Questions sécurité

© Christian PAULUS. Document créé le 6 février 2003 , mis à jour le 15 mars 2007.

Savoir où l’on veut aller, c’est très bien ; mais il faut encore montrer qu’on y va. Emile Zola

Accueil du site > Etudes > Questions sécurité

Mots-clés

Dans la même rubrique

Synonyme de calme, de tranquillité, de confiance, la sécurité engendre la quiétude. Elle est devenue en quelques années le principal credo d’associations et fournisseurs de services, voyant naître par moment des normes et autres documents chantant la qualité et la rigueur dans un refrain parfois difficile à parcourir pour le novice. En guise de récréation, voici un florilège de question sous forme de QCM.

Dans ce sujet connexe, il est bon de prendre du recul. L’expert est souvent aveuglé dans son périmètre et l’ignorant ne s’inquiétera pas sur le propos. L’indolent mettra toute son énergie à en minimiser la démarche avec une lésinerie des plus surprenantes. Et si on se rend vite compte sur le terrain que certains points ne sont qu’apories à classer sur le rayon des vœux les plus pieux, bien souvent, la réponse attendue à chacune de nos questions tient de la logique la plus basique, du simple bon sens.

Inconfort, incident, désastre, les mots ne manquent pas pour colorer chaudement les réunions les plus ferventes à son sujet. Voyons ici quelques points qui ne demandent qu’à être complétés.

Ce document n’apporte pas de solutions, ne présente pas de produits, ne dessine pas de méthodes, ne propose pas de règles. Eventuellement, c’est à vous d’ajouter vos questions, d’y puiser une quintessence, celle qui conviendra à vos objectifs.

La sécurité n’est pas un problème informatique ni une faiblesse paranoïaque, c’est un état d’esprit, d’une question permanente.

Les références

Inspiré de nombreuses règles, de constats, de témoignages, d’expériences échangées avec des confrères et passionnés, ce document ne présente pas de liens Internet sur le sujet. Vous trouverez aisément les éléments complémentaires et probablement plus passionnants que mes écrits grâce aux moteurs de recherche, d’autres sur www.quesaco.org/liens.php . Les mots clés les plus fréquents sont par exemple " ISO 17799 ", " sécurité ", " normalisation ", " qualité " et " NF ". Mais avant de vous lancer dans le chemin de croix, mesurez bien votre courage et surtout votre disponibilité. www.calife.org présente également quelques remarques sur nos outils quotidiens.

La démarche sécurité

Les questions ci-dessous peuvent être largement complétées, adaptées à votre environnement, ignorées, consultées au hasard. Si la question vous paraît pertinente, la réponse que vous pouvez y apporter est somme toute binaire :

  • " oui " ou " non ", ce qui vous réconfortera peut-être.
  • " je ne sais pas ", qui amènera probablement son propre lot de requêtes complémentaires.

Evitez-les " ça n’arrivera jamais " ou autres " ça n’a aucune importance ".

Dans tous les cas, espérons que ce document vous apportera quelque chose. Ne serait-ce qu’en synthèse. La sécurité pour la sécurité ne sert à rien sans le calcul du risque. Au delà de ratifier une écriture comptable pour se prémunir d’une quelconque mésaventure juridique, la définition et la mise en place d’une politique de sécurité correspond à un besoin et une volonté de pérennité.

Définir le risque

Le petit Robert donne au mot risque la définition "Danger éventuel plus ou moins prévisible.". Du plus petit larcin au désastre le plus grave, essayons de déterminer ce qui peut mettre en péril à plus ou moins long terme la bonne marche de l’entreprise.
Oui Non  ?
1.1 Est-ce qu’un vol, simple larcin ou détournement de fonds, peut vous faire perdre de l’argent ?
1.2 Avez-vous des secrets de fabrication stratégiques pour l’entreprise, que ce soit pour sa production quotidienne ou les projets d’évolution sur le long terme ?
1.3 Est-ce qu’une malveillance dans votre circuit de fabrication peut vous faire perdre de l’argent ?
1.4 Est-ce qu’un désastre, tel un incendie ou un tremblement de terre, peut vous faire perdre de l’argent ?
1.5 Vous êtes-vous renseigné si votre entreprise est située dans un environnement industriel, économique, politique ou culturel à risque ?
1.6 Savez-vous si les locaux d’un de vos partenaires essentiels se trouvent dans un environnement industriel, économique, politique ou culturel à risque ?
Dans tous les cas préalablement cités, pouvez-vous quantifier, en cas de sinistre…
1.7 ... La perte financière immédiate ?
1.8 ... La perte de profit, sur un mois, un an et 3 ans ?
1.9 ... La perte de confiance de vos équipes ?
1.10 ... L’impact sur l’image de marque de l’entreprise ?
1.11 ... L’impact sur l’environnement, vos partenaires, vos voisins, vos amis, votre famille ?

