Date: Sep 26, 2021, 8:31:33 PM
Date: Sep 27, 2021, 12:33:56 PM
Name: ANSSI-LU - KPI et Recommandations
Name: ANSSI-LU - KPI et Recommandations
Description: ANSSI-LU - KPI et Recommandations
Description: ANSSI-LU - KPI et Recommandations
f | 1 | { | f | 1 | { |
2 | "authors": [ | 2 | "authors": [ | ||
3 | "Léon TREFF" | 3 | "Léon TREFF" | ||
4 | ], | 4 | ], | ||
5 | "label": "ANSSI-LU - KPI et Recommandations", | 5 | "label": "ANSSI-LU - KPI et Recommandations", | ||
6 | "language": "FR", | 6 | "language": "FR", | ||
7 | "refs": [ | 7 | "refs": [ | ||
8 | "" | 8 | "" | ||
9 | ], | 9 | ], | ||
10 | "uuid": "e1fa5a46-c673-4286-b933-2cede3450d6b", | 10 | "uuid": "e1fa5a46-c673-4286-b933-2cede3450d6b", | ||
11 | "values": [ | 11 | "values": [ | ||
12 | { | 12 | { | ||
13 | "code": "KPI-A26 - Efficacité du cours de sensibilisation lié à la sécurité de l'information", | 13 | "code": "KPI-A26 - Efficacité du cours de sensibilisation lié à la sécurité de l'information", | ||
14 | "description": "Communiquer à l'entité l'importance d'atteindre les objectifs en matière de sécurité de l'information - Mesuré par des examens périodiques", | 14 | "description": "Communiquer à l'entité l'importance d'atteindre les objectifs en matière de sécurité de l'information - Mesuré par des examens périodiques", | ||
n | 15 | "importance": 2, | n | 15 | "importance": 0, |
16 | "uuid": "00faf1ff-9b20-4f24-b23f-cbb76f0678ef" | 16 | "uuid": "00faf1ff-9b20-4f24-b23f-cbb76f0678ef" | ||
17 | }, | 17 | }, | ||
18 | { | 18 | { | ||
19 | "code": "KPI-A32 - Nombre de comptes d'utilisateurs ayant accès au ressources d'information non-liées au rôle", | 19 | "code": "KPI-A32 - Nombre de comptes d'utilisateurs ayant accès au ressources d'information non-liées au rôle", | ||
20 | "description": "S'assurer que les systèmes d'information sont protégés par le principe du moindre privilège - Mesuré par des échantillonnages périodiques", | 20 | "description": "S'assurer que les systèmes d'information sont protégés par le principe du moindre privilège - Mesuré par des échantillonnages périodiques", | ||
n | 21 | "importance": 2, | n | 21 | "importance": 0, |
22 | "uuid": "0370a596-e6bd-4862-a9d4-0b32838acb60" | 22 | "uuid": "0370a596-e6bd-4862-a9d4-0b32838acb60" | ||
23 | }, | 23 | }, | ||
24 | { | 24 | { | ||
25 | "code": "RR-A08 - Implémentation d'un SDLC", | 25 | "code": "RR-A08 - Implémentation d'un SDLC", | ||
26 | "description": "Implémentation des bonnes pratiques de développement de logiciels (SDLC = Software Development Life CYcle)", | 26 | "description": "Implémentation des bonnes pratiques de développement de logiciels (SDLC = Software Development Life CYcle)", | ||
n | 27 | "importance": 2, | n | 27 | "importance": 0, |
28 | "uuid": "0d2c0158-b257-49ef-9bce-d57ae706d2e2" | 28 | "uuid": "0d2c0158-b257-49ef-9bce-d57ae706d2e2" | ||
29 | }, | 29 | }, | ||
30 | { | 30 | { | ||
31 | "code": "KPI-A18 - Couverture des patches et latence", | 31 | "code": "KPI-A18 - Couverture des patches et latence", | ||
32 | "description": "Identifier le nombre de jours pendant lesquels les systèmes sont laissés vulnérables et donc la possibilité d'exploiter les vulnérabilités des systèmes d'information", | 32 | "description": "Identifier le nombre de jours pendant lesquels les systèmes sont laissés vulnérables et donc la possibilité d'exploiter les vulnérabilités des systèmes d'information", | ||
n | 33 | "importance": 2, | n | 33 | "importance": 0, |
34 | "uuid": "0f8985e5-2d51-4479-8075-e6330be2e67f" | 34 | "uuid": "0f8985e5-2d51-4479-8075-e6330be2e67f" | ||
35 | }, | 35 | }, | ||
36 | { | 36 | { | ||
37 | "code": "KPI-A02 - Nombre de visites accompagnées des externes et fournisseurs, selon les besoins", | 37 | "code": "KPI-A02 - Nombre de visites accompagnées des externes et fournisseurs, selon les besoins", | ||
38 | "description": "S’assurer que les externes et fournisseurs sont accompagnés là où c'est nécessaire - Mesuré par des échantillonnages périodiques", | 38 | "description": "S’assurer que les externes et fournisseurs sont accompagnés là où c'est nécessaire - Mesuré par des échantillonnages périodiques", | ||
n | 39 | "importance": 2, | n | 39 | "importance": 0, |
