Il est très courant de confondre les deux notions de Due Diligence et Due Care, même si la différence entre les deux est bien énorme. On va essayer, dans cet article, de mieux cerner les deux termes et d’apprendre à faire la différence grâce à des exemples concrets.
Commençons par les définitions selon The Law Dictionary :
Due Care : Il s’agit de prendre des soins justes, convenables et suffisants, adaptés aux circonstances ; donc d’éviter la négligence.
Due Diligence : Il s’agit de faire preuve de prudence, d’activité ou d’assiduité comme on s’y attendrait d’une personne raisonnable et prudente dans des circonstances particulières.
Dans le domaine de la cybersécurité, le principe reste le même. Faire preuve de Due Care se traduit par éviter la négligence, tandis que la Due Diligence implique une approche proactive dans la protection de votre système d’information.
Due Care :
Faire preuve de Due Care signifie que l’organisme ou la personne a fait tout ce qu’elle pouvait raisonnablement faire pour essayer d’empêcher la violation de la sécurité, la compromission des données et faire face aux différents incidents et catastrophes qui peuvent toucher l’organisme.
Voici des exemples de pratiques qui démontrent qu’on a fait preuve de Due Care :
- Identifier et cartographier les actifs de l’entreprise, y compris les actifs informationnels tels que les données personnelles et les données de santé.
- Mettre en place et maintenir des politiques de cybersécurité pour définir les règles et les bonnes pratiques à suivre au sein de votre entreprise.
- Mettre en place et maintenir un processus de gestion des incidents de sécurité.
Due Diligence :
Faire preuve de Due Diligence signifie que l’organisme prend proactivement le temps nécessaire pour comprendre correctement les risques auxquels il est confronté. En d’autres termes, il a correctement examiné toutes ses éventuelles faiblesses et vulnérabilités, et a identifié et compris les menaces pesant sur son système d’information.
Voici des exemples de pratiques qui démontrent qu’on fait preuve de Due Diligence :
- Réaliser une évaluation des risques (Risk Assessment) pour identifier les risques inhérents avant de conclure un contrat avec un partenaire.
- Mettre en place des indicateurs de conformité pour évaluer la conformité d’un partenaire aux normes et aux lois en vigueur.
- Effectuer des recherches sur le Dark Web pour vérifier si des vulnérabilités ou des données compromises de l’organisme sont en vente.
- Effectuer des analyses de vulnérabilités (scans) pour identifier les faiblesses qui pourraient être exploitées par des attaquants.
Conclusion :
Dans les systèmes d’information d’aujourd’hui, aussi complexes et sensibles qu’ils soient, la prudence est de rigueur. Faire preuve de Due Care et Due Diligence est le seul moyen de réfuter la négligence.
Le top management doit ainsi faire preuve de prudence et de diligence raisonnable pour réduire sa culpabilité et sa responsabilité en cas de sinistre.
No responses yet