Bonjour, Merci pour cette réponse de l'autre côté de la rivière, c'est très intéressant et instructif. Je ne savais pas qu'il y avait des non geek par ici ^^.
Je comprends mieux l'objet de leur demande. Et au final, comme prévu, une partie des informations ne sont pas divulguées et le reste est du coup assez vide de sens. Comment faire évoluer la situation sans faire bondir les admins réseaux ? Voici mes 2 cts : Un questionnaire en ligne anonymisé sauf en dernière partie afin de générer un "scoring" avec le nom de l'entreprise par catégorie (accès distant, visiteurs, utilisateurs, cloud...) ça pourrait faire sens. Ça permet de poser des questions techniques pointues sans que le site ne fasse de rétention (donc faut un site de confiance on est bien d'accord). Est-ce que c'est suffisant ? probablement pas mais ça donnerait l'impression de faire quelque chose un minimum qualitatif plutôt que de remplir un fichier Excel à la con en me faisant perdre mon temps. Vincent -----Message d'origine----- De : frnog-requ...@frnog.org <frnog-requ...@frnog.org> De la part de Bertrand FRUCHET via frnog Envoyé : lundi 19 février 2024 17:42 À : frnog@frnog.org Objet : Re: [FRnOG] [TECH] Les cabinets comptables & la cyber Bonjour la liste, Comme nous sommes une filiale d'un cabinet d'expertise comptable, je vous apporte notre vision. La mission de commissariat aux comptes (dévolue aux experts-comptables dûment accrédités par le conseil de l'ordre des experts-comptables) doit déterminer les risques encourus par l'entreprise. Le risque cyber fait partie de la mission dans son assertion économique : quel risque financier l'entreprise auditée prend-elle eu égard à son plan de protection et de continuité informatique. Cette demande n'est absolument pas technique (et c'est bien le problème). Comment un expert-comptable, qui n'a pas ou très peu de compétences numériques professionnelles, peut-il juger du niveau de risque encouru par son client ? De ce fait, on en arrive à des questions idiotes du genre quel est le nom de votre antivirus, avez-vous un pare-feu, faites-vous des sauvegardes ? Je plussoie sur l’honnêteté sans pour autant divulguer d'informations sensibles. L'objectif pour le commissaire aux comptes est d'identifier un risque potentiel et donc de mettre de l'argent de côté ( sous forme de provisions pour risques) pour financer les opérations de sécurisation ou d'amélioration des plans de reprise ou de continuité en cas d'incident majeur. Bertrand Le 19/02/2024 à 17:24, Noryungi a écrit : > Questions standards (et, effectivement, mal traduites) dans un cadre > d'analyse de risque et/ou d'audit de type ISO 9001, 27001 out encore > PCI/DSS. > > Pour information, un audit de ce type porte, non seulement sur > l'entreprise X, mais aussi sur ses prestataires. Si vous êtes > prestataire de X... On vous posera ces questions. > > Mon conseil est de répondre le plus honnêtement possible, en évitant > effectivement de divulguer toute information sensible pour la > sécurité. Une cartographie des réseaux, par exemple, devrait être > classée, dans la réponse envoyée à X, comme "information interne à > l'entreprise, non communicable (à X) sauf signature d'un accord de > confidentialité". Et on reste là. > > C'était mes deux centimes d'euros. > > On Mon, Feb 19, 2024, 17:16 David Ponzone <david.ponz...@gmail.com> wrote: > >> Ben t’as qu’à mentir. >> >> Sinon, c’est quoi l’obligation de répondre ? >> Parce bon, je vois pas bien le rôle du CAC dans la cybersécurité de >> l’entreprise. >> Ca serait pas une merde qui vient du ministère pour faire des jolies >> stats et des beaux graphiques démontrant que la France est prête pour la >> guerre ? >> >> David >> >>> Le 19 févr. 2024 à 17:04, Vincent Duvernet >>> <vincent.duver...@nolme.com> >> a écrit : >>> Bonjour, >>> >>> J'avais déjà eu le cas il y a quelques temps avec un groupe Japonais >> mais là, ça fait 2 clients FR avec la même approche (visiblement par >> 2 cabinets différents). >>> Leur commissaire aux comptes demande une évaluation des risques cyber'. >>> >>> On se tape des questions plus ou moins débiles / mal traduites du type : >>> >>> - Une solution antivirus est-elle installée sur chaque poste de >> l'entreprise ? Est-elle mise à jour régulièrement ? >>> - La porte vers internet a-t-elle un pare-feu configuré ? Quels >> protocoles sont filtrés/interdits ? (ICMP, TCP, UDP,) [éviter nmap, >> SSH ou RDP .] >>> Et d'autres plus sensibles : >>> - Quels sont les sous-réseaux, leur IP et leur fonction ? >>> - Quels sont les outils (logiciels) mis en place pour la connexion à >> distance pour le télétravail ? >>> Là franchement, ça me hérisse le poil. >>> Est-ce que c'est juste moi qui suis trop old school pour ne pas >>> vouloir >> divulguer des informations à un tiers de "semi-confiance" >> potentiellement exploitables pour une attaque ? >>> >>> Quels sont vos retours sur la question ? >>> >>> Merci, >>> >>> Vincent >>> >>> >>> --------------------------- >>> Liste de diffusion du FRnOG >>> http://www.frnog.org/ >> >> --------------------------- >> Liste de diffusion du FRnOG >> http://www.frnog.org/ >> > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/ --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
