[FRnOG] [ALERT] Cogent depeering en europe avec NTT

[Jorropo]

https://lowendtalk.com/discussion/192764/cogent-starts-de-peering-with-ntt-due-to-lack-of-asia-connectivity

Pour ceux qui ne sont que chez cogent, ça donne des routes EU → US → EU.

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Les cabinets comptables & la cyber

[Maxime DERCHE]

Le 20/02/2024 à 16:42, Nicolas Vigier a écrit :

On Tue, 20 Feb 2024, Maxime DERCHE wrote:


Bonjour Nicolas,

Le 20/02/2024 à 09:36, Nicolas Vigier a écrit :

On Mon, 19 Feb 2024, Vincent Duvernet wrote:


Comment faire évoluer la situation sans faire bondir les admins réseaux ?
Voici mes 2 cts :
Un questionnaire en ligne anonymisé sauf en dernière partie afin de générer un 
"scoring" avec le nom de l'entreprise par catégorie (accès distant, visiteurs, 
utilisateurs, cloud...) ça pourrait faire sens. Ça permet de poser des questions 
techniques pointues sans que le site ne fasse de rétention (donc faut un site de 
confiance on est bien d'accord).
Est-ce que c'est suffisant ? probablement pas mais ça donnerait l'impression de 
faire quelque chose un minimum qualitatif plutôt que de remplir un fichier 
Excel à la con en me faisant perdre mon temps.


Et c'est comme cela que l'on se retrouve ensuite à devoir faire des
trucs completement idiots dans le seul but d'augmenter le "scoring".

Le questionnaire demande si toutes les machines font tourner un
antivirus homologué et à jour ? Afin de pouvoir répondre oui et augmenter
le "scoring", la machine sous Linux non connectée au réseau fera donc
desormais tourner une machine virtuelle Windows avec un antivirus, les
antivirus homologués ne fonctionnant que sous Windows (avant peut-etre
de la reinstaller completement sous Windows, pour simplifier), et
nous allons la connecter au réseau afin de pouvoir mettre à jour
l'antivirus.


Alors celle-là on l'a entendue tellement de fois qu'on se demande encore
comment on peut encore la tenter, mais ça rate jamais. C'est les lacs du
Connemara.

La machine sous Linux "non connectée au réseau" a une carte IPMI/iLO/etc.
qui... est connectée au réseau.


Une machine "non connectée au réseau" n'a évidement pas une carte
IPMI/iLO/etc connectée au réseau sinon ca ne serait pas une machine non
connectée au réseau.


Si c'est une machine virtuelle alors elle
est en plus connectée au réseau physique de l'hôte. Bref dans un périmètre
technique réseau, tout ce qui existe est _forcément_ connecté. Et ce qui
n'est pas connecté au réseau doit quand même être tenu à jour parce qu'il
reste toujours le risque de l'accès physique à la machine, donc il n'y a
vraiment pas moyen de prétendre un zéro réseau.


Ca dépend des cas. Mais peu importe, c'était un exemple fictif où un
antivirus n'apporte strictement rien. Si il y a un risque d'accès
physique à la machine c'est pas un antivirus qui va y changer quoi que
ce soit.


Ah je peux t'assurer que ce n'est pas du tout un "exemple fictif", c'est même du 
quotidien sur le terrain à peu près partout. Dans le même genre on a le mythe de 
l'isolation sur un vlan séparé, où le serveur continue à traiter du trafic...


L'antivirus apporte une protection antimalware, a minima vis-à-vis d'une base de 
signatures connues, ce qui n'est pas "rien", surtout si la base est mise à jour très 
régulièrement (chaque heure). Si la machine est branchée au réseau il apporte 
également une gestion unifiée des alertes, ce qui n'est pas rien non plus, surtout 
quand on connaît les temps de propagation (qui sont littéralement fulgurants quand 
tous les serveurs partagent la même architecture matérielle, le même OS et le même 
niveau de mise à jour, donc les mêmes vulnérabilités -- dès qu'un serveur est 
compromis c'est tout l'étage de l'infra qui l'est dans les secondes qui suivent), 
sans alerte il n'est pas envisageable de répondre à l'incident autrement que par un 
communiqué de presse et une notification à la CNIL. L'antivirus participe à la 
supervision au même titre que les sondes de température remontées par SNMP.


Il n'y a pas si longtemps les infections se faisaient majoritairement hors-ligne, par 
des échanges de disquettes, même entre ami-es... Ce risque particulier n'a pas évolué.


Évidemment les technologies antivirales ne se valent pas toutes, et leurs diverses 
implémentations non plus, et l'efficacité des équipes de reversers qui font les 3x8 
en se relayant H24 à l'année pour tenir à jour les bases de signatures non plus. Ce 
n'est pas une raison pour cracher dans la soupe...



