Le 19/02/2024 à 23:02, Intermi Charles a écrit :
…
les recommandations de l'anssi (considérées tant dans le milieu de l'audit
que des CaC comme le Graal).
C'est d'ailleurs à la base du problème ; les recommandations de l'ANSI ne sont
pas universellement pertinentes ou applicables. Un
Le 19/02/2024 à 22:22, Bertrand FRUCHET via frnog a écrit :
La mission du CAC est annuelle, le risque sera réévalué l'année suivante mais
si vous l'avez occulté, vous participez sans le savoir à l'absence de
protection car il n'y aura pas de thésaurisation interne à l'entreprise pour
Le 19/02/2024 à 17:04, Vincent Duvernet a écrit :
Bonjour,
J'avais déjà eu le cas il y a quelques temps avec un groupe Japonais mais là,
ça fait 2 clients FR avec la même approche (visiblement par 2 cabinets
différents).
Leur commissaire aux comptes demande une évaluation des risques cyber'.
Je suis un ancien geek passé de l'autre côté de la rivière (plutôt côté audit
généraliste que CaC)... Ce qui me donne un aperçu de l'attendu.
Je doute que le CaC s'intéresse réellement au fond du problème. Son objetif
encore une fois est d'avoir ce qu'on apelle une assurance raisonnable. Peu
Merci charles pour e recentrage du sujet.
Par ma propre expérience, en tant qu'auditeur pour le compte d'un CAC,
ce qui est attendu est l'identification d'un risque numérique pouvant
porter préjudice à l'entreprise.
si vous êtes sollicité pour fournir des informations, elles doivent
Le 19/02/2024 à 17:04, Vincent Duvernet a écrit :
Est-ce que c'est juste moi qui suis trop old school pour ne pas vouloir divulguer des
informations à un tiers de "semi-confiance" potentiellement exploitables pour
une attaque ?
Si le contrat signé avec le client ne comporte aucune mention
Le 19/02/2024 à 17:04, Vincent Duvernet a écrit :
Bonjour,
J'avais déjà eu le cas il y a quelques temps avec un groupe Japonais mais là,
ça fait 2 clients FR avec la même approche (visiblement par 2 cabinets
différents).
Leur commissaire aux comptes demande une évaluation des risques
Le 19/02/2024 à 17:15, Léo El Amri via frnog a écrit :
La sécurité par l'obscurité n'a jamais protégé personne
Mais bien sûr que si et c'est même une des méthodes les plus efficaces ; ce ne
doit juste pas être la seule sinon elle est effectivement complètement inefficace.
Les méthodes
Je crois que ce qu'est la mission du CAC a été un peu perdue dans ces
échanges...
Il faut rapeller que l'entreprise est son client. Que ce soit en direct, ou
envers ses actionnaires/parties prenantes. Cette entreprise lui confie la
mission de s'assurer, avec son regard externe et impartial, de
Bonsoir,
Ce mail de retour du 19/02/2024 notifie en particulier:
(cf. mail ID ):
> Moi ça me questionne que l'on place sa confiance dans un tiers pour lui
> refiler une vision financière aussi complète que celle que peut avoir un
> expert-comptable sur la liste des fournisseurs et des clients
> Le 19 févr. 2024 à 19:02, Christophe Moille a écrit :
>
> Moi ça me questionne que l'on place sa confiance dans un tiers pour lui
> refiler une vision financière aussi complète que celle que peut avoir un
> expert-comptable sur la liste des fournisseurs et des clients d'une structure
> et en
Le lundi 19 févr. 2024 à 16:49:52 (+), Vincent Duvernet a écrit :
>
> Comment faire évoluer la situation sans faire bondir les admins réseaux ?
> Voici mes 2 cts :
> Un questionnaire en ligne anonymisé sauf en dernière partie afin de générer
> un "scoring" avec le nom de l'entreprise par
Excellente réponse !
On Mon, Feb 19, 2024, 17:40 Bertrand FRUCHET via frnog
wrote:
> Bonjour la liste,
>
> Comme nous sommes une filiale d'un cabinet d'expertise comptable, je
> vous apporte notre vision.
>
> La mission de commissariat aux comptes (dévolue aux experts-comptables
> dûment
Il est de l'obligationnde tout controleur de donnees de signer un accord de
traitement de sonnees avex ses sous-traitants et s'assurer de la securite
des traitements. Mais l'obligation dr transparence s'arrete la.
On Mon, Feb 19, 2024 at 4:59 PM Paul Rolland (ポール・ロラン)
wrote:
> Bonjour,
>
> On
Bonjour,
On Mon, 19 Feb 2024 16:49:52 +
Vincent Duvernet wrote:
> Un questionnaire en ligne anonymisé sauf en dernière partie afin de
> générer un "scoring" avec le nom de l'entreprise par catégorie (accès
> distant, visiteurs, utilisateurs, cloud...) ça pourrait faire sens. Ça
> permet de
Bonjour,
- Quels sont les sous-réseaux, leur IP et leur fonction ?
