Skip to content

Un système hérité ne peut pas être corrigé, et l'entreprise ne financera pas son remplacement cette année. Quelle est la bonne action du RSSI ?

Réponse courte

Quand on ne peut pas remédier, on gère le risque : réduire l'exposition par des contrôles compensatoires (segmentation réseau, restriction des accès, surveillance renforcée), quantifier le risque résiduel et faire accepter formellement ce risque par le propriétaire métier responsable, avec une date de revue définie. Un arrêt unilatéral outrepasse l'autorité du RSSI et nuit à l'entreprise. L'ignorer parce qu'il est non corrigeable est une négligence. L'omettre du registre des risques masque la responsabilité, rompt la piste d'audit et signifie que personne n'assume officiellement la décision.

Toute organisation possède des systèmes non corrigeables — logiciels en fin de vie, équipements figés par l'éditeur, dépendances de production fragiles. Le scénario teste si un RSSI sait que « ne pas pouvoir corriger » ne veut pas dire « ne pas pouvoir gérer », et que les décisions de risque appartiennent à l'entreprise, documentées et assumées.

Pourquoi les contrôles compensatoires plus l'acceptation formelle sont corrects

Quand la remédiation est exclue, on se rabat sur le traitement du risque. D'abord, réduire la probabilité et l'impact par des contrôles compensatoires : isoler le système sur un réseau segmenté, restreindre qui et quoi peut l'atteindre, ajouter une surveillance et des alertes plus strictes et limiter ses privilèges. Ensuite, quantifier le risque résiduel qui subsiste après ces contrôles. Enfin, le présenter au propriétaire métier responsable — celui qui contrôle le budget et la valeur métier — et le lui faire accepter formellement par écrit, avec une date de revue afin que la décision soit réexaminée plutôt qu'oubliée. La décision reste à sa place et une piste d'audit est créée.

Pourquoi les autres options échouent

  • Arrêter unilatéralement le système. Le RSSI conseille sur le risque et le gère ; il ne décide pas seul d'arrêter un système générateur de revenus. Cela outrepasse la gouvernance et peut causer plus de tort que la vulnérabilité.
  • L'ignorer. « Il ne peut de toute façon pas être corrigé » est une négligence. Un risque connu non géré est précisément ce que sanctionnent les régulateurs et les revues post-incident.
  • Le tenir hors du registre des risques. Cacher le risque pour ne pas alarmer est la pire option : cela supprime la responsabilité, rompt la piste d'audit et signifie qu'aucun contrôle compensatoire ni acceptation ne sera jamais attribué. En cas d'exploitation, rien ne prouve que quelqu'un assumait la décision.

Ce que l'examinateur cherche

Il veut le réflexe d'acceptation du risque : documenter, atténuer ce qui peut l'être et renvoyer la décision d'accepter/reporter au propriétaire métier avec une cadence de revue — ni un coup d'éclat (arrêt) ni l'évitement (ignorer/cacher). Le RSSI mature rend le risque visible et assumé, même quand il ne peut être éliminé.

Questions de suivi probables

  • Quels contrôles compensatoires prioriseriez-vous pour un système non corrigeable exposé à Internet plutôt qu'interne ?
  • Qui dans l'organisation est la bonne personne pour accepter formellement ce risque résiduel, et pourquoi pas le RSSI ?
  • Que mettriez-vous dans le déclencheur de la date de revue pour que cette acceptation ne devienne pas silencieusement permanente ?

Sources

Certifications

Recevez 100 questions d'entretien en cybersécurité + réponses

Laissez votre e-mail et nous vous enverrons le pack PDF gratuit et le jeu de flashcards.

Pas de spam. Désabonnez-vous à tout moment.