Après effectivement j'ai déjà soulevé ici ou ailleurs (frsag ?) la question
de l'antivirus sous Linux, ça existe, y compris en zone UE (ESET par
exemple). Et il y a toujours l'ami ClamAV quand il faut vraiment une excuse
(ou bien quand on fait de l'OpenBSD :p).


Et sachant que plusieurs vulnérabilités critiques sur Clamav on deja
été annoncées dans le passé, cela rajoute de la surface d'attaque sur
la machine. Ce qui peut valoir le cout ou pas suivant le contexte.


Mais lol, cette mauvaise fois. :-)

L'antivirus te permet de couvrir un risque. Un scénario d'attaque est modélisable par 
une chaîne de risques appliqués à des actifs, donc couper un risque particulier sur 
la totalité des actifs permet de casser un certain nombre de chaînes de risques, et 
c'est contrer autant de scénarii de risques à l'échelle globale de 

Re: [FRnOG] [TECH] Les cabinets comptables & la cyber

[Julien Escario]

Bonjour,
Pardon de mettre mon grain de sel mais je crois comprendre le fond du 
problème : les CAC appliquent la même logique de risque matériel 
raisonnable au systèmes d'informations.


Hors, on peut considérer que dans le cas d'une machine métier ou d'un 
bâtiment, un risque de casse ou d’incendie va se traduire par un arrêt 
de prod plus ou moins long et donc une provision pour couvrir ce risque.


Dans le cas d'une brèche dans le S.I. d'une boite, c'est juste ... mort. 
Si un vilain est rentré, il a copié toutes les données, chiffré 
l'ensemble et/ou pété les sauvegardes, il n'y aura pas de reprise 
d'activité.


En gros, c'est comme si on provisionnait 100% de la valorisation de la 
boite, ca n'a aucun sens.


Alors oui, les données ca se reconstruit mais dans les exemples que j'ai 
pu observer, la boite ne s'en remet jamais.


Donc en fait, c'est tout ou rien : soit le S.I. est inviolable (mouarf) 
et on provisionne 0, soit le S.I. est troué et on provisionne 100%.


Et ça, les CAC, assureurs et autres risk-management ne veulent pas 
l'entendre, ce que je peux comprendre.


Les gars, gérer un S.I. en 2024, c'est passer au travers d'un anneau 
enflammé, en équilibre sur un fil, en monocycle, au dessus d'une fosse 
remplie de crocos. Il va falloir accepter que ca demande des moyens 
humains considérables.


Julien



Le 19/02/2024 à 23:02, Intermi Charles a écrit :

Je suis un ancien geek passé de l'autre côté de la rivière (plutôt côté audit 
généraliste que CaC)... Ce qui me donne un aperçu de l'attendu.
Je doute que le CaC s'intéresse réellement au fond du problème. Son objetif 
encore une fois est d'avoir ce qu'on apelle une assurance raisonnable. Peu 
importe la solution mise en place: ce qui importe, c'est que l'ensemble de la 
ligne, y compris les sous traitants de rang X, aient mis en place des mesures 
offrants cette assurance.
De ce fait, bien que les suggestions d'aller plus au fond du sujet soient, de 
notre point de vue de geek, intéressantes, car se recentrant sur la réalité de 
la problématique, elles ne me semblent pas pertinentes pour répondre à la 
question du CaC.
Donnons ce qui leur est nécessaire. Et ce qui est nécessaire, c'est ce que 
l'entreprise ne peut ignorer en terme de bonne pratique, c'est à dire 
aujourd'hui les recommandations de l'anssi (considérées tant dans le milieu de 
l'audit que des CaC comme le Graal).
Si vos réponses permettent de couvrir l'inquiétude quant à leur bonne prise en 
compte, vous n'aurez pas d'autre diligences. Et de mon expérience, il n'est pas 
si compliqué d'y repondre sans divulguer votre topologie de réseau interne ni 
les solutions en place.
Si vous avez régulièrement ce type de requêtes, ce qui peut être le cas si vous 
êtes sous traitant sur de nombreuses entreprises cotées, vous pouvez utilement 
répondre en mettant face à chaque recommandation anssi votre parade, et envoyer 
ce doc générique comme reponse à toute sollicitation (et indépendemlent de la 
demande des CaC, c'est un relativement bon exercice pour challenger votre mise 
en place).
Il ne faut pas prendre les CAC pour plus bêtes qu'il ne le sont : ces questions qui 
semblent tout droit sorties de google translator sont leur manière d'obtenir des réponses 
concrètes de la part d'entités n'ayant pas forcément votre vision globale des choses, et 
qui "rentre" dans leurs cases. Nombreuses restent les entreprises confiant leur 
sécurité SI à Duchmole, ancien responsable du nettoyage de surface...
Je ne doute pas que cette position évoluera dans les dix/vingt années à venir, 
selon l'équilibre des risques, tout comme les gros bureau de CaC ont désormais 
des spécialistes sur les risques marchés, les risques images...
Que la force soit avec vous,
Charles Bonnet.