La trésorerie et la motivation commerciale

Votre trésorerie est à l’abri. Espérons-le !
Oui Non  ?
2.1 Avez-vous un inventaire financier complet et régulièrement vérifié ?
2.2 La motivation des équipes fait-elle partie de votre capital ?
2.3 Vos commerciaux sont-ils conscients qu’une décision de leur part peut-faire baisser les profits de l’entreprise ?
2.4 ... Si oui, avez-vous les moyens de contrôler cette prise de conscience ?

Les circuits de distribution

Oui Non  ?
3.1 Vos produits sont-ils distribués dans des pays dits à risques ?
3.2 Les circuits de distribution sont-ils indépendants des risques internes et externes ?
3.3 Si une gamme de produits en stock est défectueuse, avez-vous les outils ou les moyens nécessaires à sa correction immédiate ?
3.4 Si un produit vendu se révèle dangereux pour le consommateur, avez-vous les moyens de corriger rapidement cette erreur ?

Les ressources extérieures

Oui Non  ?
4.1 Constituez-vous un vivier permanent, un répertoire de partenaires et de collaborateurs externes, capables de vous aider en cas de sinistre ?
4.2 Connaissez-vous la puissance électrique nécessaire à la production courante ?
4.3 Avez-vous calculé la puissance électrique nécessaire à la reprise d’activité après un sinistre ?
4.4 Inventoriez-vous les autres sources d’énergie et ressources indispensables à l’entreprise ?
4.5 Notez-vous les pannes et autres incidents de sources d’énergie dans votre zone géographique sur les 3 dernières années ?
4.6 Le plan de reprise globale rédigé tient-il compte de ces ressources ?
4.7 ... Si oui, ce plan de reprise est-il mis à jour régulièrement ?

Les collaborateurs

Oui Non  ?
5.1 Devez-vous informer tous les collaborateurs sur la politique de sécurité choisie ?
5.2 ... Si oui, donnez-vous cette formation régulièrement ?
5.3 Faites-vous de même pour les nouveaux arrivants, quel que soit leur contrat ?
5.4 Déléguez-vous la sécurité ?
5.5 ... Si oui, nommez-vous des responsables par département/services et par situation géographique ?
5.6 ... Vérifiez-vous régulièrement la présence de ces responsables et leur degrés d’implication ?
5.7 Avez-vous rédigé clairement les procédures de sécurité ?
5.8 ... Si oui, ce document est-il transmis régulièrement aux différents responsables ?
5.9 ... Avez-vous les moyens de vérifier la bonne diffusion de votre information ?
5.10 ... Ces procédures sont-elles régulièrement mises à jour ?
5.11 ... Les mises à jour de ces procédures sont-elles rapidement assimilées par vos collaborateurs ?

Les accés distants

Les modems et les fréquences radio permettent les connexions distantes des partenaires extérieurs sur les ressources de l’entreprise. L’inverse est vrai également, il ne faut pas l’oublier.
Oui Non  ?
6.1 Avez-vous un inventaire des modems et autres périphériques de ce type, présents dans l’entreprise ?
6.2 Le PABX est-il paramétré pour empêcher les appels de l’extérieur sur ces modems ?
6.3 Le PABX est-il paramétré pour raccrocher la ligne en cas d’inactivité sur un modem ?
6.4 Le modem ou son logiciel sont-ils paramétrés pour raccrocher la ligne en cas d’inactivité du poste de travail ?
Est-ce que le poste de travail est protégé...
6.5 ... Contre l’installation sauvage d’un modem ?
6.6 ... Contre l’installation sauvage d’une unité de stockage inconnue ?
6.7 Votre réseau est-il protégé pour empêcher la connexion d’un équipement étranger ?

