Guide CyberSécurité – V3

Sensibiliser des collaborateurs

• Peut-on identifier rapidement un problème de connexion à une machine de bureau ou de l’atelier ?
• Peut-on identifier un comportement anormal d’une machine ?
• Peut-on savoir si des fichiers ont disparu ? ou si un système de fichiers est endommagé ?
• Comment savoir si des connexions ou activités inhabituelles ont lieu et au bout de combien de temps ?
• Comment vérifier s’il y a eu création ou destruction de comptes ?
• Gère-t-on bien les messages d’alerte des pare-feu et applications antivirus ?

Utiliser des outils nomades, accès à distance

• Y-a-t-il une bonne identification de tous les outils nomades qui sont déployés dans l’entreprise ?
• Suis-je assuré que ces outils nomades sont liés à un meilleur niveau de sécurité ? (Comme le fait de chiffrer le contenu des téléphones portables, d’utiliser une double authentification pour accéder aux systèmes de l’entre- prise, d’assurer la mise à jour du parc nomade malgré des connexions intermittentes, …) ?
• L’entreprise est-elle à même de révoquer efficacement les autorisations données à un équipement (en cas de vol par exemple) ou à une personne (en cas de départ de l’entreprise par exemple) ?
• Mes services des protections et gestionnaires de mots de passe sont-ils à jour ?

Communiquer via les réseaux sociaux, messageries, Internet

• Ai-je organisé des séances d’information auprès des collaborateurs, et ma campagne de communication sur la cybersécurité est-elle efficace ?
• Ai-je besoin d’une aide extérieure pour auditer et améliorer les bonnes pratiques et la politique RH en matière de cybersécurité de mon entreprise?
• Comment puis-je inciter les collaborateurs à moins (ne pas) utiliser les outils de communication de l’entreprise à des fins personnelles, en conformité avec les règlements de protection des données personnelles et la Loi Travail (2017) ?

Briser les frontières entre les différents services (notamment entre les systèmes informatiques et les systèmes industriels)

• Mon organisation n’est-elle pas trop cloisonnée ?
• Est-ce que je connais la disparité de mon parc numérique (tous appareils confondus) ?
• Ma charte informatique est-elle cohérente avec la pluralité des métiers internes à mon entreprise ?
• Est-ce que chacun sait quoi faire en cas d’attaque ?

Garantir le fonctionnement des machines

• Est-ce que l’architecture physique et numérique de mon site de production est connue, formalisée ?
• Est-ce qu’une analyse de risque a été pratiquée (ou un audit avec un intervenant extérieur possible) pour chaque niveau de fonctionnalité et chaque point d’interconnexion (USB, réseaux, …) ?
• Est-ce que ma politique de sécurité est à jour (le danger évoluant sans cesse) et intègre bien l’atelier de production ?

Contrôler les accès

• Quels sont les accès physiques qui peuvent mettre en danger mon entreprise (SI, atelier, produits, matières, etc.) ?
• Est-ce que mon niveau de protection, comme le contrôle d’accès et le monitoring est adapté ?
• Est-ce que mes procédures et ma politique de sécurité sont adaptées lorsqu’une intervention extérieure est nécessaire : dépannage d’une machine, nettoyage des locaux, etc. ? ?

Maitriser la gestion et l’échange des données numériques internes

• L’entreprise dispose-t-elle d’un inventaire des équipements autorisés à accéder aux données internes ?  
• Le réseau wifi est-il le même pour toutes les catégories d’intervenants ?  
• Le mot de passe wifi est-il affiché dans les salles de réunion ? 
• Quel est le niveau de sécurité des mots de passes en vigueur ?  
• Quelle est l’architecture du réseau de l’entreprise ?  

Assurer la traçabilité de la production 

• Est-ce qu’un système passif (sans émission radio) peut être utilisé sur mes produits sensibles ?  
• Est-ce que je maitrise parfaitement les possibilités de la RFID et la NFC ? Leurs caractéristiques sont-elles proportionnelles à mes besoins ?  
• Est-ce que je connais toutes les raisons qui arrêtent ma production ?  
• Est-ce que j’ai des pertes de données de traçabilité ?  
• Est-ce que j’ai des défauts d’inventaire, des variations de prix constatés chez mes revendeurs ?  

Sauvegarder et protéger les données et logiciels  

• Est-ce que je connais l’intégralité des données et logiciels de mon entreprise nécessaires à mon activité ?  
• Ai-je un plan de sauvegarde et de protection robuste de mes données et versions de logiciels ?  
• Quelles sont les personnes habilitées à gérer le processus d’archivage/restauration ?
• Quelle antériorité de lecture des fichiers ai-je dans mon processus d’archivage ? 

Services en ligne et hébergement cloud  

• Quels sont les services en ligne qui me sont proposés ou imposés par mon écosystème (partenaire, fournisseur, client, …). Quel sont les avantages / risques associés ?  
• Quelles sont les données qui sont traitées par le service en ligne et quelles sont leurs particularités (confidentialité contractuelle ou stratégique, données personnelles, etc.) ? Faut-il les crypter avant l’usage par ces services ?  
• Quelles sont les caractéristiques d’hébergement et d’exploitation des services en ligne utilisés ? En particulier, est-il plus judicieux de confier cette activité à un tiers ou de l’internaliser ? Où les données sont-elles hébergées en cas d’externalisation (les législations du lieu d’hébergement peuvent avoir un impact sur le type de données hébergées) ?  
• Quels sont les utilisateurs de ces services en ligne et comment est gérée l’identification (nom d’utilisateur) et l’authentification ?  

Sécuriser les données numériques avec l’extérieur 

• Quel est le degré de confidentialité des informations à transmettre vers l’extérieur ?  
• De quelle nature est l’accès à distance offert pour la télémaintenance ?  
• Quels services externes sont utilisés par l’entreprise ?  

Sécuriser les documents officiels et engagements contractuels 

• Quels sont les moyens d’archivage électronique mis en place ? 
• Répondent-ils aux normes requises et obligations légales ?  
• Les outils de signature électroniques utilisés sont-ils labellisés par l’ANSSI ? 

Maîtriser les flux financiers et commandes dématérialisées 

• Est-ce que les transactions effectuées par la banque correspondent à mes journaux d’évènement ?  
• Quel est le niveau d’information mis en ligne publiquement concernant les collaborateurs ?  
• Les collaborateurs ont-ils connaissance des types de fraudes les plus courantes utilisant l’ingénierie sociale ?  
• Qui est autorisé à effectuer des transactions et quelles sont les méthodes d’identification employées ?  

Sécuriser les produits et services connectés 

• Quel est le type de protocole utilisé par l’objet connecté ? Est-il standard et éprouvé ?  
• Quelles sont les dispositions visant à mettre à jour l’objet connecté ? Comment sont effectuées les mises à jour ?  
• Le produit comporte-t-il des vulnérabilités physiques permettant d’en extraire de l’information ou d’intervenir sur son fonctionnement ?  
• Comment et par qui la qualité du système de protection du produit est-elle contrôlée ?  
• Puis-je utiliser des briques de développement (matériel et logiciel) standardisées et bien maitrisées ?  
• Comment puis-je assurer la surveillance de l’infrastructure associée aux objets ?