AUTO-VALUATION DE LA

VULNRABILIT INFORMATIQUE
by Partitio
 AUTO-VALUATION DE LA VULNRABILIT INFORMATIQUE
by Partitio

QUELQUES RAPIDES NOTIONS THORIQUES

Avant tout, quest-ce que la scurit informatique ?

Lensemble des mesures qui permettent dimplmenter et dassurer la scurit des systmes
dinformation incluant le systme informatique et les systmes de communication.

Elle vise amliorer la disponibilit, lintgrit et la confidentialit dun actif informatique ou

informationnel.

Disponibilit : le fait que linformation, lapplication, la ressource soit disponible et utilisable au moment
o vous en avez besoin.

Confidentialit : linviolabilit de vos donnes et applications, autrement dit sassurer que personne
dautre que le personnel autoris ny ait accs.

Intgrit : linaltrabilit de vos donnes et applications, autrement dit sassurer quaucune

modification malicieuse ou non ne puisse altrer le sens des informations stockes dans votre systme
informatique.

Le risque en matire de scurit informatique

Notre approche pour dfinir le risque est la suivante :

Risque = Dpendance X Fragilit

Avec :

Dpendance : niveau de dpendance de votre activit un ou plusieurs systmes informatiques (et

par consquent, niveau de gravit potentielle dune attaque).

Fragilit : les facteurs qui augmentent les chances dincident ou dattaque, autrement dit les trous
dans la passoire.

Cet outil va vous aider valuer ces deux facteurs, et donc mesure le niveau de risque ou de
vulnrabilit auquel vous tes expos.

CEST PARTI !
 VALUEZ VOTRE DPENDANCE INFORMATIQUE
by Partitio

BEAUCOUP UN PEU PAS DU TOUT

SITUATIONS 2 points 1 point 0 point

Vous avez besoin dinternet pour vendre, produire et/ou grer

01
lactivit

02 De nombreux processus sont digitaliss dans lentreprise

03 Les processus digitaliss sont critiques pour pouvoir produire

04 Les processus digitaliss sont critiques pour bien produire

Vos partenaires et vos clients attendent des livrables

05
informatiss

Vous disposez dun ERP ou dune solution de facturation

06
informatique

07 Votre gestion du personnel est informatise

08
Vous produisez beaucoup de documentation, et celle-ci
est informatise
Le contexte rglementaire vous contraint lusage de
09
linformatique
Votre budget informatique est important au regard des autres
10
processus support
Votre activit est exclusivement propose en ligne (sur internet)
11
ou sur support informatique

12
Une partie de lactivit des salaris consiste traiter des
demandes mails ou informatises

13 Votre systme de tlphonie utilise la technologie voix sur IP

14 Tous les salaris ont un poste de travail informatique

15 Vous mettez ou avez mis en place une politique zro papier

Vous partagez le travail travers plusieurs sites/agences

16
en utilisant loutil informatique

17 Vous ne pouvez pas vous permettre de perdre des donnes

La perte de donnes, cest pour vous plusieurs mois de travail

18
resaisir
Une panne informatique a un impact sur votre image auprs
19
de vos clients
Pour bien produire, des traitements ont t informatiss
20
et automatiss

Votre activit et les informations que vous traitez sont

21
sensibles/confidentielles

TOTAUX (sommes) (x2) (x1) (x0)

RSULTAT (beaucoup + un peu)
 VALUEZ VOS FRAGILITS INFORMATIQUES (1/2)
by Partitio

CEST CE NEST JE NE NON

SITUATIONS LE CAS PAS LE CAS SAIS PAS APPLICABLE
0 point 1 point 1 point 0 point

01 Les collaborateurs sont sensibiliss a la scurit informatique *

Les collaborateurs ont sign une charte informatique qui

02
rglemente lusage des systmes de lentreprise

Les collaborateurs ne peuvent pas installer dapplications sur

03 leur poste de travail, ils ont besoin de lautorisation technique
dun informaticien (administrateur)
Sils amnent leur propre matriel, il est impossible pour les
04 salaris de le connecter linformatique de lentreprise (cl USB,
smartphone, tablette, PC portable personnel, )

