forts ?
	... Cet inventaire précise-t’il...
10.2	... ... Si ces salles sont en accès libre ou sélectif ?
10.3	... ... Leur période de visite et de contrôle ?
10.4	... ... Les coordonnés des responsables de ces salles et leur(s) suppléant(s) ?
10.5	Avez-vous pour ces locaux techniques envisagé l’impact d’un désastre important ?
10.6	... Les divers matériels sont-ils solidement fixés ?
10.7	... Des équipements sont-ils empilés ?
10.8	Les câbles doivent suivre leur chemin, ne pas traîner au sol ou pendre au plafond. Est-ce le cas ?
10.9	... Vérifiez-vous régulièrement ce point ?
10.10	... ... Cette vérification fait-elle l’objet d’un rapport écrit ?
10.11	Ces locaux techniques sont-ils régulièrement nettoyés ?
10.12	Avez-vous la liste des salles annexes, caves et autres pièces hébergeant vos matériels et matériaux destinés à la maintenance sur site, à la production quotidienne et celles servant de débarras ?
10.13	Les archives de l’entreprise sont-elles correctement protégées ?
Le réseau
	Le réseau électrique fournit l’énergie nécessaire à vos outils de production. Le réseau informatique permet de relier tous les ordinateurs et les machines entre eux.
		Oui	Non	?
11.1	Avez-vous un schéma détaillé de vos locaux ?
11.2	Connaissez-vous le nombre de prises occupées, libres, défectueuses ?
11.3	Si vous utilisez plusieurs réseaux distincts, les prises permettent-elles de les identifier ?
	Le câblage informatique principal, la dorsale…
11.4	... Est-ce de la fibre optique ou un autre média offrant au minimum les mêmes résistances ?
11.5	... Est-elle doublée, empruntant deux voies distinctes dans l’immeuble ?
11.6	... Est-elle correctement protégée contre le piratage et les rongeurs ?
11.7	Les liens inter-sites, entre les bâtiments, sont-ils eux aussi doublés, en ayant pris soin d’emprunter un chemin différent, en particulier au niveau de la pénétration du bâtiment ?
11.8	Si vous utilisez le même média pour votre téléphone et votre informatique, avez-vous mis en place un lien de secours ?
11.9	Avez-vous au moins quelques lignes téléphoniques ne passant pas par votre PABX ?
11.10	Votre réseau informatique peut-il accueillir des postes supplémentaires rapidement ?
11.11	... Si oui, le peut-il sans remettre en cause l’existant ?
11.12	... Cette opération peut-elle être réalisée un jour férié ?
11.13	Auditez-vous régulièrement le réseau pour vérifier qu’un élément extérieur n’y est pas branché ?
Les outils de production
		Oui	Non	?
12.1	Les machines-outils indispensables ont-elles besoin du réseau informatique pour produire ?
12.2	Vos fournisseurs et leurs équipes de maintenance sont-ils informés de l’évolution du parc de ce type de machines ?
12.3	... Est-ce que ces équipes de maintenance sont joignables aisément ?
12.4	... Si besoin, pourront-ils intervenir sans difficulté sur les divers sites ?
12.5	... Votre équipe de surveillance, vos gardiens, ont-ils la liste des intervenants extérieurs dont l’accès est autorisé dans l’entreprise ?
12.6	... Un cahier de procédures d’intervention a-t’il été transmis à ces intervenants ?
12.7	... Ont-ils toute la documentation nécessaire à cette intervention ?
12.8	... ... Cette documentation est-elle mise à jour par vos équipes ?
12.9	... ... Est-ce que l’éventuel intervenant a lu ce document et en accepte les termes ?
12.10	Est-ce que toutes les interventions font l’objet d’un compte-rendu immédiat ?
12.11	Est-ce que toutes les interventions font l’objet d’un compte-rendu mensuel, une synthèse des opérations ?
12.12	... Si oui, ces opérations et l’évolution de ces interventions sont-elles étudiés régulièrement ?
Le patrimoine intellectuel
		Oui	Non	?
	Est-ce que les utilisateurs…
13.1	... Enregistrent des données importantes sur leur disque dur local ?
13.2	... Enregistrent les données importantes sur le serveur de fichiers ?
13.3	... Recopient régulièrement leur travail sur un serveur de fichiers ?
13.4	... Effectuent des copies de sauvegarde sur disquette ?
13.5	... ... Si oui, cette disquette est-elle rangée dans un endroit sûr ?
