Vous êtes RSSI dans une grande entreprise industrielle internationale. Après une série de tests d’intrusion, votre équipe a identifié plusieurs vulnérabilités critiques et a généré un rapport détaillé pour la direction générale. Cependant, lors de la réunion de revue, vous réalisez que le rapport est trop technique et qu’il sera difficile à comprendre pour la plupart des membres de la direction.

Quelle est la meilleure approche à adopter afin que ce rapport soit compréhensible et utile pour la direction ?

[A] Réécrire le rapport en priorisant les vulnérabilités selon leurs impacts financiers directs et en supprimant les détails techniques

[B] Rédiger un résumé exécutif en mettant en évidence les risques associés aux vulnérabilités découvertes et mettre les détails techniques en annexe

[C] Former les membres de la direction aux concepts techniques de cybersécurité afin qu’ils puissent mieux comprendre le rapport

[D] Inclure une section de recommandations avec des actions concrètes pour chaque vulnérabilité identifiée


reponse linkedin

CBK6 Q15 LINK


Proposition [A] : Se concentrer sur les vulnérabilités avec des impacts financiers directs ne donne pas une vision globale et intégrale des risques. D’autre part l’absence d’éléments techniques ne permet pas à l’équipe de sécurité de justifier les risques et les recommandations proposées.

Proposition [B] : Un résumé exécutif qui présente l’ensemble des risques permet aux membres non techniques de comprendre les enjeux et de prendre des décisions éclairées. Les détails techniques seront utilisés si nécessaire pour rentrer dans le détail ou comprendre les recommandations proposées.

Proposition [C] : Les membres d’une Direction générale ne sont pas des managers de cybersécurité. Ils doivent être sensibilisés aux risques et aux enjeux sans pour autant être en capacité d’en comprendre tous les détails techniques. C’est au RSSI d’adapter son livrable (le rapport des tests) à son audience et non l’inverse.

Proposition [D] : Inclure des recommandations est toujours utile mais ne résout pas le problème de compréhension globale du rapport par la direction.

La bonne réponse est la proposition [B]

tip

Pour en savoir plus sur les audits et tests d’intrusion nous vous recommandons de suivre le module n°16 de notre formation CISSP en distanciel de VERISAFE.


Questions et réponses rédigées par VERISAFE selon le programme officiel du CISSP actuellement en vigueur
© VERISAFE – Utilisation ou reproduction (même partielle) strictement interdite sans l’accord écrit de VERISAFE