Re: [FRnOG] [BIZ] Audit de sécurité

[Florent Cottey]

Le 25 juillet 2017 à 23:33, Jérôme Nicolle <jer...@ceriz.fr> a écrit :

>
> Le 25/07/2017 à 12:09, Florent Cottey a écrit :
> > - gestion de votre Active Directory
>
> Essayer de faire certifier une boite noire sous gouvernance hostile,
> c'est se mettre la tête bien profond dans le sable (si ce n'est ailleurs).
>
> Pas de sécurité sans transparence, pas de souveraineté sans expliciter
> des allégeances compatibles.
>

C'est constructif cette théorie du complot ? Octave a d'ailleurs eu
d'autres problèmes
à gérer avec les licences Ubuntu.
C'est sûr qu'on est ici (FRNOG) dans le monde du réseau, mais dans une
entreprise
qui a un SI bureautique, AD est incontournable. Je ne parle pas de
"certification",
loin de moi l'idée, je n'ai même pas effleuré cette idée... mais Active
Directory est un
environnement tellement complexe déjà à maîtriser et ensuite à gérer dans
le temps
qu'il y a des tonnes de points de contrôle à faire. Et ce n'est d'ailleurs
pas Microsoft qui
sera le meilleur dans ce domaine pour vous aider.

Puisqu'on était sur le sujet de l'audit, l'idée était de faire exprimer un
peu plus le
besoin. Chaque société d'audit essaie de développer une spécialité et
Active Directory
en est une. J'ai rencontré Cogicéo sur le sujet et ils ont investi beaucoup
de R
pour apporter une vraie valeur ajoutée. La société ALSID (des anciens de
l'ANSSI)
a développé un outil d'audit AD en continu. Vincent Le Toux, adjoint RSSI
chez Engie
a un parc d'AD énorme à surveiller et s'est lancé aussi dans la création
d'un outil que
je recommande (https://www.pingcastle.com/).

Ce n'est pas forcément évident de connaître le milieu pour bien cibler et
optimiser un
audit, c'est pourquoi je comprends qu'on puisse venir sur une mailing list
poser la
question, mais demander un audit sans le moindre détail, c'est que le
besoin n'est pas
très poussé et n'importe quelle société d'audit sera à même de le réaliser.
C'est justement pour ça que des boîtes peuvent vendre de la "bouse" parce
que le
client ne sait pas ce qu'il veut... Le pire c'est que le client sera
satisfait car il aura fait
son audit de l'année (conforme ISO27001). Par contre les corrections ne se
mettront
pas en place toutes seules...

Florent

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [BIZ] Audit de sécurité

[Florent Cottey]

Le 25 juillet 2017 à 10:14, Alexei Popof  a écrit :

> Avez-vous des adresses sur Paris de cabinets d'audit de confiance adaptés
> à une PME de 25 salariés. Nous gérons des flux financiers importants et
> c'est pour cela que la DG souhaite montrer au CA que tout a été fait au
> mieux pour se protéger.
>

Bonjour,

tous les prestataires qualifiés PASSI seront de confiance. C'est une
démarche encadrée par l'Etat.
https://www.ssi.gouv.fr/administration/qualifications/prestataires-de-services-de-confiance-qualifies/prestataires-daudit-de-la-securite-des-systemes-dinformation-passi-qualifies/
Cette liste n'est pas exhaustive car de bonnes sociétés ayant déjà leur
clientèle n'ont pas ressenti le besoin de s'inscrire dans cette démarche.
Je pense à Synactiv, Lexfo ou XMCO.

Après il faut voir le besoin. Est-ce du généraliste sur votre système
d'information ?
- gestion de votre Active Directory
- renforcement du réseau
- fichiers qui traînent sur les partages réseau
- mots de passe faibles
- systèmes non patchés

Est-ce du très spécifique sur les flux financiers ? Y a-t-il des
applications maison à regarder avec attention ?

Je pense que ce deuxième point doit arriver dans un second temps après
avoir sécurisé le système d'information car il suffit souvent d'avoir les
mots de passe des utilisateurs avec des failles assez simples pour ensuite
accéder aux applications avec des comptes légitimes.

En étape 0 je conseillerai de passer soi-même un scanner de vulnérabilité
type Nessus. Ca évitera de payer des experts pour trouver des
vulnérabilités triviales à identifier.

Florent

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [BIZ] Logiciels de chiffrement pour stocker des mots de passe (was [FRnOG] [BIZ] OVH - incident de sécurité)

[Florent Cottey]

Salut Mikael,

le logiciel SecretManager doit correspondre à tous tes besoin :
http://sourceforge.net/projects/secretmanager/
Il est développé par un consultant en sécurité français qui en avait marre
de voir ses clients gérer les mots de passe n'importe comment et qui ne
trouvait pas de solution propre, alors il a fait son logiciel.
Ce n'est pas un bastion type wallix donc l'admin aura le mot de passe et
pourra l'écrire sur un papier s'il le souhaite... mais c'est déjà pas mal.

Cordialement,
Florent

---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [FRnOG] de l'autre coté de l'atlantique

[florent cottey]

En France aussi :
http://www.saint-quentin-en-yvelines.fr/communaute-dagglomeration/les-grands-projets/le-tres-haut-debit-a-sqy

Le 22 juin 2009 23:29, sxpert sxp...@sxpert.org a écrit :

 certaines villes, lasses d'attendre, tirent elles memes la ftth

 http://www.twincities.com/business/ci_12652086

 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/