J’ai toujours eu du mal avec ces deux notions. D’origine juridique, elles s’appliquent également en sécurité informatique. En sécurité informatique, les concepts de « due care » et « due diligence » peuvent être appliqués de la manière suivante :
Due care (obligation de prudence)
J’ai tout d’abord résumé ça très sommairement en disant que cela implique que les choix doivent être faits raisonnablement afin de conduire à un niveau de sécurité correct (politique SSI).
Plus explicitement, « due care » se réfère à l’obligation de prendre des mesures raisonnables pour protéger les systèmes d’information et les données contre les menaces et les risques. Cela implique la mise en place de mesures de sécurité appropriées pour prévenir les attaques, les pertes de données et les violations de la confidentialité. Par exemple, cela peut inclure la mise en œuvre de pare-feu, de solutions antivirus, de politiques d’authentification solides, de sauvegardes régulières, de formations en sécurité pour les employés, etc.
Due diligence (devoir de diligence)
Je pensais que cela signifiait que la mise en œuvre de la SSI devait être effective et efficace (et que cela se référait donc aux actions)
En matière de sécurité informatique, « due diligence » se réfère à l’investigation et à l’évaluation approfondie des risques liés à l’acquisition, au déploiement ou à l’utilisation de technologies, de systèmes ou de services informatiques. Cela implique de mener des évaluations de sécurité, des audits, des tests de pénétration et d’autres activités de vérification pour s’assurer que les solutions ou les fournisseurs choisis répondent aux exigences de sécurité et sont conformes aux normes et réglementations en vigueur. Par exemple, avant d’adopter un nouveau logiciel, une entreprise peut effectuer une due diligence pour évaluer les vulnérabilités potentielles, la réputation du fournisseur, les pratiques de sécurité et les engagements contractuels en matière de confidentialité des données.
En résumé, en sécurité informatique, « due care » implique la prise de mesures proactives pour protéger les systèmes et les données, tandis que « due diligence » implique la réalisation d’une évaluation approfondie des risques avant de prendre des décisions concernant des technologies ou des services informatiques.
