> > Toussaint OTTAVI a écrit : > > L'expérience prouve que, si on met une porte blindée trop compliquée à ouvrir, les > > utilisateurs laissent la fenêtre ouverte. C'est un équilibre pas facile à trouver... > > +1. Et, risquer que l'utilisateur ouvre la fenêtre pour regarder le match de foot, c'est contre-productif : la fenêtre, une fois ouverte, est extrêmement difficile à refermer. Au bout du compte c'est parfois préférable de les laisser regarder le foot et de laisser leurs chefs de service faire la police. Pareil pour les clés USB : si l'utilisateur a une raison légitime de s'en servir, il va trouver comment détourner les restrictions qu'on met en place pour les désactiver, et là encore on ouvre la boite de Pandore.
Pas mieux, je pense pas que ce soit mon rôle de définir pour mon client ce qui doit être accessible ou pas, seulement bloquer ce qui "me" gène et qui va me faire avoir une demande de logs de la part de la gendarmerie. Le mature, unethical, les réseaux sociaux, jeux en ligne, newly observed domain, si après il faut débloquer le client me le dit, s'il veut du mature au bureau je double les logs. > >> Soit tu le fais au niveau périphérique, et là tu choisis ton UTM/NGFW favori pour > >> ça - Arkoon, Netasq, Palo Alto, Fortinet, Stormshield, Untangle, Meraki, Pfsense > > > Effectivement. Mais je n'ai juste pas confiance en un seul fournisseur :-) > > Et j'ai eu plusieurs fois l'occasion de constater que j'avais raison... > >> soit tu peux le faire au niveau poste de travail > > > Deux choses à propos du filtrage sur les postes : > > - C'est extrêmement chronophage et source de problèmes. Si on gère un seul gros réseau, le outils de management de l'éditeur > > peuvent faire le job. Mais si on gère plusieurs dizaines de petits réseaux indépendants, je n'ai pas trouvé l'outil qui convient... On fait du trend (pas mieux pas pire que d'autres), t'as une console revendeur qui te permet de découper et classer tes clients, et tu reçois par défaut des alertes sur ce qui se passe. On a dans les 5000 AV d'installés (chez +/- 200 clients), ça fait le job. > > Donc, l'idée est de conserver ce matériel, qui dans l'ensemble me convient > > C'est Cisco qui s'est tiré une balle dans le pied avec leur obsolescence planifiée à la con. J'ai 2 gammes, les ASA5555 et les FP2420, qui arrivent en fin de maintenance logiciel en Aout ou Septembre de cette année. Dès que çà touche la sécurité, plus de MAJ çà veut dire remplacement du matériel, ce qui était leur objectif. Eh bien, à force de jouer au con, Cisco a gagné : ils me forcent à remplacer le matos, ben oui je vais le remplacer. Avec du PA, possiblement. Ils le font tous, plus ou moins violemment, mais Fortinet c'est 9 ans (me semble) et 4 à 5 versions d'OS majeures entre la sortie du produit et le EoL, c'est court, et en même temps quand tu vois les progrès entre deux gammes de produits c'est long. PA je connais pas, mais c'est vrai que ça semble "séduisant" comme produit, ça parle et j'ai l'impression que c'est rarement remis en question, sauf niveau prix où là c'est clairement pas à portée de tout le monde. > > David Ponzone a écrit : > > Non c’est l’aveu qu'on est en 2021, que de plus en plus de salariés ont un laptop pro qui se baladent chez eux ou autre. > > +1. Sur un WiFi potentiellement rempli de saloperies y compris dans un aéroport (pas trop en ce moment mais çà reviendra), ou a la maison avec la progéniture adolescente du salarié, qui passe une grande partie de son temps à essayer de cracker la protection de Papa pour regarder le contenu réservé aux adultes. Et en essayant, télécharge une ribambelle d'outils qui contiennent moulte virus, root kits et autres portes dérobées. Et que tout le monde n'a pas le débit pour faire remonter l'accès internet en central, donc on met en place du split tunneling, parce qu'à 40 sur la ligne Adsl, avec le web ça couine un peu. Il y a même des clients avec juste une box en déporté, parce que le firewall à 400 balles c'est trop cher pour un bureau avec une seule personne et "ça fait des économies", alors la même, pas de split tunneling, rien que de la navigation locale derrière une box opérateur pas sécure, faut bien apporter un minimum sur le poste de travail. Et en 2021, le nombre de sites en HTTPS augmente chaque jour (je retrouve plus la stat), le HSTS se renforce, tu peux plus péter le chiffrement au niveau UTM sans que ça altère l'expérience utilisateur, alors pour savoir ce que fait le poste, il te faut de l'EDR, avec des To de stockage, et de la lecture de toujours plus de logs. C'est pas de l'impuissance, c'est que tout mis bout à bout, on a plus le choix, la sécurité périphérique n'est plus suffisante. --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
