Bonjour à tous !
Je suis régulièrement amené à répondre à des questionnaires de sécurité
pour des clients qui ne savent pas y répondre ou qui n'ont pas le temps d'y
répondre. J'ai travaillé avec une entreprise qui soumettait à l'ensemble de
ses fournisseurs ce type de questionnaire car elle était
Salut,
J’ai pas compris (2nd degré) tu as déjà eu un audit des cac ? (Vrai question ?)
ou on est sur une hyperbole ?
Envoyé de mon iPhone
> Le 24 févr. 2024 à 22:00, Radu-Adrian Feurdean
> a écrit :
>
> On Sat, Feb 24, 2024, at 19:57, Arnaud Feix wrote:
>> Alors oui cela peut être agaçant
On Sat, Feb 24, 2024, at 19:57, Arnaud Feix wrote:
> Alors oui cela peut être agaçant d’être audité mais c’est comme ça, il
> y a des réglementation et celles-ci imposent des audits externes :
> PCIDSS - ACPR - DORA - NISv2 par exemple.
PCIDSS par votre agence de publicite/marketing, ca devrait
Bonsoir,
Si on en revient au sujet d’origine, oui les CAC ont pour missions de s’assurer
que le SI qui porte les flux financier est bien protégé et donc ils audits le
SI et ces acteurs, normalement ils ont signé une accord de confidentialité
(cela dépend de la maturité).
Alors oui cela peut
Hello,
On Sat, Feb 24, 2024, at 18:21, Maxime DERCHE wrote:
> Le 24/02/2024 à 16:59, Radu-Adrian Feurdean a écrit :
>> Bon, donc il faut un anti-virus pour chaque iDRAC/iLO/ ?
>
> Ben, c'est surtout qu'il faut arrêter de mentir quand on parle de machine non
> connectée au réseau. Et oui si
Bonjour,
Le 24/02/2024 à 16:59, Radu-Adrian Feurdean a écrit :
On Tue, Feb 20, 2024, at 17:49, Maxime DERCHE wrote:
Ah je peux t'assurer que ce n'est pas du tout un "exemple fictif",
c'est même du
quotidien sur le terrain à peu près partout. Dans le même genre on a le
mythe de
l'isolation sur
On Tue, Feb 20, 2024, at 17:49, Maxime DERCHE wrote:
> Ah je peux t'assurer que ce n'est pas du tout un "exemple fictif",
> c'est même du
> quotidien sur le terrain à peu près partout. Dans le même genre on a le
> mythe de
> l'isolation sur un vlan séparé, où le serveur continue à traiter du
Bonjour Arnaud,
Merci beaucoup pour ta suggestion. Ce logiciel a l'air parfait pour
poser un cadre et suivre l'avancement. Il utilise des technos standard
(on va juste remplacer apache par nginx) a une bonne tête, une belle doc
et je vais pouvoir l'installer en 5mn.
J'ai hâte de pouvoir y
Bonjour Maxime,
Merci beaucoup de m'avoir répondu aussi précisément. Je suis tout à fait
en phase avec tes explications. On peut voir tout ça comme une
contrainte ou le vivre comme une possibilité de déclencher une réflexion
et de mieux faire les choses, un peu comme le RGPD.
Le fait que
> Le 24 févr. 2024 à 16:05, Radu-Adrian Feurdean
> a écrit :
>
>
> Tu te contre-dis tout seul la.
> D'accord pour ne pas prendre les CAC pour des cons par default, mais il faut
> bien envisager le cas ou ils le sont vraiment.
> S'ils viennent avec des questions sorties de je ne sais pas ou
On Mon, Feb 19, 2024, at 23:02, Intermi Charles wrote:
> Donnons ce qui leur est nécessaire. Et ce qui est nécessaire,
...
> expérience, il n'est pas si compliqué d'y repondre sans divulguer votre
> topologie de réseau interne ni les solutions en place.
Et on fait comment quand c'est
On Mon, Feb 19, 2024, at 19:02, Christophe Moille wrote:
> Moi ça me questionne que l'on place sa confiance dans un tiers pour lui
> refiler une vision financière aussi complète que celle que peut avoir un
> expert-comptable sur la liste des fournisseurs et des clients d'une structure
> et en
C’est Dredi et je vous souhaite une bonne soirée,
Je souhaite apporter à votre attention un petit logiciel qui devrait vous
permettre d’implémenter une gestion de la sécurité conforme à l’ISO 27001.