40 | "uuid": "119fd0de-c062-4ac4-ae89-aaf193a03c7f" | 40 | "uuid": "119fd0de-c062-4ac4-ae89-aaf193a03c7f" | ||
41 | }, | 41 | }, | ||
42 | { | 42 | { | ||
43 | "code": "RR-A15 - Absence de protection d'informations secrètes d'authentification", | 43 | "code": "RR-A15 - Absence de protection d'informations secrètes d'authentification", | ||
44 | "description": "Implémentation de politques/procédures/outils pour garantir la protection d'informations secrètes d'authentification", | 44 | "description": "Implémentation de politques/procédures/outils pour garantir la protection d'informations secrètes d'authentification", | ||
n | 45 | "importance": 2, | n | 45 | "importance": 0, |
46 | "uuid": "15742beb-5f48-4ff0-95ff-247670b8fcde" | 46 | "uuid": "15742beb-5f48-4ff0-95ff-247670b8fcde" | ||
47 | }, | 47 | }, | ||
48 | { | 48 | { | ||
49 | "code": "KPI-A09 - Revue des accords de service avec les tiers", | 49 | "code": "KPI-A09 - Revue des accords de service avec les tiers", | ||
50 | "description": "S'assurer que les contrats de maintenance sont toujours à jour - Revue annuelle ou en cas de changement du contrat", | 50 | "description": "S'assurer que les contrats de maintenance sont toujours à jour - Revue annuelle ou en cas de changement du contrat", | ||
n | 51 | "importance": 2, | n | 51 | "importance": 0, |
52 | "uuid": "1ac6f84e-cf77-4ef5-9011-9f51b34f3424" | 52 | "uuid": "1ac6f84e-cf77-4ef5-9011-9f51b34f3424" | ||
53 | }, | 53 | }, | ||
54 | { | 54 | { | ||
55 | "code": "KPI-A19 - Nombre de matériel non protégé par un antivirus / Nombre total de matériel", | 55 | "code": "KPI-A19 - Nombre de matériel non protégé par un antivirus / Nombre total de matériel", | ||
56 | "description": "S'assurer que le parc complet est bien protégé par un anti-virus - Mesuré en nombre de matériel non protégé par un antivirus / Nombre total de matériel", | 56 | "description": "S'assurer que le parc complet est bien protégé par un anti-virus - Mesuré en nombre de matériel non protégé par un antivirus / Nombre total de matériel", | ||
n | 57 | "importance": 2, | n | 57 | "importance": 0, |
58 | "uuid": "1fd3ae36-6c0f-4a0e-ad42-a7cd0ba7ce59" | 58 | "uuid": "1fd3ae36-6c0f-4a0e-ad42-a7cd0ba7ce59" | ||
59 | }, | 59 | }, | ||
60 | { | 60 | { | ||
61 | "code": "KPI-A27 - Couverture des formations sur les matériels ou logiciels utilisés", | 61 | "code": "KPI-A27 - Couverture des formations sur les matériels ou logiciels utilisés", | ||
62 | "description": "Contrôler que les formations couvrent tous matériels et logiciels - Mesuré periodiquement", | 62 | "description": "Contrôler que les formations couvrent tous matériels et logiciels - Mesuré periodiquement", | ||
n | 63 | "importance": 2, | n | 63 | "importance": 0, |
64 | "uuid": "20c003e1-cf88-4191-a9da-60b4271b6b9c" | 64 | "uuid": "20c003e1-cf88-4191-a9da-60b4271b6b9c" | ||
65 | }, | 65 | }, | ||
66 | { | 66 | { | ||
67 | "code": "KPI-A15 - Revues régulières des droits d'accès", | 67 | "code": "KPI-A15 - Revues régulières des droits d'accès", | ||
68 | "description": "S'assurer que seulement les personnes ayant les permissions correctes ont accès à l'information à laquelle elles ont droit - Mesuré par des échantillonnages périodiques", | 68 | "description": "S'assurer que seulement les personnes ayant les permissions correctes ont accès à l'information à laquelle elles ont droit - Mesuré par des échantillonnages périodiques", | ||
n | 69 | "importance": 2, | n | 69 | "importance": 0, |
70 | "uuid": "25e779b8-1b3d-4974-9fc3-01f950ee6552" | 70 | "uuid": "25e779b8-1b3d-4974-9fc3-01f950ee6552" | ||
71 | }, | 71 | }, | ||
72 | { | 72 | { | ||
73 | "code": "KPI-A13 - Efficacité de la procédure du contrôle d'accès", | 73 | "code": "KPI-A13 - Efficacité de la procédure du contrôle d'accès", | ||
74 | "description": "S'assurer que les bons accès sont attribués et adaptés dans les plus brefs délais en cas de changement de service/sortie - Mesuré périodiquement contre la procédure du contrôle d'accès", | 74 | "description": "S'assurer que les bons accès sont attribués et adaptés dans les plus brefs délais en cas de changement de service/sortie - Mesuré périodiquement contre la procédure du contrôle d'accès", | ||
