Bonjour,
Pardon de mettre mon grain de sel mais je crois comprendre le fond du
problème : les CAC appliquent la même logique de risque matériel
raisonnable au systèmes d'informations.
Hors, on peut considérer que dans le cas d'une machine métier ou d'un
bâtiment, un risque de casse ou d’incendie va se traduire par un arrêt
de prod plus ou moins long et donc une provision pour couvrir ce risque.
Dans le cas d'une brèche dans le S.I. d'une boite, c'est juste ... mort.
Si un vilain est rentré, il a copié toutes les données, chiffré
l'ensemble et/ou pété les sauvegardes, il n'y aura pas de reprise
d'activité.
En gros, c'est comme si on provisionnait 100% de la valorisation de la
boite, ca n'a aucun sens.
Alors oui, les données ca se reconstruit mais dans les exemples que j'ai
pu observer, la boite ne s'en remet jamais.
Donc en fait, c'est tout ou rien : soit le S.I. est inviolable (mouarf)
et on provisionne 0, soit le S.I. est troué et on provisionne 100%.
Et ça, les CAC, assureurs et autres risk-management ne veulent pas
l'entendre, ce que je peux comprendre.
Les gars, gérer un S.I. en 2024, c'est passer au travers d'un anneau
enflammé, en équilibre sur un fil, en monocycle, au dessus d'une fosse
remplie de crocos. Il va falloir accepter que ca demande des moyens
humains considérables.
Julien
Le 19/02/2024 à 23:02, Intermi Charles a écrit :
Je suis un ancien geek passé de l'autre côté de la rivière (plutôt côté audit
généraliste que CaC)... Ce qui me donne un aperçu de l'attendu.
Je doute que le CaC s'intéresse réellement au fond du problème. Son objetif
encore une fois est d'avoir ce qu'on apelle une assurance raisonnable. Peu
importe la solution mise en place: ce qui importe, c'est que l'ensemble de la
ligne, y compris les sous traitants de rang X, aient mis en place des mesures
offrants cette assurance.
De ce fait, bien que les suggestions d'aller plus au fond du sujet soient, de
notre point de vue de geek, intéressantes, car se recentrant sur la réalité de
la problématique, elles ne me semblent pas pertinentes pour répondre à la
question du CaC.
Donnons ce qui leur est nécessaire. Et ce qui est nécessaire, c'est ce que
l'entreprise ne peut ignorer en terme de bonne pratique, c'est à dire
aujourd'hui les recommandations de l'anssi (considérées tant dans le milieu de
l'audit que des CaC comme le Graal).
Si vos réponses permettent de couvrir l'inquiétude quant à leur bonne prise en
compte, vous n'aurez pas d'autre diligences. Et de mon expérience, il n'est pas
si compliqué d'y repondre sans divulguer votre topologie de réseau interne ni
les solutions en place.
Si vous avez régulièrement ce type de requêtes, ce qui peut être le cas si vous
êtes sous traitant sur de nombreuses entreprises cotées, vous pouvez utilement
répondre en mettant face à chaque recommandation anssi votre parade, et envoyer
ce doc générique comme reponse à toute sollicitation (et indépendemlent de la
demande des CaC, c'est un relativement bon exercice pour challenger votre mise
en place).
Il ne faut pas prendre les CAC pour plus bêtes qu'il ne le sont : ces questions qui
semblent tout droit sorties de google translator sont leur manière d'obtenir des réponses
concrètes de la part d'entités n'ayant pas forcément votre vision globale des choses, et
qui "rentre" dans leurs cases. Nombreuses restent les entreprises confiant leur
sécurité SI à Duchmole, ancien responsable du nettoyage de surface...
Je ne doute pas que cette position évoluera dans les dix/vingt années à venir,
selon l'équilibre des risques, tout comme les gros bureau de CaC ont désormais
des spécialistes sur les risques marchés, les risques images...
Que la force soit avec vous,
Charles Bonnet.
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