---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] Fournisseur Câble CAT6A anti rongeur 250/300m

[MELCHIOR Sébastien]

Bonjour à tous,

 

Je suis depuis plusieurs jours à la recherche de câble RJ45 Cat6A U/FTP ou 
F/FTP anti rongeur (armé) pour une installation sous fourreau. 

 

Malheureusement, la plupart des fournisseurs / fabricants (rexel, cae groupe, 
elbac, )  ne proposent que des tourets de 500m ou des longueurs de 250/300m 
cependant avec délais de disponibilité uniquement à partir d'avril ou sans 
indication de délai…

 

 

Avez-vous éventuellement une piste sachant que j'ai besoin de max 250/300M 
(assez rapidement sous max 15J).

 

 

Merci à tous !

 

Cordialement, 

MS 

 

 

 

 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Les cabinets comptables & la cyber

[Nicolas Vigier]

On Tue, 20 Feb 2024, Maxime DERCHE wrote:

> Bonjour Nicolas,
> 
> Le 20/02/2024 à 09:36, Nicolas Vigier a écrit :
> > On Mon, 19 Feb 2024, Vincent Duvernet wrote:
> > 
> > > Comment faire évoluer la situation sans faire bondir les admins réseaux ?
> > > Voici mes 2 cts :
> > > Un questionnaire en ligne anonymisé sauf en dernière partie afin de 
> > > générer un "scoring" avec le nom de l'entreprise par catégorie (accès 
> > > distant, visiteurs, utilisateurs, cloud...) ça pourrait faire sens. Ça 
> > > permet de poser des questions techniques pointues sans que le site ne 
> > > fasse de rétention (donc faut un site de confiance on est bien d'accord).
> > > Est-ce que c'est suffisant ? probablement pas mais ça donnerait 
> > > l'impression de faire quelque chose un minimum qualitatif plutôt que de 
> > > remplir un fichier Excel à la con en me faisant perdre mon temps.
> > 
> > Et c'est comme cela que l'on se retrouve ensuite à devoir faire des
> > trucs completement idiots dans le seul but d'augmenter le "scoring".
> > 
> > Le questionnaire demande si toutes les machines font tourner un
> > antivirus homologué et à jour ? Afin de pouvoir répondre oui et augmenter
> > le "scoring", la machine sous Linux non connectée au réseau fera donc
> > desormais tourner une machine virtuelle Windows avec un antivirus, les
> > antivirus homologués ne fonctionnant que sous Windows (avant peut-etre
> > de la reinstaller completement sous Windows, pour simplifier), et
> > nous allons la connecter au réseau afin de pouvoir mettre à jour
> > l'antivirus.
> 
> Alors celle-là on l'a entendue tellement de fois qu'on se demande encore
> comment on peut encore la tenter, mais ça rate jamais. C'est les lacs du
> Connemara.
> 
> La machine sous Linux "non connectée au réseau" a une carte IPMI/iLO/etc.
> qui... est connectée au réseau.

Une machine "non connectée au réseau" n'a évidement pas une carte
IPMI/iLO/etc connectée au réseau sinon ca ne serait pas une machine non
connectée au réseau.

> Si c'est une machine virtuelle alors elle
> est en plus connectée au réseau physique de l'hôte. Bref dans un périmètre
> technique réseau, tout ce qui existe est _forcément_ connecté. Et ce qui
> n'est pas connecté au réseau doit quand même être tenu à jour parce qu'il
> reste toujours le risque de l'accès physique à la machine, donc il n'y a
> vraiment pas moyen de prétendre un zéro réseau.

Ca dépend des cas. Mais peu importe, c'était un exemple fictif où un
antivirus n'apporte strictement rien. Si il y a un risque d'accès
physique à la machine c'est pas un antivirus qui va y changer quoi que
ce soit.

> Après effectivement j'ai déjà soulevé ici ou ailleurs (frsag ?) la question
> de l'antivirus sous Linux, ça existe, y compris en zone UE (ESET par
> exemple). Et il y a toujours l'ami ClamAV quand il faut vraiment une excuse
> (ou bien quand on fait de l'OpenBSD :p).

