Je suis un ancien geek passé de l'autre côté de la rivière (plutôt côté audit généraliste que CaC)... Ce qui me donne un aperçu de l'attendu. Je doute que le CaC s'intéresse réellement au fond du problème. Son objetif encore une fois est d'avoir ce qu'on apelle une assurance raisonnable. Peu importe la solution mise en place: ce qui importe, c'est que l'ensemble de la ligne, y compris les sous traitants de rang X, aient mis en place des mesures offrants cette assurance. De ce fait, bien que les suggestions d'aller plus au fond du sujet soient, de notre point de vue de geek, intéressantes, car se recentrant sur la réalité de la problématique, elles ne me semblent pas pertinentes pour répondre à la question du CaC. Donnons ce qui leur est nécessaire. Et ce qui est nécessaire, c'est ce que l'entreprise ne peut ignorer en terme de bonne pratique, c'est à dire aujourd'hui les recommandations de l'anssi (considérées tant dans le milieu de l'audit que des CaC comme le Graal). Si vos réponses permettent de couvrir l'inquiétude quant à leur bonne prise en compte, vous n'aurez pas d'autre diligences. Et de mon expérience, il n'est pas si compliqué d'y repondre sans divulguer votre topologie de réseau interne ni les solutions en place. Si vous avez régulièrement ce type de requêtes, ce qui peut être le cas si vous êtes sous traitant sur de nombreuses entreprises cotées, vous pouvez utilement répondre en mettant face à chaque recommandation anssi votre parade, et envoyer ce doc générique comme reponse à toute sollicitation (et indépendemlent de la demande des CaC, c'est un relativement bon exercice pour challenger votre mise en place). Il ne faut pas prendre les CAC pour plus bêtes qu'il ne le sont : ces questions qui semblent tout droit sorties de google translator sont leur manière d'obtenir des réponses concrètes de la part d'entités n'ayant pas forcément votre vision globale des choses, et qui "rentre" dans leurs cases. Nombreuses restent les entreprises confiant leur sécurité SI à Duchmole, ancien responsable du nettoyage de surface... Je ne doute pas que cette position évoluera dans les dix/vingt années à venir, selon l'équilibre des risques, tout comme les gros bureau de CaC ont désormais des spécialistes sur les risques marchés, les risques images... Que la force soit avec vous, Charles Bonnet.
19 févr. 2024 17:50:27 Vincent Duvernet <vincent.duver...@nolme.com>: > Bonjour, > > Merci pour cette réponse de l'autre côté de la rivière, c'est très > intéressant et instructif. > Je ne savais pas qu'il y avait des non geek par ici ^^. > > Je comprends mieux l'objet de leur demande. > > Et au final, comme prévu, une partie des informations ne sont pas divulguées > et le reste est du coup assez vide de sens. > > Comment faire évoluer la situation sans faire bondir les admins réseaux ? > Voici mes 2 cts : > Un questionnaire en ligne anonymisé sauf en dernière partie afin de générer > un "scoring" avec le nom de l'entreprise par catégorie (accès distant, > visiteurs, utilisateurs, cloud...) ça pourrait faire sens. Ça permet de poser > des questions techniques pointues sans que le site ne fasse de rétention > (donc faut un site de confiance on est bien d'accord). > Est-ce que c'est suffisant ? probablement pas mais ça donnerait l'impression > de faire quelque chose un minimum qualitatif plutôt que de remplir un fichier > Excel à la con en me faisant perdre mon temps. > > Vincent > > > -----Message d'origine----- > De : frnog-requ...@frnog.org <frnog-requ...