13.6	Est-ce que les utilisateurs impriment des données confidentielles ?
13.7	... Si oui, est-ce que les brouillons sont jetés dans une poubelle commune ?
13.8	... Utilisent-ils un broyeur ?
13.9	... Le personnel de ménage prend-il un soin particulier de ce type de déchets ?
	Les utilisateurs possédant un portable…
13.10	... Ont-ils signé une convention spécifique les informant des risques de perte ?
13.11	... Doivent-ils entrer un mot de passe au démarrage de la machine (bios) ?
13.12	... Ont-ils la possibilité de crypter tous les fichiers ?
13.13	... Ont-ils la possibilité de crypter certains fichiers avec une clé privée non référencée ?
13.14	... S’ils cryptent leurs fichiers, un administrateur interne à l’entreprise peut-il les décrypter ?
13.15	... Ce portable est-il suffisamment protégé pour empêcher les installations sauvages de logiciels ?
13.16	... Le portable est-il rapidement identifiable lors d’une connexion distante ?
	Les utilisateurs emportant du travail à domicile…
13.17	... Ont-ils été formés sur les risques de piratage ?
13.18	... Sont-ils assurés contre le vol et est-ce que cette assurance couvre le matériel en prêt ?
13.19	... Si un vol a eu lieu chez un collaborateur, pouvez-vous connaître la nature des fichiers qui lui ont été confiés ?
13.20	... Vérifiez-vous lors du retour du fichier, souvent effectué par disquette, que ce fichier n’est pas accompagné d’un virus inconnu ?
	Les utilisateurs des services de la messagerie…
13.21	... Ont-ils été informés que la plupart des serveurs de mails sur la planète ne peuvent pas assurer le bon cheminement d’information ?
13.22	... Savent-ils que le fichier joint à un mail peut revenir accompagné d’un virus ?
13.23	... Savent-ils que le message peut-être modifié par un tiers inconnu et lui être renvoyé accompagné d’informations incomplètes ou erronées ?
13.24	... Savent-ils qu’une signature électronique n’est pas la preuve indiscutable d’authenticité ?
13.25	Avez-vous identifié dans chaque groupe de travail une personne pouvant assurer la veille et la sensibilité à la problématique sécurité ?
13.26	... Si oui, l’informez-vous régulièrement des risques encourus ?
13.27	... Cette personne est-elle reconnue comme telle dans son milieu ?
	Lors du départ du salarié, celui-ci…
13.28	... Doit-il confier toutes ses données à son responsable hiérarchique, après en avoir assumé le classement, supprimé les fichiers obsolètes ou inintéressants ?
13.29	... Doit-il donner à son responsable ses archives, dossiers ’papier’ et autres disquettes ?
13.30	... ... Si oui, l’ensemble est-il correctement classé, trié ?
13.31	... ... Les badges d’accès et clés numériques des données cryptées sont-ils confiés au responsable direct ?
13.32	... ... Si oui, ce responsable prend-il le temps de vérifier si les fichiers restitués sont cohérents ?
13.33	... ... Les données sensibles sont-elles automatiquement archivées sur un support infalsifiable et pérenne ?
	... Le poste de travail du collaborateur ayant quitté sa fonction…
13.34	... ... Est-il complètement re-installé, en prenant soin de détruire par formatage toutes les données égarées sur le disque dur ?
13.35	... ... Ou est-il rangé dans un placard ou autre remise pour une action future, avec une éventuelle et hypothétique re-installation du système ?
13.36	... ... Ou simplement reste-t’il sur le bureau délaissé, en accès libre ou en attente d’un remplaçant ?
13.37	Est-ce qu’un logiciel antivirus a été installé sur toutes les machines sensibles, ou à risque de pénétration (celles équipées d’un lecteur de disquettes, CD-Rom, ...) ?
13.38	Avez-vous l’inventaire des logiciels installés, acquis, en cours d’acquisition sur l’ensemble du parc informatique ?
La part de responsabilité
	Qu’il soit interne ou externe à l’entreprise, l’intervenant doit connaître son propre périmètre d’intervention et celui de ses collègues de travail.
		Oui	Non	?
14.1	En prévision d’un sinistre, avez-vous défini les rôles, responsabilités et périmètres d’intervention de chacun ?
14.2	Avez-vous la liste des personnes sous astreinte, en vacances ?
14.3	... Cette liste a t’elle été transmise aux équipes concernées ?
Les accès, logiques et physiques
		Oui	Non	?
