Gouvernance & RGPD
Checklist RSSI
Contrôles essentiels et priorités pour améliorer la posture de sécurité.
Checklist (suivi local)
Cases à cocher sauvegardées dans votre navigateur (localStorage)
0/0 cochés
Utilisez cette checklist comme trame (à adapter à votre organisation). Cochez au fur et à mesure et notez les actions/évidences associées.
Gouvernance & conformité
- RSSI / référent sécurité identifié, rôles et responsabilités formalisés
- Politique de sécurité (PSSI) à jour et diffusée
- Cartographie des exigences (RGPD, NIS2, ISO 27001, contractualisation, etc.)
- Registre des traitements / DPIA (si applicable) à jour avec le DPO
- Revue annuelle de la sécurité (comité, indicateurs, plan d’actions)
Suivi
- Responsable :
- Échéance :
- Évidences / liens :
- Notes :
Gestion des risques
- Inventaire des actifs (SI, données, SaaS, tiers) maintenu
- Classification des données (public / interne / sensible / critique) définie
- Analyse de risques (ex: EBIOS RM) réalisée et revue périodiquement
- Plan de traitement des risques suivi (priorités, échéances, responsables)
Suivi
- Responsable :
- Échéance :
- Évidences / liens :
- Notes :
Identités & accès (IAM)
- MFA activé sur les comptes à privilèges et les services critiques (a minima)
- Principe du moindre privilège appliqué (profils, rôles, accès temporaires)
- Processus d’onboarding/offboarding (création/suppression/recertification) en place
- Mots de passe robustes + politique de verrouillage/anti-bruteforce
- Comptes partagés interdits (ou contrôlés et justifiés), traçabilité des admins
Suivi
- Responsable :
- Échéance :
- Évidences / liens :
- Notes :
Postes, mobiles & serveurs
- Gestion de parc (MDM/endpoint management) et inventaire des versions
- Chiffrement des disques (BitLocker/FileVault) sur postes et portables
- EDR/antivirus actif et supervisé (alertes traitées)
- Durcissement (baseline) appliqué : services inutiles, macros, périphériques, etc.
- Patch management (OS + applicatifs) avec objectifs de délai (SLA)
Suivi
- Responsable :
- Échéance :
- Évidences / liens :
- Notes :
Réseau & périmètre
- Segmentation réseau (utilisateurs / serveurs / admin / invités / IoT)
- Pare-feu/filtrage sortant et entrant, règles revues régulièrement
- Accès distant via VPN/ZTNA avec MFA, journalisation et restrictions
- Wi‑Fi séparé (invités) + chiffrement/802.1X si possible
- DNS sécurisé (filtrage, blocage domaines malveillants) si possible
Suivi
- Responsable :
- Échéance :
- Évidences / liens :
- Notes :
Messagerie & anti-phishing
- SPF, DKIM, DMARC configurés (politique alignée et surveillée)
- Filtrage anti‑spam/anti‑malware actif, pièces jointes risquées contrôlées
- Sensibilisation régulière (phishing, fraude au président, MFA fatigue, etc.)
- Processus de signalement (bouton / adresse) et traitement des signalements
Suivi
- Responsable :
- Échéance :
- Évidences / liens :
- Notes :
Données & sauvegardes
- Sauvegardes testées (restauration) et supervisées
- Règle 3‑2‑1 appliquée (dont une copie hors‑ligne/immutable si possible)
- Chiffrement en transit (TLS) et au repos (données sensibles)
- Droits d’accès aux partages (ACL) revus et nettoyés régulièrement
Suivi
- Responsable :
- Échéance :
- Évidences / liens :
- Notes :
Supervision, journaux & détection
- Journalisation centralisée (SIEM ou équivalent) des systèmes critiques
- Rétention des logs définie (besoin métier/réglementaire) et appliquée
- Alerting sur événements clés (auth admin, élévations, création comptes, etc.)
- Synchronisation NTP sur l’ensemble des systèmes
Suivi
- Responsable :
- Échéance :
- Évidences / liens :
- Notes :
Vulnérabilités & durcissement
- Scans de vulnérabilités réguliers (interne/externe) et traitement priorisé
- Gestion des exceptions (acceptation de risque) formalisée
- Revues de configuration (CIS/ANSSI guides) sur systèmes critiques
- Pentest/audit externe périodique sur périmètre exposé (si applicable)
Suivi
- Responsable :
- Échéance :
- Évidences / liens :
- Notes :
Réponse à incident & continuité
- Procédure de gestion d’incident (rôles, escalade, communication) disponible
- Contacts d’urgence (IT, RSSI, direction, prestataires) à jour
- Scénarios d’exercice (ransomware, fuite de données, indisponibilité) réalisés
- PRA/PCA défini (RTO/RPO) + tests de bascule/restauration
Suivi
- Responsable :
- Échéance :
- Évidences / liens :
- Notes :
Tiers, cloud & SaaS
- Liste des prestataires/solutions SaaS et classification des données partagées
- Clauses de sécurité (SLA, notification incident, localisation, sous‑traitants)
- Revue des droits des comptes tiers (support, infogérance) et accès temporaires
- Sauvegarde/export des données SaaS critiques (si possible) + plan de réversibilité
Suivi
- Responsable :
- Échéance :
- Évidences / liens :
- Notes :
Développement & changements (si applicable)
- Séparation des environnements (dev/recette/prod) et données de prod protégées
- Revue de code et contrôle des secrets (vault, rotation, pas dans Git)
- CI/CD avec scans (SAST, dépendances, IaC) sur projets critiques
- Gestion des changements (CAB/validation) pour modifications sensibles
Suivi
- Responsable :
- Échéance :
- Évidences / liens :
- Notes :
Sécurité physique (si applicable)
- Contrôle d’accès aux locaux/salles serveurs et journalisation
- Procédure visiteurs et gestion des badges
- Gestion des supports amovibles et destruction sécurisée
Suivi
- Responsable :
- Échéance :
- Évidences / liens :
- Notes :
Notes / actions
- Actions prioritaires (30/60/90 jours) définies
- Risques résiduels validés par la direction
- Point de suivi planifié (mensuel/trimestriel)
Suivi
- Responsable :
- Échéance :
- Évidences / liens :
- Notes :