n | 75 | "importance": 2, | n | 75 | "importance": 0, |
76 | "uuid": "2841e1ee-fa14-4538-8eb4-3c1bfb97a294" | 76 | "uuid": "2841e1ee-fa14-4538-8eb4-3c1bfb97a294" | ||
77 | }, | 77 | }, | ||
78 | { | 78 | { | ||
79 | "code": "RR-A09 - Pentest des moyens de communications", | 79 | "code": "RR-A09 - Pentest des moyens de communications", | ||
80 | "description": "Tester la possibilité d'écoute passive des moyens de communications", | 80 | "description": "Tester la possibilité d'écoute passive des moyens de communications", | ||
n | 81 | "importance": 2, | n | 81 | "importance": 0, |
82 | "uuid": "2bac0fb6-3a26-42eb-80d8-f479475f2786" | 82 | "uuid": "2bac0fb6-3a26-42eb-80d8-f479475f2786" | ||
83 | }, | 83 | }, | ||
84 | { | 84 | { | ||
85 | "code": "RR-A01 Implémentation d'une classification des actifs", | 85 | "code": "RR-A01 Implémentation d'une classification des actifs", | ||
86 | "description": "Implémenter une classification des actifs - Utiliser documents ENR_8-1_Outil_Inventaire_Sources_Actifs et ENR_8-2_Outil_Classification_Inventaire_Actifs", | 86 | "description": "Implémenter une classification des actifs - Utiliser documents ENR_8-1_Outil_Inventaire_Sources_Actifs et ENR_8-2_Outil_Classification_Inventaire_Actifs", | ||
n | 87 | "importance": 2, | n | 87 | "importance": 0, |
88 | "uuid": "50843dd7-b54d-4e04-aa1d-4e626808cc7e" | 88 | "uuid": "50843dd7-b54d-4e04-aa1d-4e626808cc7e" | ||
89 | }, | 89 | }, | ||
90 | { | 90 | { | ||
91 | "code": "KPI-A10 - Nombre de personnel stratégique qui ont un suppléant", | 91 | "code": "KPI-A10 - Nombre de personnel stratégique qui ont un suppléant", | ||
92 | "description": "S'assurer que le personnel stratégique a un (des) suppléant(s) pour assurer la continuité des services sous sa responsabilité - Mesuré en ratio du personnel stratégique avec et sans suppléant", | 92 | "description": "S'assurer que le personnel stratégique a un (des) suppléant(s) pour assurer la continuité des services sous sa responsabilité - Mesuré en ratio du personnel stratégique avec et sans suppléant", | ||
n | 93 | "importance": 2, | n | 93 | "importance": 0, |
94 | "uuid": "510c2894-3fbf-402f-9e3d-c0339fca8358" | 94 | "uuid": "510c2894-3fbf-402f-9e3d-c0339fca8358" | ||
95 | }, | 95 | }, | ||
96 | { | 96 | { | ||
97 | "code": "RR-A05 - Effectuer Pentests", | 97 | "code": "RR-A05 - Effectuer Pentests", | ||
98 | "description": "Effecteuer des tests d'intrusion dans les systèmes pour évaluer les droits des utilisateurs et contournements", | 98 | "description": "Effecteuer des tests d'intrusion dans les systèmes pour évaluer les droits des utilisateurs et contournements", | ||
n | 99 | "importance": 2, | n | 99 | "importance": 0, |
100 | "uuid": "57d2c798-b7e4-41d6-a27a-46a6073e7e22" | 100 | "uuid": "57d2c798-b7e4-41d6-a27a-46a6073e7e22" | ||
101 | }, | 101 | }, | ||
102 | { | 102 | { | ||
103 | "code": "KPI-A01 - Nombre d’équipements disparus, détruits ou volés", | 103 | "code": "KPI-A01 - Nombre d’équipements disparus, détruits ou volés", | ||
104 | "description": "Par des externes - Mesuré périodiquement", | 104 | "description": "Par des externes - Mesuré périodiquement", | ||
n | 105 | "importance": 2, | n | 105 | "importance": 0, |
106 | "uuid": "5d93b3c0-5ca1-43de-8083-143df5c3ecd9" | 106 | "uuid": "5d93b3c0-5ca1-43de-8083-143df5c3ecd9" | ||
107 | }, | 107 | }, | ||
108 | { | 108 | { | ||
109 | "code": "RR-A02 - Implémentation d'une gestion de dimensionnement (Capacity Management)", | 109 | "code": "RR-A02 - Implémentation d'une gestion de dimensionnement (Capacity Management)", | ||
110 | "description": "Implémentation d'une gestion de dimensionnement (Capacity Management)", | 110 | "description": "Implémentation d'une gestion de dimensionnement (Capacity Management)", | ||
n | 111 | "importance": 2, | n | 111 | "importance": 0, |
112 | "uuid": "5f39ba19-e231-4dac-a1bc-d4e7f5b8363e" | 112 | "uuid": "5f39ba19-e231-4dac-a1bc-d4e7f5b8363e" | ||
113 | }, | 113 | }, | ||
114 | { | 114 | { | ||
115 | "code": "KPI-A06 - Efficacité de la charte de bonne conduite", | 115 | "code": "KPI-A06 - Efficacité de la charte de bonne conduite", | ||