15.1	Vos systèmes informatiques permettent parfois de désactiver automatiquement un utilisateur sur une longue période d’inactivité ?
15.2	... Avez-vous la liste de ceux qui offrent cette possibilité ?
15.3	... Avez-vous la liste de ceux qui n’offrent pas cette possibilité ?
15.4	... ... Pouvez-vous préciser les systèmes dont cette fonction est modifiable par l’utilisateur ?
15.5	Le réseau informatique est-il segmenté, en compartiments plus ou moins privés ?
15.6	Le réseau informatique est-il protégé par au moins 2 pare-feux ?
15.7	... Si oui, avez-vous choisi 2 produits de marques différentes et complémentaires ?
15.8	Votre messagerie est-elle protégée par un antivirus centralisé ?
15.9	... Si oui, cet antivirus est-il maintenu quotidiennement ?
15.10	... ... Si oui, l’est-il également en périodes fériées ?
15.11	Vos salles serveurs sont-elles équipées d’un détecteur de mouvement ?
15.12	... Si oui, leur bon fonctionnement est-il régulièrement contrôlé par un organisme indépendant ?
15.13	Y’a t’il un téléphone en salle serveurs ?
15.14	... Si oui, peut-on s’en servir en cas de coupure électrique ?
15.15	... La liste des numéros d’urgence est-elle proche de ce téléphone ?
15.16	... Le bon fonctionnement du téléphone est-il vérifié régulièrement ?
15.17	Les équipes de surveillance peuvent-elles intervenir dans ces salles serveurs ?
15.18	... Si oui, ces équipes sont-elles formées aux différents systèmes d’alerte présents dans ces salles ?
15.19	... Et ces actions de surveillance sont-elles consignées auprès des responsables concernés ?
15.20	Les coordonnées professionnelles et personnelles des responsables sont-elles à la disposition de ces équipes de surveillance ?
15.21	... Si oui, ces équipes doivent-elles vérifier elles-mêmes la validité de ces coordonnées ?
15.22	Lors d’une intervention en salle serveurs par une seule personne connue de l’entreprise, quelqu’un d’autre a-il pour consigne de vérifier périodiquement sa présence et son état de santé ?
15.23	Lors d’une intervention en salle serveurs par une seule personne inconnue de l’entreprise, est-ce que cette personne est accompagnée par un responsable tout au long de son déplacement ?
	L’accès aux serveurs informatiques est-il bien limité aux administrateurs qui en ont la responsabilité.
15.24	... L’inventaire des serveurs est services est-il établi régulièrement ?
15.25	... Les administrateurs respectifs sont-ils identifiés ?
15.26	... Ont-ils accès directement au compte d’administration ou doivent-ils s’identifier au préalable sur le système ?
15.27	... Lors de deux accès simultanés en mode administration sur un système, les administrateurs sont-ils immédiatement prévenus de la présence de leur collègue ?
	Les machines et systèmes ne permettant pas un niveau logique suffisant de protection…
15.28	... Sont accessibles librement dans la salle serveur ?
15.29	... Sont protégés physiquement, dans une armoire avec serrure ?
15.30	... ... L’armoire n’est ouverte que pendant les périodes d’intervention ?
15.31	... ... Cette action est vérifiée régulièrement ?
15.32	... ... L’accès à cette clé permettant l’accès à cette armoire est strictement réservé et contrôlé régulièrement ?
	... Tous les accès en mode administrateur système et autres comptes sensibles sont enregistrés dans un journal d’activité. En général, ce journal est appelé le ’log’
15.33	... ... Est-ce le cas pour tous les systèmes présents dans l’entreprise ?
15.34	... ... Avez-vous la liste des systèmes qui ne permettent par cette action ?
15.35	Les accès distants et alertes routeurs permettent souvent la journalisation de ce type. Les journaux sont-ils centralisés ?
15.36	... Avez-vous la liste des équipements permettant de pénétrer sur votre réseau, et n’offrant pas cette possibilité de contrôle ?
15.37	... Les administrateurs systèmes sont-ils informés de l’existence de ces journaux ?
15.38	... Ces journaux sont-ils contrôlés régulièrement ?
15.39	... En cas de doute, l’administrateur système ne doit pas hésiter à se renseigner auprès de l’éventuel fautif. Le fait-il ?
15.40	... ... Si le présumé fautif ne daigne répondre immédiatement, l’administrateur doit contacter son responsable direct et l’informer. Est-ce le cas ?
