En décembre 2020, votre entreprise a procédé au lancement d’une application critique dans le Cloud chez OVH à Strasbourg. En tant que RSSI, vous aviez procédé au préalable à un ensemble de vérifications et vous aviez constaté que les sauvegardes effectuées par OVH se situaient dans le même Datacenter que les données en production. Vous avez donc décidé de ne pas opter pour la solution de sauvegarde d’OVH et avez souscrit à une offre de backup tierce permettant un stockage de vos données sur une autre zone géographique.

Comment appelle-t-on l’ensemble des vérifications effectuées qui ont permis à votre entreprise de ne pas perdre toutes ses données dans l’incendie du Datacenter d’OVH de mars 2021 ?

[A] Due care

[B] Due diligence

[C] Fire insurance

[D] Conformité SecNumCloud


reponse linkedin

CBK1 Q16 LINK


L’expression « Due diligence » désigne l’ensemble des vérifications et des évaluations préalables qu’une entreprise effectue pour identifier et atténuer les risques avant de prendre des décisions importantes, comme le choix d’un fournisseur de services cloud ou la mise en place d’une application critique. Cela permet d’avoir un choix éclairé avant de prendre toute décision qui pourrait avoir un impact en terme de sécurité : mise en oeuvre d’une nouvelle application ou d’un nouveau système, signature d’un nouveau contrat de partenariat, acquisition d’une entreprise,… Dans ce contexte, en tant que RSSI, vous avez effectué une due diligence en examinant et en évaluant les pratiques de sauvegarde d’OVH. Vous avez constaté que les sauvegardes étaient stockées dans le même datacenter que les données en production, ce qui représentait un risque en cas d’incident physique (comme un incendie).

En conséquence, vous avez pris une mesure proactive en optant pour une solution de sauvegarde tierce, ce qui a permis à votre entreprise de ne pas perdre toutes ses données lors de l’incendie du datacenter d’OVH.

Quelle est la différence entre Due diligence et Due Care ?

Nous venons de voir ce qu’est la « Due diligence » et en voici quelques exemples :

  • Vérifier et évaluer les pratiques de sécurité d’un fournisseur potentiel avant de conclure un partenariat
  • Réaliser une évaluation approfondie des risques avant d’acquérir une nouvelle entreprise
  • Effectuer des audits de sécurité ou des tests d’intrusion

La notion de Due Care (diligence raisonnable) fait référence aux mesures continues et raisonnables qu’une organisation prend pour protéger ses actifs et ses données. Elle consiste à mettre en œuvre et à maintenir les mesures de sécurité appropriées sur la base des normes du secteur, des meilleures pratiques et le cas échéant des résultats d’une analyse de risque.

Exemples d’actions que l’on peut classer dans le « Due Care » :

  • Mettre en place et mettre à jour des solutions de sécurité (pare-feux, EDR, …)
  • Implémenter une authentification multi-facteurs sur des accès distants
  • Sensibiliser les utilisateurs finaux à la cybersécurité

Pour résumer : La « Due diligence » fournit les informations et les analyses qui permettent d’orienter les actions à mener (Due Care).

Dans le contexte de la question posée : Analyser en amont l’offre OVH, c’est une « Due diligence » alors que mettre en place une sauvegarde sur un autre site c’est une action de « Due care ».

La bonne réponse est la proposition [B]

tipPour en savoir plus sur les principes fondamentaux de cybersécurité et notamment la différence entre due care et Due diligence nous vous recommandons de suivre le module n°1 de notre formation CISSP en distanciel.


Questions et réponses rédigées par VERISAFE selon le programme officiel du CISSP actuellement en vigueur
© VERISAFE – Utilisation ou reproduction (même partielle) strictement interdite sans l’accord écrit de VERISAFE