Faire la différence entre Due Diligence et Due Care!

Il est très courant de confondre les deux notions de Due Diligence et Due Care, même si la différence entre les deux est bien énorme, on va essayer dans cet article de mieux cerner les deux mots et apprendre à faire la différence avec des exemples concrets.

Commençons déjà par les définitions selon The Law Dictionary :

Due Care : Des soins justes, convenables et suffisants, autant que les circonstances l’exigent ; donc absence de négligence.

Due Diligence : Une mesure de prudence, d’activité ou d’assiduité comme on s’y attend d’une personne raisonnable et prudente dans des circonstances particulières.

Dans le domaine de cybersécurité le principe reste le même, faire preuve de Due Care se traduit par éviter la négligence, et la Due Diligence en ayant une approche proactive dans la protection de votre système d’information.

Due Care :

Le fait de faire preuve de Due Care signifie que l’organisme ou la personne a fait tout ce qu’elle pouvait raisonnablement faire pour essayer d’empêcher la violation de la sécurité, la compromission des données et faire face aux différents incidents et catastrophes qui touchent l’organisme.

Ci-dessous des exemples de pratiques qui prouvent qu’on a fait preuve de Due Care :

  • Identifier et cartographier les biens de l’entreprise y compris les biens informationnels tels que les données personnelles et données de santé.
  • Mettre en place et maintenir des politiques de cybersécurité pour définir les règles et bonnes pratiques à suivre au sein de votre entreprise.
  • Mettre en place et maintenir un processus de gestion des incidents de sécurité.

Due Diligence :

Faire preuve de Due Diligence signifie que l’organisme prend pro-activement le temps nécessaire pour bien comprendre les risques auxquels il fait face, en d’autres termes , il a investigué correctement toutes ses éventuelles faiblesses et vulnérabilités et a bien identifié et compris les menaces contre son système d’information.

Ci-dessous des exemples de pratiques qui prouvent qu’on fait preuve de Due Diligence:

  • Faire un Risk Assessment pour identifier les risques inhérents chez un partenaire avant de signer un contrat.
  • Mettre en place des métriques pour mesurer la conformité d’un partenaire aux standards et lois en vigueur.
  • Faire des recherches dans le Dark Web pour vérifier si des vulnérabilités ou données compromises de l’organisme y sont présentes en vente.
  • Faire des scan de vulnérabilités pour identifier les faiblesses qui pourraient être exploités par les attaquants.

Conclusion :

Dans les systèmes d’information d’aujourd’hui, aussi complexes et sensibles qu’ils soient, la prudence est de rigueur. Faire preuve de Due Care et Due Diligence est le seul moyen de réfuter la négligence.

Le top management doit ainsi faire preuve de prudence et de diligence raisonnable pour réduire sa culpabilité et responsabilité en cas de sinistre.

(Visited 11 times, 1 visits today)

Vous aimerez aussi...

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *