Re: [FRnOG] [TECH] Les cabinets comptables & la cyber
Le 19/02/2024 à 23:02, Intermi Charles a écrit : … les recommandations de l'anssi (considérées tant dans le milieu de l'audit que des CaC comme le Graal). C'est d'ailleurs à la base du problème ; les recommandations de l'ANSI ne sont pas universellement pertinentes ou applicables. Un exemple parmi d'autres, la R10 qui dit de bloquer tout accès à Internet depuis ou vers le poste d'administration… Si, si, c'est dans la version 3.0 en date du 11/05/21, celle disponible aujourd'hui en téléchargement sur le site de l'ANSI ! --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Les cabinets comptables & la cyber
Le 19/02/2024 à 22:22, Bertrand FRUCHET via frnog a écrit : La mission du CAC est annuelle, le risque sera réévalué l'année suivante mais si vous l'avez occulté, vous participez sans le savoir à l'absence de protection car il n'y aura pas de thésaurisation interne à l'entreprise pour pallier à ce risque pendant 1 an. La mission de l'administration informatique est quotidienne. Les attaques se déroulent 24/24 et 7/7 ; le risque peut devoir être réévalué et les dispositifs de protection adaptés tous les jours. Je comprends les préoccupations du CAC mais cela ne justifie pas de demander la communication de détails tels que le nom de l'antivirus ou les plans d'adressage des sous-réseaux internes. D'autant moins que ce serait contre-productif car la divulgation d'informations sensibles augmente e risque considéré. --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [MISC] Les cabinets comptables & la cyber
Le 19/02/2024 à 17:04, Vincent Duvernet a écrit : Bonjour, J'avais déjà eu le cas il y a quelques temps avec un groupe Japonais mais là, ça fait 2 clients FR avec la même approche (visiblement par 2 cabinets différents). Leur commissaire aux comptes demande une évaluation des risques cyber'. Hello, Les mêmes qui mettent toutes les données financières stratégiques de leurs clients sur office.com et balancent des ordres par mail sans chiffrement ? ;) @+ Gilou --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Les cabinets comptables & la cyber
Je suis un ancien geek passé de l'autre côté de la rivière (plutôt côté audit généraliste que CaC)... Ce qui me donne un aperçu de l'attendu. Je doute que le CaC s'intéresse réellement au fond du problème. Son objetif encore une fois est d'avoir ce qu'on apelle une assurance raisonnable. Peu importe la solution mise en place: ce qui importe, c'est que l'ensemble de la ligne, y compris les sous traitants de rang X, aient mis en place des mesures offrants cette assurance. De ce fait, bien que les suggestions d'aller plus au fond du sujet soient, de notre point de vue de geek, intéressantes, car se recentrant sur la réalité de la problématique, elles ne me semblent pas pertinentes pour répondre à la question du CaC. Donnons ce qui leur est nécessaire. Et ce qui est nécessaire, c'est ce que l'entreprise ne peut ignorer en terme de bonne pratique, c'est à dire aujourd'hui les recommandations de l'anssi (considérées tant dans le milieu de l'audit que des CaC comme le Graal). Si vos réponses permettent de couvrir l'inquiétude quant à leur bonne prise en compte, vous n'aurez pas d'autre diligences. Et de mon expérience, il n'est pas si compliqué d'y repondre sans divulguer votre topologie de réseau interne ni les solutions en place. Si vous avez régulièrement ce type de requêtes, ce qui peut être le cas si vous êtes sous traitant sur de nombreuses entreprises cotées, vous pouvez utilement répondre en mettant face à chaque recommandation anssi votre parade, et envoyer ce doc générique comme reponse à toute sollicitation (et indépendemlent de la demande des CaC, c'est un relativement bon exercice pour challenger votre mise en place). Il ne faut pas prendre les CAC pour plus bêtes qu'il ne le sont : ces questions qui semblent tout droit sorties de google translator sont leur manière d'obtenir des réponses concrètes de la part d'entités n'ayant pas forcément votre vision globale des choses, et qui "rentre" dans leurs cases. Nombreuses restent les entreprises confiant leur sécurité SI à Duchmole, ancien responsable du nettoyage de surface... Je ne doute pas que cette position évoluera dans les dix/vingt années à venir, selon l'équilibre des risques, tout comme les gros bureau de CaC ont désormais des spécialistes sur les risques marchés, les risques images... Que la force soit avec vous, Charles Bonnet. 19 févr. 2024 17:50:27 Vincent Duvernet : > Bonjour, > > Merci pour cette réponse de l'autre côté de la rivière, c'est très > intéressant et instructif. > Je ne savais pas qu'il y avait des non geek par ici ^^. > > Je comprends mieux l'objet de leur demande. > > Et au final, comme prévu, une partie des informations ne sont pas divulguées > et le reste est du coup assez vide de sens. > > Comment faire évoluer la situation sans faire bondir les admins réseaux ? > Voici mes 2 cts : > Un questionnaire en ligne anonymisé sauf en dernière partie afin de générer > un "scoring" avec le nom de l'entreprise par catégorie (accès distant, > visiteurs, utilisateurs, cloud...) ça pourrait faire sens. Ça permet de poser > des questions techniques pointues sans que le site ne fasse de rétention > (donc faut un site de confiance on est bien d'accord). > Est-ce que c'est suffisant ? probablement pas mais ça donnerait l'impression > de faire quelque chose un minimum qualitatif plutôt que de remplir un fichier > Excel à la con en me faisant perdre mon temps. > > Vincent > > > -Message d'origine- > De : frnog-requ...