@frnog.org> De la part de Bertrand > FRUCHET via frnog > Envoyé : lundi 19 février 2024 17:42 > À : frnog@frnog.org > Objet : Re: [FRnOG] [TECH] Les cabinets comptables & la cyber > > Bonjour la liste, > > Comme nous sommes une filiale d'un cabinet d'expertise comptable, je vous > apporte notre vision. > > La mission de commissariat aux comptes (dévolue aux experts-comptables dûment > accrédités par le conseil de l'ordre des experts-comptables) doit déterminer > les risques encourus par l'entreprise. Le risque cyber fait partie de la > mission dans son assertion économique : quel risque financier l'entreprise > auditée prend-elle eu égard à son plan de protection et de continuité > informatique. > > Cette demande n'est absolument pas technique (et c'est bien le problème). > Comment un expert-comptable, qui n'a pas ou très peu de compétences > numériques professionnelles, peut-il juger du niveau de risque encouru par > son client ? > > De ce fait, on en arrive à des questions idiotes du genre quel est le nom de > votre antivirus, avez-vous un pare-feu, faites-vous des sauvegardes ? > > Je plussoie sur l’honnêteté sans pour autant divulguer d'informations > sensibles. L'objectif pour le commissaire aux comptes est d'identifier un > risque potentiel et donc de mettre de l'argent de côté ( sous forme de > provisions pour risques) pour financer les opérations de sécurisation ou > d'amélioration des plans de reprise ou de continuité en cas d'incident majeur. > > Bertrand > > Le 19/02/2024 à 17:24, Noryungi a écrit : >> Questions standards (et, effectivement, mal traduites) dans un cadre >> d'analyse de risque et/ou d'audit de type ISO 9001, 27001 out encore >> PCI/DSS. >> >> Pour information, un audit de ce type porte, non seulement sur >> l'entreprise X, mais aussi sur ses prestataires. Si vous êtes >> prestataire de X... On vous posera ces questions. >> >> Mon conseil est de répondre le plus honnêtement possible, en évitant >> effectivement de divulguer toute information sensible pour la >> sécurité. Une cartographie des réseaux, par exemple, devrait être >> classée, dans la réponse envoyée à X, comme "information interne à >> l'entreprise, non communicable (à X) sauf signature d'un accord de >> confidentialité". Et on reste là. >> >> C'était mes deux centimes d'euros. >> >> On Mon, Feb 19, 2024, 17:16 David Ponzone <david.ponz...@gmail.com> wrote: >> >>> Ben t’as qu’à mentir. >>> >>> Sinon, c’est quoi l’obligation de répondre ? >>> Parce bon, je vois pas bien le rôle du CAC dans la cybersécurité de >>> l’entreprise. >>> Ca serait pas une merde qui vient du ministère pour faire des jolies >>> stats et des beaux graphiques démontrant que la France est prête pour la >>> guerre ? >>> >>> David >>> >>>> Le 19 févr. 2024 à 17:04, Vincent Duvernet >>>> <vincent.duver...@nolme.com> >>> a écrit : >>>> Bonjour, >>>> >>>> J'avais déjà eu le cas il y a quelques temps avec un groupe Japonais >>> mais là, ça fait 2 clients FR avec la même approche (visiblement par >>> 2 cabinets différents). >>>> Leur commissaire aux comptes demande une évaluation des risques cyber'. >>>> >>>> On se tape des questions plus ou moins débiles / mal traduites du type : >>>> >>>> - Une solution antivirus est-elle installée sur chaque poste de >>> l'entreprise ? Est-elle mise à jour régulièrement ? >>>> - La porte vers internet a-t-elle un pare-feu configuré ? Quels >>> protocoles sont filtrés/interdits ? (ICMP, TCP, UDP,) [éviter nmap, >>> SSH ou RDP .] >>>> Et d'autres plus sensibles : >>>> - Quels sont les sous-réseaux, leur IP et leur fonction ? >>>> - Quels sont les outils (logiciels) mis en place pour la connexion à >>> distance pour le télétravail ? >>>> Là franchement, ça me hérisse le poil. >>>> Est-ce que c'est juste moi qui suis trop old school pour ne pas >>>> vouloir >>> divulguer des informations à un tiers de "semi-confiance" >>> potentiellement exploitables pour une attaque ? >>>> >>>> Quels sont vos retours sur la question ? >>>> >>>> Merci, >>>> >>>> Vincent >>>> >>>> >>>> --------------------------- >>>> Liste de diffusion du FRnOG >>>> http://www.frnog.org/ >>> >>> --------------------------- >>> Liste de diffusion du FRnOG >>> http://www.frnog.org/ >>> >> --------------------------- >> Liste de diffusion du FRnOG >> http://www.frnog.org/ >> > > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