15.41	... ... Ce responsable direct apporte-t’il une réponse cohérente et réconfortante à cet embarras ?
15.42	... ... Un rapport précisant seulement le nombre de ce genre incident fait-il l’objet d’un rapport écrit transmis directement au plus haut responsable ?
15.43	Est-ce que le nombre d’incidents diminue régulièrement ?
15.44	... Si ce n’est pas le cas, que comptez-vous faire pour y remédier ?
	L’accès aux systèmes les plus critiques doit faire l’objet d’un suivi très détaillé, permettant de retracer si besoin toutes les connexions, en alertant sur celles anormales pour leur périodicité ou leur durée. On pourra même aller jusqu’à enregistrer toutes les commandes effectuées au cours des sessions et détailler précisément les accès aux périphériques connectés.
15.45	... Est-ce le cas sur votre système critique ?
15.46	... Vos administrateurs systèmes en sont-ils informés ?
15.47	... ... Sont-ils formés aux règles de sécurité ?
15.48	... ... Sont-ils formés aux outils de sécurité ?
15.49	... ... ... Régulièrement ?
	... Vos administrateurs systèmes…
15.50	... ... Sont-ils suffisamment responsabilisés à la problématique de la sécurité ?
15.51	... ... Sont-ils interrogés régulièrement sur les risques reconnus ?
15.52	... ... Sont-ils satisfaits de leur travail ? De leur poste ?
15.53	... ... L’un d’entre eux, au moins, assure t’il officiellement la veille sécuritaire ?
15.54	... ... ... En établit-il des rapports écrits ?
15.55	... ... ... Assure-t’il l’animation d’une formation régulière de ses collègues ?
15.56	... ... ... Est-il remplacé durant ses absences ?
15.57	Un audit sécurité est-il réalisé régulièrement ?
15.58	... Les failles, disfonctionnements ou remarques figurant sur le précédent rapport d’audit sont-ils encore présents ?
15.59	... Ce rapport, vos commentaires et engagements sont-ils transmis au plus haut responsable de l’entreprise ?
15.60	... Ce rapport a-t’il été lu par vos équipes ?
15.61	... ... Avez-vous recueilli leurs réactions par écrit ?
15.62	... Ce rapport et vos notes ont-elles fait l’objet de félicitations ou réprimandes de la part de votre responsable direct, et de votre plus haut responsable ?
15.63	Imposez-vous à vos administrateurs à prendre des congés de plusieurs semaines ?
15.64	... Durant ces congés, avez-vous noté des anomalies, des incidents, ou autres sources de tensions au sein des équipes ?
15.65	Les postes d’administration système sont-ils adaptés aux besoins techniques ?
15.66	... Ces postes sont-ils protégés d’une installation sauvage d’un logiciel ludique ou tout autre outil pouvant remettre en cause la fiabilité du système ?
15.67	... Les postes d’administration système font-ils l’objet d’une charte d’installation précise permettant la reconstruction d’un poste complémentaire immédiatement ?
15.68	Avez-vous mis en place un contrôle de sécurité adapté au besoin, tel qu’un contrôle biométrique, une clé aléatoire, etc. ?
15.69	... ... Si oui, le plus haut responsable peut-il administrer ce système directement ?
15.70	Sur les machines sensibles, en plus de vos données, sauvegardez-vous l’état du système ?
15.71	... Est-il envisageable de revenir à un état précis du système sur les 45 derniers jours, quel que soit l’heure demandée ?
15.72	... ... Si oui, en combien de temps pouvez-vous réaliser cette action ?
15.73	... ... Si ce n’est pas le cas, envisagez-vous de mettre en place une solution à ce problème ?
15.74	... Contrôlez-vous cette fonction par une simulation ?
Le mot de passe
		Oui	Non	?
16.1	Vos collaborateurs connaissent-ils l’importance, la valeur de leurs données, que ce soit pour eux-mêmes, ou l’entreprise ?
16.2	Sont-ils informés des risques de piratage, d’intrusion ?
16.3	Utilisent-ils un ou plusieurs mots de passe pour accéder à leur poste de travail ?
16.4	Ont-ils connaissance d’une bonne règle de création de mot de passe ?
16.5	Modifient-ils régulièrement ce sésame ?
16.6	Tous vos systèmes permettent-ils la protection par mot de passe ?
16.7	... Localement, sur chaque machine ou application ?
16.8	... Globalement, à l’aide d’un serveur approprié ?
16.9	... ... Si oui, ce serveur est-il fiable, doublé et sécurisé ?