@frnog.org De la part de Bertrand > FRUCHET via frnog > Envoyé : lundi 19 février 2024 17:42 > À : frnog@frnog.org > Objet : Re: [FRnOG] [TECH] Les cabinets comptables & la cyber > > Bonjour la liste, > > Comme nous sommes une filiale d'un cabinet d'expertise comptable, je vous > apporte notre vision. > > La mission de commissariat aux comptes (dévolue aux experts-comptables dûment > accrédités par le conseil de l'ordre des experts-comptables) doit déterminer > les risques encourus par l'entreprise. Le risque cyber fait partie de la > mission dans son assertion économique : quel risque financier l'entreprise > auditée prend-elle eu égard à son plan de protection et de continuité > informatique. > > Cette demande n'est absolument pas technique (et c'est bien le problème). > Comment un expert-comptable, qui n'a pas ou très peu de compétences > numériques professionnelles, peut-il juger du niveau de risque encouru par > son client ? > > De ce fait, on en arrive à des questions idiotes du genre quel est le nom de > votre antivirus, avez-vous un pare-feu, faites-vous des sauvegardes ? > > Je plussoie sur l’honnêteté sans pour autant divulguer d'informations > sensibles. L'objectif pour le commissaire aux comptes est d'identifier un > risque potentiel et donc de mettre de l'argent de côté ( sous forme de > provisions pour risques) pour financer les opérations de sécurisation ou > d'amélioration des plans de reprise ou de continuité en cas d'incident majeur. > >
Re: [FRnOG] [TECH] Les cabinets comptables & la cyber
Merci charles pour e recentrage du sujet. Par ma propre expérience, en tant qu'auditeur pour le compte d'un CAC, ce qui est attendu est l'identification d'un risque numérique pouvant porter préjudice à l'entreprise. si vous êtes sollicité pour fournir des informations, elles doivent permettre au Commissaire aux comptes de déterminer si le risque est avéré, envisageable, sans objet, insignifiant, etc mais vous ne devez pas occulter les possibles manquements. Il vaut mieux surestimer un risque car votre expertise technique vous amène à douter plutôt que de minimiser ce même risque parce que vous ne voulez pas annoncer que vous n'avez pas engager telle ou telle mesure ou solution technique. La mission du CAC est annuelle, le risque sera réévalué l'année suivante mais si vous l'avez occulté, vous participez sans le savoir à l'absence de protection car il n'y aura pas de thésaurisation interne à l'entreprise pour pallier à ce risque pendant 1 an. Le rôle de conseiller technique du CAC est ingrat mais je commence toujours par dire qu'il s'agit d'estimer si il faut mettre en place une ligne budgétaire pour éviter la catastrophe Et nous savons tous à quel point certains de nos clients sont pingres en matière de risque non encore vécu. Croyez-moi, lorsque le risque se transforme en catastrophe, ils changent de vision. Bertrand Le 19/02/2024 à 20:55, Intermi Charles a écrit : Je crois que ce qu'est la mission du CAC a été un peu perdue dans ces échanges... Il faut rapeller que l'entreprise est son client. Que ce soit en direct, ou envers ses actionnaires/parties prenantes. Cette entreprise lui confie la mission de s'assurer, avec son regard externe et impartial, de la conformité des actions réalisées, notamment en terme de couverture des risques. C'est de ça dont on parle ici: le CAC posera les questions lui permettant de donner une "assurance raisonnable" de la bonne gestion de ce risque, au dirigeant, aux actionnaires (ou autres parties prenantes, dont toujours l'État, ne serait ce que pour des questions de préservation de l'emploi ;) ). Face à un soucis, ce qui sera questionné sont les moyens mis en oeuvre pour parer au risque: donc avoir un antivirus, parefeu, solution de sauvegarde, des séparations de reseaux,... Bref, pas compliqué il suffit de reprendre les todo list de l'anssi à ce sujet. La qualité de la mise en place importe relativement peu, puisqu'on ne parle pas d'obligation de résultat. Dans vos réponses, soyez donc juste assez precis pour qu'il n'y ait pas de doute que ces préconisations soient mises en place. Nul besoin de specifier ce qu'il y a dedans... Ex: reseau, juste confirmer que les sous reseaux sont bien séparées. Antivirus, préciser qu'il y en a un, et idéalement si il a fait l'objet d'une certification. Ce genre de chose suffit en général largement, tant pour donner cette assurance raisonnable au CAC que pour en effet éviter de trop faciliter le travail d'un éventuel malveillant. Apres je rejoins des commentaires précédents : un malveillant avec toutes les données du CAC a plus intérêt à s'attaquer à la partie business/finance... Charles Bonnet. 19 févr. 2024 19:30:01 LPR du CTV : Bonsoir, Ce mail de retour du 19/02/2024 notifie en particulier: (cf. mail ID ): Moi ça me questionne que l'on place sa confiance dans un tiers pour lui refiler une vision financière aussi complète que celle que peut avoir un expert-comptable sur la liste des fournisseurs et des clients d'une structure et en même temps paranoïer sur le nom de l'antivirus utilisé dans la boite sans se dire à un moment qu'il y a comme un petit hiatus. (sic) Moi ça me questionne aussi sur du pompage de données. Avec attentions, -- Michel Soleilhavoup · Guichet terminal LPR du CTV --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Les cabinets comptables & la cyber
