Guide CyberSécurité – V3

Organisation par domaines fonctionnels

Sensibiliser, former et guider les collaborateurs

Sensibiliser des collaborateurs

  • Peut-on identifier rapidement un problème de connexion à une machin ede des bureaux ou de l’atelier ?
  • Peut-on identifier un comportement anormal d’une machine ?
  • Peut-on savoir si des fichiers ont disparu ? ou si un système de fichiers est endommagé ?
  • Comment savoir si des connexions ou activités inhabituelles ont lieu et au bout de combien de temps ?
  • Comment vérifier s’il y a eu création ou destruction de comptes ?
  • Gère-t-on bien les messages d’alerte des pare-feu et applications antivirus ?

Utiliser des outils nomades, accès à distance

  • Y-a-t-il une bonne identification de tous les outils nomades qui sont déployés dans l’entreprise ?
  • Suis-je assuré que ces outils nomades sont liés à un meilleur niveau de sécurité ? (Comme le fait de chiffrer le contenu des téléphones portables, d’utiliser une double authentification pour accéder aux systèmes de l’entre- prise, d’assurer la mise à jour du parc nomade malgré des connexions intermittentes, …) ?
  • L’entreprise est-elle à même de révoquer efficacement les autorisations données à un équipement (en cas de vol par exemple) ou à une personne (en cas de départ de l’entreprise par exemple) ?
  • Mes services des protections et gestionnaires de mots de passe sont-ils à jour ?

Communiquer via les réseaux sociaux, messageries, Internet

  • Ai-je organisé des séances d’information auprès des collaborateurs, et ma campagne de communication sur la cybersécurité est-elle efficace ?
  • Ai-je besoin d’une aide extérieure pour auditer et améliorer les bonnes pratiques et la politique RH en matière de cybersécurité de mon entreprise?
  • Comment puis-je inciter les collaborateurs à moins (ne pas) utiliser les outils de communication de l’entreprise à des fins personnelles, en conformité avec les règlements de protection des données personnelles et la Loi Travail (2017) ?

Briser les frontières entre les différents services (notamment entre les systèmes informatiques et les systèmes industriels)

  • Mon organisation n’est-elle pas trop cloisonnée ?
  • Est-ce que je connais la disparité de mon parc numérique (tous appareils confondus) ?
  • Ma charte informatique est-elle cohérente avec la pluralité des métiers internes à mon entreprise ?
  • Est-ce que chacun sait quoi faire en cas d’attaque ?

Garantir le fonctionnement de l’atelier / outil de production

Garantir le fonctionnement des machines

  • Est-ce que l’architecture physique et numérique de mon site de production est connue, formalisée ?
  • Est-ce qu’une analyse de risque a été pratiquée (ou un audit avec un intervenant extérieur possible) pour chaque niveau de fonctionnalité et chaque point d’interconnexion (USB, réseaux, …) ?
  • Est-ce que ma politique de sécurité est à jour (le danger évoluant sans cesse) et intègre bien l’atelier de production ?

Contrôler les accès

  • Quels sont les accès physiques qui peuvent mettre en danger mon entreprise (SI, atelier, produits, matières, etc.) ?
  • Est-ce que mon niveau de protection, comme le contrôle d’accès et le monitoring est adapté ?
  • Est-ce que mes procédures et ma politique de sécurité sont adaptées lorsqu’une intervention extérieure est nécessaire : dépannage d’une machine, nettoyage des locaux, etc. ? ?

Maitriser la gestion et l’échange des données numériques internes

  • L’entreprise dispose-t-elle d’un inventaire des équipements autorisés à accéder aux données internes ?  
  • Le réseau wifi est-il le même pour toutes les catégories d’intervenants ?  
  • Le mot de passe wifi est-il affiché dans les salles de réunion ? 
  • Quel est le niveau de sécurité des mots de passes en vigueur ?  
  • Quelle est l’architecture du réseau de l’entreprise ?  