> - Quels sont les outils (logiciels) mis en place pour la connexion à
> distance pour le télétravail ?
>
Je vous conseille d'en dire le moins possible, car au fil des ans ils en
demandent de plus en plus tout en comprenant de
Bonjour,
Merci pour cette réponse de l'autre côté de la rivière, c'est très intéressant
et instructif.
Je ne savais pas qu'il y avait des non geek par ici ^^.
Je comprends mieux l'objet de leur demande.
Et au final, comme prévu, une partie des informations ne sont pas divulguées et
le reste
On Mon, Feb 19, 2024, 17:29 David Ponzone wrote:
>
> > Le 19 févr. 2024 à 17:24, Noryungi a écrit :
> >
> (...)
>
Et c’est le boulot du CAC ça ?
>
Dans le cadre d'une analyse de risques, oui, si l'on prend en compte les
risques financiers liés à la divulgation d'informations personnelles
Bonjour la liste,
Comme nous sommes une filiale d'un cabinet d'expertise comptable, je
vous apporte notre vision.
La mission de commissariat aux comptes (dévolue aux experts-comptables
dûment accrédités par le conseil de l'ordre des experts-comptables) doit
déterminer les risques encourus
Le 19/02/2024 à 17:18, David Ponzone a écrit :
Globalement, ça va.
Quand même des firmware pas secs de temps en temps, une robustesse douteuses du
côté des connecteurs antenne, et des bugs étranges quand on fait des conf «
complexes » donc je m’en tiens à des choses simples.
Pas constaté.
> Le 19 févr. 2024 à 17:24, Noryungi a écrit :
>
> Questions standards (et, effectivement, mal traduites) dans un cadre
> d'analyse de risque et/ou d'audit de type ISO 9001, 27001 out encore
> PCI/DSS.
>
> Pour information, un audit de ce type porte, non seulement sur l'entreprise
> X, mais
Le Mon, Feb 19, 2024 at 05:18:11PM +0100, David Ponzone a écrit:
> Quand même des firmware pas secs de temps en temps, une robustesse douteuses
> du
> côté des connecteurs antenne, et des bugs étranges quand on fait des conf «
> complexes » donc je m’en tiens à des choses simples.
Pas ce soucis
Le Mon, Feb 19, 2024 at 05:16:00PM +0100, David Ponzone a écrit:
> Parce bon, je vois pas bien le rôle du CAC dans la cybersécurité de
> l’entreprise.
Idem, le CAC, je ne vois pas ce qu'il viendrait faire là-dedans. La DSI ou autre
pourquoi pas, mais le CAC, je ne vois pas en quoi le détail
Questions standards (et, effectivement, mal traduites) dans un cadre
d'analyse de risque et/ou d'audit de type ISO 9001, 27001 out encore
PCI/DSS.
Pour information, un audit de ce type porte, non seulement sur l'entreprise
X, mais aussi sur ses prestataires. Si vous êtes prestataire de X... On
Hello,
> Ben t’as qu’à mentir.
Ou censurer comme dans les documents militaire? :D
> Sinon, c’est quoi l’obligation de répondre ?
> Parce bon, je vois pas bien le rôle du CAC dans la cybersécurité de
> l’entreprise.
> Ca serait pas une merde qui vient du ministère pour faire des jolies stats et
Globalement, ça va.
Quand même des firmware pas secs de temps en temps, une robustesse douteuses du
côté des connecteurs antenne, et des bugs étranges quand on fait des conf «
complexes » donc je m’en tiens à des choses simples.
> Le 19 févr. 2024 à 17:13, Stéphane Rivière a écrit :
>
>
>>
Ben t’as qu’à mentir.
Sinon, c’est quoi l’obligation de répondre ?
Parce bon, je vois pas bien le rôle du CAC dans la cybersécurité de
l’entreprise.
Ca serait pas une merde qui vient du ministère pour faire des jolies stats et
des beaux graphiques démontrant que la France est prête pour la
On 19/02/2024 17:04, Vincent Duvernet wrote:
Bonjour,
J'avais déjà eu le cas il y a quelques temps avec un groupe Japonais mais là,
ça fait 2 clients FR avec la même approche (visiblement par 2 cabinets
différents).
Leur commissaire aux comptes demande une évaluation des risques cyber'.
On
Teltonika TRM 240 !
Teltonika, super matos. Un plaisir de bosser avec ça. (ici RUT 200 et
dérivés).
--
Stéphane Rivière
Ile d'Oléron - France
---
Liste de diffusion du FRnOG
http://www.frnog.org/
Bonjour,
J'avais déjà eu le cas il y a quelques temps avec un groupe Japonais mais là,
ça fait 2 clients FR avec la même approche (visiblement par 2 cabinets
différents).
Leur commissaire aux comptes demande une évaluation des risques cyber'.
On se tape des questions plus ou moins débiles /
30 matches
Mail list logo