Et sachant que plusieurs vulnérabilités critiques sur Clamav on deja
été annoncées dans le passé, cela rajoute de la surface d'attaque sur
la machine. Ce qui peut valoir le cout ou pas suivant le contexte.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Les cabinets comptables & la cyber

[Maxime DERCHE]

Bonjour Laurent,

Le 20/02/2024 à 16:04, Laurent Barme a écrit :


Le 20/02/2024 à 15:00, Maxime DERCHE a écrit :
…
Ce sont ces décennies de culture toxique dans toute notre industrie qui nous ont 
mené là. Pour rappeler Churchill, je dirais que beaucoup ont refusé la sécurité et 
se retrouvent maintenant face à la loi et la sécurité.

Churchill aurait dit ça où et dans quelles circonstances ?


Au temps pour moi, en fait ce n'est pas lui : 
.


Personne ne va les plaindre. Et il n'y a pas les gentils d'un côté et les méchants 
de l'autre car les gentils sont déjà certifiés depuis belle lurette, il ne reste 
que les mauvais, c'est-à-dire ceux qui se sont fait pirater sans le dire et ceux 
qui sont obligés de l'avouer.


Ah, alors il suffit d'être certifié pour être protégé ? Et ceux qui ne sont pas 
certifiés se sont nécessairement fait pirater, qu'ils l'aient avoué ou non ?


Les bons n'ont jamais eu de mal à obtenir une certification, en fait beaucoup d'entre 
eux ont des standards bien au-dessus des normes, et ce depuis longtemps. Certains 
lisent d'ailleurs ces lignes.


La certification n'est jamais qu'un papier qui évite d'avoir à remplir d'autres 
papiers. Elle ne distingue pas les gens qui n'ont que de la sécurité de papier de 
celles et ceux qui prennent leur devoir moral au sérieux.


Et oui, les mauvais par contre, on les voit tous les jours aux informations. Parfois 
on l'apprend des mois voire des années plus tard.



Bien cordialement,
--
Maxime DERCHE
OpenPGP public key ID : 0xAE5264B5
OpenPGP public key fingerprint : 7221 4C4F D57C 456F 8E40 3257 47F7 29A6 AE52 
64B5




OpenPGP_signature.asc
Description: OpenPGP digital signature

Re: [FRnOG] [TECH] Les cabinets comptables & la cyber

[Laurent Barme]

Le 20/02/2024 à 15:00, Maxime DERCHE a écrit :
…
Ce sont ces décennies de culture toxique dans toute notre industrie qui nous 
ont mené là. Pour rappeler Churchill, je dirais que beaucoup ont refusé la 
sécurité et se retrouvent maintenant face à la loi et la sécurité.

Churchill aurait dit ça où et dans quelles circonstances ?

Personne ne va les plaindre. Et il n'y a pas les gentils d'un côté et les 
méchants de l'autre car les gentils sont déjà certifiés depuis belle lurette, 
il ne reste que les mauvais, c'est-à-dire ceux qui se sont fait pirater sans 
le dire et ceux qui sont obligés de l'avouer.


Ah, alors il suffit d'être certifié pour être protégé ? Et ceux qui ne sont pas 
certifiés se sont nécessairement fait pirater, qu'ils l'aient avoué ou non ?




---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Les cabinets comptables & la cyber

[Maxime DERCHE]

Bonjour Nicolas,

Le 20/02/2024 à 09:36, Nicolas Vigier a écrit :

On Mon, 19 Feb 2024, Vincent Duvernet wrote:


Comment faire évoluer la situation sans faire bondir les admins réseaux ?
Voici mes 2 cts :
Un questionnaire en ligne anonymisé sauf en dernière partie afin de générer un 
"scoring" avec le nom de l'entreprise par catégorie (accès distant, visiteurs, 
utilisateurs, cloud...) ça pourrait faire sens. Ça permet de poser des questions 
techniques pointues sans que le site ne fasse de rétention (donc faut un site de 
confiance on est bien d'accord).
Est-ce que c'est suffisant ? probablement pas mais ça donnerait l'impression de 
faire quelque chose un minimum qualitatif plutôt que de remplir un fichier 
Excel à la con en me faisant perdre mon temps.


Et c'est comme cela que l'on se retrouve ensuite à devoir faire des
trucs completement idiots dans le seul but d'augmenter le "scoring".

Le questionnaire demande si toutes les machines font tourner un
antivirus homologué et à jour ? Afin de pouvoir répondre oui et augmenter
le "scoring", la machine sous Linux non connectée au réseau fera donc
desormais tourner une machine virtuelle Windows avec un antivirus, les
antivirus homologués ne fonctionnant que sous Windows (avant peut-etre
de la reinstaller completement sous Windows, pour simplifier), et
nous allons la connecter au réseau afin de pouvoir mettre à jour
l'antivirus.


