Bonjour à tous !
Je suis régulièrement amené à répondre à des questionnaires de sécurité
pour des clients qui ne savent pas y répondre ou qui n'ont pas le temps d'y
répondre. J'ai travaillé avec une entreprise qui soumettait à l'ensemble de
ses fournisseurs ce type de questionnaire car elle était victime
d'incidents de sécurité 3x par semaine par le biais de fournisseurs (jamais
les mêmes bien entendu). Son objectif était triple :
- Mesurer le niveau risque cyber de ses fournisseurs
- Fournir à ses fournisseurs les plus en retard sur le sujet quelques
guideline afin qu'ils puissent diminuer leur niveau de risque cyber
- Réduire son propre niveau de risque
L'objectif final de ces questionnaires n'est donc pas d'avoir des réponses
positives à l'ensemble des questions (d'ailleurs une réponse positive à
l'une des questions sans justification ne vaut rien) mais plutôt d'avoir
une compréhension du niveau de risque de l'entreprise auditée par rapport à
son contexte.
Si nous reprenons la question bateau de l'installation d'un antivirus sur
l'ensemble des équipements d'un SI la réponse pourra être déclinée en
plusieurs points. Voici un exemple applicable à une usine :
- La règle : L'ensemble du parc informatique est couvert par une
protection antivirale
- L'exception : N équipements industriels n'ont pas de protection
antivirale car toute installation d'un logiciel non validé par le fabricant
de l'équipement ferait perdre la garantie de l'équipement
- Les moyens de mitigations : Afin de limiter le risque de contamination
de l'équipement, les ports USB ont été bloqué, il a été mis dans un
sous-réseau spécifique, seul les flux réseaux strictement nécessaires ont
été autorisé depuis et vers l'équipement
- La documentation : Pour plus d'information se référer aux politiques
A,B,C et procédures D et E
- Les preuves : Voici des captures d'écrans montrant que la couverture
antivirale est bien activée sur les équipements couverts (le type de preuve
et le nombre de screenshot à fournir va dépendre du nombre d'équipements à
protéger)
Autre question qui revient souvent, elle concerne la gestion et la
sécurisation des téléphones mobiles. Les entreprises n'ayant pas de parc de
téléphone cellulaire sous gestion répondent à la négative à la question en
expliquant que leurs salariés n'ont pas de téléphone mobile professionnel
et qu'ils n'utilisent pas leurs téléphones personnels à des fins
professionnels. Une réponse de ce type suffit à passer l'assessment.
L'important étant de pouvoir justifier les réponses de sorte à montrer que
la cybersécurité est sous contrôle. Cela permet ensuite à l'entité ayant
soumis le questionnaire d'avoir une idée de la maturité cyber de
l'entreprise par rapport au contexte de l'entité audité. Les auditeurs
savent pertinemment que l'ensemble des questions ne sont pas applicables à
l'ensemble des entreprises.
La méthode n'est pas parfaite mais il faut bien commencer quelque part...
Bon dimanche à tous !
Azwaw
Le sam. 24 févr. 2024 à 22:29, Arnaud FEIX a écrit :
> Salut,
>
> J’ai pas compris (2nd degré) tu as déjà eu un audit des cac ? (Vrai
> question ?) ou on est sur une hyperbole ?
>
>
> Envoyé de mon iPhone
>
> > Le 24 févr. 2024 à 22:00, Radu-Adrian Feurdean <
> fr...@radu-adrian.feurdean.net> a écrit :
> >
> > On Sat, Feb 24, 2024, at 19:57, Arnaud Feix wrote:
> >> Alors oui cela peut être agaçant d’être audité mais c’est comme ça, il
> >> y a des réglementation et celles-ci imposent des audits externes :
> >> PCIDSS - ACPR - DORA - NISv2 par exemple.
> >
> > PCIDSS par votre agence de publicite/marketing, ca devrait etre TRES
> interessant.
> > Ou si vous avez des distributeurs de boissons, NISv2 gere par le meme
> prestataire
> > C'est un peu ca les CAC qui se melent a la "cyber-securite".
> > Il peut y avoir pire, tout confier a son assureur...
> >
> >
> > ---
> > Liste de diffusion du FRnOG
> > http://www.frnog.org/
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>
---
Liste de diffusion du FRnOG
http://www.frnog.org/