116 | "description": "S'assurer que la charte de bonne conduite est connue par le personnel - Mesuré par le nombre de destinataires ayant reçu la charte de bonne conduite. Rappeler chaque année la charte de bonne conduite aux agents.", | 116 | "description": "S'assurer que la charte de bonne conduite est connue par le personnel - Mesuré par le nombre de destinataires ayant reçu la charte de bonne conduite. Rappeler chaque année la charte de bonne conduite aux agents.", | ||
n | 117 | "importance": 2, | n | 117 | "importance": 0, |
118 | "uuid": "6f292235-53b5-4c1a-9083-319b97fc5e71" | 118 | "uuid": "6f292235-53b5-4c1a-9083-319b97fc5e71" | ||
119 | }, | 119 | }, | ||
120 | { | 120 | { | ||
121 | "code": "KPI-A30 - Qualité de gestion du niveau de service", | 121 | "code": "KPI-A30 - Qualité de gestion du niveau de service", | ||
122 | "description": "S'assurer de la qualité du service - Mesuré en nombre de dysfonctionnements/pannes par an", | 122 | "description": "S'assurer de la qualité du service - Mesuré en nombre de dysfonctionnements/pannes par an", | ||
n | 123 | "importance": 2, | n | 123 | "importance": 0, |
124 | "uuid": "7329bc6f-8f87-47e1-8fa5-44fd6d34822e" | 124 | "uuid": "7329bc6f-8f87-47e1-8fa5-44fd6d34822e" | ||
125 | }, | 125 | }, | ||
126 | { | 126 | { | ||
127 | "code": "KPI-A24 - Nombre de matériel mobile entrant à/sortant de l'entité", | 127 | "code": "KPI-A24 - Nombre de matériel mobile entrant à/sortant de l'entité", | ||
128 | "description": "S'assurer que le matériel mobile entrant à/sortant de l'entité est connu et correct à tout temps - Mesuré par des échantillonnages périodiques", | 128 | "description": "S'assurer que le matériel mobile entrant à/sortant de l'entité est connu et correct à tout temps - Mesuré par des échantillonnages périodiques", | ||
n | 129 | "importance": 2, | n | 129 | "importance": 0, |
130 | "uuid": "7a191a23-6b75-4ecb-be9a-cea4d4736d1e" | 130 | "uuid": "7a191a23-6b75-4ecb-be9a-cea4d4736d1e" | ||
131 | }, | 131 | }, | ||
132 | { | 132 | { | ||
133 | "code": "KPI-A23 - Nombre de matériel mobile chiffré", | 133 | "code": "KPI-A23 - Nombre de matériel mobile chiffré", | ||
134 | "description": "S'assurer que le matériel mobile traitant de l'information sensible est chiffré - Mesuré par des échantillonnages périodiques", | 134 | "description": "S'assurer que le matériel mobile traitant de l'information sensible est chiffré - Mesuré par des échantillonnages périodiques", | ||
n | 135 | "importance": 2, | n | 135 | "importance": 0, |
136 | "uuid": "7b5ed417-850a-45df-a9b4-fcee0f8ff71d" | 136 | "uuid": "7b5ed417-850a-45df-a9b4-fcee0f8ff71d" | ||
137 | }, | 137 | }, | ||
138 | { | 138 | { | ||
139 | "code": "KPI-A28 - Nombre d'erreurs d'utilisation en général", | 139 | "code": "KPI-A28 - Nombre d'erreurs d'utilisation en général", | ||
140 | "description": "Mesurer le nombre de tickets générés à cause d'erreurs d'utilisation liées à l'absence de documentation, règles ou procédures", | 140 | "description": "Mesurer le nombre de tickets générés à cause d'erreurs d'utilisation liées à l'absence de documentation, règles ou procédures", | ||
n | 141 | "importance": 2, | n | 141 | "importance": 0, |
142 | "uuid": "81c05eaf-fc19-4ec3-b5d2-6a6268490cb5" | 142 | "uuid": "81c05eaf-fc19-4ec3-b5d2-6a6268490cb5" | ||
143 | }, | 143 | }, | ||
144 | { | 144 | { | ||
145 | "code": "KPI-A22 - Adhérence aux SLA's par le fournisseur", | 145 | "code": "KPI-A22 - Adhérence aux SLA's par le fournisseur", | ||
146 | "description": "S'assurer que les contrats sont bien suivis/adaptés aux besoins de l'entité - Mesuré en suivant toutes les interventions par un fournisseur", | 146 | "description": "S'assurer que les contrats sont bien suivis/adaptés aux besoins de l'entité - Mesuré en suivant toutes les interventions par un fournisseur", | ||
n | 147 | "importance": 2, | n | 147 | "importance": 0, |
148 | "uuid": "84fd0d9b-24d1-4275-9545-a1e0c653a3aa" | 148 | "uuid": "84fd0d9b-24d1-4275-9545-a1e0c653a3aa" | ||
149 | }, | 149 | }, | ||
150 | { | 150 | { | ||
151 | "code": "KPI-A25 - Temps d'adaptation des permissions", | 151 | "code": "KPI-A25 - Temps d'adaptation des permissions", | ||
