Gouvernance Règlementaire Conformité

Modèles de notification d'incident

Matrices de classification des actifs

Analyse des causes racines et rapports de retour d'expérience

Solutions de sauvegarde

Activés uniquement après des incidents

Testés régulièrement pour garantir l'intégrité des données et les objectifs de temps de reprise

Externalisés uniquement

Optionnels pour les systèmes non critiques

Notifié aux clients uniquement

Systématiquement rendu public

Déclaré aux autorités compétentes selon des critères définis

Géré uniquement en interne

Tous les fournisseurs sans distinction

Les prestataires TIC critiques ou importants

Les fournisseurs internes

Les sous-traitants RH

Effectuer un scan de vulnérabilités uniquement

Simuler une attaque par ransomware sur un service de production critique

Mettre à jour un registre des risques

Réviser les politiques de sécurité

Nombre de politiques de sécurité

Budget informatique alloué à la sécurité

Temps Moyen de Reprise (MTTR) pour les services critiques

Nombre d'employés formés

Informer les clients

Restaurer les sauvegardes

Notifier immédiatement le régulateur

Détecter, qualifier et évaluer la gravité de l'incident