~/Cedric

Le principe de besoin d'en connaître n'est pas respecté Vulnerabilities

Est-ce que toutes les autorisations sont données en respectant ce principe ?

Les backups ne sont pas réalisés selon l'état de l'art Vulnerabilities

Existe-t-il une procédure de backup ? Est-elle formelle ? Est-elle exhaustive ? Quelle est la durée de rétention ? Des tests de restaurations sont effectués ? Existe-t-il une copie Offline ? Externalisée ?

Absence de formation à l'utilisation et la maintenance des nouveaux logiciels Vulnerabilities

La gestion des mises à jour (patch) comporte des lacunes Vulnerabilities

Existe-t-il une procédure ? Formelle ? Quelle est la périodicité d'application ? Qui est le responsable ? Des tests sont-ils effectués ? Avant ? Après ?

Failles dans les périmètres d'accès physiques Vulnerabilities

Les accès par des personnes non autorisées peuvent être directs ? Combien de barrières existe-t-il ? Alarme ? Accueil de visiteurs ? De quelle qualité ?

Le poste utilisateur est laissé sans surveillance Vulnerabilities

Fermeture de session Blocage d'écran

Possibilité d'existence de fonctions cachées introduites en phase de conception et développement Vulnerabilities

Présences de lacunes dans la gestion des changements ou la maintenance des logiciels Vulnerabilities

La gestion des changements sur les logiciels ou sur le système d'information est elle correcte ? Planification des changements ? Estimation des charges ? Tests avant mise en production ?

Absence de vigilance lors d'une intervention d’un tiers (fournisseur, femme de ménage, etc.) Vulnerabilities

Est-ce que les personnes normalement non autorisées sont sous surveillance lors d'intervention exceptionnelle (internes ou externes) ?

Absence de cloisonnement entre les environnements de développements et d'exploitation Vulnerabilities

Les environnements de développement sont-ils séparés ? Quelles sont les contraintes de passage d'un à l'autre ? Quelle méthodologie de développement est utilisée ?