152 | "description": "S'assurer que les procédures d'embauche et de changement de service sont effectifs (permissions) - Mesuré en temps écoulé entre demande et implémentation", | 152 | "description": "S'assurer que les procédures d'embauche et de changement de service sont effectifs (permissions) - Mesuré en temps écoulé entre demande et implémentation", | ||
n | 153 | "importance": 2, | n | 153 | "importance": 0, |
154 | "uuid": "8af4cf63-898b-4e6a-89a7-85370b9f7bef" | 154 | "uuid": "8af4cf63-898b-4e6a-89a7-85370b9f7bef" | ||
155 | }, | 155 | }, | ||
156 | { | 156 | { | ||
157 | "code": "KPI-A04 - Nombre d’équipements disparus, détruits ou volés", | 157 | "code": "KPI-A04 - Nombre d’équipements disparus, détruits ou volés", | ||
158 | "description": "Par des internes - Mesuré périodiquement", | 158 | "description": "Par des internes - Mesuré périodiquement", | ||
n | 159 | "importance": 2, | n | 159 | "importance": 0, |
160 | "uuid": "8b973a45-11d7-424a-a502-b114fbd30558" | 160 | "uuid": "8b973a45-11d7-424a-a502-b114fbd30558" | ||
161 | }, | 161 | }, | ||
162 | { | 162 | { | ||
163 | "code": "RR-A07 - Pentest développement", | 163 | "code": "RR-A07 - Pentest développement", | ||
164 | "description": "Effectuer des revues de code et des tests d'intrusion", | 164 | "description": "Effectuer des revues de code et des tests d'intrusion", | ||
n | 165 | "importance": 2, | n | 165 | "importance": 0, |
166 | "uuid": "930b6b9a-d30f-43ff-8f6d-11c9cad6a0ea" | 166 | "uuid": "930b6b9a-d30f-43ff-8f6d-11c9cad6a0ea" | ||
167 | }, | 167 | }, | ||
168 | { | 168 | { | ||
169 | "code": "RR-A10 - Cloisonner les environnements de développement, de test et de production", | 169 | "code": "RR-A10 - Cloisonner les environnements de développement, de test et de production", | ||
170 | "description": "Diminuer le risque d'erreurs (I) et de divulgation d'information (C)", | 170 | "description": "Diminuer le risque d'erreurs (I) et de divulgation d'information (C)", | ||
n | 171 | "importance": 3, | n | 171 | "importance": 0, |
172 | "uuid": "957e3193-5261-47ea-aad0-c61093e3b9fa" | 172 | "uuid": "957e3193-5261-47ea-aad0-c61093e3b9fa" | ||
173 | }, | 173 | }, | ||
174 | { | 174 | { | ||
175 | "code": "KPI-A20 - Procédures liées au traitement des systèmes d'information", | 175 | "code": "KPI-A20 - Procédures liées au traitement des systèmes d'information", | ||
176 | "description": "S'assurer du fonctionnement correct et sécurisé des installations de traitement de l'information - Mesuré entre le nombre de processus et le nombre de procédures", | 176 | "description": "S'assurer du fonctionnement correct et sécurisé des installations de traitement de l'information - Mesuré entre le nombre de processus et le nombre de procédures", | ||
n | 177 | "importance": 2, | n | 177 | "importance": 0, |
178 | "uuid": "99bc0901-baa8-485a-b722-08bb2540d2b1" | 178 | "uuid": "99bc0901-baa8-485a-b722-08bb2540d2b1" | ||
179 | }, | 179 | }, | ||
180 | { | 180 | { | ||
181 | "code": "RR-A18 - Minimaliser la possibilité d'administrer le système à distance", | 181 | "code": "RR-A18 - Minimaliser la possibilité d'administrer le système à distance", | ||
182 | "description": "Analyser les systèmes ayant la possibilité d’être administrés à distance - Retirer cette possibilité ou, en cas de nécessité, produire, revoir et suivre de près l'application des procédures", | 182 | "description": "Analyser les systèmes ayant la possibilité d’être administrés à distance - Retirer cette possibilité ou, en cas de nécessité, produire, revoir et suivre de près l'application des procédures", | ||
n | 183 | "importance": 3, | n | 183 | "importance": 0, |
184 | "uuid": "a18ded3f-c4af-4c48-a8bc-e8b576da4344" | 184 | "uuid": "a18ded3f-c4af-4c48-a8bc-e8b576da4344" | ||
185 | }, | 185 | }, | ||
186 | { | 186 | { | ||
187 | "code": "KPI-A12 - Taux de réalisation des revues d'habilitations", | 187 | "code": "KPI-A12 - Taux de réalisation des revues d'habilitations", | ||
188 | "description": "S'assurer que les revues des accès se font comme planifiées - Mesuré en nombre de revues d’habilitations réalisées/ Nombre de revues d’habilitations planifiées", | 188 | "description": "S'assurer que les revues des accès se font comme planifiées - Mesuré en nombre de revues d’habilitations réalisées/ Nombre de revues d’habilitations planifiées", | ||
