Re: [FRnOG] [BIZ] Contact direct DELL

2024-07-19 Par sujet Nicolas Gaudin 
Hello
Répondu en DM.

Le ven. 19 juil. 2024 à 15:01, Jeremy  a écrit :

> Bonjour,
>
> Mon contact DELL ne répondant plus à mes messages pour une raison
> inconnu, est ce que l'un d'entre vous aurait un contact commercial DELL
> (Français) à me faire passer pour de l'achat de serveur ?
> Je remercie par avance tous les intégrateurs qui voudront me proposer
> leur aide, mais j'ai vraiment besoin de commander en direct.
>
> Merci, excellent week-end à tous !
>
> Jérémy
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [MISC] Sous-traiter la gestion de son parc informatique de bureau (laptops)

2019-07-25 Par sujet Nicolas Gaudin 
Hello la liste,

Je recherche des sociétés (parisiennes de préférence ou ayant du staff
localisé à Paris) pour confier la gestion de mon parc de laptops (hotline,
maintenance), avez-vous des noms à me suggérer SVP (de préférence avec un
RetEx positif, sinon tant pis je me ferai mon idée)?
Pas nécessaire qu'il s'agisse d'une grosse boîte, juste sérieuse, ça ira.

D'avance merci à vous.
Nicolas

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Proxy + interception SSL = RGPD?

2019-06-26 Par sujet Nicolas Gaudin 
Hello,

L'interception SSL n'est pas illégale dès lors que les employés sont
informés de l'existence du dispositif, et ce préalablement à sa mise en
place, et que certaines mesures sont prises.
En 2015, la CNIL s'était montrée favorable au dispositif mais sous
certaines conditions (cf. article NextINpact

)

L'information faite aux utilisateurs doit être claire, accessible (de
préférence, annexée à la charte informatique) et complète ; elle doit
indiquer:
- les finalités poursuivies par le dispositif ;
- son fondement légal (l'intérêt légitime de l'entreprise, a priori) ;
- la nature des données inspectées
- les durées de conservation (live + archivage, le cas échéant) ;
- la localisation du stockage/traitement (attention ,à ce que ça reste dans
un pays adéquat selon RGPD) ;
- l'éventuel accès par des tiers (si le proxy est infogéré par exemple) ;
- les modalités d'exercice des droits d'accès (onconditionnel), de
rectification, de suppression, etc. (sur motif légitime).
Ne pas omettre de présenter le dispositif aux IRP de votre entreprise, qui
doivent avoir été consultés au préalable.

D'autre part, je dirai qu'il faut aussi s'assurer que les administrateur
feront preuve d'éthique dans l'analyse des données, notamment par le biais
d'un contrôle des opérations d'accès aux données (qui devront donc être
tracées) et d'une charte pour les admin.
C'est moins évident à faire si c'est infogéré (il faut blinder les contrats
de sous-traitance de clauses ad hoc).

Enfin, le dispositif doit être bien sécurisé: accès par des comptes
individuels, authentification robuste, durcissement, patching régulier,
protection physique and so on...
L'ANSSI avait publié une note technique à ce sujet: ici
.

Nicolas


Le lun. 24 juin 2019 à 16:17, Vincent Duvernet 
a écrit :

> Bonjour,
>
> J'ai posé la question à Sophos (car nous avons des XGxxx en production) et
> que la question m'interpellait.
>
> Voici la réponse que j'ai obtenue :
>
> " Deloitte nous certifie SOC1 niveau 2"
>
> Bonne journée,
>
> Vincent
>
>
> -Message d'origine-
> De : frnog-requ...@frnog.org  De la part de
> Maxime Jouveaux
> Envoyé : vendredi 25 janvier 2019 08:55
> À : frnog-m...@frnog.org
> Objet : [FRnOG] [MISC] Proxy + interception SSL = RGPD?
>
> Bonjour la liste,
>
>
> Petite question RGPD, je gère actuellement un proxy squid et pour
> renforcer la sécurité je regardais pour faire de l'interception SSL(HTTPS).
>
> Actuellement, il logue tout le HTTP et que la première demande en HTTPS,
> mais sans collecter de données.
>
>
> Mais je sais que l’interception SSL (HTTPS) peut être illégale vis-à-vis
> des droits et liberté de chacun, car le proxy verra toutes les informations
> HTTPS en clair, ce qui représente une attaque informatique appelée « Man on
> the middle ».
>
> Étant donné que l’accès de chaque utilisateur d’internet n’est pas limité,
> il peut donc aller sur le site de sa banque ou sur un site médical et
> consulter des informations personnelles durant sa pause (Autorisée par le
> code du travail).
>
> Le hic de l’interception SSL(HTTPS) est que le proxy trace tout en clair
> (exemple : les codes personnels, code carte bancaire etc…).
>
> Ce qui est *une violation du RGPD *de l’employé.
>
>
>
> Est-ce que je me trompe?
>
>
> Note: j'ai une charte informatique en place qui informe les employés que
> j'ai un proxy.
>
>
> Merci à vous.
>
>
> Maxime JOUVEAUX
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Base nationale des appels d'urgence

