Hack & See
Prefer English? Use English

Évaluation de maturité IT & cybersécurité

Une évaluation confidentielle alignée avec les bonnes pratiques NIST CSF, CIS Controls, ISO 27001, NIS2 et une logique de détection inspirée de MITRE ATT&CK.

Merci de ne pas inclure de mots de passe, secrets, adresses IP, schémas d’architecture ou détails techniques confidentiels.

Informations de contact

Gouvernance

1. Votre organisation a clairement désigné un responsable des risques IT et cybersécurité.

Référence: NIST CSF Govern / ISO 27001 / NIS2

2. Les risques cybersécurité sont revus avec la direction au moins chaque trimestre.

Référence: NIST CSF Govern / ISO 27001

3. Vous maintenez des politiques ou procédures de sécurité de base pour les utilisateurs, administrateurs et prestataires.

Référence: NIS2 / ISO 27001

4. Les prestataires ayant un accès IT sont évalués avant et pendant la relation.

Référence: NIS2 / ISO 27001 supplier risk

Visibilité des actifs et des risques

5. Vous maintenez un inventaire des systèmes critiques, serveurs, services cloud, postes et applications métiers.

Référence: NIST CSF Identify / CIS Control 1

6. Vous savez quels systèmes sont exposés à Internet et vous revoyez régulièrement cette exposition.

Référence: NIST CSF Identify / CIS Control 2

7. Les données métiers critiques sont identifiées et classifiées selon leur sensibilité ou impact business.

Référence: NIST CSF Identify

8. Les vulnérabilités et correctifs manquants sont suivis et priorisés.

Référence: NIST CSF Identify / CIS Control 7

Protection des accès

9. L’authentification multifacteur est obligatoire pour les administrateurs et les accès distants.

Référence: NIST CSF Protect / CIS Control 5-6

10. Les droits d’accès utilisateurs sont revus régulièrement et retirés lorsqu’ils ne sont plus nécessaires.

Référence: NIST CSF Protect / CIS Control 6

11. Les comptes administrateurs sont séparés des comptes utilisateurs standards.

Référence: Zero Trust / CIS Control 6

12. Les réseaux, serveurs ou applications sont segmentés pour limiter les mouvements latéraux.

Référence: NIST CSF Protect / CIS Control 12

13. Les données sensibles sont protégées par chiffrement, contrôle d’accès et pratiques de partage sécurisé.

Référence: NIST CSF Protect / CIS Control 3

Détection et supervision

14. Les logs de sécurité sont centralisés pour les systèmes importants : serveurs, firewalls, VPN, cloud ou applications.

Référence: NIST CSF Detect / CIS Control 8

15. Vous pouvez détecter des activités d’authentification suspectes comme brute force, connexion impossible ou accès admin inhabituel.

Référence: MITRE ATT&CK-inspired detection / NIST Detect

16. Les changements de configuration importants sont surveillés, par exemple règles firewall, droits admin ou paramètres critiques.

Référence: NIST Detect / CIS Control 8

17. Votre équipe peut détecter une activité malware, des uploads suspects, des alertes endpoint ou des mouvements de données anormaux.

Référence: MITRE ATT&CK-inspired detection

Réponse à incident

18. Il existe une procédure de réponse à incident documentée avec rôles et contacts d’escalade.

Référence: NIST CSF Respond / ISO 27001

19. Les alertes sécurité sont triées et assignées à une personne pour suivi.

Référence: NIST CSF Respond

20. L’organisation peut préserver les preuves et documenter les actions pendant un incident.

Référence: NIST CSF Respond / NIS2

21. Des exercices de réponse à incident ou simulations de crise sont réalisés au moins une fois par an.

Référence: NIST CSF Respond

Résilience et reprise

22. Les systèmes et données critiques sont sauvegardés régulièrement.

Référence: NIST CSF Recover / CIS Control 11

23. Les sauvegardes sont testées via des exercices de restauration.

Référence: NIST CSF Recover / CIS Control 11

24. Certaines sauvegardes sont protégées contre les ransomwares : hors ligne, immuables ou avec accès très restreint.

Référence: Ransomware resilience / NIST Recover

25. Il existe un plan de reprise de base en cas de panne majeure, ransomware ou perte d’un service IT critique.

Référence: NIST Recover / Business continuity

Derniers détails