n | 189 | "importance": 2, | n | 189 | "importance": 0, |
190 | "uuid": "a341c0d0-6f80-4e41-b8fa-339b45850a6a" | 190 | "uuid": "a341c0d0-6f80-4e41-b8fa-339b45850a6a" | ||
191 | }, | 191 | }, | ||
192 | { | 192 | { | ||
193 | "code": "RR-A06 - Implémentation d'une gestion de backups", | 193 | "code": "RR-A06 - Implémentation d'une gestion de backups", | ||
194 | "description": "Implémenter des bonnes pratiques de stockage des sauvegardes", | 194 | "description": "Implémenter des bonnes pratiques de stockage des sauvegardes", | ||
n | 195 | "importance": 2, | n | 195 | "importance": 0, |
196 | "uuid": "a512ebca-5daf-4a4e-ac8f-d26d2cec04fd" | 196 | "uuid": "a512ebca-5daf-4a4e-ac8f-d26d2cec04fd" | ||
197 | }, | 197 | }, | ||
198 | { | 198 | { | ||
199 | "code": "KPI-A29 - Suivi du progrès de continuité (BCM)", | 199 | "code": "KPI-A29 - Suivi du progrès de continuité (BCM)", | ||
200 | "description": "Existence, tests et revue du plan de reprise", | 200 | "description": "Existence, tests et revue du plan de reprise", | ||
n | 201 | "importance": 3, | n | 201 | "importance": 0, |
202 | "uuid": "ab7535d6-068b-4f9b-bce5-dc5b1fa2e072" | 202 | "uuid": "ab7535d6-068b-4f9b-bce5-dc5b1fa2e072" | ||
203 | }, | 203 | }, | ||
204 | { | 204 | { | ||
205 | "code": "KPI-A21 - Efficacité de la procédure de mise au rebut", | 205 | "code": "KPI-A21 - Efficacité de la procédure de mise au rebut", | ||
206 | "description": "S'assurer que les systèmes et supports d'information n'ont plus de données résiduelles présentes - Mesuré periodiquement", | 206 | "description": "S'assurer que les systèmes et supports d'information n'ont plus de données résiduelles présentes - Mesuré periodiquement", | ||
n | 207 | "importance": 2, | n | 207 | "importance": 0, |
208 | "uuid": "afc62888-4f29-4215-b668-5cc1de8b9f02" | 208 | "uuid": "afc62888-4f29-4215-b668-5cc1de8b9f02" | ||
209 | }, | 209 | }, | ||
210 | { | 210 | { | ||
211 | "code": "KPI-A08 - Ergonomie des logiciels d'accès", | 211 | "code": "KPI-A08 - Ergonomie des logiciels d'accès", | ||
212 | "description": "S'assurer de la facilité d'utilisation des logiciels d'accès - Mesuré par le nombre de tickets générés à cause d'erreurs d'utilisation des logiciels d'accès", | 212 | "description": "S'assurer de la facilité d'utilisation des logiciels d'accès - Mesuré par le nombre de tickets générés à cause d'erreurs d'utilisation des logiciels d'accès", | ||
n | 213 | "importance": 2, | n | 213 | "importance": 0, |
214 | "uuid": "b6028245-2dc3-431d-b710-722911e1d839" | 214 | "uuid": "b6028245-2dc3-431d-b710-722911e1d839" | ||
215 | }, | 215 | }, | ||
216 | { | 216 | { | ||
217 | "code": "RR-A14 - Adoption/Création d'une charte de bonne conduite", | 217 | "code": "RR-A14 - Adoption/Création d'une charte de bonne conduite", | ||
218 | "description": "Instaurer une culture autour de la sécurité de l'information", | 218 | "description": "Instaurer une culture autour de la sécurité de l'information", | ||
n | 219 | "importance": 2, | n | 219 | "importance": 0, |
220 | "uuid": "c1db8f23-d3e6-428f-a5df-67b7514af5d4" | 220 | "uuid": "c1db8f23-d3e6-428f-a5df-67b7514af5d4" | ||
221 | }, | 221 | }, | ||
222 | { | 222 | { | ||
223 | "code": "KPI-A17 - Qualité de gestion du niveau de service", | 223 | "code": "KPI-A17 - Qualité de gestion du niveau de service", | ||
224 | "description": "S'assurer de la qualité du niveau de service - Mesuré en nombre de dysfonctionnements/pannes par an", | 224 | "description": "S'assurer de la qualité du niveau de service - Mesuré en nombre de dysfonctionnements/pannes par an", | ||
n | 225 | "importance": 2, | n | 225 | "importance": 0, |
226 | "uuid": "c4822528-8211-4959-ade2-ebb5458ff8fd" | 226 | "uuid": "c4822528-8211-4959-ade2-ebb5458ff8fd" | ||
227 | }, | 227 | }, | ||
228 | { | 228 | { | ||
229 | "code": "RR-A17 - Effectuer une étude de continuité (BCM)", | 229 | "code": "RR-A17 - Effectuer une étude de continuité (BCM)", | ||
230 | "description": "Effectuer une étude BCM (Business Continuity Management) pour analyser les écarts et besoins en continuité des services", | 230 | "description": "Effectuer une étude BCM (Business Continuity Management) pour analyser les écarts et besoins en continuité des services", | ||
