QUESTIONNAIRE D’EVALUATION DES RISQUES POUR

LE SYSTEME D’INFORMATION

Le questionnaire ci-dessous est à compléter impérativement sur le site du CIG.

Voici toutefois une trame du questionnaire.

(Il est impossible de nous retourner la version papier)

QUESTIONNAIRE D’EVALUATION DES RISQUES POUR LE SYSTEME D’INFORMATION

1/2
 Partie I : Informations générales

Quelle est la nature juridique de votre entité ?

(Commune, Intercommunalité, Caisse des écoles,

CCAS, Syndicat, Conseil départemental, Autres.)

Quelle est la Raison sociale de votre entité ?

Quel est le nom du Maire / du Président de votre

entité ?

Quelle est l’adresse de votre entité ?

Quelle est l’identité et la fonction de la personne

en charge du dossier ?

A quel numéro de téléphone pouvons-nous vous

joindre ?
A quelle adresse e-mail pouvons-nous vous
contacter ?

Indiquez la strate de population dans laquelle se ☐ Collectivité jusqu’à 1000 habitants

situe votre collectivité ☐ Collectivité de 1001 à 3500 habitants
☐ Collectivité de 3501 à 10 000 habitants
☐ Collectivité de 10 001 à 20 000 habitants
☐ Collectivité de plus de 20 000 habitants

Quel est le nombre d’agents, titulaires ou non,
dans votre structure ?
☐ 1-50 agent(s) (titulaire(s) ou non)
☐ 51-100 agents (titulaires ou non)
☐ 101-200 agents (titulaires ou non)
☐ 201-300 agents (titulaires ou non)
☐ Plus de 300 agents (titulaires ou non)

QUESTIONNAIRE D’EVALUATION DES RISQUES POUR LE SYSTEME D’INFORMATION

1/2
Les données à caractère personnel que vous détenez concernent quel type de personne ?
☐ Vos administrés
☐ Vos agents
☐ Des administrés d’autres collectivités
☐ Des agents d’autres collectivités
☐ Des prestataires
☐ Autres
Préciser : …………………………………………………………

Quel est le type et la quantité d’informations ☐Numéro de sécurité sociale

dont vous êtes responsable ?
☐Numéro de permis de conduire
☐Numéro de passeport ou de carte d’identité
☐Informations sur les comptes bancaires ou les
cartes bancaires
☐Autres données permettant l’identification
d’une personne :……………………………………………….
………………………………..............................................
…………………………………………………………………………..

Avez-vous une assurance spécifique Cyber-

Risques ? Oui ☐ Non ☐

Si oui, être vous dans le contrat groupe Cyber-

Oui ☐ Non ☐
risques ?

Votre collectivité a-t-elle un service

Oui ☐ Non ☐
informatique ou un informaticien ?

QUESTIONNAIRE D’EVALUATION DES RISQUES POUR LE SYSTEME D’INFORMATION

1/2
 Inventaire général des serveurs et des postes de travail en réseau

Serveurs
Quel est le nombre de serveurs ? ……………………………………………………………………
Quel(s) est / sont le(s) système(s) d’exploitation utilisé(s) ?
…………………………………………

Postes de travail en réseau

Quel est le nombre de postes de travail
fixes ? …………………………………………………………
Quel est le nombre d’ordinateurs portables ? ………………………..
Quel est le système d’exploitation utilisé ?
………………………………………………………
Quelle est l’année de renouvellement du système
d’exploitation ? ………………………………………………………….

Partie II. Cyber Risques et maitrise des conséquences

Politique et organisation de la sécurité des systèmes d’information

La collectivité fait-elle appel à un prestataire extérieur pour son exploitation Oui ☐ Non ☐
informatique ?

La collectivité fait-elle appel à un prestataire extérieur pour sa maintenance Oui ☐ Non ☐

informatique ?

Avez- vous des données hébergées hors de votre collectivité ? Oui ☐ Non ☐

Si oui, quelles sont-elles ?

Oui ☐ Non ☐
- Données bureautiques
Oui ☐ Non ☐
- Logiciels métiers hébergés
Oui ☐ Non ☐
- Sauvegarde externalisée
Oui ☐ Non ☐
- Autres …………………………………………………………………….

Des audits de la Sécurité des Systèmes d’information (SSI) sont-ils Oui ☐ Non ☐
régulièrement menés avec mise en œuvre de recommandations ?