La documentation se trouve là : https://dbarzin.github.io/deming/index.fr/
Et le GitHub du
Bonjour,
Le 21/02/2024 à 14:56, Stéphane Rivière a écrit :
Note que les questionnaires de gestion des tierces parties sont généralement
calqués sur le framework offert par ISO 27001/27002
Y a t'il un endroit où l'on peut lire un exemple détaillé de mise en œuvre des
27001/27002 ?
J'ai
Le 22/02/2024 à 09:22, Kévin CHAILLY a écrit :
Mode dredi -1
Merci pour ta contrib, ça fait plaisir :)))
--
Stéphane Rivière
Ile d'Oléron - France
---
Liste de diffusion du FRnOG
http://www.frnog.org/
Mode dredi -1
>
> Mode dredi - 2
>
> [...]et autres scrum
> masters formant une nouvelle espèce de singes surpayés
>
[...]
Faudrait pas confondre scrum master et scrotum master.
[...]
Rien ne change depuis 35 ans, hormis la complexité
> globale qui augmente.
>
[...]
Le risque s'est
Ce sont ces décennies de culture toxique dans toute notre industrie
qui nous ont mené là.
Mode dredi - 2
Tant que les "directeurs informatiques" (parfois des incompétents
pathologiques et parachutés à ce poste en punition disciplinaire sans
eau ni biscuits) fonderont leur avis sur S micro
On Tue, 20 Feb 2024, Maxime DERCHE wrote:
> > > Après effectivement j'ai déjà soulevé ici ou ailleurs (frsag ?) la
> > > question
> > > de l'antivirus sous Linux, ça existe, y compris en zone UE (ESET par
> > > exemple). Et il y a toujours l'ami ClamAV quand il faut vraiment une
> > > excuse
>
Le 20/02/2024 à 16:42, Nicolas Vigier a écrit :
On Tue, 20 Feb 2024, Maxime DERCHE wrote:
Bonjour Nicolas,
Le 20/02/2024 à 09:36, Nicolas Vigier a écrit :
On Mon, 19 Feb 2024, Vincent Duvernet wrote:
Comment faire évoluer la situation sans faire bondir les admins réseaux ?
Voici mes 2 cts
Bonjour,
Pardon de mettre mon grain de sel mais je crois comprendre le fond du
problème : les CAC appliquent la même logique de risque matériel
raisonnable au systèmes d'informations.
Hors, on peut considérer que dans le cas d'une machine métier ou d'un
bâtiment, un risque de casse ou
On Tue, 20 Feb 2024, Maxime DERCHE wrote:
> Bonjour Nicolas,
>
> Le 20/02/2024 à 09:36, Nicolas Vigier a écrit :
> > On Mon, 19 Feb 2024, Vincent Duvernet wrote:
> >
> > > Comment faire évoluer la situation sans faire bondir les admins réseaux ?
> > > Voici mes 2 cts :
> > > Un questionnaire en
Bonjour Laurent,
Le 20/02/2024 à 16:04, Laurent Barme a écrit :
Le 20/02/2024 à 15:00, Maxime DERCHE a écrit :
…
Ce sont ces décennies de culture toxique dans toute notre industrie qui nous ont
mené là. Pour rappeler Churchill, je dirais que beaucoup ont refusé la sécurité et
se retrouvent
Le 20/02/2024 à 15:00, Maxime DERCHE a écrit :
…
Ce sont ces décennies de culture toxique dans toute notre industrie qui nous
ont mené là. Pour rappeler Churchill, je dirais que beaucoup ont refusé la
sécurité et se retrouvent maintenant face à la loi et la sécurité.
Churchill aurait dit ça
Bonjour Nicolas,
Le 20/02/2024 à 09:36, Nicolas Vigier a écrit :
On Mon, 19 Feb 2024, Vincent Duvernet wrote:
Comment faire évoluer la situation sans faire bondir les admins réseaux ?
Voici mes 2 cts :
Un questionnaire en ligne anonymisé sauf en dernière partie afin de générer un
"scoring"
Bonjour David,
Le 20/02/2024 à 10:01, David Ponzone a écrit :
Encore une fois, on va voir se pointer un raz de marée de réglementations s’abattre
sur l’entreprise lambda, alors qu’on peut se demander si Viamedis avait eu le moindre
audit avant de se faire trouer et piquer 33M de numéros de
Encore une fois, on va voir se pointer un raz de marée de réglementations
s’abattre sur l’entreprise lambda, alors qu’on peut se demander si Viamedis
avait eu le moindre audit avant de se faire trouer et piquer 33M de numéros de
sécu (ils viennent seulement de mettre en place une
Le 19/02/2024 à 17:04, Vincent Duvernet a écrit :
Bonjour,
J'avais déjà eu le cas il y a quelques temps avec un groupe Japonais mais là,
ça fait 2 clients FR avec la même approche (visiblement par 2 cabinets
différents).