Alors celle-là on l'a entendue tellement de fois qu'on se demande encore comment on 
peut encore la tenter, mais ça rate jamais. C'est les lacs du Connemara.


La machine sous Linux "non connectée au réseau" a une carte IPMI/iLO/etc. qui... est 
connectée au réseau. Si c'est une machine virtuelle alors elle est en plus connectée 
au réseau physique de l'hôte. Bref dans un périmètre technique réseau, tout ce qui 
existe est _forcément_ connecté. Et ce qui n'est pas connecté au réseau doit quand 
même être tenu à jour parce qu'il reste toujours le risque de l'accès physique à la 
machine, donc il n'y a vraiment pas moyen de prétendre un zéro réseau.


Après effectivement j'ai déjà soulevé ici ou ailleurs (frsag ?) la question de 
l'antivirus sous Linux, ça existe, y compris en zone UE (ESET par exemple). Et il y a 
toujours l'ami ClamAV quand il faut vraiment une excuse (ou bien quand on fait de 
l'OpenBSD :p).


Note qu'en prévoyant un plan d'assurance qualité/sécurité en amont, on évite non 
seulement de se taper un questionnaire ISO 27001 par an et par client, mais en plus 
on peut se permettre de jouer avec les règles : il devient facile d'expliquer qu'on a 
choisi de ne pas répondre à telle exigence parce qu'en fait on a couvert le risque 
autrement.



Bien cordialement,
--
Maxime DERCHE
OpenPGP public key ID : 0xAE5264B5
OpenPGP public key fingerprint : 7221 4C4F D57C 456F 8E40 3257 47F7 29A6 AE52 
64B5




OpenPGP_signature.asc
Description: OpenPGP digital signature

Re: [FRnOG] [TECH] Les cabinets comptables & la cyber

[Maxime DERCHE]

Bonjour David,

Le 20/02/2024 à 10:01, David Ponzone a écrit :

Encore une fois, on va voir se pointer un raz de marée de réglementations s’abattre 
sur l’entreprise lambda, alors qu’on peut se demander si Viamedis avait eu le moindre 
audit avant de se faire trouer et piquer 33M de numéros de sécu (ils viennent 
seulement de mettre en place une authentification 2FA sur leur portail en utilisant 
la brique b2clogin.com  de Azure).

Et dans le questionnaire, le CAC interroge les RH sur le process départ et la 
gestion des conflits?
Parce qu’il me semble que la majorité des fuites viennent de l’intérieur.

David


En fait l'argumentation victimaire "il y a pire ailleurs" fait partie du problème : 
pourquoi ne pas simplement accepter qu'il y a un enjeu *moral* à protéger les 
données, et en conclure que qui veut la fin veut les moyens ?


Ce sont ces décennies de culture toxique dans toute notre industrie qui nous ont mené 
là. Pour rappeler Churchill, je dirais que beaucoup ont refusé la sécurité et se 
retrouvent maintenant face à la loi et la sécurité. Personne ne va les plaindre. Et 
il n'y a pas les gentils d'un côté et les méchants de l'autre car les gentils sont 
déjà certifiés depuis belle lurette, il ne reste que les mauvais, c'est-à-dire ceux 
qui se sont fait pirater sans le dire et ceux qui sont obligés de l'avouer.


Aujourd'hui le Code de la Cybersécurité fait plus de 1 100 pages (et encore je n'ai 
que la 1ere édition, de 2022) et oui, il s'applique à tous nos métiers, de l'admin 
sys au dev ouaibe node.js en passant par tous les métiers qui utilisent le système 
d'information, dont les Ressources Humaines (je hais cet oxymore).


Note que les questionnaires de gestion des tierces parties sont généralement calqués 
sur le framework offert par ISO 27001/27002 donc oui, les questions relatives à la 
prise de poste, au changement de poste et à la sortie de l'organisation sont ou 
devraient être inclues.


(Note aussi que la norme ISO 27001 figure au programme du Master Ressources Humaines 
depuis une dizaine d'années maintenant. Ce n'est évidemment pas un point majeur du 
programme enseigné mais cela flèche assez clairement le sens de l'histoire.)



Bien cordialement,
--
Maxime DERCHE
OpenPGP public key ID : 0xAE5264B5
OpenPGP public key fingerprint : 7221 4C4F D57C 456F 8E40 3257 47F7 29A6 AE52 
64B5




OpenPGP_signature.asc
Description: OpenPGP digital signature

Re: [FRnOG] [TECH] Recherche capteurs de pression d'eau LoRaWAN

[Toussaint OTTAVI]

Le 20/02/2024 à 13:41, Julien Escario a écrit :
Est-ce que tu sais préciser les diamètres des raccords sur lesquels il 
faut venir se brancher ? (Gardena, 3/4", conduite fonte 100mm, ...).