2019-05-07 Par sujet Nicolas Gaudin 
Hello,

Je confirme qu'un projet de "webisation" des PDAAU/TNAAU est actuellement
en cours.
Il ne verra cependant pas le jour avant au moins la fin de l'année je pense.
Je ne peux cependant pas en dire plus pour le moment.

Nicolas


Le mar. 7 mai 2019 à 14:06, Steeve BEAUVAIS - Société Serinya Telecom <
steeve.beauv...@serinyatelecom.fr> a écrit :

> Merci pour vos retours.
> J'avoue ne pas encore avoir fait le point avec le service qui s'occupe de
> ça chez moi et notamment sur l'évolution des process.
>
> Je vais regarder tout ça et voir pour l'automatiser ça ferait gagner
> beaucoup de temps je pense.
>
> Cordialement,
>
> [image:
>
> http://www.serinyatelecom.fr/signatures/signature-steeve-beauvais-serinya-telecom.jpg
> ]
>
>
> 
>
>
> Le mar. 7 mai 2019 à 13:40, Alexis Prodhomme  a
> écrit :
>
> > Bonjour Steeve,
> >
> > Je t'invite à voir ce document :
> >
> >
> https://www.telecom.gouv.fr/pdaau/docs/Protocole_Echanges_PDAAU_1.53d.pdf
> >
> > Franchement, c'est "assez bien" fait et ça reste plutôt automatisable.
> > Enfin c'est carrément moins pénible qu'il y a quelques années quoi.
> > (je ne dis pas que c'est parfait. Ça reste de l'envoi d'email et des
> > listes de diffusion, avec des délais légaux à respecter blablabla. Mais
> > comparé à avant . c'est exploitable quoi :p)
> >
> > Ils fournissent même un script PHP d'exemple pour automatiser tout ça
> > (page 39).
> >
> > Alexis
> >
> > Le 07/05/2019 à 11:42, Steeve BEAUVAIS - Société Serinya Telecom a écrit
> :
> > > Bonjour à tous,
> > >
> > > Il y a déjà quelques années j'avais entendu parler de la mise en place
> > > hypothétique d'une base de données nationale pour les traduction de SDA
> > > pour ne plus avoir à se palucher les PDAAU préfecture par préfecture
> avec
> > > la joie de formats excel différents les uns des autres.
> > >
> > > Je n'ai pas suivi le dossier, quelqu'un saurait me dire si ce sujet est
> > > toujours au goût du jour et s'il a pu avancer?
> > >
> > > Merci d'avance pour vos réponses!
> > >
> > > Cordialement,
> > > Steeve BEAUVAIS
> > >
> > >
> > > 
> > >
> > > ---
> > > Liste de diffusion du FRnOG
> > > http://www.frnog.org/
> >
> >
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [MISC] Rapport ARCEP sur problème IPv6

2016-10-03 Par sujet Nicolas Gaudin 
> Depuis 5 ans, je déploie IPv6 sur tous les nouveaux serveurs que
> j'installe pour mes clients ou moi.
> Résultat ? Plus de 90 % de mon parc est en dual-stack.
> La plupart des clients n'ont pas vu de différence et ne sont probablement
> même pas au courant de l'existence d'IPv6.
> En 5 ans, j'ai dû avoir peut-être 2 ou 3 demandes de clients pour
> désactiver IPv6.
> Je ne l'ai jamais fait : on regarde ce qui ne fonctionne pas et on fixe.

Personnellement, si j'étais client je ne serais pas ravi que mon prestataire
active IPv6 sans me demander mon avis au préalable et encore moins s'il le
maintenait en place malgré ma demande expresse de le désactiver.
Comme l'évoquait Pierre Colombier, activer un réseau en IPv6 peut créer des
brèches de sécurité qui resteront insoupçonnées si celui qui le gère ne le
fait pas en pleine connaissance.
IPv6, c'est l'avenir (ça fait plus de 15 ans qu'on le dit, paraît-il...)
mais encore faut-il le maîtriser et avoir connaissance de son état de
déploiement sur son réseau.
Je n'appelle pas ça "maîtriser" quand sa gestion dépend d'un unique
prestataire.
Mais ça n'est que mon avis...


