Encore une fois, on va voir se pointer un raz de marée de réglementations s’abattre sur l’entreprise lambda, alors qu’on peut se demander si Viamedis avait eu le moindre audit avant de se faire trouer et piquer 33M de numéros de sécu (ils viennent seulement de mettre en place une authentification 2FA sur leur portail en utilisant la brique b2clogin.com <http://b2clogin.com/> de Azure).
Et dans le questionnaire, le CAC interroge les RH sur le process départ et la gestion des conflits? Parce qu’il me semble que la majorité des fuites viennent de l’intérieur. David > Le 20 févr. 2024 à 09:51, Maxime DERCHE <max...@mouet-mouet.net> a écrit : > > Le 19/02/2024 à 17:04, Vincent Duvernet a écrit : >> Bonjour, >> J'avais déjà eu le cas il y a quelques temps avec un groupe Japonais mais >> là, ça fait 2 clients FR avec la même approche (visiblement par 2 cabinets >> différents). >> Leur commissaire aux comptes demande une évaluation des risques cyber'. >> On se tape des questions plus ou moins débiles / mal traduites du type : >> - Une solution antivirus est-elle installée sur chaque poste de l'entreprise >> ? Est-elle mise à jour régulièrement ? >> - La porte vers internet a-t-elle un pare-feu configuré ? Quels protocoles >> sont filtrés/interdits ? (ICMP, TCP, UDP,) [éviter nmap, SSH ou RDP .] >> Et d'autres plus sensibles : >> - Quels sont les sous-réseaux, leur IP et leur fonction ? >> - Quels sont les outils (logiciels) mis en place pour la connexion à >> distance pour le télétravail ? >> Là franchement, ça me hérisse le poil. >> Est-ce que c'est juste moi qui suis trop old school pour ne pas vouloir >> divulguer des informations à un tiers de "semi-confiance" potentiellement >> exploitables pour une attaque ? >> Quels sont vos retours sur la question ? >> Merci, >> Vincent > > Ça devient un classique oui, et ça va se durcir : les métiers du numérique > sont devenus des métiers réglementés. > > Le plus simple : > * faire signer un plan d'assurance qualité/sécurité en annexe de chaque > contrat ; > * passer la certification ISO 27001 voire SOC 2 type 2. > > Le plan d'assurance qualité/sécurité te permet de répondre à l'avance aux > questionnaires, la certification montre qu'un tiers de confiance a déjà posé > les questions. > > Concernant le point que tu lèves, les cabinets d'expertise comptable et de > commissariat aux comptes n'ont pas intérêt à jouer avec le feu. Évidemment le > cas des cabinets d'audit style "big 4" est différent, d'autant plus qu'ils > sont soumis au Patriot Act. > > > Bien cordialement, > -- > Maxime DERCHE > OpenPGP public key ID : 0xAE5264B5 > OpenPGP public key fingerprint : 7221 4C4F D57C 456F 8E40 3257 47F7 29A6 AE52 > 64B5 > <https://www.mouet-mouet.net/maxime/blog/> > --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