Cà va du PE 25mm à la conduite acier 400mm :-) Ceci étant, çà, c'est 
l'affaire des plombiers :-) Pour une sonde de mesure de pression, un 
piquage en 3/4 ou 1/2 devrait faire l'affaire.



De même, environnement aérien chloré (par ex. dans un chateau d'eau) ? 


2 cas de figure :
- eau potable (potentiellement chlorée)
- eau brute (potentiellement chargée en sable, boues, voire petits cailloux)
Donc, il me faut du matériel industriel costaud.

Ceci étant, on refait tout à neuf. Les tech qui bossent sur du 380V sans 
différentiel (parce que çà saute tout le temps), sur des coffrets 
rouillés et les pieds dans l'eau, çà m'inspire moyen :-D Donc, j'impose 
un local ou coffret électrique en dehors du local hydraulique. Donc, en 
cas de capteur/émetteur distincts, seule la sonde proprement dite sera 
dans le local "eau".





Normalement, n'importe quelle solution devrait savoir faire dans les 
deux sens ou alors c'est une limitation purement software.


C'est aussi ce qu'il me semblait. Mais quand j'ai posé la question à un 
fabricant, la question ne lui semblait pas triviale. Apparemment, 
certains systèmes à ailettes peuvent supporter de tourner "à l'envers", 
mais uniquement sur des périodes et avec des charges limitées... Moi, 
j'ai besoin que çà puisse mesurer en régime permanent dans les deux sens.




Désolé, pas de ref à te proposer, je peux juste de faire part des mes 
réflexions passées sur la question. 


Toute réflexion est bonne à prendre...

Et LoRa(wan), je n'y ai pas encore touché, c'est pour le mois prochain 
(en attente du matériel de lab).


Pareil :-) LoRa, çà tourne depuis plusieurs mois, en radioamateur 400 
MHz :-) Pour LoRaWAN, j'ai déjà une VM de test avec ChirpStack, et il 
faut que je sélectionne les gateways que je vais commander pour mon lab :-)


Je pense d'ailleurs m'orienter sur du meshtastic 
(https://meshtastic.org/) plutôt que LoRaWAN.


Je ne connaissais pas. Mais je doute que les fabricants de matériel 
industriel, et notamment de compteurs d'eau industriels, soient 
compatibles... Donc, sur le coté radioamateur, on bidouille volontiers; 
mais sur le coté collectivité, on va rester sur des solutions 
industrielles standard ;-)



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Recherche capteurs de pression d'eau LoRaWAN

[Julien Escario]

Bonjour Toussaint,

Le 20/02/2024 à 12:31, Toussaint OTTAVI a écrit :

Bonjour la liste,

S'il y en a qui bossent sur des réseaux d'eau, je cherche des 
références, et éventuellement des fournisseurs, pour des capteurs de 
pression d'eau en LoRaWAN :

- Pression : 0 à 30 bars
- Version avec avec alimentation externe et version auto-alimenté avec 
pile longue durée (j'ai les deux cas de figure, même si je vais 
privilégier les sites avec de l'énergie)
- Transmission LoRaWAN (soit directement, soit via une sortie bus 
interfaçable avec un émetteur LoRaWAN)

- De préférence, antenne externe, déportable à l'extérieur du coffret


Est-ce que tu sais préciser les diamètres des raccords sur lesquels il 
faut venir se brancher ? (Gardena, 3/4", conduite fonte 100mm, ...).


De même, environnement aérien chloré (par ex. dans un chateau d'eau) ? 
Ca impose des boîtiers non seulement étanches mais aussi les plastiques 
utilisés et des circuits complètement vernis (sinon tout rouille très vite).



En option, même question pour :
- Mesure de débit bidirectionnelle


Normalement, n'importe quelle solution devrait savoir faire dans les 
deux sens ou alors c'est une limitation purement software.



- Mesure de niveau dans des réservoirs d'eau potable
(j'ai déjà des références, mais j'en veux bien d'autres pour comparatifs)


Ah ah, j'ai justement un truc comme ça dans mes cartons pour ma commune 
(cf environnement chloré plus haut).


Désolé, pas de ref à te proposer, je peux juste de faire part des mes 
réflexions passées sur la question. Et LoRa(wan), je n'y ai pas encore 
touché, c'est pour le mois prochain (en attente du matériel de lab).
Je pense d'ailleurs m'orienter sur du meshtastic 
(https://meshtastic.org/) plutôt que LoRaWAN.


