Tim Holman, président de l’association britannique de la sécurité des systèmes d’information, l’ISSA UK, voit passer de nombreuses organisations dépourvues d’un plan de réaction aux incidents de sécurité. Et de dresser la liste de ce qui est susceptible de leur arriver lorsque survient finalement un incident.
Mais au final, il relève surtout que toutes les recommandations formelles existantes - ISO 27001, PCI DSS, NIST, SANS, etc. - ne sont in fine que des recommandations : « elles n’ont pas vocation à être copiées/collées. Mais elles vont alimenter largement votre réflexion. Lisez-les et conduisez votre propres recherches. »