Le parc de production

Vos matériels de production peuvent être classés grossièrement en 7 familles :
  • Les matériels présents sur les bureaux et les ateliers.
  • Les matériels assurant le partage des ressources.
  • Les matériels permettant de relier le tout ; les éléments actifs, les prises et les câbles.
  • Les fournisseurs d’énergie électrique, câbles, onduleurs, piles.
  • Les logiciels informatiques.
  • Les consommables.
  • La documentation de l’ensemble.
Oui Non  ?
Avez-vous un inventaire complet de vos outils de production …
7.1 ... Détaillé en volume, en précisant celui installé, utilisé et celui en stock ?
7.2 ... Détaillé en valeur d’achat et résiduelle, avec leur numéro de série respectif ?
7.3 ... Détaillé par disponibilité sur le marché (ce matériel est-il toujours en vente, où et quand) ?
Cet inventaire est-il réalisé et mis à jour …
7.4 ... Au fil de l’eau ?
7.5 ... Au fur et à mesure des acquisitions ?
7.6 ... Au fur et à mesure des installations ?
7.7 ... Régulièrement, au minimum annuellement ?
7.8 ... A chaque création de département ou lancement d’un nouveau produit ?
7.9 ... A l’occasion d’un déménagement ?
7.10 ... Au départ des machines revendues ou jetées ?
7.11 ... A chaque mouvement ou expédition de maintenance ?
7.12 ... A chaque évolution importante dans le circuit de production ?
7.13 Classez-vous correctement les divers éléments de ce parc ?
7.14 ... Par famille de produits (UC, écrans, imprimantes, etc.) ?
7.15 ... Par fonction dans le circuit de production ?
7.16 ... Par criticité (ce matériel est-il indispensable à la production) ?
L’inventaire du parc informatique est-il réalisé par …
7.17 ... Un responsable informatique ?
7.18 ... ... Connaît-il bien le circuit de production et la criticité du produit qu’il inventorie ?
7.19 ... Un responsable de production ?
7.20 ... ... Connaît-il suffisamment tous les éléments informatiques nécessaires à la production ?
7.21 L’inventaire des outils indispensables a t’il été communiqué aux fournisseurs éventuels ?
7.22 Est-ce que le contrat d’assurance est corrigé au fil de l’eau ou régulièrement ?
7.23 Les logiciels installés ont-ils tous été acquis, quelle qu’en soit la durée d’utilisation ?
7.24 Avez-vous l’inventaire des logiciels indispensables à la production ?
7.25 Le contrat d’embauche protège-t’il les configurations de production ?
7.26 Avez-vous défini une clause relative à la confidentialité dans ces contrats ?
7.27 Avez-vous ce type de clause dans les accords ou contrats avec des sociétés tierces ?
7.28 Cette clause est-elle appliquée pour du matériel ou du logiciel en prêt ?

