EVALUATION Cybersécurité SYSTEME SECURITE INFORMATIQUE

# EVALUATION Cybersécurité SYSTEME SECURITE INFORMATIQUE ## Scénario 1 --- Il a été défini et mis en œuvre un plan de sensibilisation à la sécurité de l'information. Il comprend un ensemble d'actions (par exemple, des chartes de signalisation, des sessions de sensibilisation, des courriels) destinés aux utilisateurs concernés. Par exemple, la sensibilisation à l'égard du phishing est effectuée pour tous les employés, tandis que la sensibilisation à la sécurité au sein du SDLC est uniquement destinée aux équipes de développement. De plus, des séances de sensibilisation spécifiques sont organisées pour les nouvelles recrues. On recueille chaque année des informations sur la sensibilisation à la sécurité de l'information. ## Scénario 2 --- L’entreprise a défini une liste de contrôle des exigences de sécurité de l'information qui est appliquée pour tous les projets liés aux systèmes d'information. Cependant, les critères utilisés pour évaluer les risques sont encore à définir clairement. Crypter les informations d'identification de l'utilisateur, utiliser une méthode d’authentification restreinte et sécurisée, établir des contrôles de sécurités du réseau. Restreindre l’accès au code source, contrôler l’accès au code source en mettant en place un politique d’utilisation, la classification des informations, collecter et conserver toutes informations importantes. ## Scénario 3 --- Préserver son système d’information est un enjeu majeur pour les entreprises. En le préservant, elles garantissent le bon fonctionnement de leurs activités critiques et vitales. Le Plan de Reprise d’Activité (PRA) est une procédure déclenchée en cas de sinistre. Il a pour but d’anticiper et d’atténuer les effets de ce sinistre et d’assurer la reprise des activités de l’entreprise. Sous forme de document, le PRA répertorie étape par étape les procédures à effectuer pour reconstruire le SI et remettre en route les applications nécessaires à l'activité de l'entreprise. En effet, la mise en place du PRA se fait une fois le périmètre identifié, il convient de passer à l'étape de définition de la stratégie de continuité ou de reprise d'activité. Il va clairement répertorier : - Les infrastructures informatiques à mettre en place - Les scénarios de crise possibles pour parer chaque menace potentielle - Les procédures à suivre pour répondre à ces scénarios - Les personnes de la cellule de crise qui jouent un rôle à suivre dans ces procédures et leurs missions Le point primordial à garder en tête, c'est que le PRA n'est pas figé. Il doit impérativement évoluer pour suivre et répondre aux changements de l'entreprise (nouveaux applicatifs, nouvelles mises à jour...). Il est important de procéder à des tests réguliers afin de contrôler chaque étape du plan, et ce, pour tous les scénarios. Ces démarches de tests et contrôles permettront de faire remonter d'éventuels dysfonctionnements qui pourront être corrigés.