Bonjour à tous !
Je suis régulièrement amené à répondre à des questionnaires de sécurité
pour des clients qui ne savent pas y répondre ou qui n'ont pas le temps d'y
répondre. J'ai travaillé avec une entreprise qui soumettait à l'ensemble de
ses fournisseurs ce type de questionnaire car elle était
Salut,
J’ai pas compris (2nd degré) tu as déjà eu un audit des cac ? (Vrai question ?)
ou on est sur une hyperbole ?
Envoyé de mon iPhone
> Le 24 févr. 2024 à 22:00, Radu-Adrian Feurdean
> a écrit :
>
> On Sat, Feb 24, 2024, at 19:57, Arnaud Feix wrote:
>> Alors oui cela peut être agaçant
On Sat, Feb 24, 2024, at 19:57, Arnaud Feix wrote:
> Alors oui cela peut être agaçant d’être audité mais c’est comme ça, il
> y a des réglementation et celles-ci imposent des audits externes :
> PCIDSS - ACPR - DORA - NISv2 par exemple.
PCIDSS par votre agence de publicite/marketing, ca devrait e
Bonsoir,
Si on en revient au sujet d’origine, oui les CAC ont pour missions de s’assurer
que le SI qui porte les flux financier est bien protégé et donc ils audits le
SI et ces acteurs, normalement ils ont signé une accord de confidentialité
(cela dépend de la maturité).
Alors oui cela peut êt
Hello,
On Sat, Feb 24, 2024, at 18:21, Maxime DERCHE wrote:
> Le 24/02/2024 à 16:59, Radu-Adrian Feurdean a écrit :
>> Bon, donc il faut un anti-virus pour chaque iDRAC/iLO/ ?
>
> Ben, c'est surtout qu'il faut arrêter de mentir quand on parle de machine non
> connectée au réseau. Et oui si c'
Bonjour,
Le 24/02/2024 à 16:59, Radu-Adrian Feurdean a écrit :
On Tue, Feb 20, 2024, at 17:49, Maxime DERCHE wrote:
Ah je peux t'assurer que ce n'est pas du tout un "exemple fictif",
c'est même du
quotidien sur le terrain à peu près partout. Dans le même genre on a le
mythe de
l'isolation sur
On Tue, Feb 20, 2024, at 17:49, Maxime DERCHE wrote:
> Ah je peux t'assurer que ce n'est pas du tout un "exemple fictif",
> c'est même du
> quotidien sur le terrain à peu près partout. Dans le même genre on a le
> mythe de
> l'isolation sur un vlan séparé, où le serveur continue à traiter du
Bonjour Arnaud,
Merci beaucoup pour ta suggestion. Ce logiciel a l'air parfait pour
poser un cadre et suivre l'avancement. Il utilise des technos standard
(on va juste remplacer apache par nginx) a une bonne tête, une belle doc
et je vais pouvoir l'installer en 5mn.
J'ai hâte de pouvoir y co
Bonjour Maxime,
Merci beaucoup de m'avoir répondu aussi précisément. Je suis tout à fait
en phase avec tes explications. On peut voir tout ça comme une
contrainte ou le vivre comme une possibilité de déclencher une réflexion
et de mieux faire les choses, un peu comme le RGPD.
Le fait que ces
> Le 24 févr. 2024 à 16:05, Radu-Adrian Feurdean
> a écrit :
>
>
> Tu te contre-dis tout seul la.
> D'accord pour ne pas prendre les CAC pour des cons par default, mais il faut
> bien envisager le cas ou ils le sont vraiment.
> S'ils viennent avec des questions sorties de je ne sais pas ou
On Mon, Feb 19, 2024, at 23:02, Intermi Charles wrote:
> Donnons ce qui leur est nécessaire. Et ce qui est nécessaire,
...
> expérience, il n'est pas si compliqué d'y repondre sans divulguer votre
> topologie de réseau interne ni les solutions en place.
Et on fait comment quand c'est precisemen
On Mon, Feb 19, 2024, at 19:02, Christophe Moille wrote:
> Moi ça me questionne que l'on place sa confiance dans un tiers pour lui
> refiler une vision financière aussi complète que celle que peut avoir un
> expert-comptable sur la liste des fournisseurs et des clients d'une structure
> et en même
C’est Dredi et je vous souhaite une bonne soirée,
Je souhaite apporter à votre attention un petit logiciel qui devrait vous
permettre d’implémenter une gestion de la sécurité conforme à l’ISO 27001.
