On 19/02/2024 17:04, Vincent Duvernet wrote:
Bonjour,
J'avais déjà eu le cas il y a quelques temps avec un groupe Japonais mais là,
ça fait 2 clients FR avec la même approche (visiblement par 2 cabinets
différents).
Leur commissaire aux comptes demande une évaluation des risques cyber'.
On se tape des questions plus ou moins débiles / mal traduites du type :
- Une solution antivirus est-elle installée sur chaque poste de l'entreprise ?
Est-elle mise à jour régulièrement ?
- La porte vers internet a-t-elle un pare-feu configuré ? Quels protocoles sont
filtrés/interdits ? (ICMP, TCP, UDP,) [éviter nmap, SSH ou RDP .]
Et d'autres plus sensibles :
- Quels sont les sous-réseaux, leur IP et leur fonction ?
- Quels sont les outils (logiciels) mis en place pour la connexion à distance
pour le télétravail ?
Là franchement, ça me hérisse le poil.
Est-ce que c'est juste moi qui suis trop old school pour ne pas vouloir divulguer des
informations à un tiers de "semi-confiance" potentiellement exploitables pour
une attaque ?
Quels sont vos retours sur la question ?
Je ne sais pas ce que dit le droit international, mais pour moi il est
hors de question de fournir un plan de mon réseau interne. Communiquer
grossièrement quelles sont les mesures de sécurité mises en place,
quelles sont les méthodes d'accès aux données pour les collaborateurs,
ou comment on gère les droits d'accès en interne, pas de problème. Mais
donner le détail de _quel_ anti-virus est installé, c'est trop. La
sécurité par l'obscurité n'a jamais protégé personne, mais faut pas
déconner quand même. Ils n'ont pas besoin de savoir tout ça. Il me
semble que même les banques françaises ne demandent pas ça à leurs
prestataires.
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
