Le 19/02/2024 à 17:04, Vincent Duvernet a écrit :
Bonjour,J'avais déjà eu le cas il y a quelques temps avec un groupe Japonais mais là, ça fait 2 clients FR avec la même approche (visiblement par 2 cabinets différents). Leur commissaire aux comptes demande une évaluation des risques cyber'. On se tape des questions plus ou moins débiles / mal traduites du type : - Une solution antivirus est-elle installée sur chaque poste de l'entreprise ? Est-elle mise à jour régulièrement ? - La porte vers internet a-t-elle un pare-feu configuré ? Quels protocoles sont filtrés/interdits ? (ICMP, TCP, UDP,) [éviter nmap, SSH ou RDP .] Et d'autres plus sensibles : - Quels sont les sous-réseaux, leur IP et leur fonction ? - Quels sont les outils (logiciels) mis en place pour la connexion à distance pour le télétravail ? Là franchement, ça me hérisse le poil. Est-ce que c'est juste moi qui suis trop old school pour ne pas vouloir divulguer des informations à un tiers de "semi-confiance" potentiellement exploitables pour une attaque ? Quels sont vos retours sur la question ? Merci, Vincent
Ça devient un classique oui, et ça va se durcir : les métiers du numérique sont devenus des métiers réglementés.
Le plus simple : * faire signer un plan d'assurance qualité/sécurité en annexe de chaque contrat ; * passer la certification ISO 27001 voire SOC 2 type 2.Le plan d'assurance qualité/sécurité te permet de répondre à l'avance aux questionnaires, la certification montre qu'un tiers de confiance a déjà posé les questions.
Concernant le point que tu lèves, les cabinets d'expertise comptable et de commissariat aux comptes n'ont pas intérêt à jouer avec le feu. Évidemment le cas des cabinets d'audit style "big 4" est différent, d'autant plus qu'ils sont soumis au Patriot Act.
Bien cordialement, -- Maxime DERCHE OpenPGP public key ID : 0xAE5264B5 OpenPGP public key fingerprint : 7221 4C4F D57C 456F 8E40 3257 47F7 29A6 AE52 64B5 <https://www.mouet-mouet.net/maxime/blog/>
OpenPGP_signature.asc
Description: OpenPGP digital signature