La documentation se trouve là : https://dbarzin.github.io/deming/index.fr/
Et le GitHub du proje
Bonjour,
Le 21/02/2024 à 14:56, Stéphane Rivière a écrit :
Note que les questionnaires de gestion des tierces parties sont généralement
calqués sur le framework offert par ISO 27001/27002
Y a t'il un endroit où l'on peut lire un exemple détaillé de mise en œuvre des
27001/27002 ?
J'ai tro
Le 22/02/2024 à 09:22, Kévin CHAILLY a écrit :
Mode dredi -1
Merci pour ta contrib, ça fait plaisir :)))
--
Stéphane Rivière
Ile d'Oléron - France
---
Liste de diffusion du FRnOG
http://www.frnog.org/
Mode dredi -1
>
> Mode dredi - 2
>
> [...]et autres scrum
> masters formant une nouvelle espèce de singes surpayés
>
[...]
Faudrait pas confondre scrum master et scrotum master.
[...]
Rien ne change depuis 35 ans, hormis la complexité
> globale qui augmente.
>
[...]
Le risque s'est décentralisé,
Ce sont ces décennies de culture toxique dans toute notre industrie
qui nous ont mené là.
Mode dredi - 2
Tant que les "directeurs informatiques" (parfois des incompétents
pathologiques et parachutés à ce poste en punition disciplinaire sans
eau ni biscuits) fonderont leur avis sur S&V micr
On Tue, 20 Feb 2024, Maxime DERCHE wrote:
> > > Après effectivement j'ai déjà soulevé ici ou ailleurs (frsag ?) la
> > > question
> > > de l'antivirus sous Linux, ça existe, y compris en zone UE (ESET par
> > > exemple). Et il y a toujours l'ami ClamAV quand il faut vraiment une
> > > excuse
> >
Le 20/02/2024 à 16:42, Nicolas Vigier a écrit :
On Tue, 20 Feb 2024, Maxime DERCHE wrote:
Bonjour Nicolas,
Le 20/02/2024 à 09:36, Nicolas Vigier a écrit :
On Mon, 19 Feb 2024, Vincent Duvernet wrote:
Comment faire évoluer la situation sans faire bondir les admins réseaux ?
Voici mes 2 cts :
Bonjour,
Pardon de mettre mon grain de sel mais je crois comprendre le fond du
problème : les CAC appliquent la même logique de risque matériel
raisonnable au systèmes d'informations.
Hors, on peut considérer que dans le cas d'une machine métier ou d'un
bâtiment, un risque de casse ou d’incen
On Tue, 20 Feb 2024, Maxime DERCHE wrote:
> Bonjour Nicolas,
>
> Le 20/02/2024 à 09:36, Nicolas Vigier a écrit :
> > On Mon, 19 Feb 2024, Vincent Duvernet wrote:
> >
> > > Comment faire évoluer la situation sans faire bondir les admins réseaux ?
> > > Voici mes 2 cts :
> > > Un questionnaire en
Bonjour Laurent,
Le 20/02/2024 à 16:04, Laurent Barme a écrit :
Le 20/02/2024 à 15:00, Maxime DERCHE a écrit :
…
Ce sont ces décennies de culture toxique dans toute notre industrie qui nous ont
mené là. Pour rappeler Churchill, je dirais que beaucoup ont refusé la sécurité et
se retrouvent ma
Le 20/02/2024 à 15:00, Maxime DERCHE a écrit :
…
Ce sont ces décennies de culture toxique dans toute notre industrie qui nous
ont mené là. Pour rappeler Churchill, je dirais que beaucoup ont refusé la
sécurité et se retrouvent maintenant face à la loi et la sécurité.
Churchill aurait dit ça o
Bonjour Nicolas,
Le 20/02/2024 à 09:36, Nicolas Vigier a écrit :
On Mon, 19 Feb 2024, Vincent Duvernet wrote:
Comment faire évoluer la situation sans faire bondir les admins réseaux ?
Voici mes 2 cts :
Un questionnaire en ligne anonymisé sauf en dernière partie afin de générer un
"scoring" av
Bonjour David,
Le 20/02/2024 à 10:01, David Ponzone a écrit :
Encore une fois, on va voir se pointer un raz de marée de réglementations s’abattre
sur l’entreprise lambda, alors qu’on peut se demander si Viamedis avait eu le moindre
audit avant de se faire trouer et piquer 33M de numéros de séc
Encore une fois, on va voir se pointer un raz de marée de réglementations
s’abattre sur l’entreprise lambda, alors qu’on peut se demander si Viamedis
avait eu le moindre audit avant de se faire trouer et piquer 33M de numéros de
sécu (ils viennent seulement de mettre en place une authentificatio
Le 19/02/2024 à 17:04, Vincent Duvernet a écrit :
Bonjour,
J'avais déjà eu le cas il y a quelques temps avec un groupe Japonais mais là,
ça fait 2 clients FR avec la même approche (visiblement par 2 cabinets
différents).