Le 19/02/2024 à 17:04, Vincent Duvernet a écrit : Est-ce que c'est juste moi qui suis trop old school pour ne pas vouloir divulguer des informations à un tiers de "semi-confiance" potentiellement exploitables pour une attaque ? Si le contrat signé avec le client ne comporte aucune mention obligeant à ce genre de communication (et avec à minima un NDA si c'est le cas), tri vertical direct de la demande. Halte à la technostructure écrasante ! :p OpenPGP_signature.asc Description: OpenPGP digital signature
Re: [FRnOG] [TECH] Les cabinets comptables & la cyber
Le 19/02/2024 à 17:04, Vincent Duvernet a écrit : Bonjour, J'avais déjà eu le cas il y a quelques temps avec un groupe Japonais mais là, ça fait 2 clients FR avec la même approche (visiblement par 2 cabinets différents). Leur commissaire aux comptes demande une évaluation des risques cyber'. On se tape des questions plus ou moins débiles / mal traduites du type : - Une solution antivirus est-elle installée sur chaque poste de l'entreprise ? Est-elle mise à jour régulièrement ? - La porte vers internet a-t-elle un pare-feu configuré ? Quels protocoles sont filtrés/interdits ? (ICMP, TCP, UDP,) [éviter nmap, SSH ou RDP .] Et d'autres plus sensibles : - Quels sont les sous-réseaux, leur IP et leur fonction ? - Quels sont les outils (logiciels) mis en place pour la connexion à distance pour le télétravail ? Là franchement, ça me hérisse le poil. Est-ce que c'est juste moi qui suis trop old school pour ne pas vouloir divulguer des informations à un tiers de "semi-confiance" potentiellement exploitables pour une attaque ? Pas du tout et tu as bien raison de ne pas vouloir divulguer des informations sensibles ! Quels sont vos retours sur la question ? Merci, Vincent --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Les cabinets comptables & la cyber
Le 19/02/2024 à 17:15, Léo El Amri via frnog a écrit : La sécurité par l'obscurité n'a jamais protégé personne Mais bien sûr que si et c'est même une des méthodes les plus efficaces ; ce ne doit juste pas être la seule sinon elle est effectivement complètement inefficace. Les méthodes d'attaques basées sur la description des dispositifs de sécurité s'apparentent à l'ingénierie sociale. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Les cabinets comptables & la cyber
Je crois que ce qu'est la mission du CAC a été un peu perdue dans ces échanges... Il faut rapeller que l'entreprise est son client. Que ce soit en direct, ou envers ses actionnaires/parties prenantes. Cette entreprise lui confie la mission de s'assurer, avec son regard externe et impartial, de la conformité des actions réalisées, notamment en terme de couverture des risques. C'est de ça dont on parle ici: le CAC posera les questions lui permettant de donner une "assurance raisonnable" de la bonne gestion de ce risque, au dirigeant, aux actionnaires (ou autres parties prenantes, dont toujours l'État, ne serait ce que pour des questions de préservation de l'emploi ;) ). Face à un soucis, ce qui sera questionné sont les moyens mis en oeuvre pour parer au risque: donc avoir un antivirus, parefeu, solution de sauvegarde, des séparations de reseaux,... Bref, pas compliqué il suffit de reprendre les todo list de l'anssi à ce sujet. La qualité de la mise en place importe relativement peu, puisqu'on ne parle pas d'obligation de résultat. Dans vos réponses, soyez donc juste assez precis pour qu'il n'y ait pas de doute que ces préconisations soient mises en place. Nul besoin de specifier ce qu'il y a dedans... Ex: reseau, juste confirmer que les sous reseaux sont bien séparées. Antivirus, préciser qu'il y en a un, et idéalement si il a fait l'objet d'une certification. Ce genre de chose suffit en général largement, tant pour donner cette assurance raisonnable au CAC que pour en effet éviter de trop faciliter le travail d'un éventuel malveillant. Apres je rejoins des commentaires précédents : un malveillant avec toutes les données du CAC a plus intérêt à s'attaquer à la partie business/finance... Charles Bonnet. 19 févr. 2024 19:30:01 LPR du CTV : > Bonsoir, > > Ce mail de retour du 19/02/2024 notifie en particulier: > (cf. mail ID ): >> Moi ça me questionne que l'on place sa confiance dans un tiers pour lui >> refiler une vision financière aussi complète que celle que peut avoir un >> expert-comptable sur la liste des fournisseurs et des clients d'une structure >> et en même temps paranoïer sur le nom de l'antivirus utilisé dans la boite >> sans se dire à un moment qu'il y a comme un petit hiatus. >> (sic) > Moi ça me questionne aussi sur du pompage de données. > > Avec attentions, > -- > Michel Soleilhavoup · Guichet terminal > > LPR du CTV > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re[2]: [FRnOG] [TECH] Les cabinets comptables & la cyber
Bonsoir, Ce mail de retour du 19/02/2024 notifie en particulier: (cf. mail ID ): > Moi ça me questionne que l'on place sa confiance dans un tiers pour lui > refiler une vision financière aussi complète que celle que peut avoir un > expert-comptable sur la liste des fournisseurs et des clients d'une structure > et en même temps paranoïer sur le nom de l'antivirus utilisé dans la boite > sans se dire à un moment qu'il y a comme un petit hiatus. > (sic) Moi ça me questionne aussi sur du pompage de données. Avec attentions, -- Michel Soleilhavoup · Guichet terminal LPR du CTV --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Les cabinets comptables & la cyber
> Le 19 févr. 2024 à 19:02, Christophe Moille a écrit : > > Moi ça me questionne que l'on place sa confiance dans un tiers pour lui > refiler une vision financière aussi complète que celle que peut avoir un > expert-comptable sur la liste des fournisseurs et des clients d'une structure > et en même temps paranoïer sur le nom de l'antivirus utilisé dans la boite > sans se dire à un moment qu'il y a comme un petit hiatus. > Ouahhh la perche, je la saisis au vol :) Alors, à ce sujet, on parle de Chorus Pro ? David --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Les cabinets comptables & la cyber