n | 231 | "importance": 3, | n | 231 | "importance": 0, |
232 | "uuid": "c631a084-db8e-4356-a4cd-de7ff06b0856" | 232 | "uuid": "c631a084-db8e-4356-a4cd-de7ff06b0856" | ||
233 | }, | 233 | }, | ||
234 | { | 234 | { | ||
235 | "code": "KPI-A05 - Nombre de NDA’s signés dans le délai prévu", | 235 | "code": "KPI-A05 - Nombre de NDA’s signés dans le délai prévu", | ||
236 | "description": "S’assurer que les externes et fournisseurs sont au courant des exigences de l’entité - Mesuré par des échantillonnages périodiques", | 236 | "description": "S’assurer que les externes et fournisseurs sont au courant des exigences de l’entité - Mesuré par des échantillonnages périodiques", | ||
n | 237 | "importance": 2, | n | 237 | "importance": 0, |
238 | "uuid": "ca954180-92b7-49fe-b66c-ca219c15bba8" | 238 | "uuid": "ca954180-92b7-49fe-b66c-ca219c15bba8" | ||
239 | }, | 239 | }, | ||
240 | { | 240 | { | ||
241 | "code": "RR-A12 - Enlever les droits d'administrateur local", | 241 | "code": "RR-A12 - Enlever les droits d'administrateur local", | ||
242 | "description": "Éviter que les utilisateurs peuvent installer des programmes eux-mêmes", | 242 | "description": "Éviter que les utilisateurs peuvent installer des programmes eux-mêmes", | ||
n | 243 | "importance": 2, | n | 243 | "importance": 0, |
244 | "uuid": "ccba1e3b-1058-4d67-aec6-d9ee0eea5b10" | 244 | "uuid": "ccba1e3b-1058-4d67-aec6-d9ee0eea5b10" | ||
245 | }, | 245 | }, | ||
246 | { | 246 | { | ||
247 | "code": "KPI-A03 - Revue régulière des accès physiques", | 247 | "code": "KPI-A03 - Revue régulière des accès physiques", | ||
248 | "description": "S'assurer qu'il y a un suivi stricte des accès physiques - Mesuré périodiquement en % de non-conformité", | 248 | "description": "S'assurer qu'il y a un suivi stricte des accès physiques - Mesuré périodiquement en % de non-conformité", | ||
n | 249 | "importance": 2, | n | 249 | "importance": 0, |
250 | "uuid": "dab1f8e6-12a3-428e-abd4-352fa6e5880f" | 250 | "uuid": "dab1f8e6-12a3-428e-abd4-352fa6e5880f" | ||
251 | }, | 251 | }, | ||
252 | { | 252 | { | ||
253 | "code": "KPI-A14 - Conservation mensuelle des journaux", | 253 | "code": "KPI-A14 - Conservation mensuelle des journaux", | ||
254 | "description": "S’assurer de la réception et revue des journaux d’accès, au moins une fois par mois - Contrôle ponctuel des systèmes pour assurer une gestion d’accès stricte.", | 254 | "description": "S’assurer de la réception et revue des journaux d’accès, au moins une fois par mois - Contrôle ponctuel des systèmes pour assurer une gestion d’accès stricte.", | ||
n | 255 | "importance": 2, | n | 255 | "importance": 0, |
256 | "uuid": "e4cb6ee9-b764-4e18-b3a7-78291c674020" | 256 | "uuid": "e4cb6ee9-b764-4e18-b3a7-78291c674020" | ||
257 | }, | 257 | }, | ||
258 | { | 258 | { | ||
259 | "code": "RR-A04 - Déplacement des actifs critiques", | 259 | "code": "RR-A04 - Déplacement des actifs critiques", | ||
260 | "description": "Déplacement des actifs critiques vers des zones sécurisées", | 260 | "description": "Déplacement des actifs critiques vers des zones sécurisées", | ||
n | 261 | "importance": 2, | n | 261 | "importance": 0, |
262 | "uuid": "e7bac196-04c8-4a72-b6b7-3bb6dd3d983a" | 262 | "uuid": "e7bac196-04c8-4a72-b6b7-3bb6dd3d983a" | ||
263 | }, | 263 | }, | ||
264 | { | 264 | { | ||
265 | "code": "RR-A13 - Adoption/Création d'une politique de sécurité de l'information", | 265 | "code": "RR-A13 - Adoption/Création d'une politique de sécurité de l'information", | ||
266 | "description": "Implémenter les règles générales de la sécurité de l'information", | 266 | "description": "Implémenter les règles générales de la sécurité de l'information", | ||
n | 267 | "importance": 2, | n | 267 | "importance": 0, |
268 | "uuid": "e85b7b66-6cf1-47d8-bda4-b13c9ca4b8bb" | 268 | "uuid": "e85b7b66-6cf1-47d8-bda4-b13c9ca4b8bb" | ||
269 | }, | 269 | }, | ||
270 | { | 270 | { | ||
271 | "code": "KPI-A16 - Taux de sets de documentation à jour", | 271 | "code": "KPI-A16 - Taux de sets de documentation à jour", | ||
