Excellente réponse ! On Mon, Feb 19, 2024, 17:40 Bertrand FRUCHET via frnog <frnog@frnog.org> wrote:
> Bonjour la liste, > > Comme nous sommes une filiale d'un cabinet d'expertise comptable, je > vous apporte notre vision. > > La mission de commissariat aux comptes (dévolue aux experts-comptables > dûment accrédités par le conseil de l'ordre des experts-comptables) doit > déterminer les risques encourus par l'entreprise. Le risque cyber fait > partie de la mission dans son assertion économique : quel risque > financier l'entreprise auditée prend-elle eu égard à son plan de > protection et de continuité informatique. > > Cette demande n'est absolument pas technique (et c'est bien le > problème). Comment un expert-comptable, qui n'a pas ou très peu de > compétences numériques professionnelles, peut-il juger du niveau de > risque encouru par son client ? > > De ce fait, on en arrive à des questions idiotes du genre quel est le > nom de votre antivirus, avez-vous un pare-feu, faites-vous des sauvegardes > ? > Ce ne sont pas des questions idiotes, loin de là : elles sont en fait destinées à déterminer un niveau de risque R pour une entreprise donnée. Et R doit faire l'objet d'une évaluation "objective" par une personne non spécialiste. Par contre, c'est ce que j'appelle de la sécurité "théorique" : ce n'est qu'une longue liste de cases à cocher. Arrivé à la fin de la liste, on fait une addition de toutes les cases cochées et, hop ! On a une couverture de risque R... Qui ne tiens pas compte de la réalité technique du terrain. Prenons la sauvegarde, on va demander si vous en faites. Case à cocher. Les petits malins demanderont aussi si on teste les sauvegardes. 2eme case à cocher. Mais, comme tout le monde, je me suis retrouvé, au moment critique... devant des sauvegardes qui ne marchaient pas. Et là, il n'y a pas de case à cocher. Je plussoie sur l’honnêteté sans pour autant divulguer d'informations > sensibles. L'objectif pour le commissaire aux comptes est d'identifier > un risque potentiel et donc de mettre de l'argent de côté ( sous forme > de provisions pour risques) pour financer les opérations de sécurisation > ou d'amélioration des plans de reprise ou de continuité en cas > d'incident majeur. > C'est exactement cela : identification des risques potentiels. Et le problème vient bien du manque de compétences techniques de certains, dont ce n'est pas le métier de faire de la sécurité informatique. Tout le monde copie bêtement les mêmes 20 ou 30 questions, vérifie le score total et classe tout ça jusqu'à l'année suivante et le cycle recommence. Protéger ses arrières, tout ça... --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