Le lundi 19 févr. 2024 à 16:49:52 (+), Vincent Duvernet a écrit : > > Comment faire évoluer la situation sans faire bondir les admins réseaux ? > Voici mes 2 cts : > Un questionnaire en ligne anonymisé sauf en dernière partie afin de générer > un "scoring" avec le nom de l'entreprise par catégorie (accès distant, > visiteurs, utilisateurs, cloud...) ça pourrait faire sens. Ça permet de poser > des questions techniques pointues sans que le site ne fasse de rétention > (donc faut un site de confiance on est bien d'accord). > Est-ce que c'est suffisant ? probablement pas mais ça donnerait l'impression > de faire quelque chose un minimum qualitatif plutôt que de remplir un fichier > Excel à la con en me faisant perdre mon temps. Moi ça me questionne que l'on place sa confiance dans un tiers pour lui refiler une vision financière aussi complète que celle que peut avoir un expert-comptable sur la liste des fournisseurs et des clients d'une structure et en même temps paranoïer sur le nom de l'antivirus utilisé dans la boite sans se dire à un moment qu'il y a comme un petit hiatus. -- The difference between a democracy and a dictatorship is that in a democracy you vote first and take orders later; in a dictatorship you don't have to waste your time voting. - Charles Bukowski --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Les cabinets comptables & la cyber
Excellente réponse ! On Mon, Feb 19, 2024, 17:40 Bertrand FRUCHET via frnog wrote: > Bonjour la liste, > > Comme nous sommes une filiale d'un cabinet d'expertise comptable, je > vous apporte notre vision. > > La mission de commissariat aux comptes (dévolue aux experts-comptables > dûment accrédités par le conseil de l'ordre des experts-comptables) doit > déterminer les risques encourus par l'entreprise. Le risque cyber fait > partie de la mission dans son assertion économique : quel risque > financier l'entreprise auditée prend-elle eu égard à son plan de > protection et de continuité informatique. > > Cette demande n'est absolument pas technique (et c'est bien le > problème). Comment un expert-comptable, qui n'a pas ou très peu de > compétences numériques professionnelles, peut-il juger du niveau de > risque encouru par son client ? > > De ce fait, on en arrive à des questions idiotes du genre quel est le > nom de votre antivirus, avez-vous un pare-feu, faites-vous des sauvegardes > ? > Ce ne sont pas des questions idiotes, loin de là : elles sont en fait destinées à déterminer un niveau de risque R pour une entreprise donnée. Et R doit faire l'objet d'une évaluation "objective" par une personne non spécialiste. Par contre, c'est ce que j'appelle de la sécurité "théorique" : ce n'est qu'une longue liste de cases à cocher. Arrivé à la fin de la liste, on fait une addition de toutes les cases cochées et, hop ! On a une couverture de risque R... Qui ne tiens pas compte de la réalité technique du terrain. Prenons la sauvegarde, on va demander si vous en faites. Case à cocher. Les petits malins demanderont aussi si on teste les sauvegardes. 2eme case à cocher. Mais, comme tout le monde, je me suis retrouvé, au moment critique... devant des sauvegardes qui ne marchaient pas. Et là, il n'y a pas de case à cocher. Je plussoie sur l’honnêteté sans pour autant divulguer d'informations > sensibles. L'objectif pour le commissaire aux comptes est d'identifier > un risque potentiel et donc de mettre de l'argent de côté ( sous forme > de provisions pour risques) pour financer les opérations de sécurisation > ou d'amélioration des plans de reprise ou de continuité en cas > d'incident majeur. > C'est exactement cela : identification des risques potentiels. Et le problème vient bien du manque de compétences techniques de certains, dont ce n'est pas le métier de faire de la sécurité informatique. Tout le monde copie bêtement les mêmes 20 ou 30 questions, vérifie le score total et classe tout ça jusqu'à l'année suivante et le cycle recommence. Protéger ses arrières, tout ça... --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Les cabinets comptables & la cyber
Il est de l'obligationnde tout controleur de donnees de signer un accord de traitement de sonnees avex ses sous-traitants et s'assurer de la securite des traitements. Mais l'obligation dr transparence s'arrete la. On Mon, Feb 19, 2024 at 4:59 PM Paul Rolland (ポール・ロラン) wrote: > Bonjour, > > On Mon, 19 Feb 2024 16:49:52 + > Vincent Duvernet wrote: > > > Un questionnaire en ligne anonymisé sauf en dernière partie afin de > > générer un "scoring" avec le nom de l'entreprise par catégorie (accès > > distant, visiteurs, utilisateurs, cloud...) ça pourrait faire sens. Ça > > permet de poser des questions techniques pointues sans que le site ne > > fasse de rétention (donc faut un site de confiance on est bien d'accord). > > Il y a deja des business qui se sont positionnes, demande a Google, il va > t'en trouver des tas. > Un exemple parmi tant d'autres : Cybervadis (aucun lien avec eux, c'est pas > une pub deguisee, je touche rien, pas d'action, blah blah blah ;). > > Paul > > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > -- Privacy and Data Protection - LLM GDPR Compliance Voted Privacy Hero of the Year KingstonCognate Top 50 Global Experts The information contained in this e-mail message is intended only for the personal and confidential use of the recipient(s) named above. If the reader of this message is not the intended recipient or an agent responsible for delivering it to the intended recipient, you are hereby notified that you have received this document in error and that any review, dissemination, distribution, or copying of this message is strictly prohibited. If you have received this communication in error, please notify us immediately by e-mail, and delete the original message. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Les cabinets comptables & la cyber
