Bonsoir, Si on en revient au sujet d’origine, oui les CAC ont pour missions de s’assurer que le SI qui porte les flux financier est bien protégé et donc ils audits le SI et ces acteurs, normalement ils ont signé une accord de confidentialité (cela dépend de la maturité).
Alors oui cela peut être agaçant d’être audité mais c’est comme ça, il y a des réglementation et celles-ci imposent des audits externes : PCIDSS - ACPR - DORA - NISv2 par exemple. Et comme le monde est bien fait, avoir eu un audit sur une réglementation ne permet pas de s’affranchir d’un autre audit sur une réglementation voisine (sauf à prendre le même cabinet afin de mutualiser les réponses). Bref il faut s’outiller, documenter et recueillir les preuve, cela permet de mieux vivre ces audits. Note : le concepteur de DEMING a aussi développer un logiciel de cartographie MERCATOR (je ne l’ai pas encore testé donc pas d’avis). Et une petite réflexion sur les composants de sécurité qui peuvent être demandé, il faut considérer que ce sont les basic qui s’imposent, alors oui un AV seul ne fera rien lors d’une attaque mais l’empilement de solution de sécurité peut permettre de ralentir la progression et d’alerter afin de pouvoir réagir avant « le drame » (modèle en couche d’emmental). En cyber on parle de cyber kill chain de MITRE Att&ck (hxxps://attack.mitre.org/) et on regarde si les solutions déployé couvrent bien tel ou tel scénario. Bonne soirée. --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