16.10	Même dans le cas d’un mot de passe global, pouvez-vous utiliser un mot de passe local, spécifique à un système ou un degrés supérieur de sensibilité ?
16.11	Un nouveau mot de passe est-il contrôlé pour sa bonne complexité ?
16.12	Si c’est un administrateur qui créé un mot de passe, choisit-il un mot de passe simple pour l’utilisateur, puis s’assure-t’il que ce dernier le modifie rapidement ?
16.13	Est-ce qu’un collaborateur accepte de donner son mot de passe par téléphone ou mail ?
16.14	... Si oui, est-ce qu’il le modifie immédiatement ?
16.15	... ... Cette action est-elle contrôlée ?
	Lors du départ d’un collaborateur…
	... Est-ce que celui-ci prend le temps de classer ses fichiers, en supprimant les données privées et autres obsolètes ?
	... Son mot de passe est…
	... ... Transmis au collaborateur le plus proche…
16.16	... ... ... Par sa fonction, à son supérieur ?
16.17	... ... ... Par sa situation géographique ?
16.18	... ... Supprimé ?
16.19	... ... ... En laissant le compte disponible pour la récupération des données ?
16.20	... Le compte et ses données sont immédiatement supprimées ?
16.21	... ... Mais les données de travail sont transmises à son responsable hiérarchique ?
16.22	... Si le compte n’est pas supprimé, votre système permet-il d’identifier les comptes inutilisés durant une certaine période ?
16.23	... ... Si oui, une vérification est-elle effectuée régulièrement ?
16.24	... ... Si oui, les comptes inutilisés sont-ils supprimés ?
16.25	... ... ... Si oui, les utilisateurs concernés sont-ils informés ?
	Lors de l’absence prolongée d’un collaborateur…
	... Son mot de passe est transmis au collaborateur le plus proche…
16.26	... ... Par sa fonction, à son supérieur ?
16.27	... ... Par sa situation géographique ?
	... Son mot de passe est supprimé ou rendu invalide…
	Les équipements tels que routeurs, passerelles, ont aussi leur contrôle d’accès.
	... Le mot de passe ’usine’ est-il modifié..
16.28	... ... A réception du matériel dans les locaux ?
16.29	... ... A l’installation ?
	... Ce mot de passe machine est-il modifié…
16.30	... ... A l’occasion d’un déplacement, d’un déménagement ?
16.31	... ... A la suite d’un incident ou d’un doute ?
16.32	... ... A l’occasion d’un retour de l’atelier ?
16.33	... ... A l’occasion d’une revente ou d’un abandon ?
	... Les mots de passe d’administration système…
16.34	... ... Sont choisis au hasard, sans méthode ?
16.35	... ... Sont construits à partir d’une règle précise connue des administrateurs ?
16.36	... ... ... Cette règle est modifiée régulièrement ?
16.37	... ... ... Cette règle est modifiée lors du départ d’un administrateur système, quelle que soit la raison de ce départ ?
16.38	... ... Sont transmis oralement aux autres administrateurs concernés ?
16.39	... ... Sont enregistrés dans un document confidentiel ?
16.40	... ... Sont transmis par fax, mail ou autre mode de communication non maîtrisable ?
16.41	... ... Font l’objet, dans le cas d’un écrit, d’une graphie commune pour en cacher l’évidence ?
16.42	... ... Sont modifiés dès le départ d’un administrateur, quel que soit la raison de ce départ ?
16.43	... ... Sont globalement modifiés en cas d’intrusion ou autre incident, avec la pleine coopération de tous les administrateurs ?
16.44	... ... ... Uniquement dans les périodes ouvrées ?

Résultats : nombre de oui et de non . Dans cas, vous ne connaissez pas la réponse. et de non . Dans cas, vous ne connaissez pas la réponse.

Si vous avez pris le temps de remplir ce questionnaire, espérons que les résultats obtenus vous permettent de mieux préciser vos besoins. Au pire, ce document aura permis d’apporter vos propres remarques et questions.

Logiquement, vous ne devriez avoir que des réponses positives ou négatives. A vous maintenant de décider de la suite à donner à votre démarche.

S’il vous manque quelques réponses, essayez de les obtenir auprès de vos responsables. Si au bout de quelques jours ou quelques semaines, suivant l’organisation de votre entreprise, vous n’avez toujours pas une réponse positive ou négative en remplacement de l’inconnu, il est vivement conseillé de confier la responsabilité sécuritaire à une personne motivée.