Bonjour la liste,
Comme nous sommes une filiale d'un cabinet d'expertise comptable, je
vous apporte notre vision.
La mission de commissariat aux comptes (dévolue aux experts-comptables
dûment accrédités par le conseil de l'ordre des experts-comptables) doit
déterminer les risques encourus par l'entreprise. Le risque cyber fait
partie de la mission dans son assertion économique : quel risque
financier l'entreprise auditée prend-elle eu égard à son plan de
protection et de continuité informatique.
Cette demande n'est absolument pas technique (et c'est bien le
problème). Comment un expert-comptable, qui n'a pas ou très peu de
compétences numériques professionnelles, peut-il juger du niveau de
risque encouru par son client ?
De ce fait, on en arrive à des questions idiotes du genre quel est le
nom de votre antivirus, avez-vous un pare-feu, faites-vous des sauvegardes ?
Je plussoie sur l’honnêteté sans pour autant divulguer d'informations
sensibles. L'objectif pour le commissaire aux comptes est d'identifier
un risque potentiel et donc de mettre de l'argent de côté ( sous forme
de provisions pour risques) pour financer les opérations de sécurisation
ou d'amélioration des plans de reprise ou de continuité en cas
d'incident majeur.
Bertrand
Le 19/02/2024 à 17:24, Noryungi a écrit :
Questions standards (et, effectivement, mal traduites) dans un cadre
d'analyse de risque et/ou d'audit de type ISO 9001, 27001 out encore
PCI/DSS.
Pour information, un audit de ce type porte, non seulement sur l'entreprise
X, mais aussi sur ses prestataires. Si vous êtes prestataire de X... On
vous posera ces questions.
Mon conseil est de répondre le plus honnêtement possible, en évitant
effectivement de divulguer toute information sensible pour la sécurité. Une
cartographie des réseaux, par exemple, devrait être classée, dans la
réponse envoyée à X, comme "information interne à l'entreprise, non
communicable (à X) sauf signature d'un accord de confidentialité". Et on
reste là.
C'était mes deux centimes d'euros.
On Mon, Feb 19, 2024, 17:16 David Ponzone <david.ponz...@gmail.com> wrote:
Ben t’as qu’à mentir.
Sinon, c’est quoi l’obligation de répondre ?
Parce bon, je vois pas bien le rôle du CAC dans la cybersécurité de
l’entreprise.
Ca serait pas une merde qui vient du ministère pour faire des jolies stats
et des beaux graphiques démontrant que la France est prête pour la guerre ?
David
Le 19 févr. 2024 à 17:04, Vincent Duvernet <vincent.duver...@nolme.com>
a écrit :
Bonjour,
J'avais déjà eu le cas il y a quelques temps avec un groupe Japonais
mais là, ça fait 2 clients FR avec la même approche (visiblement par 2
cabinets différents).
Leur commissaire aux comptes demande une évaluation des risques cyber'.
On se tape des questions plus ou moins débiles / mal traduites du type :
- Une solution antivirus est-elle installée sur chaque poste de
l'entreprise ? Est-elle mise à jour régulièrement ?
- La porte vers internet a-t-elle un pare-feu configuré ? Quels
protocoles sont filtrés/interdits ? (ICMP, TCP, UDP,) [éviter nmap, SSH ou
RDP .]
Et d'autres plus sensibles :
- Quels sont les sous-réseaux, leur IP et leur fonction ?
- Quels sont les outils (logiciels) mis en place pour la connexion à
distance pour le télétravail ?
Là franchement, ça me hérisse le poil.
Est-ce que c'est juste moi qui suis trop old school pour ne pas vouloir
divulguer des informations à un tiers de "semi-confiance" potentiellement
exploitables pour une attaque ?
Quels sont vos retours sur la question ?
Merci,
Vincent
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