Bonjour, On Mon, 19 Feb 2024 16:49:52 + Vincent Duvernet wrote: > Un questionnaire en ligne anonymisé sauf en dernière partie afin de > générer un "scoring" avec le nom de l'entreprise par catégorie (accès > distant, visiteurs, utilisateurs, cloud...) ça pourrait faire sens. Ça > permet de poser des questions techniques pointues sans que le site ne > fasse de rétention (donc faut un site de confiance on est bien d'accord). Il y a deja des business qui se sont positionnes, demande a Google, il va t'en trouver des tas. Un exemple parmi tant d'autres : Cybervadis (aucun lien avec eux, c'est pas une pub deguisee, je touche rien, pas d'action, blah blah blah ;). Paul --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Les cabinets comptables & la cyber
Bonjour, - Quels sont les sous-réseaux, leur IP et leur fonction ? > - Quels sont les outils (logiciels) mis en place pour la connexion à > distance pour le télétravail ? > Je vous conseille d'en dire le moins possible, car au fil des ans ils en demandent de plus en plus tout en comprenant de moins en moins. --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] Les cabinets comptables & la cyber
Bonjour, Merci pour cette réponse de l'autre côté de la rivière, c'est très intéressant et instructif. Je ne savais pas qu'il y avait des non geek par ici ^^. Je comprends mieux l'objet de leur demande. Et au final, comme prévu, une partie des informations ne sont pas divulguées et le reste est du coup assez vide de sens. Comment faire évoluer la situation sans faire bondir les admins réseaux ? Voici mes 2 cts : Un questionnaire en ligne anonymisé sauf en dernière partie afin de générer un "scoring" avec le nom de l'entreprise par catégorie (accès distant, visiteurs, utilisateurs, cloud...) ça pourrait faire sens. Ça permet de poser des questions techniques pointues sans que le site ne fasse de rétention (donc faut un site de confiance on est bien d'accord). Est-ce que c'est suffisant ? probablement pas mais ça donnerait l'impression de faire quelque chose un minimum qualitatif plutôt que de remplir un fichier Excel à la con en me faisant perdre mon temps. Vincent -Message d'origine- De : frnog-requ...@frnog.org De la part de Bertrand FRUCHET via frnog Envoyé : lundi 19 février 2024 17:42 À : frnog@frnog.org Objet : Re: [FRnOG] [TECH] Les cabinets comptables & la cyber Bonjour la liste, Comme nous sommes une filiale d'un cabinet d'expertise comptable, je vous apporte notre vision. La mission de commissariat aux comptes (dévolue aux experts-comptables dûment accrédités par le conseil de l'ordre des experts-comptables) doit déterminer les risques encourus par l'entreprise. Le risque cyber fait partie de la mission dans son assertion économique : quel risque financier l'entreprise auditée prend-elle eu égard à son plan de protection et de continuité informatique. Cette demande n'est absolument pas technique (et c'est bien le problème). Comment un expert-comptable, qui n'a pas ou très peu de compétences numériques professionnelles, peut-il juger du niveau de risque encouru par son client ? De ce fait, on en arrive à des questions idiotes du genre quel est le nom de votre antivirus, avez-vous un pare-feu, faites-vous des sauvegardes ? Je plussoie sur l’honnêteté sans pour autant divulguer d'informations sensibles. L'objectif pour le commissaire aux comptes est d'identifier un risque potentiel et donc de mettre de l'argent de côté ( sous forme de provisions pour risques) pour financer les opérations de sécurisation ou d'amélioration des plans de reprise ou de continuité en cas d'incident majeur. Bertrand Le 19/02/2024 à 17:24, Noryungi a écrit : > Questions standards (et, effectivement, mal traduites) dans un cadre > d'analyse de risque et/ou d'audit de type ISO 9001, 27001 out encore > PCI/DSS. > > Pour information, un audit de ce type porte, non seulement sur > l'entreprise X, mais aussi sur ses prestataires. Si vous êtes > prestataire de X... On vous posera ces questions. > > Mon conseil est de répondre le plus honnêtement possible, en évitant > effectivement de divulguer toute information sensible pour la > sécurité. Une cartographie des réseaux, par exemple, devrait être > classée, dans la réponse envoyée à X, comme "information interne à > l'entreprise, non communicable (à X) sauf signature d'un accord de > confidentialité". Et on reste là. > > C'était mes deux centimes d'euros. > > On Mon, Feb 19, 2024, 17:16 David Ponzone wrote: > >> Ben t’as qu’à mentir. >> >> Sinon, c’est quoi l’obligation de répondre ? >> Parce bon, je vois pas bien le rôle du CAC dans la cybersécurité de >> l’entreprise. >> Ca serait pas une merde qui vient du ministère pour faire des jolies >> stats et des beaux graphiques démontrant que la France est prête pour la >> guerre ? >> >> David >> >>> Le 19 févr. 2024 à 17:04, Vincent Duvernet >>> >> a écrit : >>> Bonjour, >>> >>> J'avais déjà eu le cas il y a quelques temps avec un groupe Japonais >> mais là, ça fait 2 clients FR avec la même approche (visiblement par >> 2 cabinets différents). >>> Leur