Bien que certains d'entre nous n'aiment pas l'admettre, les bilans informatiques organisationnels peuvent être presque aussi importants qu'un bilan de santé physique. D'un point de vue commercial, les évaluations de la santé informatique peuvent aider à identifier les faiblesses actuelles avant qu'elles ne deviennent de futurs désastres. Examinons de plus près comment ils peuvent spécifiquement aider votre organisation.
Qu'est-ce qu'un bilan de santé informatique ?
Un bilan de santé informatique est un ensemble d'évaluations ciblées. Ces tests recherchent les problèmes et fournissent des informations exploitables pour les résoudre, empêchant ainsi d'autres les questions de sécurité en bas de la route.
Un fournisseur de services tiers peut à la fois vous aider à effectuer l'évaluation et peut également vous aider à améliorer la feuille de route. En fonction de la bande passante de votre service informatique interne, le fournisseur peut également prendre en charge certaines des tâches de correction et de maintenance continue pour permettre à votre équipe de se concentrer sur la poursuite des objectifs commerciaux.
Quelles sont les étapes d'un bilan de santé informatique ?
Avant de se lancer, il est essentiel de connaître deux ou trois choses : l'étendue de la portée du projet, la manière dont le fournisseur effectuera les tests et ce qu'il faut faire avec les résultats.
Voici une ventilation étape par étape de ce à quoi s'attendre:
Étape 1 : Comprenez vos « pourquoi » pour faire l'évaluation.
La principale raison pour laquelle les entreprises demandent une évaluation est d'identifier les problèmes dans leur environnement. Outre les avantages à court terme de l'évaluation des risques et de l'amélioration de la sécurité, il présente également des avantages à plus long terme, tels que la libération de vos ressources. Au lieu de passer tout son temps à lutter contre les incendies, par exemple, votre service informatique peut être en mesure de poursuivre une initiative de commerce électronique qui entraînera une augmentation massive des revenus.
Pour les startups et les nouvelles entreprises, les évaluations informatiques établissent une métrique de référence pour la santé du système. Le fait d'avoir cette référence à l'avenir facilite grandement l'identification des problèmes et la mise en œuvre des améliorations.
Selon l'industrie, certaines organisations peuvent être tenues d'avoir une évaluation informatique dans le cadre de leurs responsabilités de conformité réglementaire. Généralement, l'évaluation précédera un audit pour s'assurer que tous les systèmes fonctionnent correctement.
Enfin, l'examen d'une panne imprévue ou événement de sécurité peut vous aider à déterminer le montant et le type de dommages et comment éviter qu'ils se reproduisent à l'avenir.
Étape 2 : Décidez qui fera l'évaluation.
Sauf interdiction réglementaire contraire, il est tout à fait possible de réaliser un bilan de santé en interne. En général, cependant, vous recevrez des résultats plus détaillés et impartiaux par l'intermédiaire d'un fournisseur de services tiers neutre. Non seulement le prestataire de services disposera des ressources et de l'expertise nécessaires pour mener l'évaluation, mais il disposera également d'une perspective nouvelle pour trouver les faiblesses.
Il est essentiel de faire preuve de diligence raisonnable avant de choisir un fournisseur d'évaluation, afin que vous obteniez le meilleur retour sur votre investissement. D'abord, chercher un partenaire, pas un vendeur. Vous inviterez cette équipe à examiner sous le capot les applications, les systèmes et l'infrastructure les plus sensibles de votre organisation. Il est donc crucial d'avoir un niveau de confiance élevé qui s'étend au-delà du contrat.
Le fournisseur doit également comprendre votre entreprise et vos objectifs. Sans cela, ils ne seront pas aussi efficaces pour identifier les points faibles et offrir des recommandations exploitables pour faire avancer vos objectifs commerciaux. Au lieu de cela, ils peuvent fournir des conseils qui correspondent à leurs préférences et non aux vôtres.
Assurez-vous de connaître la qualité du travail avant de vous inscrire. N'ayez pas peur de demander des exemples d'évaluations et de références antérieures. S'ils ne peuvent pas ou ne veulent pas en fournir, trouvez quelqu'un qui le fera. Les grands fournisseurs sont fiers de leur réputation au sein de l'industrie et sont heureux de donner des exemples de leur travail.
Étape 3 : Définir la portée de l'évaluation.
La rigueur est essentielle dans une évaluation de la santé informatique. L'absence d'examen et d'évaluation de tous les systèmes et applications critiques pour l'entreprise laissera des faiblesses et des lacunes que les utilisateurs malveillants seront heureux d'exploiter. De plus, ne pas avoir de limites claires peut conduire à "fluage portée," – ce qui peut avoir de sérieuses ramifications juridiques.
Avant le début de l'évaluation, rencontrez vos équipes internes pour identifier tous les systèmes, applications et dépendances que le fournisseur doit examiner. Assurez-vous d'inclure les appareils et les actifs distants qui accèdent aux ressources informatiques de l'entreprise et les utilisent.
Ensuite, asseyez-vous avec le prestataire de services pour définir ce que l'évaluation couvrira, comment il effectuera ses tests et comment il fournira vos résultats.
Étape 4 : Connaître vos objectifs pour l'évaluation
Bien que vos objectifs puissent évoluer au cours de l'évaluation, il est essentiel d'avoir un plan initial afin que l'équipe d'évaluation puisse fournir les données correctes.
Par exemple, vous pouvez souhaiter que les données prennent en charge une migration vers le cloud, identifient la cause première d'une application lente ou localisent des failles de sécurité pour réduire votre surface d'attaque. Connaître l'objectif global de l'évaluation et ce que vous prévoyez de faire avec les résultats aidera l'équipe à mener son examen plus efficacement.
Étape 5 : Mener l'évaluation.
Il est temps de lancer le bal. Voici quelques-uns des domaines et des technologies les plus courants que les équipes d'évaluation examinent et sur lesquels elles concentreront leur attention.
Gestion et dotation
- Que fait l'équipe informatique et qui est en charge de quoi ?
Assistance
- L'équipe d'assistance est-elle facilement disponible ?
- L'équipe d'aide est-elle utile ?
Sécurité
- Terminaux et appareils
- Mots de passe et politiques
- Évaluation du pare-feu
- Configurations antivirus
Serveurs
- Virtualisation
- CPU/RAM et capacité de stockage
- Statut du cycle de vie des actifs
- Configuration du réseau
Réseautage
- Capacité à prendre en charge les charges de travail actuelles et futures
- Sondages sans fil
- Gestion des actifs de l'appareil
- Cycle de vie des actifs
- WAN et LAN
- Préparation à la voix sur protocole Internet (VoIP)
- Routage et commutation
Reprise après sinistre
- Stratégie de sauvegarde et de protection des données
- Plan de reprise après sinistre
- Plan de continuité d'activité
Stockage
- configuration
- Chiffrement
Endpoints
- Accès distant sécurisé
- Inventaire complet des appareils connectés
- Chiffrement
- Mises à jour et correctifs actuels
Personnes
- Sensibilisation à la sécurité
- Test d'hameçonnage
Une évaluation de la santé informatique est un outil essentiel pour établir une infrastructure informatique solide qui prend en charge des applications et des systèmes hautement performants et sécurisés. Les évaluations informatiques fournissent les connaissances et les commentaires exploitables dont vous avez besoin pour créer, maintenir et gérer les fonctions informatiques et vous protéger contre la perte de données et les cybermenaces. Pour un examen plus approfondi des avantages des évaluations de la santé informatique, visitez Comprendre les évaluations informatiques.