Les serveurs informatiques

Les salles serveurs accueillent les ordinateurs et équipements communs, appelés serveurs, autocommutateurs, et autres éléments techniques. En général, la présence d’un employé y est exceptionnelle, la température et l’exiguïté aussi.
Oui Non  ?
8.1 Avez-vous la liste des salles serveurs ?
... Sont-elles toutes équipées…
8.2 ... ... D’un système d’alarme incendie ?
8.3 ... ... D’un porte avec son contrôle d’accès ?
8.4 ... ... D’une protection antistatique ?
8.5 ... ... D’un accès de secours régulièrement vérifié ?
8.6 ... ... ... Avec porte avec barre antipanique ?
8.7 ... ... ... Avec fenêtre condamnée, mais physiquement accessible ?
8.8 ... ... D’un système de refroidissement ?
8.9 Y-a t’il dans chaque salle un éclairage de secours indépendant du circuit principal ?
8.10 ... Pouvez-vous préciser la période de vérification de bon fonctionnement de cet éclairage ?
Y a t’il dans chaque salle un système de contrôle d’énergie, des onduleurs et autres éléments,
Pouvez-vous préciser pour tous les éléments…
8.11 ... Leur puissance maximum ?
8.12 ... Leur tolérance à la panne ?
8.13 ... La charge de secours et son autonomie ?
8.14 ... La dernière vérification de bon fonctionnement ?
8.15 Les systèmes de sécurité permettent-ils d’alerter des équipes extérieures au site ?
8.16 Les accès et divers mouvements sont-ils enregistrés automatiquement ou manuellement ?
8.17 Les consignes traditionnelles pour ce type de salles, telles que l’interdiction de fumer, de boire, de manger, sont-elles transmises, signalées, appliquées et contrôlées régulièrement ?
8.18 Connaissez-vous la charge acceptée au mètre carré par le faux plancher ?
8.19 Si les locaux sont en sous-sol, avez-vous calculé le risque d’une inondation ?
8.20 Les locaux se situant à l’étage supérieur hébergent-ils une salle de bain ou une activité à risque ?
8.21 Un téléphone cellulaire peut-il être utilisé dans ces locaux sans risque de perturbation ?
Les serveurs de fichiers, d’impression et autres ressources partagées par l’ensemble des collaborateurs, parfois également par des partenaires externes, permettent la cohérence des systèmes d’information.
Oui Non  ?
9.1 Les serveurs de domaines et autres ressources primordiales sont-ils accessibles, voire dupliqués sur un autre site ?
9.2 Sauvegardez-vous vos données indispensables sur un autre site ?
9.3 Les sauvegardes sur bandes sont-elles cryptées ?
9.4 Les bandes usagées sont-elles déchiquetées et pas simplement jetées dans une poubelle commune ?
9.5 Certains matériels présents dans ces salles serveurs font-ils l’objet d’un contrat de maintenance ?
9.6 ... Le fournisseur ou prestataire doit-il faire une visite régulière ?
9.7 ... Vos équipes sont-elles informées de cette visite ?
9.8 Avez-vous pour ces salles serveurs envisagé l’impact d’un désastre important ?
9.9 ... Les divers matériels sont-ils solidement fixés ?
9.10 Les câbles doivent suivre leur chemin, ne pas traîner au sol ou pendre au plafond. Est-ce le cas ?
Le nettoyage des salles serveurs …
9.11 ... Est-il effectué régulièrement ?
9.12 ... ... Dans la journée ?
9.13 ... ... Au cours d’un week-end ou d’une période de faible production ?
9.14 ... ... Suffisamment prévu à l’avance ?
9.15 ... ... Les équipes sont-elles informées de ce planning d’interventions ?
9.16 ... Prend-il en compte les faux planchers et autres conduites de câbles ?
9.17 ... L’intérieur des machines est-il concerné ?
9.18 ... ... Et dans ce cas, est-ce un responsable interne qui démonte et remonte ces serveurs ?
9.19 ... ... Avez-vous des pièces de rechange en cas d’accidents ?
9.20 Effectuez-vous réuligèrement un audit de conformité dans ces salles ?
9.21 ... Cette vérification fait-elle l’objet d’un rapport écrit ?
9.22 Un cahier de suivi d’interventions techniques est-il mis à jour correctement ?

Les locaux techniques

Ces locaux sont censés héberger des équipements de relais, tels que des concentrateurs informatiques, répartiteurs de circuits pour le téléphone et le réseau, etc.
Oui Non  ?
10.1 Avez-vous la liste des salles hébergeant les éléments actifs et autres baies de répartition de courants faibles et courants forts ?
... Cet inventaire précise-t’il...
10.2 ... ... Si ces salles sont en accès libre ou sélectif ?
10.3 ... ... Leur période de visite et de contrôle ?
10.4 ... ... Les coordonnés des responsables de ces salles et leur(s) suppléant(s) ?
10.5 Avez-vous pour ces locaux techniques envisagé l’impact d’un désastre important ?
10.6 ... Les divers matériels sont-ils solidement fixés ?
10.7 ... Des équipements sont-ils empilés ?
10.8 Les câbles doivent suivre leur chemin, ne pas traîner au sol ou pendre au plafond. Est-ce le cas ?
10.9 ... Vérifiez-vous régulièrement ce point ?
10.10 ... ... Cette vérification fait-elle l’objet d’un rapport écrit ?
10.11 Ces locaux techniques sont-ils régulièrement nettoyés ?
10.12 Avez-vous la liste des salles annexes, caves et autres pièces hébergeant vos matériels et matériaux destinés à la maintenance sur site, à la production quotidienne et celles servant de débarras ?
10.13 Les archives de l’entreprise sont-elles correctement protégées ?