Leur commissaire aux comptes demande une évaluation des risques cyber'.
On Mon, 19 Feb 2024, Vincent Duvernet wrote:
> Comment faire évoluer la situation sans faire bondir les admins réseaux ?
> Voici mes 2 cts :
> Un questionnaire en ligne anonymisé sauf en dernière partie afin de générer
> un "scoring" avec le nom de l'entreprise par catégorie (accès distant,
>
Le 20/02/2024 à 08:51, Laurent Barme a écrit :
C'est d'ailleurs à la base du problème ; les recommandations de l'ANSI
ne sont pas universellement pertinentes ou applicables.
Cela semble être une généralité dans les cabinets d'audit ou de conseil
: ils sont tous très prompts à relever "ce
Le 19/02/2024 à 23:02, Intermi Charles a écrit :
…
les recommandations de l'anssi (considérées tant dans le milieu de l'audit
que des CaC comme le Graal).
C'est d'ailleurs à la base du problème ; les recommandations de l'ANSI ne sont
pas universellement pertinentes ou applicables. Un
Le 19/02/2024 à 22:22, Bertrand FRUCHET via frnog a écrit :
La mission du CAC est annuelle, le risque sera réévalué l'année suivante mais
si vous l'avez occulté, vous participez sans le savoir à l'absence de
protection car il n'y aura pas de thésaurisation interne à l'entreprise pour
...@frnog.org De la part de Bertrand
> FRUCHET via frnog
> Envoyé : lundi 19 février 2024 17:42
> À : frnog@frnog.org
> Objet : Re: [FRnOG] [TECH] Les cabinets comptables & la cyber
>
> Bonjour la liste,
>
> Comme nous sommes une filiale d'un cabinet d'experti
Merci charles pour e recentrage du sujet.
Par ma propre expérience, en tant qu'auditeur pour le compte d'un CAC,
ce qui est attendu est l'identification d'un risque numérique pouvant
porter préjudice à l'entreprise.
si vous êtes sollicité pour fournir des informations, elles doivent
Le 19/02/2024 à 17:04, Vincent Duvernet a écrit :
Est-ce que c'est juste moi qui suis trop old school pour ne pas vouloir divulguer des
informations à un tiers de "semi-confiance" potentiellement exploitables pour
une attaque ?
Si le contrat signé avec le client ne comporte aucune mention
Le 19/02/2024 à 17:04, Vincent Duvernet a écrit :
Bonjour,
J'avais déjà eu le cas il y a quelques temps avec un groupe Japonais mais là,
ça fait 2 clients FR avec la même approche (visiblement par 2 cabinets
différents).
Leur commissaire aux comptes demande une évaluation des risques
Le 19/02/2024 à 17:15, Léo El Amri via frnog a écrit :
La sécurité par l'obscurité n'a jamais protégé personne
Mais bien sûr que si et c'est même une des méthodes les plus efficaces ; ce ne
doit juste pas être la seule sinon elle est effectivement complètement inefficace.
Les méthodes
Je crois que ce qu'est la mission du CAC a été un peu perdue dans ces
échanges...
Il faut rapeller que l'entreprise est son client. Que ce soit en direct, ou
envers ses actionnaires/parties prenantes. Cette entreprise lui confie la
mission de s'assurer, avec son regard externe et impartial, de
Bonsoir,
Ce mail de retour du 19/02/2024 notifie en particulier:
(cf. mail ID ):
> Moi ça me questionne que l'on place sa confiance dans un tiers pour lui
> refiler une vision financière aussi complète que celle que peut avoir un
> expert-comptable sur la liste des fournisseurs et des clients
> Le 19 févr. 2024 à 19:02, Christophe Moille a écrit :
>
> Moi ça me questionne que l'on place sa confiance dans un tiers pour lui
> refiler une vision financière aussi complète que celle que peut avoir un
> expert-comptable sur la liste des fournisseurs et des clients d'une structure
> et en
Le lundi 19 févr. 2024 à 16:49:52 (+), Vincent Duvernet a écrit :
>
> Comment faire évoluer la situation sans faire bondir les admins réseaux ?
> Voici mes 2 cts :
> Un questionnaire en ligne anonymisé sauf en dernière partie afin de générer
> un "scoring" avec le nom de l'entreprise par
Excellente réponse !
On Mon, Feb 19, 2024, 17:40 Bertrand FRUCHET via frnog
wrote:
> Bonjour la liste,
>
> Comme nous sommes une filiale d'un cabinet d'expertise comptable, je
> vous apporte notre vision.
