Anticiper et se préparer : revenir aux fondamentaux de la cyber

Si son importance se matérialise à l’occasion de crises souvent spectaculaires et aux conséquences parfois lourdes pour les organisations, la cybersécurité est d’abord et avant tout un travail de l’ombre. Un ensemble de pratiques visant à limiter les risques d’une crise majeure et à impliquer les salariés dans ce qui reste une tâche collective. Si les bonnes pratiques passent par une cartographie des risques – permettant de partager au sein de l’organisation les principales conséquences d’une cyberattaque -, puis par la maîtrise de la surface d’attaque, elles doivent aussi intégrer une formation de tous les salariés. Car ces derniers sont les premiers remparts de l’entreprise et seront, quelles que soient les mesures techniques déployées, invariablement confrontés à des tentatives d’attaque. Malgré tous ces efforts, une compromission de tout ou partie du SI ne pouvant être écartée, l’entreprise doit se préparer via des exercices lui permettant d’éprouver ses dispositifs de résilience. En parallèle de notre Grand Théma sur la cybersécurité, CIO a voulu connaître la situation réelle dans les entreprises, en interrogeant les décideurs informatiques sur leurs pratiques.

+50 crédits en participant
à l'étude de la rédaction !

Les crédits vous permettent d'accéder à des contenus premium réservés uniquement aux membres de CIO.
En savoir plus >

Important

Vous devez être connecté à votre compte CIO avant de répondre à l'étude afin de recevoir
les 50 crédits

Anticiper

1

Votre organisation est-elle dotée d’un responsable cybersécurité bien identifié, qu’il soit à plein temps ou à temps partagé ? *
- Oui
- En cours de mise en place
- En cours de réflexion
- J'aimerais bien
- Non
2

Votre organisation a-t-elle établi une cartographie des risques cyber ? *
- Oui
- En cours de mise en place
- En cours de réflexion
- J'aimerais bien
- Non
3

Les risques cyber sont-ils régulièrement mis à jour et partagés largement au sein de l’organisation ? *
- Oui
- En cours de mise en place
- En cours de réflexion
- J'aimerais bien
- Non
4

Les responsables IT et/ou cyber de votre organisation ont-ils mis en place des pratiques visant à réduire votre surface d’attaque ? *
- Oui
- En cours de mise en place
- En cours de réflexion
- J'aimerais bien
- Non
5

Les vulnérabilités IT publiées par les éditeurs de logiciels sont-elles régulièrement patchées sur vos infrastructures en fonction de leur impact estimé ? *
- Oui
- En cours de mise en place
- En cours de réflexion
- J'aimerais bien
- Non
6

Disposez-vous d’une solution unifiée de gestion des identités et des accès, aussi bien pour vos applications cloud que sur site ? *
- Oui
- En cours de mise en place
- En cours de réflexion
- J'aimerais bien
- Non
7

Avez-vous renforcé la sécurisation des accès pour les comptes à privilège (comme les administrateurs) ? *
- Oui
- En cours de mise en place
- En cours de réflexion
- J'aimerais bien
- Non
8

Votre modèle de protection des données est-il aligné sur la sensibilité de celles-ci, donc sur les risques qu’elles embarquent ? *
- Oui
- En cours de mise en place
- En cours de réflexion
- J'aimerais bien
- Non
9

Avez-vous chiffré par défaut tous les flux transitant sur votre réseau ? *
- Oui
- En cours de mise en place
- En cours de réflexion
- J'aimerais bien
- Non
Former / se préparer

10

Une formation aux bonnes pratiques de la cyber est-elle régulièrement dispensée à tous vos employés ? *
- Oui
- En cours de mise en place
- En cours de réflexion
- J'aimerais bien
- Non
11

Testez-vous régulièrement les réactions de vos salariés via des exercices (faux phishing, tentatives de fraude au président) ? *
- Oui
- En cours de mise en place
- En cours de réflexion
- J'aimerais bien
- Non
12

Votre organisation a-t-elle mis en place des exercices réguliers permettant de simuler la réaction aux crises cyber ? *
- Oui
- En cours de mise en place
- En cours de réflexion
- J'aimerais bien
- Non
13

Les dirigeants non-informaticiens de votre organisation sont-ils impliqués dans des exercices de préparation de crise cyber ? *
- Oui
- En cours de mise en place
- En cours de réflexion
- J'aimerais bien
- Non

+50
crédits

*Question obligatoire

Anticiper

Votre organisation est-elle dotée d’un responsable cybersécurité bien identifié, qu’il soit à plein temps ou à temps partagé ? *

Votre organisation a-t-elle établi une cartographie des risques cyber ? *

Les risques cyber sont-ils régulièrement mis à jour et partagés largement au sein de l’organisation ? *

Les responsables IT et/ou cyber de votre organisation ont-ils mis en place des pratiques visant à réduire votre surface d’attaque ? *

Les vulnérabilités IT publiées par les éditeurs de logiciels sont-elles régulièrement patchées sur vos infrastructures en fonction de leur impact estimé ? *

Disposez-vous d’une solution unifiée de gestion des identités et des accès, aussi bien pour vos applications cloud que sur site ? *

Avez-vous renforcé la sécurisation des accès pour les comptes à privilège (comme les administrateurs) ? *

Votre modèle de protection des données est-il aligné sur la sensibilité de celles-ci, donc sur les risques qu’elles embarquent ? *

Avez-vous chiffré par défaut tous les flux transitant sur votre réseau ? *

Former / se préparer

Une formation aux bonnes pratiques de la cyber est-elle régulièrement dispensée à tous vos employés ? *

Testez-vous régulièrement les réactions de vos salariés via des exercices (faux phishing, tentatives de fraude au président) ? *

Votre organisation a-t-elle mis en place des exercices réguliers permettant de simuler la réaction aux crises cyber ? *

Les dirigeants non-informaticiens de votre organisation sont-ils impliqués dans des exercices de préparation de crise cyber ? *

Abonnez-vous à la newsletter CIO