Auditer la continuité de son Système d'Information
Etes-vous certain de la capacité de continuité de votre Système d'Information ?
Rapporter ces questions dans une feuille de tableur et noter sur 4 niveaux : Oui, Plutôt oui, Plutôt non, Pas du tout
1. Plan de continuité des opérations (PCO)
1. Le PCO est-il documenté et facilement accessible à tous les intervenants ?
2. Le PCO est-il régulièrement mis à jour ? Quelle est la fréquence de ces mises à jour ?
3. Les rôles et responsabilités sont-ils clairement définis dans le PCO ?
4. Des scénarios spécifiques de continuité ont-ils été définis et testés ?
5. Quels sont les plans d'action en cas de défaillance majeure ?
6. Des exercices de simulation de crise sont-ils régulièrement effectués ?
7. Quels sont les mécanismes de communication d’urgence prévus ?
8. Le personnel clé a-t-il reçu une formation sur le PCO ?
9. Le PCO inclut-il des mesures spécifiques pour les systèmes critiques ?
10. Existe-t-il un processus de retour d'expérience post-incident pour améliorer le PCO ?
2. Sécurité des Systèmes d'Information
1. Quelles sont les politiques de sécurité en vigueur et sont-elles régulièrement revues ?
2. Comment les accès aux systèmes critiques sont-ils contrôlés et audités ?
3. Les incidents de sécurité sont-ils systématiquement enregistrés et analysés ?
4. Des tests de pénétration sont-ils régulièrement effectués ?
5. Comment les correctifs de sécurité sont-ils déployés et suivis ?
6. Quels sont les processus de gestion des identités et des accès ?
7. Des audits de sécurité internes et externes sont-ils régulièrement réalisés ?
8. Les réseaux et systèmes sont-ils surveillés en continu pour détecter les menaces ?
9. Les données sensibles sont-elles chiffrées en transit et au repos ?
10. Quels sont les protocoles de réponse aux incidents de sécurité ?
3. Gestion des risques IT
1. Les risques IT ont-ils été identifiés et documentés ?
2. Un registre des risques est-il maintenu et régulièrement mis à jour ?
3. Quelles méthodes d’évaluation des risques sont utilisées ?
4. Des plans de mitigation des risques ont-ils été définis et sont-ils suivis ?
5. Comment les risques liés aux nouveaux projets IT sont-ils évalués ?
6. Des évaluations de risques périodiques sont-elles effectuées ?
7. Les risques résiduels sont-ils acceptés de manière formelle ?
8. Quels sont les processus de suivi et de réévaluation des risques ?
9. Les risques externes (fournisseurs, réglementaires) sont-ils inclus dans l’évaluation ?
10. Les résultats des évaluations de risques sont-ils communiqués à la direction ?
4. Redondance et sauvegarde des données
1. Des sauvegardes régulières sont-elles effectuées pour tous les systèmes critiques ?
2. Les sauvegardes sont-elles stockées dans des emplacements géographiquement distincts ?
3. Des tests de restauration des sauvegardes sont-ils régulièrement effectués ?
4. Quelle est la fréquence des sauvegardes et est-elle suffisante ?
5. Les processus de sauvegarde sont-ils automatisés et surveillés ?
6. Les sauvegardes sont-elles protégées contre les accès non autorisés ?
7. Des copies de sauvegarde hors ligne sont-elles maintenues pour la résilience ?
8. Les délais de restauration des données sont-ils définis et respectés ?
9. Les sauvegardes incluent-elles tous les composants nécessaires à une récupération complète ?
10. Les politiques de rétention des sauvegardes sont-elles définies et respectées ?
5. Gestion des changements et des mises à jour
1. Les changements sont-ils documentés et approuvés avant leur mise en œuvre ?
2. Un processus formel de gestion des changements est-il en place et suivi ?
3. Des analyses d’impact sont-elles réalisées pour chaque changement ?
4. Les mises à jour sont-elles testées avant leur déploiement en production ?
5. Comment les changements urgents sont-ils gérés et approuvés ?
6. Un registre des changements est-il maintenu et régulièrement audité ?
7. Les retours d’expérience des changements précédents sont-ils documentés ?
8. Des indicateurs de performance sont-ils utilisés pour évaluer l’efficacité du processus de gestion des changements ?
9. Les parties prenantes sont-elles informées des changements à venir ?
10. Des plans de retour en arrière sont-ils définis pour chaque changement ?
6. Disponibilité et performance des systèmes