Bonne journée,
Julien


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] Recherche capteurs de pression d'eau LoRaWAN

[Toussaint OTTAVI]

Bonjour la liste,

S'il y en a qui bossent sur des réseaux d'eau, je cherche des 
références, et éventuellement des fournisseurs, pour des capteurs de 
pression d'eau en LoRaWAN :

- Pression : 0 à 30 bars
- Version avec avec alimentation externe et version auto-alimenté avec 
pile longue durée (j'ai les deux cas de figure, même si je vais 
privilégier les sites avec de l'énergie)
- Transmission LoRaWAN (soit directement, soit via une sortie bus 
interfaçable avec un émetteur LoRaWAN)

- De préférence, antenne externe, déportable à l'extérieur du coffret

En option, même question pour :
- Mesure de débit bidirectionnelle
- Mesure de niveau dans des réservoirs d'eau potable
(j'ai déjà des références, mais j'en veux bien d'autres pour comparatifs)

Merci par avance.
---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [BIZ] Baies sèches 4KVA DC3 Scaleway 2000€ HT/mois

[Melyann Mazit]

Bonjour,

J'espère que ce message vous trouve en excellente forme. Je tiens à partager 
avec vous une opportunité inédite : des baies sèches 4KVA de haute performance 
disponibles à seulement 2000€/mois HT sur le DC3 Iliad.

Je souhaite attirer votre attention sur le caractère limité dans le temps et le 
nombre de cette proposition. Afin d'en discuter plus en détail et de répondre à 
toutes vos interrogations, je vous invite à me contacter directement, dont les 
coordonnées sont incluses dans le QRcode ci-dessous.





Bien cordialement.
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Les cabinets comptables & la cyber

[David Ponzone]

Encore une fois, on va voir se pointer un raz de marée de réglementations 
s’abattre sur l’entreprise lambda, alors qu’on peut se demander si Viamedis 
avait eu le moindre audit avant de se faire trouer et piquer 33M de numéros de 
sécu (ils viennent seulement de mettre en place une authentification 2FA sur 
leur portail en utilisant la brique b2clogin.com  de 
Azure).

Et dans le questionnaire, le CAC interroge les RH sur le process départ et la 
gestion des conflits?
Parce qu’il me semble que la majorité des fuites viennent de l’intérieur.

David

> Le 20 févr. 2024 à 09:51, Maxime DERCHE  a écrit :
> 
> Le 19/02/2024 à 17:04, Vincent Duvernet a écrit :
>> Bonjour,
>> J'avais déjà eu le cas il y a quelques temps avec un groupe Japonais mais 
>> là, ça fait 2 clients FR avec la même approche (visiblement par 2 cabinets 
>> différents).
>> Leur commissaire aux comptes demande une évaluation des risques cyber'.
>> On se tape des questions plus ou moins débiles / mal traduites du type :
>> - Une solution antivirus est-elle installée sur chaque poste de l'entreprise 
>> ? Est-elle mise à jour régulièrement ?
>> - La porte vers internet a-t-elle un pare-feu configuré ? Quels protocoles 
>> sont filtrés/interdits ? (ICMP, TCP, UDP,) [éviter nmap, SSH ou RDP .]
>> Et d'autres plus sensibles :
>> - Quels sont les sous-réseaux, leur IP et leur fonction ?
>> - Quels sont les outils (logiciels) mis en place pour la connexion à 
>> distance pour le télétravail ?
>> Là franchement, ça me hérisse le poil.
>> Est-ce que c'est juste moi qui suis trop old school pour ne pas vouloir 
>> divulguer des informations à un tiers de "semi-confiance" potentiellement 
>> exploitables pour une attaque ?
>> Quels sont vos retours sur la question ?
>> Merci,
>> Vincent
> 
> Ça devient un classique oui, et ça va se durcir : les métiers du numérique 
> sont devenus des métiers réglementés.
> 
> Le plus simple :
>  * faire signer un plan d'assurance qualité/sécurité en annexe de chaque 
> contrat ;
>  * passer la certification ISO 27001 voire SOC 2 type 2.
> 
> Le plan d'assurance qualité/sécurité te permet de répondre à l'avance aux 
> questionnaires, la certification montre qu'un tiers de confiance a déjà posé 
> les questions.
> 
> Concernant le point que tu lèves, les cabinets d'expertise comptable et de 
> commissariat aux comptes n'ont pas intérêt à jouer avec le feu. Évidemment le 
> cas des cabinets d'audit style "big 4" est différent, d'autant plus qu'ils 
> sont soumis au Patriot Act.
> 
> 
> Bien cordialement,
> -- 
> Maxime DERCHE
> OpenPGP public key ID : 0xAE5264B5
> OpenPGP public key fingerprint : 7221 4C4F D57C 456F 8E40 3257 47F7 29A6 AE52 
> 64B5
> 
> 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Les cabinets comptables & la cyber

[Maxime DERCHE]

Le 19/02/2024 à 17:04, Vincent Duvernet a écrit :

Bonjour,

J'avais déjà eu le cas il y a quelques temps avec un groupe Japonais mais là, 
ça fait 2 clients FR avec la même approche (visiblement par 2 cabinets 
différents).
Leur commissaire aux comptes demande une évaluation des risques cyber'.

