La sécurité informatique est l’affaire de tous. Il faut donc arriver à impliquer tous les acteurs de l’entreprise, chacun à son niveau et avec la plus grande efficacité. C’est pourquoi il est important de déployer le programme à tous les niveaux hiérarchiques en commençant et en insistant sur le plus haut.

Dans cet article, nous détaillons les quatre axes majeurs adressés par les questionnaires pour mieux appréhender la maturité de l’organisation et sa capacité à mobiliser ses ressources pour prévenir et agir en en efficacité en cas d’incidents.

 

AXE 1 : Management de l’information et des données

Cet axe a pour objectif de faire un inventaire des pratiques relatives à la gestion des données en fonction de la volumétrie, la qualité et la gouvernance instaurée. Les assureurs s’intéressent aux points suivants :

  • le nombre d’enregistrement détenus,
  • si le demandeur vend ou partage des informations sensibles avec des tiers,
  • si l’organisme traite des informations pour des tiers, y compris le traitement ou le stockage de transactions par des cartes bancaires.
  • si l’organisme traite ou stocke des données personnelles ou d’autres informations confidentielles pour des tiers
  • si l’organisme traite a des procédures concernant la destruction des données enregistrées sur ses systèmes avant leur élimination, leur recyclage, leur revente …

Il est intéressant de noter que les questionnaires, dans leur majorité, ne traitent pas exclusivement des données numériques. La gestion des données est conçue de manière plus large pour inclure également les documents écrits qui nécessitent une protection.

Quelques questionnaires ont adressé la nécessité de disposer d’un système de classification au sein de la politique de gestion de données de l’entreprise. Cette classification devrait ressortir des priorités de protection selon la sensibilité des données.

Dans trois cas, l’assureur voulait s’assurer si la responsabilité de la gestion des données était-elle confiée à un cadre supérieur (ex : du comité exécutif)

 

AXE 2 : Confidentialité et sécurité réseau

Les questions concernant la politique de confidentialité d’une entreprise, ainsi que les informations et la politique de sécurité du réseau sont courantes.

Dans certains cas, les questionnaires évaluaient la façon dont une politique était mise en œuvre et testée, et si une politique était examinée par le conseiller juridique et approuvée par le conseil d’administration.

Cependant, les questions ne couvraient pas la substance d’une politique particulière mais seulement testaient leur existence et éventuellement le niveau de maturité/respect de ces politiques.

 

AXE 3 : Ressources Humaines et organisation

Le CPO (Chief Privacy Officer) ou le CISO (Chief Information Security Officer), en français ce sera RSSI (Responsable de la sécurité des systèmes d’information) ont pour rôle d’organiser la politique de confidentialité et de sécurité réseau et d’en vérifier l’exécution. Ils peuvent aussi prendre en charge l’exécution de cette politique.

Leurs rôles est essentiel dans la mise en place et dans le suivi de la politique de sécurité. Leur existence, au sein de l’organisation, démontre une certaine maturité et une prise de conscience concrète de l’importance du risque cyber.

Dans la plupart des questionnaires, les rôles de CPO et / ou de CISO étaient explicitement énoncés.

 

AXE 4 : Organisation des politiques et procédures de sécurité

En plus des aspects techniques mis en œuvre pour protéger le système d’information dans son fonctionnement au quotidien, les procédures sur le plan organisationnel décrivent un ensemble de mesures pour maintenir et renforcer la sécurité de l’information.

Nous trouvons dans cette catégorie des questions relatives à l’organisation des tests de pénétration, l’analyse de vulnérabilité …

Nous notons quelques questions significatives :

  • des audits de sécurité et de confidentialité sont-ils menés par des tiers internes ou des entités externes ? Le cas échéant avec quelle fréquence ?
  • quelles sont les mesures mises en place pour assurer la sécurité physique ?
  • y-a-t-il les procédures de sauvegarde des données ? Et comment sont-elles exécutées ?

Nous avons constaté des questions approfondies sur l’éventuelle approbation du PCA et PRI par les dirigeants

Catégories : Article