Merci charles pour e recentrage du sujet.
Par ma propre expérience, en tant qu'auditeur pour le compte d'un CAC,
ce qui est attendu est l'identification d'un risque numérique pouvant
porter préjudice à l'entreprise.
si vous êtes sollicité pour fournir des informations, elles doivent
permettre au Commissaire aux comptes de déterminer si le risque est
avéré, envisageable, sans objet, insignifiant, etc.... mais vous ne
devez pas occulter les possibles manquements.
Il vaut mieux surestimer un risque car votre expertise technique vous
amène à douter plutôt que de minimiser ce même risque parce que vous ne
voulez pas annoncer que vous n'avez pas engager telle ou telle mesure ou
solution technique.
La mission du CAC est annuelle, le risque sera réévalué l'année suivante
mais si vous l'avez occulté, vous participez sans le savoir à l'absence
de protection car il n'y aura pas de thésaurisation interne à
l'entreprise pour pallier à ce risque pendant 1 an.
Le rôle de conseiller technique du CAC est ingrat mais je commence
toujours par dire qu'il s'agit d'estimer si il faut mettre en place une
ligne budgétaire pour éviter la catastrophe.... Et nous savons tous à
quel point certains de nos clients sont pingres en matière de risque non
encore vécu. Croyez-moi, lorsque le risque se transforme en catastrophe,
ils changent de vision.
Bertrand
Le 19/02/2024 à 20:55, Intermi Charles a écrit :
Je crois que ce qu'est la mission du CAC a été un peu perdue dans ces
échanges...
Il faut rapeller que l'entreprise est son client. Que ce soit en direct, ou
envers ses actionnaires/parties prenantes. Cette entreprise lui confie la
mission de s'assurer, avec son regard externe et impartial, de la conformité
des actions réalisées, notamment en terme de couverture des risques.
C'est de ça dont on parle ici: le CAC posera les questions lui permettant de donner une
"assurance raisonnable" de la bonne gestion de ce risque, au dirigeant, aux
actionnaires (ou autres parties prenantes, dont toujours l'État, ne serait ce que pour
des questions de préservation de l'emploi ;) ).
Face à un soucis, ce qui sera questionné sont les moyens mis en oeuvre pour
parer au risque: donc avoir un antivirus, parefeu, solution de sauvegarde, des
séparations de reseaux,... Bref, pas compliqué il suffit de reprendre les todo
list de l'anssi à ce sujet. La qualité de la mise en place importe relativement
peu, puisqu'on ne parle pas d'obligation de résultat.
Dans vos réponses, soyez donc juste assez precis pour qu'il n'y ait pas de
doute que ces préconisations soient mises en place. Nul besoin de specifier ce
qu'il y a dedans... Ex: reseau, juste confirmer que les sous reseaux sont bien
séparées. Antivirus, préciser qu'il y en a un, et idéalement si il a fait
l'objet d'une certification. Ce genre de chose suffit en général largement,
tant pour donner cette assurance raisonnable au CAC que pour en effet éviter de
trop faciliter le travail d'un éventuel malveillant.
Apres je rejoins des commentaires précédents : un malveillant avec toutes les
données du CAC a plus intérêt à s'attaquer à la partie business/finance...
Charles Bonnet.
19 févr. 2024 19:30:01 LPR du CTV <c...@ctv.zone>:
Bonsoir,
Ce mail de retour du 19/02/2024 notifie en particulier:
(cf. mail ID <zdoxwzv-lifxn...@doomfr.com>):
Moi ça me questionne que l'on place sa confiance dans un tiers pour lui
refiler une vision financière aussi complète que celle que peut avoir un
expert-comptable sur la liste des fournisseurs et des clients d'une structure
et en même temps paranoïer sur le nom de l'antivirus utilisé dans la boite
sans se dire à un moment qu'il y a comme un petit hiatus.
(sic)
Moi ça me questionne aussi sur du pompage de données.
Avec attentions,
--
Michel Soleilhavoup · Guichet terminal
————————————————————————————————————————————
LPR du CTV
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/