Le réseau

Le réseau électrique fournit l’énergie nécessaire à vos outils de production. Le réseau informatique permet de relier tous les ordinateurs et les machines entre eux.
Oui Non  ?
11.1 Avez-vous un schéma détaillé de vos locaux ?
11.2 Connaissez-vous le nombre de prises occupées, libres, défectueuses ?
11.3 Si vous utilisez plusieurs réseaux distincts, les prises permettent-elles de les identifier ?
Le câblage informatique principal, la dorsale…
11.4 ... Est-ce de la fibre optique ou un autre média offrant au minimum les mêmes résistances ?
11.5 ... Est-elle doublée, empruntant deux voies distinctes dans l’immeuble ?
11.6 ... Est-elle correctement protégée contre le piratage et les rongeurs ?
11.7 Les liens inter-sites, entre les bâtiments, sont-ils eux aussi doublés, en ayant pris soin d’emprunter un chemin différent, en particulier au niveau de la pénétration du bâtiment ?
11.8 Si vous utilisez le même média pour votre téléphone et votre informatique, avez-vous mis en place un lien de secours ?
11.9 Avez-vous au moins quelques lignes téléphoniques ne passant pas par votre PABX ?
11.10 Votre réseau informatique peut-il accueillir des postes supplémentaires rapidement ?
11.11 ... Si oui, le peut-il sans remettre en cause l’existant ?
11.12 ... Cette opération peut-elle être réalisée un jour férié ?
11.13 Auditez-vous régulièrement le réseau pour vérifier qu’un élément extérieur n’y est pas branché ?

Les outils de production

Oui Non  ?
12.1 Les machines-outils indispensables ont-elles besoin du réseau informatique pour produire ?
12.2 Vos fournisseurs et leurs équipes de maintenance sont-ils informés de l’évolution du parc de ce type de machines ?
12.3 ... Est-ce que ces équipes de maintenance sont joignables aisément ?
12.4 ... Si besoin, pourront-ils intervenir sans difficulté sur les divers sites ?
12.5 ... Votre équipe de surveillance, vos gardiens, ont-ils la liste des intervenants extérieurs dont l’accès est autorisé dans l’entreprise ?
12.6 ... Un cahier de procédures d’intervention a-t’il été transmis à ces intervenants ?
12.7 ... Ont-ils toute la documentation nécessaire à cette intervention ?
12.8 ... ... Cette documentation est-elle mise à jour par vos équipes ?
12.9 ... ... Est-ce que l’éventuel intervenant a lu ce document et en accepte les termes ?
12.10 Est-ce que toutes les interventions font l’objet d’un compte-rendu immédiat ?
12.11 Est-ce que toutes les interventions font l’objet d’un compte-rendu mensuel, une synthèse des opérations ?
12.12 ... Si oui, ces opérations et l’évolution de ces interventions sont-elles étudiés régulièrement ?

