Bonjour à tous ! Je suis régulièrement amené à répondre à des questionnaires de sécurité pour des clients qui ne savent pas y répondre ou qui n'ont pas le temps d'y répondre. J'ai travaillé avec une entreprise qui soumettait à l'ensemble de ses fournisseurs ce type de questionnaire car elle était victime d'incidents de sécurité 3x par semaine par le biais de fournisseurs (jamais les mêmes bien entendu). Son objectif était triple : - Mesurer le niveau risque cyber de ses fournisseurs - Fournir à ses fournisseurs les plus en retard sur le sujet quelques guideline afin qu'ils puissent diminuer leur niveau de risque cyber - Réduire son propre niveau de risque
L'objectif final de ces questionnaires n'est donc pas d'avoir des réponses positives à l'ensemble des questions (d'ailleurs une réponse positive à l'une des questions sans justification ne vaut rien) mais plutôt d'avoir une compréhension du niveau de risque de l'entreprise auditée par rapport à son contexte. Si nous reprenons la question bateau de l'installation d'un antivirus sur l'ensemble des équipements d'un SI la réponse pourra être déclinée en plusieurs points. Voici un exemple applicable à une usine : - La règle : L'ensemble du parc informatique est couvert par une protection antivirale - L'exception : N équipements industriels n'ont pas de protection antivirale car toute installation d'un logiciel non validé par le fabricant de l'équipement ferait perdre la garantie de l'équipement - Les moyens de mitigations : Afin de limiter le risque de contamination de l'équipement, les ports USB ont été bloqué, il a été mis dans un sous-réseau spécifique, seul les flux réseaux strictement nécessaires ont été autorisé depuis et vers l'équipement - La documentation : Pour plus d'information se référer aux politiques A,B,C et procédures D et E - Les preuves : Voici des captures d'écrans montrant que la couverture antivirale est bien activée sur les équipements couverts (le type de preuve et le nombre de screenshot à fournir va dépendre du nombre d'équipements à protéger) Autre question qui revient souvent, elle concerne la gestion et la sécurisation des téléphones mobiles. Les entreprises n'ayant pas de parc de téléphone cellulaire sous gestion répondent à la négative à la question en expliquant que leurs salariés n'ont pas de téléphone mobile professionnel et qu'ils n'utilisent pas leurs téléphones personnels à des fins professionnels. Une réponse de ce type suffit à passer l'assessment. L'important étant de pouvoir justifier les réponses de sorte à montrer que la cybersécurité est sous contrôle. Cela permet ensuite à l'entité ayant soumis le questionnaire d'avoir une idée de la maturité cyber de l'entreprise par rapport au contexte de l'entité audité. Les auditeurs savent pertinemment que l'ensemble des questions ne sont pas applicables à l'ensemble des entreprises. La méthode n'est pas parfaite mais il faut bien commencer quelque part... Bon dimanche à tous ! Azwaw Le sam. 24 févr. 2024 à 22:29, Arnaud FEIX <arnaud.f...@free.fr> a écrit : > Salut, > > J’ai pas compris (2nd degré) tu as déjà eu un audit des cac ? (Vrai > question ?) ou on est sur une hyperbole ? > > > Envoyé de mon iPhone > > > Le 24 févr. 2024 à 22:00, Radu-Adrian Feurdean < > fr...@radu-adrian.feurdean.net> a écrit : > > > > On Sat, Feb 24, 2024, at 19:57, Arnaud Feix wrote: > >> Alors oui cela peut être agaçant d’être audité mais c’est comme ça, il > >> y a des réglementation et celles-ci imposent des audits externes : > >> PCIDSS - ACPR - DORA - NISv2 par exemple. > > > > PCIDSS par votre agence de publicite/marketing, ca devrait etre TRES > interessant. > > Ou si vous avez des distributeurs de boissons, NISv2 gere par le meme > prestataire.... > > C'est un peu ca les CAC qui se melent a la "cyber-securite". > > Il peut y avoir pire, tout confier a son assureur... > > > > > > --------------------------- > > Liste de diffusion du FRnOG > > http://www.frnog.org/ > > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
