Page 1 sur 1

NIS2 - AUDIT

Adresse e-mail professionnelle

Nom de l'entreprise

Numéro TVA belge

Numéro de téléphone

Secteur d'activité

Nombre d'employés

Questions Q1-Q25:

GOUVERNANCE (Q1-Q3)

Q1: "Disposez-vous d'une politique de sécurité de l'information formalisée et approuvée par la direction ?"

Q1: "Disposez-vous d'une politique de sécurité de l'information formalisée et approuvée par la direction ?"
A
B
C

Q2: "Un responsable de la sécurité des systèmes d'information (RSSI ou équivalent) est-il officiellement désigné ?"

Q2: "Un responsable de la sécurité des systèmes d'information (RSSI ou équivalent) est-il officiellement désigné ?"
A
B
C

Q3: "La direction est-elle régulièrement informée des risques cybersécurité (minimum trimestriellement) ?"

Q3: "La direction est-elle régulièrement informée des risques cybersécurité (minimum trimestriellement) ?"
A
B
C

GESTION DES RISQUES (Q4-Q6)

Q4: "Réalisez-vous une analyse de risques cybersécurité au minimum annuellement ?"

Q4: "Réalisez-vous une analyse de risques cybersécurité au minimum annuellement ?"
A
B
C

Q5: "Les actifs critiques de l'entreprise (serveurs, données, applications) sont-ils identifiés et cartographiés ?"

Q5: "Les actifs critiques de l'entreprise (serveurs, données, applications) sont-ils identifiés et cartographiés ?"
A
B
C

Q6: "Les risques identifiés font-ils l'objet d'un plan de traitement documenté avec responsables et échéances ?"

Q6: "Les risques identifiés font-ils l'objet d'un plan de traitement documenté avec responsables et échéances ?"
A
B
C

GESTION DES INCIDENTS (Q7-Q9)

Q7: "Disposez-vous d'un processus de gestion des incidents de sécurité documenté et communiqué ?"

Q7: "Disposez-vous d'un processus de gestion des incidents de sécurité documenté et communiqué ?"
A
B
C

Q8: "Les incidents de sécurité sont-ils systématiquement journalisés et analysés pour amélioration continue ?"

Q8: "Les incidents de sécurité sont-ils systématiquement journalisés et analysés pour amélioration continue ?"
A
B
C

Q9: "Avez-vous testé votre plan de réponse aux incidents au cours des 12 derniers mois (exercice de simulation) ?"

Q9: "Avez-vous testé votre plan de réponse aux incidents au cours des 12 derniers mois (exercice de simulation) ?"
A
B
C

CONTRÔLE D'ACCÈS (Q10-Q12)

Q10: "L'authentification multi-facteurs (MFA/2FA) est-elle activée sur tous les systèmes critiques et accès privilégiés ?"

Q10: "L'authentification multi-facteurs (MFA/2FA) est-elle activée sur tous les systèmes critiques et accès privilégiés ?"
A
B
C

Q11: "Les droits d'accès suivent-ils strictement le principe du moindre privilège (accès minimum nécessaire) ?"

Q11: "Les droits d'accès suivent-ils strictement le principe du moindre privilège (accès minimum nécessaire) ?"
A
B
C

Q12: "Les comptes utilisateurs sont-ils régulièrement revus et systématiquement désactivés lors des départs d'employés ?"

Q12: "Les comptes utilisateurs sont-ils régulièrement revus et systématiquement désactivés lors des départs d'employés ?"
A
B
C

SAUVEGARDES (Q13-Q15)

Q13: "Des sauvegardes automatiques sont-elles configurées pour toutes les données critiques de l'entreprise ?"

Q13: "Des sauvegardes automatiques sont-elles configurées pour toutes les données critiques de l'entreprise ?"
A
B
C

Q14: "Testez-vous la restauration effective des sauvegardes au minimum annuellement ?"

Q14: "Testez-vous la restauration effective des sauvegardes au minimum annuellement ?"
A
B
C

Q15: "Les sauvegardes sont-elles stockées dans un lieu physiquement séparé et sécurisé (règle 3-2-1) ?"

Q15: "Les sauvegardes sont-elles stockées dans un lieu physiquement séparé et sécurisé (règle 3-2-1) ?"
A
B
C

SÉCURITÉ RÉSEAU (Q16-Q17)

Q16: "Un firewall de nouvelle génération est-il en place et configuré selon les bonnes pratiques de sécurité ?"

Q16: "Un firewall de nouvelle génération est-il en place et configuré selon les bonnes pratiques de sécurité ?"
A
B
C

Q17: "Le réseau est-il segmenté avec isolation des systèmes critiques du réseau bureautique général ?"

Q17: "Le réseau est-il segmenté avec isolation des systèmes critiques du réseau bureautique général ?"
A
B
C

SUPPLY CHAIN / FOURNISSEURS (Q18-Q19)

Q18: "Les fournisseurs et prestataires critiques sont-ils évalués sur leurs pratiques de cybersécurité ?"

Q18: "Les fournisseurs et prestataires critiques sont-ils évalués sur leurs pratiques de cybersécurité ?"
A
B
C

Q19: "Les accès des fournisseurs à vos systèmes sont-ils strictement contrôlés, tracés et limités dans le temps ?"

Q19: "Les accès des fournisseurs à vos systèmes sont-ils strictement contrôlés, tracés et limités dans le temps ?"
A
B
C

CONTINUITÉ D'ACTIVITÉ (Q20-Q21)

Q20: "Disposez-vous d'un Plan de Reprise d'Activité (PRA) ou Plan de Continuité (PCA) documenté ?"

Q20: "Disposez-vous d'un Plan de Reprise d'Activité (PRA) ou Plan de Continuité (PCA) documenté ?"
A
B
C

Q21: "Le PRA/PCA a-t-il été testé de manière effective au cours des 12 derniers mois ?"

Q21: "Le PRA/PCA a-t-il été testé de manière effective au cours des 12 derniers mois ?"
A
B
C

SENSIBILISATION (Q22-Q23)

Q22: "Tous les employés reçoivent-ils une formation annuelle obligatoire à la cybersécurité ?"

Q22: "Tous les employés reçoivent-ils une formation annuelle obligatoire à la cybersécurité ?"
A
B
C

Q23: "Des campagnes de tests de phishing sont-elles réalisées régulièrement (minimum semestriellement) ?"

Q23: "Des campagnes de tests de phishing sont-elles réalisées régulièrement (minimum semestriellement) ?"
A
B
C

MONITORING & DÉTECTION (Q24-Q25)

Q24: "Les logs de sécurité (connexions, accès, modifications) sont-ils centralisés et conservés minimum 6 mois ?"

Q24: "Les logs de sécurité (connexions, accès, modifications) sont-ils centralisés et conservés minimum 6 mois ?"
A
B
C

Q25: "Disposez-vous d'un système de détection et d'alerte en cas d'activité suspecte ou anormale ?"

Q25: "Disposez-vous d'un système de détection et d'alerte en cas d'activité suspecte ou anormale ?"
A
B
C