Leur commissaire aux comptes demande une évaluation des risques cyber'.
On Mon, 19 Feb 2024, Vincent Duvernet wrote:
> Comment faire évoluer la situation sans faire bondir les admins réseaux ?
> Voici mes 2 cts :
> Un questionnaire en ligne anonymisé sauf en dernière partie afin de générer
> un "scoring" avec le nom de l'entreprise par catégorie (accès distant,
> vi
Le 20/02/2024 à 08:51, Laurent Barme a écrit :
C'est d'ailleurs à la base du problème ; les recommandations de l'ANSI
ne sont pas universellement pertinentes ou applicables.
Cela semble être une généralité dans les cabinets d'audit ou de conseil
: ils sont tous très prompts à relever "ce qu
Le 19/02/2024 à 23:02, Intermi Charles a écrit :
…
les recommandations de l'anssi (considérées tant dans le milieu de l'audit
que des CaC comme le Graal).
C'est d'ailleurs à la base du problème ; les recommandations de l'ANSI ne sont
pas universellement pertinentes ou applicables. Un exemp
Le 19/02/2024 à 22:22, Bertrand FRUCHET via frnog a écrit :
La mission du CAC est annuelle, le risque sera réévalué l'année suivante mais
si vous l'avez occulté, vous participez sans le savoir à l'absence de
protection car il n'y aura pas de thésaurisation interne à l'entreprise pour
palli
t que de remplir un fichier
> Excel à la con en me faisant perdre mon temps.
>
> Vincent
>
>
> -Message d'origine-
> De : frnog-requ...@frnog.org De la part de Bertrand
> FRUCHET via frnog
> Envoyé : lundi 19 février 2024 17:42
> À : frnog@frn
Merci charles pour e recentrage du sujet.
Par ma propre expérience, en tant qu'auditeur pour le compte d'un CAC,
ce qui est attendu est l'identification d'un risque numérique pouvant
porter préjudice à l'entreprise.
si vous êtes sollicité pour fournir des informations, elles doivent
permettr
Le 19/02/2024 à 17:04, Vincent Duvernet a écrit :
Est-ce que c'est juste moi qui suis trop old school pour ne pas vouloir divulguer des
informations à un tiers de "semi-confiance" potentiellement exploitables pour
une attaque ?
Si le contrat signé avec le client ne comporte aucune mention o
Le 19/02/2024 à 17:04, Vincent Duvernet a écrit :
Bonjour,
J'avais déjà eu le cas il y a quelques temps avec un groupe Japonais mais là,
ça fait 2 clients FR avec la même approche (visiblement par 2 cabinets
différents).
Leur commissaire aux comptes demande une évaluation des risques cyber'.
Le 19/02/2024 à 17:15, Léo El Amri via frnog a écrit :
La sécurité par l'obscurité n'a jamais protégé personne
Mais bien sûr que si et c'est même une des méthodes les plus efficaces ; ce ne
doit juste pas être la seule sinon elle est effectivement complètement inefficace.
Les méthodes d'at
Je crois que ce qu'est la mission du CAC a été un peu perdue dans ces
échanges...
Il faut rapeller que l'entreprise est son client. Que ce soit en direct, ou
envers ses actionnaires/parties prenantes. Cette entreprise lui confie la
mission de s'assurer, avec son regard externe et impartial, de
> Le 19 févr. 2024 à 19:02, Christophe Moille a écrit :
>
> Moi ça me questionne que l'on place sa confiance dans un tiers pour lui
> refiler une vision financière aussi complète que celle que peut avoir un
> expert-comptable sur la liste des fournisseurs et des clients d'une structure
> et en mê
Le lundi 19 févr. 2024 à 16:49:52 (+), Vincent Duvernet a écrit :
>
> Comment faire évoluer la situation sans faire bondir les admins réseaux ?
> Voici mes 2 cts :
> Un questionnaire en ligne anonymisé sauf en dernière partie afin de générer
> un "scoring" avec le nom de l'entreprise par caté
Excellente réponse !