commissaire aux comptes demande une évaluation des risques cyber'. >>> >>> On se tape des questions plus ou moins débiles / mal traduites du type : >>> >>> - Une solution antivirus est-elle installée sur chaque poste de >> l'entreprise ? Est-elle mise à jour régulièrement ? >>> - La porte vers internet a-t-elle un pare-feu configuré ? Quels >> protocoles sont filtrés/interdits ? (ICMP, TCP, UDP,) [éviter nmap, >> SSH ou RDP .] >>> Et d'autres plus sensibles : >>> - Quels sont les sous-réseaux, leur IP et leur fonction ? >>> - Quels sont les outils (logiciels) mis en place pour la connexion à >> distance pour le télétravail ? >>> Là franchement, ça me hérisse le poil. >>> Est-ce que c'est juste moi qui suis trop old school pour ne pas >>> vouloir >> divulguer des informations à un tiers de "semi-confiance" >> potentiellement exploitables pour une attaque ? >>> >>> Quels sont vos retours sur la question ? >>> >>> Merci, >>> >>> Vincent >>> >>> >>> --- >>> Liste de diffusion du FRnOG >>>
Re: [FRnOG] [TECH] Les cabinets comptables & la cyber
On Mon, Feb 19, 2024, 17:29 David Ponzone wrote: > > > Le 19 févr. 2024 à 17:24, Noryungi a écrit : > > > (...) > Et c’est le boulot du CAC ça ? > Dans le cadre d'une analyse de risques, oui, si l'on prend en compte les risques financiers liés à la divulgation d'informations personnelles (RGPD), par exemple. Maintenant, je pense que le CAC il est comme tout le monde : il souhaite surtout protéger ses "arrières". Donc : fournir des éléments de réponse honnêtes est généralement suffisant. Oui, on a un antivirus, oui, il est mis à jour régulièrement, oui, on a des firewalls, etc... Etc... Etc... Il ne faut pas se leurrer : ce genre de questionnaire va se multiplier à l'avenir, parce de plus en plus de politiciens et d'entreprises se rendent compte des risques encourus en connectant tout et n'importe quoi à Internet. Et comme tout le monde cherche à protéger ses arrières... --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Les cabinets comptables & la cyber
Bonjour la liste, Comme nous sommes une filiale d'un cabinet d'expertise comptable, je vous apporte notre vision. La mission de commissariat aux comptes (dévolue aux experts-comptables dûment accrédités par le conseil de l'ordre des experts-comptables) doit déterminer les risques encourus par l'entreprise. Le risque cyber fait partie de la mission dans son assertion économique : quel risque financier l'entreprise auditée prend-elle eu égard à son plan de protection et de continuité informatique. Cette demande n'est absolument pas technique (et c'est bien le problème). Comment un expert-comptable, qui n'a pas ou très peu de compétences numériques professionnelles, peut-il juger du niveau de risque encouru par son client ? De ce fait, on en arrive à des questions idiotes du genre quel est le nom de votre antivirus, avez-vous un pare-feu, faites-vous des sauvegardes ? Je plussoie sur l’honnêteté sans pour autant divulguer d'informations sensibles. L'objectif pour le commissaire aux comptes est d'identifier un risque potentiel et donc de mettre de l'argent de côté ( sous forme de provisions pour risques) pour financer les opérations de sécurisation ou d'amélioration des plans de reprise ou de continuité en cas d'incident majeur. Bertrand Le 19/02/2024 à 17:24, Noryungi a écrit : Questions standards (et, effectivement, mal traduites) dans un cadre d'analyse de risque et/ou d'audit de type ISO 9001, 27001 out encore PCI/DSS. Pour information, un audit de ce type porte, non seulement sur l'entreprise X, mais aussi sur ses prestataires. Si vous êtes prestataire de X... On vous posera ces questions. Mon conseil est de répondre le plus honnêtement possible, en évitant effectivement de divulguer toute information sensible pour la sécurité. Une cartographie des réseaux, par exemple, devrait être classée, dans la réponse envoyée à X, comme "information interne à l'entreprise, non communicable (à X) sauf signature d'un accord de confidentialité". Et on reste là. C'était mes deux centimes d'euros. On Mon, Feb 19, 2024, 17:16 David Ponzone wrote: Ben t’as qu’à mentir. Sinon, c’est quoi l’obligation de répondre ? Parce bon, je vois pas bien le rôle du CAC dans la cybersécurité de l’entreprise. Ca serait pas une merde qui vient du ministère pour faire des jolies stats et des beaux graphiques démontrant que la France est prête pour la guerre ? David Le 19 févr. 2024 à 17:04, Vincent Duvernet a écrit : Bonjour, J'avais déjà eu le cas il y a quelques temps avec un groupe Japonais mais là, ça fait 2 clients FR avec la même approche (visiblement par 2 cabinets différents). Leur commissaire aux comptes demande une évaluation des risques cyber'. On se tape des questions plus ou moins débiles / mal traduites du type : - Une solution antivirus est-elle installée sur chaque poste de l'entreprise ? Est-elle mise à jour régulièrement ? - La porte vers internet a-t-elle un pare-feu configuré ? Quels protocoles sont filtrés/interdits ? (ICMP, TCP, UDP,) [éviter nmap, SSH ou RDP .] Et d'autres plus sensibles : - Quels sont les sous-réseaux, leur IP et leur fonction ? - Quels sont les outils (logiciels) mis en place pour la connexion à distance pour le télétravail ? Là franchement, ça me hérisse le poil. Est-ce que c'est juste moi qui suis trop old school pour ne pas vouloir divulguer des informations à un tiers de "semi-confiance" potentiellement exploitables pour une attaque ? Quels sont vos retours sur la question ? Merci, Vincent --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] Numéros mobile virtuels pour SMS
