Evaluation Gouvernance de la Sécurité de l'information

Transcription

1 CLUSIS Association suisse de sécurité des systèmes d'information Case postale Lausanne 26 Evaluation Gouvernance de la Sécurité de l'information Organisation: Date: Lieu: Interlocuteur(s): Consultant: Sections sélectionnées: Section 1 - Dépendance aux systèmes d'information Section 2 - Gestion du risque Section 3 - Ressources humaines Section 4 - Processus Section 5 - Technologie Score : Ce questionnaire d évaluation de la Gouvernance de la sécurité des systèmes d'information a été développé par le groupe de travail security-task-force de et traduit de l anglais par mes soins. Son but est de permettre une évaluation rapide du niveau de gestion de la sécurité des systèmes d'information au sein d une organisation, et ceci par rapport à sa dépendance de l informatique dans le cadre de son métier. Après avoir répondu au mieux possible aux questions des 5 sections, il faut reporter les totaux de chaque section sur la dernière page, ce qui permet de déterminer le score final d après un classement sur 3 niveaux : faible, à améliorer et bon. Le document original en anglais peut-être téléchargé depuis le lien suivant : Claude Maury Page 1/11

2 Section 1 - Dépendance aux systèmes d'information Très Basse = 0; Basse = 1; Moyenne = 2; Haute = 3; Très Haute = 4 1 Chiffre d'affaires de votre compagnie: < 10 millions - Réponse = 0 10 à 100 millions - Réponse = millions à 1 milliard - Réponse = 2 1 milliard à 10 milliards - Réponse = 3 > 10 milliards - Réponse = 4 2 Nombre employé(e)s: < 500 personnes - Réponse = à 1'000 personnes - Réponse = 1 1'000 à 5'000 personnes - Réponse = 2 5'000 à 20'000 personnes - Réponse =3 > 20'000 personnes - Réponse = 4 3 Dépendez-vous des systèmes d'informations pour offrir vos produits ou vos services à vos clients? 4 Quelle est la valeur de votre capital intellectuel stocké ou transmis sous forme électronique? 5 Quel est l'impact sur votre business d'une interruption majeure de votre système d'information? 6 Quelle est la fréquence d'extensions, d'acquisitions, de fusions, d'ouvertures de nouveaux marchés, etc.? 7 Quel est l'impact d'une coupure majeure d'internet sur votre business? 8 Dépendez-vous d'autres filiales de votre organisation pour réaliser votre chiffre d'affaires? 9 Avez-vous des plans pour une extension multisite de votre organisation, des fonctions business outsourcées, etc..) 10 Quel est l'impact sur votre infrastructure critique de business en cas de compromission de votre système d'information? 11 Les parties prenantes de votre business sont-elles sensibilisées à la protection des informations? 12 Les parties prenantes de votre business sont-elles sensibilisées à la sécurité des informations? 13 Dépendez-vous de lois nationales ou internationales telles que LPD, Sarbannes Oxley, Bâle 2, etc.? Traduction française Claude Maury Page 2/11

3 Section 1 - Dépendance aux systèmes d'information Très Basse = 0; Basse = 1; Moyenne = 2; Haute = 3; Très Haute = 4 14 Quel serait l'impact d'un incident informatique sur votre réputation? 15 Est-ce que votre traitement de l'information dépend de tiers (outsourcing, gestion de servces, etc.)? 16 Est-ce que votre organisation a un dép. de recherche faisant de vous une cible potentielle d'espionnage ou d'attaque? Score Dépendance aux systèmes d'information Traduction française Claude Maury Page 3/11

4 Section 2 - Gestion du risque Non existant = 0; En projet = 1; En cours de mise en oeuvre = 2; 1 Avez-vous une politique de sécurité pour votre organisation? 2 Avez-vous conduit une analyse de risque pour identifier les objectifs clés de votre business devant être encadré par un programme SSI? 3 Avez-vous identifié les objectifs clés du business qui doivent être supporté par un programme SSI? 4 Avez-vous identifié les menaces et les vulnérabilités associées aux fonctions et aux biens critiques de votre business? 5 Le coût engendré par la perte d'un bien ou d'une fonction a-t-il été évalué? 6 7 Avez-vous un processus SSI permettant de mesurer les risques et de spécifier les actions et priorités à mettre en œuvre pour couvrir les risques identifiés? Avez-vous une stratégie SSI permettant de réduire les risques à un niveau acceptable avec un minimum de perturbation sur le business? 8 Est-ce que votre stratégie SSI est revue et mise à jour périodiquement ou lors d'un changement significatif de votre business? 9 Avez-vous un processus de veille législative permettant de déterminer l'impact et l'applicabilité de tout changement sur votre business? Score Gestion du risque Traduction française Claude.Maury page 4/11