>
> La mission de commissariat aux comptes (dévolue aux experts-comptables
> dûment
Il est de l'obligationnde tout controleur de donnees de signer un accord de
traitement de sonnees avex ses sous-traitants et s'assurer de la securite
des traitements. Mais l'obligation dr transparence s'arrete la.
On Mon, Feb 19, 2024 at 4:59 PM Paul Rolland (ポール・ロラン)
wrote:
> Bonjour,
>
> On
Bonjour,
On Mon, 19 Feb 2024 16:49:52 +
Vincent Duvernet wrote:
> Un questionnaire en ligne anonymisé sauf en dernière partie afin de
> générer un "scoring" avec le nom de l'entreprise par catégorie (accès
> distant, visiteurs, utilisateurs, cloud...) ça pourrait faire sens. Ça
> permet de
Bonjour,
- Quels sont les sous-réseaux, leur IP et leur fonction ?
> - Quels sont les outils (logiciels) mis en place pour la connexion à
> distance pour le télétravail ?
>
Je vous conseille d'en dire le moins possible, car au fil des ans ils en
demandent de plus en plus tout en comprenant de
un minimum qualitatif plutôt que de remplir un fichier
Excel à la con en me faisant perdre mon temps.
Vincent
-Message d'origine-
De : frnog-requ...@frnog.org De la part de Bertrand
FRUCHET via frnog
Envoyé : lundi 19 février 2024 17:42
À : frnog@frnog.org
Objet : Re: [FRnOG] [TECH] Le
On Mon, Feb 19, 2024, 17:29 David Ponzone wrote:
>
> > Le 19 févr. 2024 à 17:24, Noryungi a écrit :
> >
> (...)
>
Et c’est le boulot du CAC ça ?
>
Dans le cadre d'une analyse de risques, oui, si l'on prend en compte les
risques financiers liés à la divulgation d'informations personnelles
Bonjour la liste,
Comme nous sommes une filiale d'un cabinet d'expertise comptable, je
vous apporte notre vision.
La mission de commissariat aux comptes (dévolue aux experts-comptables
dûment accrédités par le conseil de l'ordre des experts-comptables) doit
déterminer les risques encourus
> Le 19 févr. 2024 à 17:24, Noryungi a écrit :
>
> Questions standards (et, effectivement, mal traduites) dans un cadre
> d'analyse de risque et/ou d'audit de type ISO 9001, 27001 out encore
> PCI/DSS.
>
> Pour information, un audit de ce type porte, non seulement sur l'entreprise
> X, mais
Le Mon, Feb 19, 2024 at 05:16:00PM +0100, David Ponzone a écrit:
> Parce bon, je vois pas bien le rôle du CAC dans la cybersécurité de
> l’entreprise.
Idem, le CAC, je ne vois pas ce qu'il viendrait faire là-dedans. La DSI ou autre
pourquoi pas, mais le CAC, je ne vois pas en quoi le détail
Questions standards (et, effectivement, mal traduites) dans un cadre
d'analyse de risque et/ou d'audit de type ISO 9001, 27001 out encore
PCI/DSS.
Pour information, un audit de ce type porte, non seulement sur l'entreprise
X, mais aussi sur ses prestataires. Si vous êtes prestataire de X... On
Hello,
> Ben t’as qu’à mentir.
Ou censurer comme dans les documents militaire? :D
> Sinon, c’est quoi l’obligation de répondre ?
> Parce bon, je vois pas bien le rôle du CAC dans la cybersécurité de
> l’entreprise.
> Ca serait pas une merde qui vient du ministère pour faire des jolies stats et
Ben t’as qu’à mentir.
Sinon, c’est quoi l’obligation de répondre ?
Parce bon, je vois pas bien le rôle du CAC dans la cybersécurité de
l’entreprise.
Ca serait pas une merde qui vient du ministère pour faire des jolies stats et
des beaux graphiques démontrant que la France est prête pour la
On 19/02/2024 17:04, Vincent Duvernet wrote:
Bonjour,
J'avais déjà eu le cas il y a quelques temps avec un groupe Japonais mais là,
ça fait 2 clients FR avec la même approche (visiblement par 2 cabinets
différents).
Leur commissaire aux comptes demande une évaluation des risques cyber'.
On
Bonjour,
J'avais déjà eu le cas il y a quelques temps avec un groupe Japonais mais là,
ça fait 2 clients FR avec la même approche (visiblement par 2 cabinets
différents).
Leur commissaire aux comptes demande une évaluation des risques cyber'.
On se tape des questions plus ou moins débiles /
54 matches
Mail list logo