Outil · Chapitre 12

Les bonnes questions à poser, chapitre 12¶

Pour qui Dirigeant, à poser à sa DSI et à son comité

Pour quoi Interroger l’évaluation des risques, la résilience et la conformité

Durée À poser en comité ou en entretien

Les questions¶

Avons-nous réalisé une évaluation formelle des risques cyber de notre organisation, identifiant nos actifs critiques, les menaces les plus probables et notre niveau de vulnérabilité actuel ? Cette évaluation est-elle mise à jour régulièrement ?
Notre PCA et notre PRA ont-ils été testés en conditions simulées au cours des douze derniers mois ? Quels systèmes ont échoué à la reprise, et quelles actions correctives ont été engagées ? Nos sauvegardes sont-elles réellement hors ligne et leur restauration a-t-elle été vérifiée ?
Notre organisation est-elle dans le périmètre de NIS2 ? Avons-nous réalisé une analyse de notre niveau de conformité et identifié les écarts à traiter, avec un plan de remédiation chiffré ?
Quel est notre délai moyen de détection d’une intrusion ? Avons-nous un SOC (interne ou externalisé) opérationnel 24h/24, et un processus de gestion des incidents formalisé et testé ?
Le RSSI a-t-il un accès direct à la direction générale et au conseil d’administration ? Son budget lui permet-il de traiter les risques majeurs identifiés dans l’évaluation des risques ?
Avons-nous évalué la maturité cyber de nos prestataires critiques ? Nos contrats avec les sous-traitants incluent-ils des clauses de sécurité et des droits d’audit ?
Notre direction générale a-t-elle participé à un exercice de simulation de crise cyber dans les douze derniers mois ? Chaque membre du COMEX sait-il précisément quel est son rôle si une attaque survient demain matin ?

Référence dans le livre

Ces questions prolongent le chapitre 12, « Résilience, cybersécurité et continuité d’activité ». Page à préciser à la parution.