Les salaris ne sont pas nomades et nutilisent jamais les

05 ressources informatiques de lentreprise distance (PC portable,
smartphone, )
La connexion aux outils informatiques de lentreprise ncssite
06 lutilisation dun compte et dun mot de passe individuel et plutt
complexe *
Votre entreprise ne dispose pas de serveurs de donnes et/ou
07
dapplications sur site *
Si non, les serveurs sont installs dans un local ddi, scuris,
08
climatis dont laccs est control
Si vous disposez de serveurs, services ou applications hbergs :
09 les informations et lentreprise qui les hberge sont situes en
France *

Si vous disposez de serveurs, services ou applications hbergs :

10 votre contrat dhbergement stipule clairement les garanties et
les niveaux de services *
Si oui, ceux-ci sont en adquation avec la criticit des services,
11
donnes et applications hbergs *
Les informations prsentes sur vos serveurs sont sauvegardes
12
quotidiennement *
Cette sauvegarde est, en plus, externalise en dehors des locaux
13
de lentreprise *
Vous connaissez le primtre exact des donnes et applications
14
sauvegardes, o cette information est facilement accessible*
Vous avez tabli un plan de reprise informatique en cas de
15
sinistre majeur *
Si cest le cas, vous avez dj test ce plan de reprise pour vous
16
assurer quil fonctionne, et vous le re-testez annuellement
Les donnes des postes de travail des collaborateurs sont
17
sauvegardes

En cas de perte ou de vol dun quipement informatique vous

18 disposez de procdures et doutils pour en verrouiller le contenu
et limiter laccs linformatique de lentreprise

Votre entreprise dispose dun accs internet filtr avec accs

19
restreint certains sites est (facebook, vente-prive, ) *
 VALUEZ VOS FRAGILITS INFORMATIQUES (2/2)
by Partitio

CEST CE NEST JE NE NON

SITUATIONS LE CAS PAS LE CAS SAIS PAS APPLICABLE
0 point 1 point 1 point 0 point

Vous tes accompagn soit en interne par une quipe, soit

20 par un prestataire pour la maintenance et lvolution de votre
informatique *
Vous disposez dune documentation sur votre informatique,
21
jour (schma rseau, ) *
Votre prestataire interne ou externe vous accompagne pour
22
la scurit informatique
Si vous disposez dun rseau wifi pour vos collaborateurs ou
23
vos invits, son accs est protg par un mot de passe fort *

24 Vos emails sont sauvegards *

25 Vous recevez peu/pas de SPAM, courriers indsirables *

Gnralement les solutions informatiques utilises sont
26 profesionnelles, ddies, et font lobjet dun support (contre
exemple : gmail, dropbox, )

27 Un antivirus est install sur lensemble des postes informatiques*

TOTAUX (sommes) (x0) (x1) (x1) (x0)

RSULTAT (Ce nest pas le cas + Je ne sais pas)

COMMENT INTERPRTER LE RSULTAT ?

Si votre score de dpendance est compris entre :

0 et 14 Faible dpendance : en cas de sinistre, des processus humains et papiers peuvent prendre le relais.

15 et 28 Dpendance modre : un sinistre informatique est prjudiciable lactivit court terme.

29 et + Forte dpendance : un sinistre informatique a un effet dltre sur lactivit et la prennit de la socit.

Le niveau de risque sobtient en Dpendance x Fragilit = Risque

multipliant le score de dpendance
et le score de fragilit. x =

NOS RECOMMANDATIONS PAR NIVEAU DE RISQUE

Si votre niveau de risque est compris entre :

Les rgles de bon sens doivent sappliquer, inutile de sortir lartillerie lourde pour corriger un
0 et 200
risque qui nexiste pas, soyez modr dans vos mesures et privilgiez la sensibilisation et la
formation des collaborateurs la scurit informatique.

Slectionnez les prconisations qui auront un impact significatif sur le risque, le danger est
200 et 400
prsent mais mesur : mettez en place une dmarche damlioration et suivez-la rgulirement.

Il est urgent de changer les choses ! Allez la pche aux informations et tablissez un plan de
400 et + bataille pour viter le drame. Travaillez en priorit les fragilits marques avec une * dans notre
grille.