Questions standards (et, effectivement, mal traduites) dans un cadre d'analyse de risque et/ou d'audit de type ISO 9001, 27001 out encore PCI/DSS.
Pour information, un audit de ce type porte, non seulement sur l'entreprise X, mais aussi sur ses prestataires. Si vous êtes prestataire de X... On vous posera ces questions. Mon conseil est de répondre le plus honnêtement possible, en évitant effectivement de divulguer toute information sensible pour la sécurité. Une cartographie des réseaux, par exemple, devrait être classée, dans la réponse envoyée à X, comme "information interne à l'entreprise, non communicable (à X) sauf signature d'un accord de confidentialité". Et on reste là. C'était mes deux centimes d'euros. On Mon, Feb 19, 2024, 17:16 David Ponzone <david.ponz...@gmail.com> wrote: > Ben t’as qu’à mentir. > > Sinon, c’est quoi l’obligation de répondre ? > Parce bon, je vois pas bien le rôle du CAC dans la cybersécurité de > l’entreprise. > Ca serait pas une merde qui vient du ministère pour faire des jolies stats > et des beaux graphiques démontrant que la France est prête pour la guerre ? > > David > > > Le 19 févr. 2024 à 17:04, Vincent Duvernet <vincent.duver...@nolme.com> > a écrit : > > > > Bonjour, > > > > J'avais déjà eu le cas il y a quelques temps avec un groupe Japonais > mais là, ça fait 2 clients FR avec la même approche (visiblement par 2 > cabinets différents). > > Leur commissaire aux comptes demande une évaluation des risques cyber'. > > > > On se tape des questions plus ou moins débiles / mal traduites du type : > > > > - Une solution antivirus est-elle installée sur chaque poste de > l'entreprise ? Est-elle mise à jour régulièrement ? > > - La porte vers internet a-t-elle un pare-feu configuré ? Quels > protocoles sont filtrés/interdits ? (ICMP, TCP, UDP,) [éviter nmap, SSH ou > RDP .] > > > > Et d'autres plus sensibles : > > - Quels sont les sous-réseaux, leur IP et leur fonction ? > > - Quels sont les outils (logiciels) mis en place pour la connexion à > distance pour le télétravail ? > > > > Là franchement, ça me hérisse le poil. > > Est-ce que c'est juste moi qui suis trop old school pour ne pas vouloir > divulguer des informations à un tiers de "semi-confiance" potentiellement > exploitables pour une attaque ? > > > > > > Quels sont vos retours sur la question ? > > > > Merci, > > > > Vincent > > > > > > --------------------------- > > Liste de diffusion du FRnOG > > http://www.frnog.org/ > > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