Le 19/02/2024 à 17:18, David Ponzone a écrit : Globalement, ça va. Quand même des firmware pas secs de temps en temps, une robustesse douteuses du côté des connecteurs antenne, et des bugs étranges quand on fait des conf « complexes » donc je m’en tiens à des choses simples. Pas constaté. Pourtant on a fouillé un peu dans les coins. On sent que c'est du matos à des années lumières des bidules asiatiques coté ruses diverses et outils internes. Avec un vrai souci de satisfaire l'utilisateur qui va vouloir automatiser sérieusement la conf de ces bestioles. Je ne connais que les RUT 200 et équivalents. -- Stéphane Rivière Ile d'Oléron - France --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Les cabinets comptables & la cyber
> Le 19 févr. 2024 à 17:24, Noryungi a écrit : > > Questions standards (et, effectivement, mal traduites) dans un cadre > d'analyse de risque et/ou d'audit de type ISO 9001, 27001 out encore > PCI/DSS. > > Pour information, un audit de ce type porte, non seulement sur l'entreprise > X, mais aussi sur ses prestataires. Si vous êtes prestataire de X... On > vous posera ces questions. > Et c’est le boulot du CAC ça ? --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] Numéros mobile virtuels pour SMS
Le Mon, Feb 19, 2024 at 05:18:11PM +0100, David Ponzone a écrit: > Quand même des firmware pas secs de temps en temps, une robustesse douteuses > du > côté des connecteurs antenne, et des bugs étranges quand on fait des conf « > complexes » donc je m’en tiens à des choses simples. Pas ce soucis là sur les TRM 240 :-D Sur les RUT ok, c'est pas la même. Arnaud. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Les cabinets comptables & la cyber
Le Mon, Feb 19, 2024 at 05:16:00PM +0100, David Ponzone a écrit: > Parce bon, je vois pas bien le rôle du CAC dans la cybersécurité de > l’entreprise. Idem, le CAC, je ne vois pas ce qu'il viendrait faire là-dedans. La DSI ou autre pourquoi pas, mais le CAC, je ne vois pas en quoi le détail précis de la sécurité info viendrait le concerner. Surtout quand ce n'est pas le tien... Perso, je pense que j'enverrai un mail au client en lui disant "salut, je crois que ton CAC s'est planté de destinataire de mail, à mon avis c'est pour toi, le détail de nos propres infras ne le concerne pas". Si ça lui pose un soucis, tu lui transmets une attestation d'assurances couvrant les risques cyber. C'est plutôt ça dont il a besoin... Arnaud. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Les cabinets comptables & la cyber
Questions standards (et, effectivement, mal traduites) dans un cadre d'analyse de risque et/ou d'audit de type ISO 9001, 27001 out encore PCI/DSS. Pour information, un audit de ce type porte, non seulement sur l'entreprise X, mais aussi sur ses prestataires. Si vous êtes prestataire de X... On vous posera ces questions. Mon conseil est de répondre le plus honnêtement possible, en évitant effectivement de divulguer toute information sensible pour la sécurité. Une cartographie des réseaux, par exemple, devrait être classée, dans la réponse envoyée à X, comme "information interne à l'entreprise, non communicable (à X) sauf signature d'un accord de confidentialité". Et on reste là. C'était mes deux centimes d'euros. On Mon, Feb 19, 2024, 17:16 David Ponzone wrote: > Ben t’as qu’à mentir. > > Sinon, c’est quoi l’obligation de répondre ? > Parce bon, je vois pas bien le rôle du CAC dans la cybersécurité de > l’entreprise. > Ca serait pas une merde qui vient du ministère pour faire des jolies stats > et des beaux graphiques démontrant que la France est prête pour la guerre ? > > David > > > Le 19 févr. 2024 à 17:04, Vincent Duvernet > a écrit : > > > > Bonjour, > > > > J'avais déjà eu le cas il y a quelques temps avec un groupe Japonais > mais là, ça fait 2 clients FR avec la même approche (visiblement par 2 > cabinets différents). > > Leur commissaire aux comptes demande une évaluation des risques cyber'. > > > > On se tape des questions plus ou moins débiles / mal traduites du type : > > > > - Une solution antivirus est-elle installée sur chaque poste de > l'entreprise ? Est-elle mise à jour régulièrement ? > > - La porte vers internet a-t-elle un pare-feu configuré ? Quels > protocoles sont filtrés/interdits ? (ICMP, TCP, UDP,) [éviter nmap, SSH ou > RDP .] > > > > Et d'autres plus sensibles : > > - Quels sont les sous-réseaux, leur IP et leur fonction ? > > - Quels sont les outils (logiciels) mis en place pour la connexion à > distance pour le télétravail ? > > > > Là franchement, ça me hérisse le poil. > > Est-ce que c'est juste moi qui suis trop old school pour ne pas vouloir > divulguer des informations à un tiers de "semi-confiance" potentiellement > exploitables pour une attaque ? > > > > > > Quels sont vos retours sur la question ? > > > > Merci, > > > > Vincent > > > > > > --- > > Liste de diffusion du FRnOG > > http://www.frnog.org/ > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Les cabinets comptables & la cyber
Hello, > Ben t’as qu’à mentir. Ou censurer comme dans les documents militaire? :D > Sinon, c’est quoi l’obligation de répondre ? > Parce bon, je vois pas bien le rôle du CAC dans la cybersécurité de > l’entreprise. > Ca serait pas une merde qui vient du ministère pour faire des jolies stats et > des beaux graphiques démontrant que la France est prête pour la guerre ? Plus sérieusement, un bon NDA avec dans ce NDA l'obligation de ne pas stocker ces informations sur un cloud "public" ou semi public, que seules les personnes ayant un niveau de sécurité supérieur X ou Y puisse le lire avec destruction des données ... (ça serait un bel exercice pour un avocat de monter un truc comme ça...). Un moment on peux comprendre que la méfiance dans la structure de gestion des données soient mise à l'épreuve avec les problèmes récents, mais c'est également valable pour celui qui demande. /Xavier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] Numéros mobile virtuels pour SMS