On se tape des questions plus ou moins débiles / mal traduites du type :

- Une solution antivirus est-elle installée sur chaque poste de l'entreprise ? 
Est-elle mise à jour régulièrement ?
- La porte vers internet a-t-elle un pare-feu configuré ? Quels protocoles sont 
filtrés/interdits ? (ICMP, TCP, UDP,) [éviter nmap, SSH ou RDP .]

Et d'autres plus sensibles :
- Quels sont les sous-réseaux, leur IP et leur fonction ?
- Quels sont les outils (logiciels) mis en place pour la connexion à distance 
pour le télétravail ?

Là franchement, ça me hérisse le poil.
Est-ce que c'est juste moi qui suis trop old school pour ne pas vouloir divulguer des 
informations à un tiers de "semi-confiance" potentiellement exploitables pour 
une attaque ?


Quels sont vos retours sur la question ?

Merci,

Vincent


Ça devient un classique oui, et ça va se durcir : les métiers du numérique sont 
devenus des métiers réglementés.


Le plus simple :
  * faire signer un plan d'assurance qualité/sécurité en annexe de chaque 
contrat ;
  * passer la certification ISO 27001 voire SOC 2 type 2.

Le plan d'assurance qualité/sécurité te permet de répondre à l'avance aux 
questionnaires, la certification montre qu'un tiers de confiance a déjà posé les 
questions.


Concernant le point que tu lèves, les cabinets d'expertise comptable et de 
commissariat aux comptes n'ont pas intérêt à jouer avec le feu. Évidemment le cas des 
cabinets d'audit style "big 4" est différent, d'autant plus qu'ils sont soumis au 
Patriot Act.



Bien cordialement,
--
Maxime DERCHE
OpenPGP public key ID : 0xAE5264B5
OpenPGP public key fingerprint : 7221 4C4F D57C 456F 8E40 3257 47F7 29A6 AE52 
64B5




OpenPGP_signature.asc
Description: OpenPGP digital signature

Re: [FRnOG] [TECH] Les cabinets comptables & la cyber

[Nicolas Vigier]

On Mon, 19 Feb 2024, Vincent Duvernet wrote:

> Comment faire évoluer la situation sans faire bondir les admins réseaux ?
> Voici mes 2 cts :
> Un questionnaire en ligne anonymisé sauf en dernière partie afin de générer 
> un "scoring" avec le nom de l'entreprise par catégorie (accès distant, 
> visiteurs, utilisateurs, cloud...) ça pourrait faire sens. Ça permet de poser 
> des questions techniques pointues sans que le site ne fasse de rétention 
> (donc faut un site de confiance on est bien d'accord).
> Est-ce que c'est suffisant ? probablement pas mais ça donnerait l'impression 
> de faire quelque chose un minimum qualitatif plutôt que de remplir un fichier 
> Excel à la con en me faisant perdre mon temps.

Et c'est comme cela que l'on se retrouve ensuite à devoir faire des
trucs completement idiots dans le seul but d'augmenter le "scoring".

Le questionnaire demande si toutes les machines font tourner un
antivirus homologué et à jour ? Afin de pouvoir répondre oui et augmenter
le "scoring", la machine sous Linux non connectée au réseau fera donc
desormais tourner une machine virtuelle Windows avec un antivirus, les
antivirus homologués ne fonctionnant que sous Windows (avant peut-etre
de la reinstaller completement sous Windows, pour simplifier), et
nous allons la connecter au réseau afin de pouvoir mettre à jour
l'antivirus.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Les cabinets comptables & la cyber

[Toussaint OTTAVI]

Le 20/02/2024 à 08:51, Laurent Barme a écrit :
C'est d'ailleurs à la base du problème ; les recommandations de l'ANSI 
ne sont pas universellement pertinentes ou applicables.


Cela semble être une généralité dans les cabinets d'audit ou de conseil 
: ils sont tous très prompts à relever "ce qui ne va pas" ou "ce qu'il 
ne faut pas faire'; mais quand on leur demande "comment il faudrait 
faire" pour traiter un problème particulier, là, il n'y a plus personne :-(


Moralité : faites du conseil, pas de l'ingénierie ni de l'exploitation :-D


---
Liste de diffusion du FRnOG
http://www.frnog.org/