QUESTIONNAIRE D’EVALUATION DES RISQUES POUR LE SYSTEME D’INFORMATION

1/2
L’accès aux données personnelles/sensibles est-il contrôlé et limité aux
personnes autorisées ? Oui ☐ Non ☐
Exemple : un stagiaire a-t-il accès aux données du serveur ?

Obligations légales découlant du RGPD (Règlement Européen sur la Protection des Données)

Avez-vous désigné un délégué à la protection des données personnelles Oui ☐ Non ☐

(DPO) ?

Avez-vous réalisé une analyse d’impact (étude des risques préalables aux Oui ☐ Non ☐
traitements des données personnelles) ?

Mettez-vous régulièrement à jour la documentation et les procédures Oui ☐ Non ☐

internes sous forme de registre, charte ou note d’information ?
Exemple : en cas de violation des données et de notification d’incident aux
autorités ou pour la gestion des réclamations

La collectivité dispose-t-elle des licences pour l’ensemble des logiciels qu’elle Oui ☐ Non ☐
détient ?

Sensibilisez-vous et formez-vous régulièrement vos agents aux enjeux de la Oui☐ Non ☐

protection des données ?

Avez-vous pris les dispositions nécessaires afin de fournir une information Oui ☐ Non ☐
loyale aux administrés, utilisant les portails internet, quant à la gestion de
leurs données ?
Exemples : mentions des obligations légales

Avez-vous pris les dispositions nécessaires afin de garantir aux administrés Oui ☐ Non ☐
l’effectivité de leurs droits d’accès, de rectification, d’opposition, de limitation
à l’effacement ou encore de portabilité de leurs données ?

Sécurité physique

Existe-t-il un local informatique dédié et sécurisé ? Oui ☐ Non ☐

Si oui, le local informatique est-il verrouillé ? Oui ☐ Non ☐

QUESTIONNAIRE D’EVALUATION DES RISQUES POUR LE SYSTEME D’INFORMATION

1/2
 Sécurité logique

Les postes sont-ils protégés par un mot de passe ? Oui ☐ Non ☐

Si oui, les mots de passe sont-ils individualisés ? Oui ☐ Non ☐

Une complexité dans le mot de passe est-elle exigée (Longueur

du mot de passe, historique et composition : Majuscule, Oui ☐ Non ☐
Chiffre, caractères spéciaux …) ?

Les mots de passe sont-ils renouvelés régulièrement ? Oui ☐ Non ☐

Existe-t-il un antivirus installé et mis à jour sur

l’ensemble des ordinateurs et serveurs ? Oui ☐ Non ☐
Si oui, lequel ?
………………………………………………………………………………..
………………………………………………………………………………..

La collectivité dispose-elle d’un firewall ? Oui ☐ Non ☐

Si oui, lequel ?
………………………………………………………………………………..
………………………………………………………………………………..

Est-ce qu’il y a des accès sécurisés au réseau à partir Oui ☐ Non ☐

de zones non sécurisées (exemple : domicile des
employés) ?

Connexion WiFi et messagerie

Avez-vous des réseaux WiFi ? Oui ☐ Non ☐

Avez-vous des accès internet en libre-service ? Oui ☐ Non ☐

Exemple : borne

Est-il possible depuis cet accès libre-service, d’accéder au reste du Service Oui ☐ Non ☐
Informatique ?

Avez-vous mis en place une « charte d’utilisation du réseau WiFi » ? Oui ☐ Non ☐

Les flux internet sont-ils inspectés ? Oui ☐ Non ☐

Exemples : analyse antivirus, filtrage par catégorie de site

QUESTIONNAIRE D’EVALUATION DES RISQUES POUR LE SYSTEME D’INFORMATION

1/2
Avez-vous installé une clé de chiffrement de
niveau élevé (WPA2 minimum) sur votre réseau Oui☐ Non ☐
WiFi ?

Sauvegardes, journalisations1, accès aux données et archivage

Les serveurs sont-ils équipés de dispositifs de sauvegarde ? Oui ☐ Non ☐

Si oui, pour toutes les données ? Oui ☐ Non ☐
Si non, seulement pour les données critiques ? Oui ☐ Non ☐

Des tests de reprise de données sont-ils réalisés ? Oui ☐ Non ☐

Si oui, à quelle fréquence et sur quel type de données ?
……………………………………………………………………………………………………………………………..