5 Section 3 - Ressources humaines Non existant = 0; En projet = 1; En cours de mise en oeuvre = 2; 1 Est-ce qu'il y a dans votre organisation une personne responsable de la sécurité de l'information? 2 Les personnes du groupe SSI ont-elles les qualifications et l'expérience requises? 3 La personne responsable de la SSI a-t-elle l'autorité requise pour gérer et assurer la conformité au programme SSI? 4 La personne responsable de la SI a-t-elle les ressources nécessaires pour gérer et assurer la conformité au programme SSI? 5 Les responsabilités sont-elles clairement définies pour tous les processus de SSI: architecture, conformité, processus et audits? 6 Est-ce qu'il y a un responsable (interne ou externe à la SSI) des plans de continuité des activitées en cas de désastre? 7 Avez-vous un plan de formation continue pour les membres de l'équipe SSI? 8 Est-ce qu'il y a une personne chargée de la coordination SSI avec les secteurs du business et de la production de l'organisation? 9 Les dép. RH, légal, communication et formation sont-ils impliqués dans les développements des directives SSI? 10 Des rapports concernant la conformité et l'efficacité des mesures SSI sontils publiés régulièrement pour la direction? 11 Les cadres supérieurs de l'entreprise sont-ils responsable de l'approbation du programme et des directives SSI? Les cadres de l'entreprise sont-ils rendus responsables de l'application par le personnel des mesures SSI? Avez-vous des programmes de sensibilisation SSI pour tout le personnel interne et externe concernant les directives SSI et leurs responsabilités envers la SSI? Score Ressources humaines Traduction française Claude Maury Pages 5/11

6 Section 4 - Processus Non existant = 0; En projet = 1; En cours de mise en oeuvre = 2; 1 Avez-vous une architecture SSI basée sur les résultats d'une analyse de risques et d'une stratégie SSI? 2 Cette architecture SSI est-elle remise à jour périodiquement pour prendre en compte les nouveaux besoins stratégiques ou les nouvelles menaces? 3 Les systèmes existants sont-ils revus lorsqu'il y a un changement dans l'architecture SSI? 4 Le personnel SSI est-il impliqué pour estimer les impacts SSI lors de l'évaluation et de l'introduction d'un nouveau système? 5 Existe-t-il une procédure pour traiter un nouveau système non conforme à l'architecture et aux standards SSI? 6 Avez-vous une procédure de classification de l'information et des biens permettant d'appliquer un niveau approprié de sécurité? 7 Existe-t-il une CMDB (Configuration Management DataBase) pour tous les systèmes et applications informatiques? 8 Existe-t-il une directive et des procédures pour tester et appliquer toutes les corrections concernant des vulnérabilités à un système? 9 Les directives SSI sont -elles compréhensibles et facilement accessibles à toutes les personnes de l'organisation? 10 Existe-t-il une méthode de diffusion des directives, standards et procédures SSI? 11 Les conséquences en cas de non-respect des directives et des standards SSI sont-elles communiquées et appliquées? 12 Existe-t-il une procédure permettant de traiter les exceptions aux directives SSI? 13 L'impact sur les ressources et les coûts engendrés par une modification majeure ou une nouvelle directive SSI est-il évalué au préalable? 14 Est-ce que vos directives de sécurité mentionnent les risques identifiés lors de votre analyse de risques? 15 Vos directives SSI sont-elles incluses dans tous vos contrats avec des tiers? 16 La SSI est-elle incluse dans toutes décisions importantes de l'organisation? Traduction française Claude Maury Pages 6/11

7 Section 4 - Processus Non existant = 0; En projet = 1; En cours de mise en oeuvre = 2; 17 Est-ce qu'une directive SSI (RUA - Règlement des Usages Acceptable) responsabilise individuellement chaque personne de l'organisation? 18 Existe-t-il des directives d'utilisation de l'internet, de la messagerie et des biens informatiques (RUA - Règles des Usages Acceptables)? 19 Existe-t-il une directive concernant la protection des biens informationnels de l'organisation et de la propriété intellectuelle? 20 Existe-t-il une directive concernant la protection de la sphère privée? 21 Existe-t-il une directive concernant la gestion des comptes informatiques? 22 Existe-t-il une directive concernant la gestion des droits d'accès? 23 Existe-t-il une directive concernant la classification, la rétention et la destruction des informations? 24 Existe-t-il une directive concernant le partage des informations en dehors de l'organisation? 25 Existe-t-il une directive concernant la gestion des vulnérabilités (gestion des patches, antivirus, etc.)? 26 Existe-t-il une directive concernant les plans de continuité des activités? 27 Existe-t-il une directive concernant la gestion des incidents de sécurité? 28 Existe-t-il une directive concernant la surveillance et les mesures coercitives? 29 Existe-t-il une directive concernant les procédures de gestion des changements? 30 Existe-t-il une procédure écrite concernant la sécurité physique et les procédures d'évacuation? 31 Existe-t-il une procédure écrite concernant l'annonce d'événements de sécurité affectant des tiers, partenaires, clients, etc.. 32 Existe-t-il une directive concernant le déclenchement d'investigations et la correction de défaillances SSI? Traduction française Claude Maury Pages 7/11