1. Quels sont les indicateurs clés de performance (KPI) pour la disponibilité des systèmes ?
2. Les niveaux de service définis (SLA) sont-ils respectés ?
3. Les systèmes critiques ont-ils des configurations redondantes ?
4. Des tests de charge et de performance sont-ils régulièrement effectués ?
5. Comment la capacité des systèmes est-elle surveillée et gérée ?
6. Des plans de capacité sont-ils en place pour anticiper les besoins futurs ?
7. Les interruptions de service planifiées sont-elles communiquées et gérées de manière efficace ?
8. Des analyses post-incidents sont-elles effectuées pour chaque interruption de service ?
9. Quels sont les protocoles de maintenance préventive des systèmes ?
10. Des audits réguliers de la performance des systèmes sont-ils réalisés ?
7. Formation et sensibilisation du personnel
1. Les employés reçoivent-ils une formation régulière sur les procédures de continuité des opérations ?
2. Des sessions de sensibilisation à la sécurité sont-elles organisées périodiquement ?
3. Les formations incluent-elles des exercices pratiques et des simulations ?
4. Les nouveaux employés reçoivent-ils une formation sur les politiques et procédures de la DSI ?
5. Les compétences du personnel sont-elles évaluées après chaque formation ?
6. Des supports de formation et de sensibilisation sont-ils facilement accessibles ?
7. Les employés sont-ils informés des dernières menaces et des bonnes pratiques de sécurité ?
8. Des tests de phishing ou autres simulations d’attaque sont-ils réalisés pour évaluer la vigilance des employés ?
9. Des retours d’expérience des employés sont-ils collectés et utilisés pour améliorer les formations ?
10. La direction soutient-elle activement les initiatives de formation et de sensibilisation ?
8. Gestion des fournisseurs et des prestataires
1. Les contrats de service incluent-ils des clauses spécifiques de continuité des opérations ?
2. Les SLA avec les fournisseurs sont-ils clairement définis et suivis ?
3. Les fournisseurs ont-ils des plans de continuité des opérations en place et sont-ils audités ?
4. Des évaluations de risques sont-elles réalisées pour chaque fournisseur critique ?
5. Comment les performances des fournisseurs sont-elles surveillées ?
6. Des mécanismes de communication en cas d’incident avec les fournisseurs sont-ils définis ?
7. Les contrats incluent-ils des clauses de sortie en cas de non-conformité ?
8. Les fournisseurs participent-ils aux exercices de continuité des opérations ?
9. Les certifications de sécurité des fournisseurs sont-elles vérifiées et maintenues à jour ?
10. Des plans de mitigation sont-ils en place pour les risques liés aux fournisseurs ?
9. Documentation et procédures opérationnelles
1. Toutes les procédures opérationnelles sont-elles documentées et à jour ?
2. Les documents sont-ils accessibles à tous les employés concernés ?
3. Des revues régulières de la documentation sont-elles réalisées ?
4. Les procédures incluent-elles des plans détaillés pour les situations d’urgence ?
5. Des contrôles de version sont-ils utilisés pour la documentation ?
6. Les procédures sont-elles testées et validées régulièrement ?
7. Les employés reçoivent-ils une formation sur les nouvelles procédures ?
8. Des retours d’expérience sont-ils collectés pour améliorer la documentation ?
9. Les procédures de documentation respectent-elles les normes et les réglementations en vigueur ?
10. Des audits de conformité documentaire sont-ils effectués ?
10. Tests de continuité et d'interruption planifiée
1. Des tests de continuité des opérations sont-ils régulièrement planifiés et réalisés ?
2. Les résultats des tests sont-ils analysés et documentés ?
3. Des exercices de reprise après sinistre sont-ils inclus dans les tests ?
4. Les interruptions planifiées sont-elles correctement communiquées et gérées ?
5. Des scénarios réalistes et variés sont-ils utilisés pour les tests ?
6. Les leçons apprises des tests précédents sont-elles intégrées dans les plans ?
7. Les employés participent-ils activement aux tests de continuité ?
8. Les tests incluent-ils des simulations de panne de fournisseurs critiques ?
9. Les procédures de communication en cas d’incident sont-elles testées ?
10. Des rapports de test sont-ils produits et revus par la direction ?
Le Bundle complet DYNAMAP en PDF à prix préférentiel : Livrables expliqués et manuel de cartographie