272 | "description": "S'assurer que les sets de documentation sont à jour - Prendre un portrait instantané de l'état (en %) des politiques et procédures terminées qui appuient les logiciels d'accès", | 272 | "description": "S'assurer que les sets de documentation sont à jour - Prendre un portrait instantané de l'état (en %) des politiques et procédures terminées qui appuient les logiciels d'accès", | ||
n | 273 | "importance": 2, | n | 273 | "importance": 0, |
274 | "uuid": "eb2122db-d3b2-4fe4-af4c-7666f9ca8a15" | 274 | "uuid": "eb2122db-d3b2-4fe4-af4c-7666f9ca8a15" | ||
275 | }, | 275 | }, | ||
276 | { | 276 | { | ||
277 | "code": "KPI-A07 - Nombre de fois que le fournisseur n'a pas respecté le SLA", | 277 | "code": "KPI-A07 - Nombre de fois que le fournisseur n'a pas respecté le SLA", | ||
278 | "description": "S'assurer que les contrats sont bien suivis/adaptés aux besoins de l'entité - Mesuré en suivant toutes les interventions par un fournisseur", | 278 | "description": "S'assurer que les contrats sont bien suivis/adaptés aux besoins de l'entité - Mesuré en suivant toutes les interventions par un fournisseur", | ||
n | 279 | "importance": 2, | n | 279 | "importance": 0, |
280 | "uuid": "eb76ecb8-3a73-4c66-82f8-4db735965746" | 280 | "uuid": "eb76ecb8-3a73-4c66-82f8-4db735965746" | ||
281 | }, | 281 | }, | ||
282 | { | 282 | { | ||
283 | "code": "RR-A03 - Implémentation d'une gestion des changements (Change Management)", | 283 | "code": "RR-A03 - Implémentation d'une gestion des changements (Change Management)", | ||
284 | "description": "Implémentation d'une gestion des changements (Change Management)", | 284 | "description": "Implémentation d'une gestion des changements (Change Management)", | ||
n | 285 | "importance": 2, | n | 285 | "importance": 0, |
286 | "uuid": "f0080535-125b-4e19-8943-f3a7bd4770a9" | 286 | "uuid": "f0080535-125b-4e19-8943-f3a7bd4770a9" | ||
287 | }, | 287 | }, | ||
288 | { | 288 | { | ||
289 | "code": "RR-A11 - Appliquer la PSI / charte de bonne conduite", | 289 | "code": "RR-A11 - Appliquer la PSI / charte de bonne conduite", | ||
290 | "description": "Démotiver l'installation d'applications sans contrôle", | 290 | "description": "Démotiver l'installation d'applications sans contrôle", | ||
n | 291 | "importance": 2, | n | 291 | "importance": 0, |
292 | "uuid": "f73ec6ae-4384-412d-b2cd-fb308ac89420" | 292 | "uuid": "f73ec6ae-4384-412d-b2cd-fb308ac89420" | ||
293 | }, | 293 | }, | ||
294 | { | 294 | { | ||
295 | "code": "KPI-A11 - Qualité des backups", | 295 | "code": "KPI-A11 - Qualité des backups", | ||
296 | "description": "S’assurer de la fonctionnalité et qualité des backups - Mesuré par exécution de tests de backups et de restauration de backups", | 296 | "description": "S’assurer de la fonctionnalité et qualité des backups - Mesuré par exécution de tests de backups et de restauration de backups", | ||
n | 297 | "importance": 2, | n | 297 | "importance": 0, |
298 | "uuid": "f89598a0-b77e-47bf-aabc-83f335304848" | 298 | "uuid": "f89598a0-b77e-47bf-aabc-83f335304848" | ||
299 | }, | 299 | }, | ||
300 | { | 300 | { | ||
301 | "code": "RR-A16 - Absence de définition des responsabilités", | 301 | "code": "RR-A16 - Absence de définition des responsabilités", | ||
302 | "description": "Implémentation et approbation d'un tableau RACI", | 302 | "description": "Implémentation et approbation d'un tableau RACI", | ||
n | 303 | "importance": 3, | n | 303 | "importance": 0, |
304 | "uuid": "fd5e7bd0-e54d-49a5-9237-b5f645a1e4ef" | 304 | "uuid": "fd5e7bd0-e54d-49a5-9237-b5f645a1e4ef" | ||
305 | }, | 305 | }, | ||
306 | { | 306 | { | ||
307 | "code": "KPI-A31 - Suivi mensuel des journaux", | 307 | "code": "KPI-A31 - Suivi mensuel des journaux", | ||
308 | "description": "S’assurer de la réception et revue des journaux d’accès, au moins une fois par mois", | 308 | "description": "S’assurer de la réception et revue des journaux d’accès, au moins une fois par mois", | ||
t | 309 | "importance": 2, | t | 309 | "importance": 0, |
310 | "uuid": "fe7caa31-f67f-41fc-94f5-d2f769e01fb0" | 310 | "uuid": "fe7caa31-f67f-41fc-94f5-d2f769e01fb0" | ||
311 | } | 311 | } | ||
312 | ], | 312 | ], | ||
313 | "version": 0 | 313 | "version": 0 | ||
314 | } | 314 | } |