8 Section 4 - Processus Non existant = 0; En projet = 1; En cours de mise en oeuvre = 2; 33 Existe-t-il une directive concernant le stockage hors site des copies de sauvegarde? 34 Existe-t-il une procédure écrite concernant la destruction de média contenants des informations confidentielles? 35 Existe-t-il mesures et des contrôles physiques (badges électronique, biométrie, etc.) d'accès aux locaux critiques? 36 Existe-t-il des mesures anti-effraction pour les locaux protégés? 37 Les équipements critiques sont-ils protégés des accidents environnementaux (panne électricité, inondations, feu, etc.)? Avez-vous un inventaire de vos équipements et logiciels utilisés pour appliquer la SSI? Avez-vous un processus de gestion des configurations pour s'assurer que les changements à appliquer sur des systèmes critiques sont nécessaires au business et ont reçu une autorisation? Faites-vous des audits périodiques pour vous assurer que les pratiques, les contrôles et les techniques SSI sont mis en œuvre selon le cahier des charges SSI? Faites-vous pour chaque unité du business des audits externes de la mise en application de votre programme de sécurité? Est-ce que chaque audit périodique évalue l'efficacité de vos directives, procédures et pratiques selon un échantillonnage représentatif de chaque unité business? Est-ce que chaque audit périodique évalue pour chaque unité business leur conformité au cadre SSI (directives, standards et procédures)? 44 Avez-vous un système de mesure et de rapport des performances SSI (tableau de bord)? Score Processus Traduction française Claude Maury Pages 8/11

9 Section 5 - Technologie Non existant = 0; En projet = 1; en cours de mise en oeuvre = 2; 1 Est-ce vos serveurs accessibles depuis internet sont protégé par des niveaux de sécurité (DMZ, firewalls, Netowork IDS, etc.)? 2 Est.ce que des contrôles sont effectués entre les niveaux de sécurité et les niveaux des applications? 3 Est-ce que le réseau, les serveurs et les applications sont périodiquement analysés pour vérifier l'intégrité des configurations? 4 Surveillez-vous en temps réel votre réseau pour détecter toutes tentatives d'intrusion? 5 Avez-vous une procédure de change mgt concernant tous les changement relatifs à la SSI? 6 Vos données confidentielles sont-elles chiffrées et les clés de chiffrement déposées dans un séquestre des clés de chiffrement? 7 Existe-t-il une procédure de gestion pour gérer les accès (comptes, clés de chiffrage, ) de la création à la répudation de l'accès? 8 Est-ce que vos systèmes et applications utilisent des règles de gestions des mots de passe? 9 Utilisez-vous des systèmes d'authentification de haut niveau pour accéder aux biens classés confidentiels? 10 Appliquez-vous des limites de temps aux privilèges d'accès et d'administration? 11 Appliquez-vous des limites de temps (timeout) aux sessions de login et des verrouillages aux erreurs de login? 12 Protégez-vous vos accès WiFi? 13 Vos serveurs DNS et DHCP sont-ils sécurisés? 14 Vos accès réseau depuis l'extérieur sont-ils sécurisés (VPN)? 15 Protégez-vous chaque PC par un antivirus et un firewall pour les PC portables? 16 Vérifiez-vous que les mises à jour des antivirus sont effectuées régulièrement? Traduction française Claude Maury Pages 9/11

10 Section 5 - Technologie Non existant = 0; En projet = 1; en cours de mise en oeuvre = 2; 17 Appliquer vous régulièrement les patches (corrections) de sécurité concernant les serveurs et les PCS? 18 Existe-t-il un point de contact (Service Desk) pour annoncer toutes anomalie ou alarmes concernant la SSI? Score Technologie Traduction française Claude Maury Pages 10/11

11 Classement de dépendance Dépendance aux systèmes d'information Choisir la correspondance de valeur située entre les colonnes Min et Max pour déterminer le classement de votre dépendance aux systèmes d'information Min Max Dépendance 0 8 Très Basse 9 16 Basse Moyenne Haute Très haute Score Gestion du risque Score Ressources Humaines Score Processus Selon votre classement de dépendance aux systèmes d'information, choisir la correspondance de votre score total avec les écarts de valeurs de la colonne «Score total» pour déterminer votre niveau de gouvernance SSI Score Technologie Score total Evaluation globale de la gouvernance SSI Dépendance aux systèmes d'information Très haute Score total Faible Gouvernance SSI A améliorer Bon Faible Haute A améliorer Bon Faible Moyenne A améliorer Bon Faible Basse A améliorer Bon 0 99 Faible Très basse A améliorer Bon Traduction française Claude Maury Pages 11/11