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [MISC] [Vendredi] Vous loguez les URL visités par vos clients/abonnés ?

2016-05-13 Par sujet Nicolas Gaudin 


Nicolas Gaudin
+33627230071

> Le 13 mai 2016 à 12:04, Jérémie Libeau  a écrit :
> 
> Si l’on ne parle que du CPCE, il ne s’applique qu’aux « opérateurs de 
> communications électroniques » définit comme « toute personne physique ou 
> morale exploitant un réseau de communications électroniques ouvert au 
> public ou fournissant au public un service de communications électroniques 
> ». Est-ce que cette définition est bien clair ?
> 
> Ah! Ca, ça englobe en effet un paquet de monde. En gros quiconque fournit un 
> hot spot WiFi public est concerné. Bonne chance aux perquisitions.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [JOBS] Recherche responsable sécurité opérationnel

2016-02-04 Par sujet Nicolas Gaudin 
Bonsoir,

Une de mes connaissance DSI dans un groupe de Médias est à la
recherche d'un responsable sécurité plutôt opérationnel et ayant une
expérience intermédiaire (ni junior ni trop senior). Il s'agit d'un
client final.
Si vous êtes intéressé ou connaissez quelqu'un correspondant au profil
qui pourrait l'être contactez-moi en privé pour une mise en relation
avec le client final et une job description plus détaillée.

Nicolas


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Appliance de sécurité reverse proxy SSL, Load Balancing et IPS

2015-04-30 Par sujet Nicolas Gaudin 
>>Le 30/04/2015 12:09, Richard Paré a écrit :
>> Bonjour,
>>
>> Je cherche un appliance de sécurité pour protéger un site Web de la
>> manière suivante :
>> - Le site Web fonctionne en HTTP
>> - L'appliance de sécurité fait office de reverse Proxy avec d'un côté,
>> des communications chiffrées HTTPS avec les clients et de l'autre des
>> communications en clair HTTP avec le serveur Web

> Le 30/04/2015 12:36, Fabrice Vincent a écrit
>On utilise Cloudflare(.com)
>Leur service fait en même temps reverse proxy (avec SSL si on veut), CDN,
>WAF, et plein d'autres sécurisations et optimisations.

J'ai peut-être loupé un truc mais partir sur du Cloudflare dans le cas du
besoin exprimé (à savoir http entre le proxy et la plateforme) expose les
flux en clair entre Cloudflare et la plateforme cible, non?

Nicolas


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [MISC] Revsere DNS MX laposte.net

2014-11-14 Par sujet Nicolas Gaudin 
>>> Salut!
>>> Pour rigoler un coups, je suis dans la panade avec mon adresse
>>> laposte.net.
>>> Il semble qu'il n'y ait pas de reverse DNS enregistré, du coups l'IP
>>> des MX est blacklistée par des RBLs et je me retrouve dans noir...
>>> Ah tiens y'a un caca avec le certificat SSL aussi.
>>> Si les gens de la poste sont ici, ce serais sympa de bien vouloir se
>>> pencher sur la question rapido.
>> ... ou de prosodie, au pire, vu que leur MX est chez Proso :)


C'est toujours fun de nettoyer une IP des RBLs. :)

Nicolas


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [BIZ] Société pour tests d'intrusion sur accès Internet

2014-10-28 Par sujet Nicolas Gaudin 
Synacktiv (http://www.synacktiv.fr/fr/)


-Message d'origine-
De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de
Florian Stosse
Envoyé : mardi 28 octobre 2014 10:35
À : Julien Schafer
Cc : frnog-...@frnog.org
Objet : Re: [FRnOG] [BIZ] Société pour tests d'intrusion sur accès Internet

Oppida ;-)
On Oct 27, 2014 5:21 PM, "Julien Schafer"  wrote:

> Bonjour la liste
>
> Un de nos clients recherche une entreprise spécialisée dans les tests
> de ce type.
>
> Ils veulent éprouver leur plateforme d'accès à Internet. Ceci signifie
> que le prestataire doit chercher à rentrer par tous les moyens
> possibles en essayant de trouver des failles sur tous les services «
> visibles ». Bien évidemment il y aura un rapport à remettre à la fin
> sur tous les « trous » identifiés.
>
> Si vous avez besoin de plus d'infos n'hésitez pas à me MP.
>
> Je suis preneur de vos retours si vous avez connaissance de
> prestataires honnêtes et sérieux en la matière. En l'occurrence on
> recherche surtout de la compétence technique, le blabla et les powerpoint
> on peut oublier.
>
> Merci d'avance.
>
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [MISC] Pentesting/Audit Cloud

