Audit d'hygiène informatique

Les équipes opérationnelles sont formées à la sécurité des systèmes d'information ?

Les utilisateurs sont sensibilisés aux bonnes pratiques élémentaires de sécurité informatique ?

Possédez-vous un schéma réseau du une cartographie à jour de vos infrastructures ?

Disposez-vous d'un inventaire exhaustif des comptes privilégiés maintenu à jour ?

Possédez-vous des procédures d'arrivées, de départ et de changement de fonction des utilisateurs ?

Autorisez-vous uniquement la connexion au réseau de l'entité au seuls équipements maîtrisés ?

Posséez-vous une attribution/gestion des droits efficaces sur les ressources sensibles du système d'information ?

L'entreprise définis-t-elle et vérifie-t-elle des règles de choix et de dimensionnement des mots de passe ?

Protégez-vous les mots de passe stockés sur vos systèmes ?

Changez-vous les éléments d'authentification par défaut sur les équipements et services ?

Privilégiez-vous une authentification forte ?

Utilisez-vous des protocoles sécurisés des qu'ils existent ?

Mettez-vous en place un niveau de sécurité minimal sur l'ensemble du parc informatique ?

Vous protégez-vous des menaces relatives à l'utilisation de supports amovibles ?

Utilisez-vous un outil de gestion centralisée afin d'homogénéiser les politiques de sécurité ?

Activez-vous et configurez-vous le pare-feu local des postes de travail ?

Chiffrez-vous les données sensibles transmises par voie Internet ?

Protégez-vous votre messagerie professionnelle ?

Segmentez-vous les réseaux et mettez-vous en place un cloisonnement entre ces zones ?

Vous assurez-vous de la sécurité des réseaux d'accès Wi-Fi et de la séparation des usages ?

Utilisez-vous des protocoles sécurisés des qu'ils existent ?

Mettez-vous en place une ou des passerelle(s) d'accès sécurisée(s) à Internet ?

Cloisonnez-vous les services visibles depuis Internet du reste du système d'information ?

Protégez-vous votre messagerie professionnelle ?

Sécurisez-vous les interconnexions réseau dédiées avec les partenaires ?

Contrôlez-vous et protégez-vous l'accès aux salles serveurs et locaux techniques ?

Interdisez-vous l'accès à Internet depuis les postes ou serveurs utilisés pour l'administration du système d'information ?

Utilisez-vous un réseau dédié et cloisonné pour l'administration du système d'information ?

Limitez-vous au strict besoin opérationnel les droits d'administration sur les postes de travail ?

Prenez-vous des mesures de sécurisation physique des terminaux nomades ?

Chiffrez-vous les données sensibles, en particulier sur le matériel potentiellement perdable ?

Sécurisez-vous la connexion réseau des postes utilisés en situation de nomadisme ?

Adoptez-vous des politiques de sécurité décidées aux terminaux mobiles ?

Avez-vous défini une politique de mise à jour des composants du système d'information ?

Anticipez-vous la fin de la maintenance des logiciels et systèmes ?

Activez et configurez-vous les journaux des composants les plus importants ?

Avez-vous défini une politique des accès aux serveurs et salles techniques ?

Connectez-vous et protégez-vous l'accès aux salles serveurs et locaux techniques ?

Procédez-vous à des contrôles et audits de sécurité réguliers puis appliquez les actions correctives ?

Avez-vous défini une procédure de gestion des incidents de sécurité ?

Avez-vous mené une analyse de risques formelle ?

Privilégiez-vous l'usage de produits et de services qualifiés par l'ANSSI ?