1.1 Votre organisation dispose-t-elle d'une Politique de Sécurité des SI (PSSI) formalisée et approuvée par la direction ?

1.2 Un responsable sécurité (RSSI) est-il officiellement désigné avec des missions documentées ?

1.3 Une analyse de risques cyber est-elle réalisée et documentée au moins une fois par an ?

1.4 Un budget dédié à la cybersécurité est-il alloué annuellement et suivi par la direction ?

1.5 Un registre des actifs numériques (serveurs, postes, logiciels, données critiques) est-il tenu à jour ?

2.1 Les droits d'accès sont-ils attribués selon le principe du moindre privilège ?

2.2 L'authentification multi-facteurs (MFA) est-elle déployée sur les accès distants, messagerie, cloud et comptes admin ?

2.3 Une procédure d'offboarding SI désactive les comptes dans les 4 heures après un départ ?

2.4 Une politique de mots de passe (12 caractères min., complexité, renouvellement) est-elle techniquement imposée ?

2.5 Une revue trimestrielle des droits d'accès est-elle réalisée pour détecter les comptes obsolètes ?

2.6 Les accès et actions des comptes administrateurs sont-ils tracés et journalisés ?

3.1 Un processus de patch management garantit l'application des correctifs critiques sous 72h ?

3.2 Une solution EDR/antivirus est-elle déployée et mise à jour en temps réel sur tous les postes ?

3.3 Le réseau est-il segmenté en zones distinctes (bureautique, production, Wi-Fi invités) avec règles de filtrage ?

3.4 Un pare-feu est-il en place, configuré avec règles restrictives et audité annuellement ?

3.5 Les sauvegardes suivent-elles la règle 3-2-1 et leur restauration est-elle testée mensuellement ?

3.6 Les flux réseau sont-ils filtrés et les ports non nécessaires fermés sur les équipements exposés ?

3.7 Les communications sensibles sont-elles chiffrées (TLS 1.2+, SSH, SFTP, VPN) ?

4.1 Une procédure de gestion des incidents est-elle documentée (détection, qualification, réponse, notification, RETEX) ?

4.2 Les événements de sécurité sont-ils journalisés, centralisés et conservés 12 mois minimum ?

4.3 Un PCA et un PRA sont-ils formalisés, testés et mis à jour annuellement ?

4.4 Des exercices de simulation d'incidents (ransomware, perte de données) sont-ils organisés annuellement ?

4.5 Les collaborateurs savent-ils à qui signaler un incident de sécurité et comment ?

5.1 Une formation cybersécurité est-elle dispensée lors de l'intégration de chaque nouveau collaborateur ?

5.2 Des campagnes de simulation de phishing sont-elles réalisées au moins 2 fois par an ?

5.3 Une charte d'utilisation du SI est-elle signée par tous les collaborateurs et prestataires ?

5.4 Un programme de sensibilisation récurrent (newsletter, e-learning) est-il en place tout au long de l'année ?

6.1 Les contrats des prestataires incluent-ils une annexe de sécurité (MFA, chiffrement, notification) ?

6.2 Les accès des prestataires sont-ils limités aux ressources strictement nécessaires ?

6.3 Des audits de sécurité sont-ils réalisés sur vos fournisseurs critiques ?

6.4 Un processus de qualification sécurité des nouveaux fournisseurs est-il en place ?

7.1 Un registre des traitements de données est-il tenu à jour (RGPD Art.30) ?

7.2 Un DPO/Référent RGPD est-il désigné et une procédure de violation de données est-elle en place ?

7.3 Les données sensibles sont-elles chiffrées au repos et en transit ?

8.1 Les accès physiques aux locaux serveurs sont-ils contrôlés et journalisés ?

8.2 La politique "bureau propre" et le verrouillage automatique des sessions sont-ils appliqués ?

8.3 Les équipements sont-ils protégés contre les risques physiques (onduleur, climatisation, anti-incendie) ?

9.1 La sécurité est-elle intégrée dès la conception des projets et développements (Security by Design) ?

9.2 Des tests de sécurité sont-ils réalisés avant chaque mise en production ?

10.1 Une politique de télétravail sécurisé imposant VPN avec MFA et poste géré est-elle en place ?

10.2 Les appareils mobiles sont-ils gérés par MDM avec effacement à distance en cas de perte ?