2014-10-22 Par sujet Nicolas Gaudin 
Quid d'Outscale?
https://www.outscale.com/fr/

Cdlt,
Nicolas

-Message d'origine-
> Cloudwatt ? Numergy ? Ils ont une offre ? :)
>
> D.Ponzone

Le 22 oct. 2014 à 14:34, sebastien gioria  a écrit :

>> Bonjour,
>>
>> Je suis en train de recenser l'ensemble des documents légaux (URL
d'infos et autre)  demandés par
>> les différents fournisseurs de Cloud avant un pentest.
>> Je vous partage ceux que j'ai, et si vous en avez d'autres n'hésitez
pas.
>>
>> -Amazon : http://aws.amazon.com/security/penetration-testing/
>> -Azure :
http://download.microsoft.com/download/C/A/1/CA1E438E-CE2F-4659-B1C9-CB149
17136B3/Penetration%20Test%20Questionnaire.docx
>> -Google : Tant qu’on lance pas d’attaque D/DOS ya rien a faire pour
l’instant mais leur politique est en cours de publication
>> (source interne Google :))
>
> Je me dis qu'il me manque (en vrac) :
> -Numergy
> -CloudWatt
> -OVH
> -Ikoula
> - RackSpace
> - ASP serveur
> - Gandi.net
>
> S.Gioria


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [JOBS] Retours d'expérience sur les Formations sécurité réseaux/SI

2014-09-29 Par sujet Nicolas Gaudin 
Bonjour,


Il existe en effet un grand nombre de formations sécurité et elles ont toutes 
des objectifs différents.
- Les formations ISO 2700x (Lead) Implementer ciblent plutôt les RSSI (ou des 
consultants), en charge d'implémenter des systèmes de management organisés de 
la sécurité (certifiés ou non) et permettent de s'adresser à des tiers sur un 
même langage
- Les formations ISO 2700x (Lead) Auditor ciblent plutôt des consultants en 
charge de vérifier la conformité d'un système de management à la norme
- Le CISSP est censé garantir à une entreprise que la personne qui possède 
cette certification dispose de connaissances théoriques assez complètes dans 
tous les domaines de la sécurité.

Il existe ensuite une multitude de formations pratiques ciblant tel ou tel 
domaine de la sécurité:
- durcissement des systèmes d'exploitation (Linux, Windows...),
- durcissement des applications,
- tests d'intrusion réseau (wired ou wireless), applicatifs,
- développement d'application sécurisées (générique ou selon langage),
- gestion des logs et incidents sécurité,
- analyse post-mortem (recherche de traces)...
Bref, il y en a pour tous les besoins, à toi de savoir ce qu'il te faut ou ce 
par quoi tu veux commencer.
Tout dépend de ton besoin.
Toutes ne sont pas non plus de qualité et là, c'est plus dur de se prononcer.

Certaines peuvent délivrer un certificat à l'issue d'un examen et sont donc 
valorisables même si il me semble que ton but est plutôt de pouvoir mettre en 
pratique les enseignements.
Le SANS Institute (http://www.sans.org/courses) propose de bonnes formations et 
certains organismes ont passés des agréments pour les dispenser en France.
Les formations HSC et Sysdream sont globalement bonnes mais je n'en ai pas 
testé beaucoup d'autres.
Les badges sécurité de l'ESIEA sont excellents mais il s'agit la plutôt de 
formation continue.


Nicolas


-Message d'origine-
De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de 
Thioux nicolas
Envoyé : lundi 29 septembre 2014 17:27
À : frnog-j...@frnog.org
Objet : [FRnOG] [JOBS] Retours d'expérience sur les Formations sécurité 
réseaux/SI



Bonjour à tous

Je recherche des retours d’expérience sur des formations dans la sécurité des 
Systèmes d'information et des Réseaux , je veux faire un "tri" entre les 
formations purement théoriques (non applicables immédiatement dans une 
entreprise) et celles qui sont réellement adaptées pour être applicables 
rapidement avec une vraie demande des entreprises (et pourquoi pas reconnues 
par l'ANSSI). Il y a bien des entreprises qui proposent des certifs CISSP/ISO 
2700x mais tout cela semble très théorique en fait ..


Je vous remercie pour vos réponses et votre aide


Bonne journée


 

Nicolas Thioux

---
Liste de diffusion du FRnOG
http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/