Le patrimoine intellectuel

Oui Non  ?
Est-ce que les utilisateurs…
13.1 ... Enregistrent des données importantes sur leur disque dur local ?
13.2 ... Enregistrent les données importantes sur le serveur de fichiers ?
13.3 ... Recopient régulièrement leur travail sur un serveur de fichiers ?
13.4 ... Effectuent des copies de sauvegarde sur disquette ?
13.5 ... ... Si oui, cette disquette est-elle rangée dans un endroit sûr ?
13.6 Est-ce que les utilisateurs impriment des données confidentielles ?
13.7 ... Si oui, est-ce que les brouillons sont jetés dans une poubelle commune ?
13.8 ... Utilisent-ils un broyeur ?
13.9 ... Le personnel de ménage prend-il un soin particulier de ce type de déchets ?
Les utilisateurs possédant un portable…
13.10 ... Ont-ils signé une convention spécifique les informant des risques de perte ?
13.11 ... Doivent-ils entrer un mot de passe au démarrage de la machine (bios) ?
13.12 ... Ont-ils la possibilité de crypter tous les fichiers ?
13.13 ... Ont-ils la possibilité de crypter certains fichiers avec une clé privée non référencée ?
13.14 ... S’ils cryptent leurs fichiers, un administrateur interne à l’entreprise peut-il les décrypter ?
13.15 ... Ce portable est-il suffisamment protégé pour empêcher les installations sauvages de logiciels ?
13.16 ... Le portable est-il rapidement identifiable lors d’une connexion distante ?
Les utilisateurs emportant du travail à domicile…
13.17 ... Ont-ils été formés sur les risques de piratage ?
13.18 ... Sont-ils assurés contre le vol et est-ce que cette assurance couvre le matériel en prêt ?
13.19 ... Si un vol a eu lieu chez un collaborateur, pouvez-vous connaître la nature des fichiers qui lui ont été confiés ?
13.20 ... Vérifiez-vous lors du retour du fichier, souvent effectué par disquette, que ce fichier n’est pas accompagné d’un virus inconnu ?
Les utilisateurs des services de la messagerie…
13.21 ... Ont-ils été informés que la plupart des serveurs de mails sur la planète ne peuvent pas assurer le bon cheminement d’information ?
13.22 ... Savent-ils que le fichier joint à un mail peut revenir accompagné d’un virus ?
13.23 ... Savent-ils que le message peut-être modifié par un tiers inconnu et lui être renvoyé accompagné d’informations incomplètes ou erronées ?
13.24 ... Savent-ils qu’une signature électronique n’est pas la preuve indiscutable d’authenticité ?
13.25 Avez-vous identifié dans chaque groupe de travail une personne pouvant assurer la veille et la sensibilité à la problématique sécurité ?
13.26 ... Si oui, l’informez-vous régulièrement des risques encourus ?
13.27 ... Cette personne est-elle reconnue comme telle dans son milieu ?
Lors du départ du salarié, celui-ci…
13.28 ... Doit-il confier toutes ses données à son responsable hiérarchique, après en avoir assumé le classement, supprimé les fichiers obsolètes ou inintéressants ?
13.29 ... Doit-il donner à son responsable ses archives, dossiers ’papier’ et autres disquettes ?
13.30 ... ... Si oui, l’ensemble est-il correctement classé, trié ?
13.31 ... ... Les badges d’accès et clés numériques des données cryptées sont-ils confiés au responsable direct ?
13.32 ... ... Si oui, ce responsable prend-il le temps de vérifier si les fichiers restitués sont cohérents ?
13.33 ... ... Les données sensibles sont-elles automatiquement archivées sur un support infalsifiable et pérenne ?
... Le poste de travail du collaborateur ayant quitté sa fonction…
13.34 ... ... Est-il complètement re-installé, en prenant soin de détruire par formatage toutes les données égarées sur le disque dur ?
13.35 ... ... Ou est-il rangé dans un placard ou autre remise pour une action future, avec une éventuelle et hypothétique re-installation du système ?
13.36 ... ... Ou simplement reste-t’il sur le bureau délaissé, en accès libre ou en attente d’un remplaçant ?
13.37 Est-ce qu’un logiciel antivirus a été installé sur toutes les machines sensibles, ou à risque de pénétration (celles équipées d’un lecteur de disquettes, CD-Rom, ...) ?
13.38 Avez-vous l’inventaire des logiciels installés, acquis, en cours d’acquisition sur l’ensemble du parc informatique ?

La part de responsabilité

Qu’il soit interne ou externe à l’entreprise, l’intervenant doit connaître son propre périmètre d’intervention et celui de ses collègues de travail.
Oui Non  ?
14.1 En prévision d’un sinistre, avez-vous défini les rôles, responsabilités et périmètres d’intervention de chacun ?
14.2 Avez-vous la liste des personnes sous astreinte, en vacances ?
14.3 ... Cette liste a t’elle été transmise aux équipes concernées ?

Les accès, logiques et physiques

Oui Non  ?
15.1 Vos systèmes informatiques permettent parfois de désactiver automatiquement un utilisateur sur une longue période d’inactivité ?
15.2 ... Avez-vous la liste de ceux qui offrent cette possibilité ?
15.3 ... Avez-vous la liste de ceux qui n’offrent pas cette possibilité ?
15.4 ... ... Pouvez-vous préciser les systèmes dont cette fonction est modifiable par l’utili