Disposez-vous de plusieurs copies de sauvegardes en des lieux séparés ? Oui ☐ Non ☐

Les archives sont-elles sécurisées et chiffrées ? Oui ☐ Non ☐

Si oui, par quels moyens ?
Exemples :
- La sauvegarde informatique externalisée2
- Le système d’archivage sécurisé (SAE)3
……………………………………………………………………………………………………………………………..
……………………………………………………………………………………………………………………………..
…………..…………………………………………………………………………………………………………………
…………………………………………………………………………………………………………………..

Maintenance et interventions techniques

La confidentialité des données est-elle assurée lors d’une opération Oui ☐ Non ☐
de maintenance et/ou d’une intervention technique ?
Si oui, par quels moyens ?
Exemples :
- Enregistrer les interventions dans une main courante
- Encadrer les interventions effectuées par un responsable de l’organisme
………………………………………………………………………………………………………………………
………………………………………………………………………………………………………………………
……………………..……………………………………………………………………………………………

1
Système de journalisation : (c’est-à-dire un enregistrement dans des « fichiers de logs ») des activités des
utilisateurs, des anomalies et des événements liés à la sécurité. Ces journaux doivent conserver les événements
sur une période glissante ne pouvant excéder six mois.
2
La sauvegarde informatique externalisée : il s’agit d’une prestation de stockage sécurisée des informations
assurant la conservation physique des données sur différents sites, dans un environnement sécurisé et
approprié à la conservation des supports choisis
3
SAE : une solution plus globale qui assure aussi bien l’accès, la confidentialité, l’intégrité et la pérennité des
informations avec une valeur probante, c'est-à-dire une conservation de la valeur légale des documents.

QUESTIONNAIRE D’EVALUATION DES RISQUES POUR LE SYSTEME D’INFORMATION

1/2
En cas d’assistance sur un poste de travail, les outils d’administration
à distance sont-ils configurés de manière à recueillir l’accord de
l’utilisateur avant toute intervention sur son poste ? Oui ☐ Non ☐
Si oui, par quels moyens ?
Exemples :
- Configuration en cliquant sur une icône ou
- Configuration en répondant à un message s’affichant sur l’écran de
l’ordinateur
……………………………………………………………………………………………………………………………………………………………
…………………………………………………………………………………………………………………….

Sinistralité

Avez-vous déjà subi des sinistres liés à vos données ?

Oui ☐ Non ☐
Si oui, veuillez renseigner les éléments suivants :
Quelle est la date de survenance du/des sinistre(s) lié(s) à vos données ?
………………………………………………………………………………………………………………………
………
Veuillez décrire l’incident :
………………………………………………………………………………………………………………………
………
……..………………………………………………………………………………………………………………
……….
………………………………………………………………………………………………………………………
………

Ces sinistres ont-ils engagé la responsabilité de la collectivité ? Oui ☐ Non ☐

Si oui, précisez pour quel(s) sinistre(s) ?
………………………………………………………………………………………………………………………
………………………………………………………………………………………………………………………
……………………..………………………………………………………………………………………………
………………………..
………………………………………………………………………………………………………………………
………

Avez-vous pris des mesures de prévention suite au sinistre ? Oui ☐ Non ☐

Si oui, quelles ont été ces mesures ?
………………………………………………………………………………………………………………………
………………………………………………………………………………………………………………………
………………………………………………………………………………………………………………………
………………………………………………………………………………………………………………………
……………………………………..………………………………………………………………………………
………………………………………...……………………………………………………………………………
………………………………………………..……………………………………………………………………

QUESTIONNAIRE D’EVALUATION DES RISQUES POUR LE SYSTEME D’INFORMATION

1/2
Commentaires

………………………………………………………………………………………………………………………
………………………………………………………………………………………………………………………
………………………………………………………………………………………………………………………
………………………………………………………………………………………………………………………
……………………………………..………………………………………………………………………………
………………………………………...……………………………………………………………………………
………………………………………………..……………………………………………………………………
………………………………………………………………………………………………………………………
………………………………………………………………………………………………………………………
………………………………………………………………………………………………………………………
………………………………………………………………………………………..……………………………
…………………………………………………………………………………………...…………………………
………………………………………………………………………………………………….……………………
………………………………………………………………………………………………………………………
………………………………………………………………………………………………………………………
………………………………………………………………………………………………………………………
………………………………………………………………………………………………………………………
…………

QUESTIONNAIRE D’EVALUATION DES RISQUES POUR LE SYSTEME D’INFORMATION

1/2