On Mon, Feb 19, 2024, 17:40 Bertrand FRUCHET via frnog
wrote:
> Bonjour la liste,
>
> Comme nous sommes une filiale d'un cabinet d'expertise comptable, je
> vous apporte notre vision.
>
> La mission de commissariat aux comptes (dévolue aux experts-comptables
> dûment accrédi
Il est de l'obligationnde tout controleur de donnees de signer un accord de
traitement de sonnees avex ses sous-traitants et s'assurer de la securite
des traitements. Mais l'obligation dr transparence s'arrete la.
On Mon, Feb 19, 2024 at 4:59 PM Paul Rolland (ポール・ロラン)
wrote:
> Bonjour,
>
> On Mo
Bonjour,
On Mon, 19 Feb 2024 16:49:52 +
Vincent Duvernet wrote:
> Un questionnaire en ligne anonymisé sauf en dernière partie afin de
> générer un "scoring" avec le nom de l'entreprise par catégorie (accès
> distant, visiteurs, utilisateurs, cloud...) ça pourrait faire sens. Ça
> permet de p
Bonjour,
- Quels sont les sous-réseaux, leur IP et leur fonction ?
> - Quels sont les outils (logiciels) mis en place pour la connexion à
> distance pour le télétravail ?
>
Je vous conseille d'en dire le moins possible, car au fil des ans ils en
demandent de plus en plus tout en comprenant de mo
#x27;impression de
faire quelque chose un minimum qualitatif plutôt que de remplir un fichier
Excel à la con en me faisant perdre mon temps.
Vincent
-Message d'origine-
De : frnog-requ...@frnog.org De la part de Bertrand
FRUCHET via frnog
Envoyé : lundi 19 février 2024 17:42
À :
On Mon, Feb 19, 2024, 17:29 David Ponzone wrote:
>
> > Le 19 févr. 2024 à 17:24, Noryungi a écrit :
> >
> (...)
>
Et c’est le boulot du CAC ça ?
>
Dans le cadre d'une analyse de risques, oui, si l'on prend en compte les
risques financiers liés à la divulgation d'informations personnelles
(RGPD
Bonjour la liste,
Comme nous sommes une filiale d'un cabinet d'expertise comptable, je
vous apporte notre vision.
La mission de commissariat aux comptes (dévolue aux experts-comptables
dûment accrédités par le conseil de l'ordre des experts-comptables) doit
déterminer les risques encourus pa
> Le 19 févr. 2024 à 17:24, Noryungi a écrit :
>
> Questions standards (et, effectivement, mal traduites) dans un cadre
> d'analyse de risque et/ou d'audit de type ISO 9001, 27001 out encore
> PCI/DSS.
>
> Pour information, un audit de ce type porte, non seulement sur l'entreprise
> X, mais au
Le Mon, Feb 19, 2024 at 05:16:00PM +0100, David Ponzone a écrit:
> Parce bon, je vois pas bien le rôle du CAC dans la cybersécurité de
> l’entreprise.
Idem, le CAC, je ne vois pas ce qu'il viendrait faire là-dedans. La DSI ou autre
pourquoi pas, mais le CAC, je ne vois pas en quoi le détail préci
Questions standards (et, effectivement, mal traduites) dans un cadre
d'analyse de risque et/ou d'audit de type ISO 9001, 27001 out encore
PCI/DSS.
Pour information, un audit de ce type porte, non seulement sur l'entreprise
X, mais aussi sur ses prestataires. Si vous êtes prestataire de X... On
vou
Hello,
> Ben t’as qu’à mentir.
Ou censurer comme dans les documents militaire? :D
> Sinon, c’est quoi l’obligation de répondre ?
> Parce bon, je vois pas bien le rôle du CAC dans la cybersécurité de
> l’entreprise.
> Ca serait pas une merde qui vient du ministère pour faire des jolies stats et
Ben t’as qu’à mentir.
Sinon, c’est quoi l’obligation de répondre ?
Parce bon, je vois pas bien le rôle du CAC dans la cybersécurité de
l’entreprise.
Ca serait pas une merde qui vient du ministère pour faire des jolies stats et
des beaux graphiques démontrant que la France est prête pour la guerr
On 19/02/2024 17:04, Vincent Duvernet wrote:
Bonjour,
J'avais déjà eu le cas il y a quelques temps avec un groupe Japonais mais là,
ça fait 2 clients FR avec la même approche (visiblement par 2 cabinets
différents).
Leur commissaire aux comptes demande une évaluation des risques cyber'.
On se
52 matches
Mail list logo