Assurer la traçabilité de la production 

  • Est-ce qu’un système passif (sans émission radio) peut être utilisé sur mes produits sensibles ?  
  • Est-ce que je maitrise parfaitement les possibilités de la RFID et la NFC ? Leurs caractéristiques sont-elles proportionnelles à mes besoins ?  
  • Est-ce que je connais toutes les raisons qui arrêtent ma production ?  
  • Est-ce que j’ai des pertes de données de traçabilité  
  • Est-ce que j’ai des défauts d’inventaire, des variations de prix constatés chez mes revendeurs ?  

Proteger ses donnés d’entreprise, sont patrimoine immateriel

Sauvegarder et protéger les données et logiciels  

  • Est-ce que je connais l’intégralité des données et logiciels de mon entreprise nécessaires à mon activité  
  • Ai-je un plan de sauvegarde et de protection robuste de mes données et versions de logiciels ?  
  • Quelles sont les personnes habilitées à gérer le processus d’archivage/restauration ?
  • Quelle antériorité de lecture des fichiers ai-je dans mon processus d’archivage ? 

Services en ligne et hébergement cloud  

  • Quels sont les services en ligne qui me sont proposés ou imposés par mon écosystème (partenaire, fournisseur, client, …). Quel sont les avantages / risques associés  
  • Quelles sont les données qui sont traitées par le service en ligne et quelles sont leurs particularités (confidentialité contractuelle ou stratégique, données personnelles, etc.) ? Faut-il les crypter avant l’usage par ces services ?  
  • Quelles sont les caractéristiques d’hébergement et d’exploitation des services en ligne utilisés ? En particulier, est-il plus judicieux de confier cette activité à un tiers ou de l’internaliser ? Où les données sont-elles hébergées en cas d’externalisation (les législations du lieu d’hébergement peuvent avoir un impact sur le type de données hébergées) ?  
  • Quels sont les utilisateurs de ces services en ligne et comment est gérée l’identification (nom d’utilisateur) et l’authentification ?  

Ressources utiles

Sécuriser la relation avec les fournisseurs et sous-traitants

Sécuriser les données numériques avec l’extérieur 

  • Quel est le degré de confidentialité des informations à transmettre vers l’extérieur  
  • De quelle nature est l’accès à distance offert pour la télémaintenance  
  • Quels services externes sont utilisés par l’entreprise ?  

Sécuriser la relation avec les clients

Sécuriser les documents officiels et engagements contractuels 

  • Quels sont les moyens d’archivage électronique mis en place ? 
  • Répondent-ils aux normes requises et obligations légales  
  • Les outils de signature électroniques utilisés sont-ils labellisés par l’ANSSI ? 

Maîtriser les flux financiers et commandes dématérialisées 

  • Est-ce que les transactions effectuées par la banque correspondent à mes journaux d’évènement  
  • Quel est le niveau d’information mis en ligne publiquement concernant les collaborateurs ?  
  • Les collaborateurs ont-ils connaissance des types de fraudes les plus courantes utilisant l’ingénierie sociale ?  
  • Qui est autorisé à effectuer des transactions et quelles sont les méthodes d’identification employées  

Fournir des produits connectés et/ou services sécurisés

Sécuriser les produits et services connectés 

  • Quel est le type de protocole utilisé par l’objet connecté ? Est-il standard et éprouvé  
  • Quelles sont les dispositions visant à mettre à jour l’objet connecté ? Comment sont effectuées les mises à jour ?  
  • Le produit comporte-t-il des vulnérabilités physiques permettant d’en extraire de l’information ou d’intervenir sur son fonctionnement ?  
  • Comment et par qui la qualité du système de protection du produit est-elle contrôlée  
  • Puis-je utiliser des briques de développement (matériel et logiciel) standardisées et bien maitrisées  
  • Comment puis-je assurer la surveillance de l’infrastructure associée aux objets ?  

Webographie ressources