Coordonnées
1. Politique et procédures d’accès
Merci de répondre aux questions ci-dessous et développer vos réponses
a. Existe-t-il une politique documentée définissant les règles d’octroi et de gestion des accès au SIS ?*
b. En tant que destinataire de ce questionnaire, êtes-vous bien le responsable de la gestion des droits d’accès au SIS ?*
c. Les accès sont-ils accordés sur la base du principe du moindre privilège (les utilisateurs n'y ont accès que si c'est justifié) ?*
2. Processus d’octroi des accès
Merci de répondre aux questions ci-dessous et développer vos réponses
a. Quels sont les critères permettant d'accorder l’accès à une ressource ou un système ?*
b. Comment les demandes d’accès sont-elles formalisées (par exemple, formulaire, e-mail, outil dédié) ?*
c. Existe-t-il une procédure de validation ou d’approbation pour les demandes d’accès, et qui en est responsable ?*
d. Les nouveaux accès sont-ils limités dans le temps ou font-ils l’objet de révisions périodiques ?*
3. Gestion des rôles et profils d’utilisateurs
Merci de répondre aux questions ci-dessous et développer vos réponses
a. Les accès sont-ils gérés par rôles ou par profils d’utilisateurs ?*
b. Les rôles sont-ils régulièrement revus et ajustés en fonction des besoins métiers ou des changements organisationnels ?*
4. Suivi et révision des accès
Merci de répondre aux questions ci-dessous et développer vos réponses
a. Les droits d’accès sont-ils révisés périodiquement (par exemple, chaque trimestre ou semestre) ?*
b. Existe-t-il une procédure pour révoquer ou modifier les droits d’accès lorsqu’un employé change de poste ou quitte l’entité ?*
c. Comment la cohérence entre les droits accordés et les besoins réels des utilisateurs est-elle vérifiée ?*
5. Sécurité des comptes utilisateurs
Merci de répondre aux questions ci-dessous et développer vos réponses
a. Les utilisateurs sont-ils obligés de changer leurs mots de passe régulièrement ?*
b. Des exigences de complexité pour les mots de passe sont-elles en place (longueur minimale, caractères spéciaux, etc.) ?*
c. Comment les comptes inactifs ou dormants sont-ils gérés (par exemple, désactivation automatique après une période d’inactivité) ?*
e. Comment les personnes bénéficiant d’un accès gèrent-elles la question de la sécurité des informations ?*
i. Comment les utilisateurs gèrent-ils leur accès ? *
ii. Des recherches sont-elles effectuées pour des collègues ?*
6. Formation et sensibilisation
Merci de répondre aux questions ci-dessous et développer vos réponses
b. Les utilisateurs reçoivent-ils une formation ou des consignes sur la gestion sécurisée des accès ?*
Par exemple protection des mots de passe
i. Quel est le contenu de la formation ?*
ii. Qui est responsable de la formation ?*
iii. Porte-t-elle sur des questions de fonds ou sur des aspects techniques ? *
iv. Des exemples tests ou des environnements de formation sont-ils utilisés ?*
v. Qui est invité à y participer ? *
d. Existe-t-il des campagnes de sensibilisation régulières pour rappeler les bonnes pratiques en matière de gestion des accès ?*
7. Conformité et audits
Merci de répondre aux questions ci-dessous et développer vos réponses
a. Des audits internes ou externes sur la gestion des accès ont-ils déjà été réalisés ? Si oui, quelles en ont été les conclusions ?*
b. Y a-t-il des actions spécifiques mises en place pour remédier aux faiblesses identifiées lors des audits précédents ?*
8. Gestion des incidents liés aux accès
Merci de répondre aux questions ci-dessous et développer vos réponses
a Existe-t-il une procédure pour signaler et gérer les accès non autorisés ou les tentatives de violation ?*
9. Utilisation
Merci de répondre aux questions ci-dessous et développer vos réponses
b. Lorsque le SIS est consulté conformément aux instructions internes, comment les données sont-elles utilisées ?*
10. Autre
Merci de répondre aux questions ci-dessous et développer vos réponses
a. Pour l'entité dont vous vous occupez, combien d'accès au SIS ont été accordés ?*
b. Si votre entité a accès à RIPOL, dans quelle mesure les accès à ce dernier et les accès au SIS sont-ils liés ? *
i. Ces accès sont-ils réglés de la même manière pour tout le monde ou diffèrent-ils en fonction des tâches attribuées aux utilisateurs ?*
c. Comment les personnes concernées sont-elles soutenues dans l’exercice de leurs droits d'accès à leurs données personnelles ? *
i. Peuvent-elles recevoir une aide dans le cadre des procédures visant à recevoir des informations, à rectifier des données ou à en effacer ?*
Questions ou remarques concernant l'un des points ci-dessus
En cas de questions, merci de préciser le numéro/la lettre de la question