Généralités

Les questionnaires commencent généralement par la collecte d’informations de base sur l’entreprise, telles que le nom et le responsable des questions d’assurance de l’entreprise et/ou celle en gestion du risque cyber. Le type d’activité et le secteur industriel dans lequel opère l’entreprise, ainsi que sur les informations financières relatives aux revenus et aux actifs sont aussi demandés.Nous avons aussi trouvé quelques questionnaires qui collectent des informations sur les clients les plus importants de l’entreprise et la taille de leurs business.

Collecte de données et les modèles de leur manipulation

Dans l’ensemble des questionnaires, l’objectif principal demeure, au premier chef, de comprendre les types d’informations / données sensibles ou confidentielles que l’entreprise est responsable (recueille, stocke ou traite). Les données à caractère personnel, les renseignements confidentiels sur les clients ou la propriété intellectuelle d’entreprise sont visés en priorité dans ce recensement. Par exemple, les questions relatives aux types de données suivants : Numéro de CNI, numéros de carte bancaire, permis de conduire, adresses électroniques, adresses IP, informations financières et bancaires, dossiers médicaux, informations médicales protégées, propriété intellectuelle.

Outsourcing

Les questionnaires traitent également de la façon dont l’entreprise gère ses relations avec ses principaux fournisseurs et les services pour lesquels il s’appuie pour mener ses activités.

A ce sujet, ces questions sont relativement courantes :

  • Énumérer les services externalisés et fournir les noms des fournisseurs
  • Une évaluation de sécurité, de confidentialité et / ou de risque a-t-elle été effectuée avec les fournisseurs et un protocole (SLA) fait-il ressortir un standard de sécurité IT à respecter ?
  • L’historique des fournisseurs est-il évalué afin de déterminer s’ils ont fait l’objet d’incidents qui portent sur l’atteinte à des données personnelles ou autres relatifs à la sécurité de leurs SI ?
  • Vérifier si les fournisseurs sont assurés pour des dommages causés au tiers ou ils se portent en auto-assureur.

Historique des sinistres et des incidents

Les thèmes suivants sont abordés dans cet axe :

  • les violation de données antérieures éventuelles et leurs conséquences
  • les atteintes à la vie privée et la perte d’informations confidentielles qui ont déclenché des éventuelles notifications aux clients et / ou aux employés
  • les circonstances qui pourraient générer un sinistre
  • les poursuites juridique générées par une violation de la propriété intellectuelle
  • les extorsions déclenchées par une attaques cyber
  • les enquêtes précédentes diligentées par un organisme administratif

Budget de la sécurité informatique

Le budget consacré à la sécurité informatique fournit des informations intéressantes sur le niveau de sensibilité de l’entreprise aux risques IT, en général, et Cyber en particulier. Cependant, la budgétisation et les dépenses de sécurité informatique sont rarement abordés. Les questions significatives se résument à :

  • Quel est le budget global de l’entreprise pour la sécurité du système ?
  • Quel est la proportion du budget IT dédiée à la sécurité informatique ?
  • Comment le budget de sécurité du système est-il réparti en % entre :
    • la prévention des incidents de sécurité;
    • la détection des incidents de sécurité;
    • la réponse aux incidents de sécurité

Ce sujet pourra être de nouveau abordé dans les sections suivantes car certaines questions peuvent avoir un rôle transverse.

Catégories : Article