Globalement, ça va. Quand même des firmware pas secs de temps en temps, une robustesse douteuses du côté des connecteurs antenne, et des bugs étranges quand on fait des conf « complexes » donc je m’en tiens à des choses simples. > Le 19 févr. 2024 à 17:13, Stéphane Rivière a écrit : > > >> Teltonika TRM 240 ! > Teltonika, super matos. Un plaisir de bosser avec ça. (ici RUT 200 et > dérivés). > > -- > Stéphane Rivière > Ile d'Oléron - France > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Les cabinets comptables & la cyber
Ben t’as qu’à mentir. Sinon, c’est quoi l’obligation de répondre ? Parce bon, je vois pas bien le rôle du CAC dans la cybersécurité de l’entreprise. Ca serait pas une merde qui vient du ministère pour faire des jolies stats et des beaux graphiques démontrant que la France est prête pour la guerre ? David > Le 19 févr. 2024 à 17:04, Vincent Duvernet a > écrit : > > Bonjour, > > J'avais déjà eu le cas il y a quelques temps avec un groupe Japonais mais là, > ça fait 2 clients FR avec la même approche (visiblement par 2 cabinets > différents). > Leur commissaire aux comptes demande une évaluation des risques cyber'. > > On se tape des questions plus ou moins débiles / mal traduites du type : > > - Une solution antivirus est-elle installée sur chaque poste de l'entreprise > ? Est-elle mise à jour régulièrement ? > - La porte vers internet a-t-elle un pare-feu configuré ? Quels protocoles > sont filtrés/interdits ? (ICMP, TCP, UDP,) [éviter nmap, SSH ou RDP .] > > Et d'autres plus sensibles : > - Quels sont les sous-réseaux, leur IP et leur fonction ? > - Quels sont les outils (logiciels) mis en place pour la connexion à distance > pour le télétravail ? > > Là franchement, ça me hérisse le poil. > Est-ce que c'est juste moi qui suis trop old school pour ne pas vouloir > divulguer des informations à un tiers de "semi-confiance" potentiellement > exploitables pour une attaque ? > > > Quels sont vos retours sur la question ? > > Merci, > > Vincent > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Les cabinets comptables & la cyber
On 19/02/2024 17:04, Vincent Duvernet wrote: Bonjour, J'avais déjà eu le cas il y a quelques temps avec un groupe Japonais mais là, ça fait 2 clients FR avec la même approche (visiblement par 2 cabinets différents). Leur commissaire aux comptes demande une évaluation des risques cyber'. On se tape des questions plus ou moins débiles / mal traduites du type : - Une solution antivirus est-elle installée sur chaque poste de l'entreprise ? Est-elle mise à jour régulièrement ? - La porte vers internet a-t-elle un pare-feu configuré ? Quels protocoles sont filtrés/interdits ? (ICMP, TCP, UDP,) [éviter nmap, SSH ou RDP .] Et d'autres plus sensibles : - Quels sont les sous-réseaux, leur IP et leur fonction ? - Quels sont les outils (logiciels) mis en place pour la connexion à distance pour le télétravail ? Là franchement, ça me hérisse le poil. Est-ce que c'est juste moi qui suis trop old school pour ne pas vouloir divulguer des informations à un tiers de "semi-confiance" potentiellement exploitables pour une attaque ? Quels sont vos retours sur la question ? Je ne sais pas ce que dit le droit international, mais pour moi il est hors de question de fournir un plan de mon réseau interne. Communiquer grossièrement quelles sont les mesures de sécurité mises en place, quelles sont les méthodes d'accès aux données pour les collaborateurs, ou comment on gère les droits d'accès en interne, pas de problème. Mais donner le détail de _quel_ anti-virus est installé, c'est trop. La sécurité par l'obscurité n'a jamais protégé personne, mais faut pas déconner quand même. Ils n'ont pas besoin de savoir tout ça. Il me semble que même les banques françaises ne demandent pas ça à leurs prestataires. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] Numéros mobile virtuels pour SMS
Teltonika TRM 240 ! Teltonika, super matos. Un plaisir de bosser avec ça. (ici RUT 200 et dérivés). -- Stéphane Rivière Ile d'Oléron - France --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [TECH] Les cabinets comptables & la cyber
Bonjour, J'avais déjà eu le cas il y a quelques temps avec un groupe Japonais mais là, ça fait 2 clients FR avec la même approche (visiblement par 2 cabinets différents). Leur commissaire aux comptes demande une évaluation des risques cyber'. On se tape des questions plus ou moins débiles / mal traduites du type : - Une solution antivirus est-elle installée sur chaque poste de l'entreprise ? Est-elle mise à jour régulièrement ? - La porte vers internet a-t-elle un pare-feu configuré ? Quels protocoles sont filtrés/interdits ? (ICMP, TCP, UDP,) [éviter nmap, SSH ou RDP .] Et d'autres plus sensibles : - Quels sont les sous-réseaux, leur IP et leur fonction ? - Quels sont les outils (logiciels) mis en place pour la connexion à distance pour le télétravail ? Là franchement, ça me hérisse le poil. Est-ce que c'est juste moi qui suis trop old school pour ne pas vouloir divulguer des informations à un tiers de "semi-confiance" potentiellement exploitables pour une attaque ? Quels sont vos retours sur la question ? Merci, Vincent --- Liste de diffusion du FRnOG http://www.frnog.org/
