L’un des aspects de cette situation est que , pour le vérificateur, il soit prudent de recommander à «l’antivirus» de tout faire .
Les audits de sécurité ne concernent pas uniquement la sécurité technique réelle. Souvent, il s’agit aussi de limiter la responsabilité en cas de poursuite.
Disons que votre entreprise a été piratée et qu'un recours collectif a été intenté contre vous. Votre responsabilité spécifique peut être atténuée en fonction de votre conformité aux normes de l'industrie. Supposons que les auditeurs ne recommandent pas de matériel audiovisuel sur ce serveur, vous ne devez donc pas l'installer.
Votre défense en cela est que vous avez suivi les recommandations d'un auditeur respecté et que vous passez le flambeau pour ainsi dire. Incidemment, c'est la raison principale pour laquelle nous faisons appel à des auditeurs tiers. Notez que le transfert de responsabilité est souvent inscrit dans le contrat que vous signez avec les auditeurs: si vous ne suivez pas leurs recommandations, tout dépend de vous.
Les avocats enquêteront ensuite sur l'auditeur en tant que co-accusé éventuel. Dans notre situation hypothétique, le fait qu’ils n’aient pas recommandé de système antivirus sur un serveur particulier sera considéré comme peu exhaustif. Cela seul les blesserait dans les négociations même si cela n'avait absolument aucune incidence sur l'attaque proprement dite.
La seule chose financièrement responsable pour une société d'audit est de disposer d'une recommandation standard pour tous les serveurs, quelle que soit la surface d'attaque réelle. Dans ce cas, AV sur tout . En d'autres termes, ils recommandent un marteau, même lorsqu'un scalpel est techniquement supérieur en raison d'un raisonnement juridique.
Cela a-t-il un sens technique? Généralement non, car cela augmente généralement les risques. Cela a-t-il du sens pour les avocats, un juge ou même un jury? Absolument, ils ne sont pas techniquement compétents et incapables de comprendre les nuances. C'est pourquoi vous devez vous conformer.
@ewwhite vous a recommandé de parler à l'auditeur à ce sujet. Je pense que c'est le mauvais chemin. Au lieu de cela, vous devriez parler avec l'avocat de votre société pour obtenir son avis sur le fait de ne pas suivre ces demandes.