Afin d’obtenir les scores les plus précis et les plus représentatifs possible, vous devez impérativement fournir des documents justificatifs pour chacune de vos réponses au questionnaire. Ces derniers apportent des preuves concrètes, ce qui nous aidera à établir la validité et la fiabilité de vos résultats.
Les documents justificatifs définissent et communiquent les objectifs, les politiques, les orientations, les instructions, les contrôles, les processus et les procédures en matière de sécurité de l’information, ainsi que les tâches et comportements attendus.
Voici quelques exemples de documents permettant d’assurer et d’améliorer l’efficacité de l’infrastructure de sécurité de l’information :
Politiques, règles et directives pour définir et réaliser les activités de sécurité de l’information
Rôles, responsabilités et autorités
Rapports sur les différentes phases de gestion des risques
Plans de sensibilisation et résultats
Processus et procédures de mise en œuvre, de maintien et d’amélioration de l’infrastructure informatique
Plans d’action
Preuve de résultat des processus de sécurité de l’information (par exemple, gestion des incidents, contrôle des accès, continuité de la sécurité de l’information, maintenance des équipements, etc.)
Définition de l’expression « informations sensibles »
Les informations sont classées en fonction des exigences légales, de leur valeur, de leur niveau de criticité et de leur degré de sensibilité en cas de divulgation ou de modification non autorisée, notamment en termes de confidentialité, d’intégrité et de disponibilité.
Les informations considérées comme sensibles incluent notamment :
Informations personnelles identifiables (par exemple, informations relatives à la santé, origine raciale ou ethnique, opinions politiques, croyances religieuses ou philosophiques, appartenance à des syndicats, données génétiques ou biométriques)
Informations bancaires (code de carte de débit, numéro de compte de carte de crédit, etc.)
Fiches de paie
Secrets commerciaux et propriété intellectuelle
Informations financières
Mots de passe
Informations sur les clients et les employés
Accords contractuels et chiffres commerciaux
Données opérationnelles et d’inventaire
Données spécifiques au secteur d’activité
Exemples de documents/informations expurgés
Extrait d’un registre des risques
Nous pouvons en conclure qu’il existe un processus d’évaluation/de gestion des risques et que ce processus est effectivement en place et opérationnel.
2. Extrait d’un registre d’informations personnelles identifiables
Nous n’avons besoin d’aucune donnée personnelle. Nous avons seulement besoin de vérifier que toutes les informations personnelles conservées, traitées ou transférées sont inventoriées et que toutes les exigences légales applicables relatives à la protection des données sont respectées (par exemple, RGPD, CNIL, CCPA, POPI, etc.).
3. Diagramme de réseau
CyberVadis n’a pas besoin de connaître les ports ou les adresses IP. Nous nous assurons que votre réseau est sécurisé, notamment avec une segmentation, des protocoles de chiffrement forts, une zone démilitarisée, des pare-feux, un système IDS/IPS, une authentification robuste, etc.
4. Politique de sécurité de l’information et autres politiques de sécurité
Une politique représente les intentions globales et l’orientation stratégique d’une organisation, exprimées de manière formelle par la direction. La politique relative à la sécurité de l’information traduit et confirme l’engagement de la direction envers :
(a) les objectifs de l’entreprise en matière de sécurité de l’information ;
(b) l’amélioration continue du système de gestion de la sécurité de l’information, et plus encore.
CyberVadis n’a pas besoin d’accéder à des informations confidentielles ou à des informations détaillées concernant les noms, les identifiants ou les adresses IP… mais nous avons besoin de comprendre les pratiques de sécurité définies et mises en œuvre à l’échelle de l’entreprise.