Visitez notre kiosque à CANSEC les 27-28 mai
Avant d'investir dans des solutions de cybersécurité, encore faut-il savoir où se trouvent réellement vos failles. Ce questionnaire d'analyse des risques propose une démarche méthodique pour cartographier l'état de votre sécurité informatique. Organisé autour de 12 domaines critiques, il permet aux PME d'obtenir un portrait précis de leur exposition aux cybermenaces.
L'exercice commence par les fondements : disposez-vous d'un cadre de gouvernance documenté? Vos politiques de sécurité sont-elles révisées annuellement? Ces questions en apparence administratives révèlent souvent des lacunes majeures. Une politique qui dort dans un tiroir depuis trois ans ne protège personne.
Le questionnaire aborde ensuite les contrôles d'accès avec une précision redoutable. Appliquez-vous le principe des moindres privilèges? Vérifiez-vous périodiquement qui a accès à quoi? La section sur les accès à distance est particulièrement révélatrice à l'ère du télétravail : combien de tentatives de connexion échouées tolère votre système avant de verrouiller un compte? Cette simple question peut exposer une porte d'entrée béante pour les attaquants.
La protection contre l'hameçonnage mérite une attention particulière. Le questionnaire force une réflexion honnête : vos employés ont-ils été sensibilisés au moins une fois depuis mars 2020? Cette date n'est pas anodine. L'explosion du télétravail pendant la pandémie a multiplié les vecteurs d'attaque par hameçonnage. Une formation datant d'avant cette période est essentiellement obsolète.
La section sur les sauvegardes révèle souvent les vérités les plus inconfortables. Avez-vous une copie hors ligne? Faites-vous des tests de restauration? Beaucoup d'organisations découvrent lors d'une attaque par rançongiciel que leurs sauvegardes sont corrompues ou que le processus de restauration n'a jamais été validé. Le questionnaire insiste sur ce point critique : à quelle fréquence testez-vous réellement la récupération de vos données?
Un détail technique particulièrement pertinent concerne la connexion des solutions de sauvegarde. Votre système de sauvegarde est-il directement connecté aux serveurs? Si oui, un rançongiciel qui compromet vos serveurs peut également chiffrer vos sauvegardes. La stratégie de copie hors ligne et hors site devient alors votre seule bouée de sauvetage.
Le questionnaire pousse les organisations à documenter précisément quelles données confidentielles elles détiennent et qui y a accès. Connaissez-vous la liste exacte des personnes ayant accès à vos renseignements personnels? Cette question simple expose souvent une réalité troublante : l'accès aux données sensibles s'est accumulé au fil des ans sans jamais être révisé. Des employés partis depuis longtemps conservent parfois encore des accès actifs.
L'outil propose finalement une réflexion sur les incidents passés. Avez-vous vécu des attaques de virus, des tentatives de piratage, des fuites d'information au cours des 24 derniers mois? Cette section permet de confronter la perception des risques avec la réalité vécue par l'organisation.
