RE: [FRnOG] [BIZ] Audit de sécurité
Bonjour, Effectivement mon DG veut un document avec une norme pour présenter ça au CA qui aime ce genre de document. ça leur parle! Ensuite ça lui donnera du poids pour imposer des règles de sécurité qui n'existe pas dans notre entreprise pq l'ancien DG ne voulait pas entendre parler de sécurité informatique pq selon lui on n'était pas la NASA non plus faut pas déconner (je viens à peine d'imposer des mots de passe forts autre que mon nom de famille ou mon identifiant sur les sessions) Par contre moi j'aimerais profiter de l'occasion pour corriger véritablement les points critiques voire disposer de propositions d'amélioration de notre SI de son architecture par exemple. Et c'est là toute la difficulté de notre audit. C'est que nous n'avons pas les mêmes besoins entre le DG, l'équipe de développeurs et moi (les users pas la peine d'en parler pour l'instant). En tout cas je pars pour des semaines de galère à se mettre d'accord sur quoi faire. Merci à tous pour vos retours, j'ai suffisamment de références y'a plus qu' à choisir. Alexei. De : frnog-requ...@frnog.org de la part de Florent Cottey Envoyé : mercredi 26 juillet 2017 14:53 À : Jérôme Nicolle Cc : frnog@frnog.org Objet : Re: [FRnOG] [BIZ] Audit de sécurité Le 25 juillet 2017 à 23:33, Jérôme Nicolle a écrit : > > Le 25/07/2017 à 12:09, Florent Cottey a écrit : > > - gestion de votre Active Directory > > Essayer de faire certifier une boite noire sous gouvernance hostile, > c'est se mettre la tête bien profond dans le sable (si ce n'est ailleurs). > > Pas de sécurité sans transparence, pas de souveraineté sans expliciter > des allégeances compatibles. > C'est constructif cette théorie du complot ? Octave a d'ailleurs eu d'autres problèmes à gérer avec les licences Ubuntu. C'est sûr qu'on est ici (FRNOG) dans le monde du réseau, mais dans une entreprise qui a un SI bureautique, AD est incontournable. Je ne parle pas de "certification", loin de moi l'idée, je n'ai même pas effleuré cette idée... mais Active Directory est un environnement tellement complexe déjà à maîtriser et ensuite à gérer dans le temps qu'il y a des tonnes de points de contrôle à faire. Et ce n'est d'ailleurs pas Microsoft qui sera le meilleur dans ce domaine pour vous aider. Puisqu'on était sur le sujet de l'audit, l'idée était de faire exprimer un peu plus le besoin. Chaque société d'audit essaie de développer une spécialité et Active Directory en est une. J'ai rencontré Cogicéo sur le sujet et ils ont investi beaucoup de R&D pour apporter une vraie valeur ajoutée. La société ALSID (des anciens de l'ANSSI) a développé un outil d'audit AD en continu. Vincent Le Toux, adjoint RSSI chez Engie a un parc d'AD énorme à surveiller et s'est lancé aussi dans la création d'un outil que je recommande (https://www.pingcastle.com/). PingCastle - Get Active Directory Security at 80% in 20% ...<https://www.pingcastle.com/> www.pingcastle.com Because the Active Directory security lies in the process and not in expensive tools, our solution is simple: download PingCastle and apply its methodology. Ce n'est pas forcément évident de connaître le milieu pour bien cibler et optimiser un audit, c'est pourquoi je comprends qu'on puisse venir sur une mailing list poser la question, mais demander un audit sans le moindre détail, c'est que le besoin n'est pas très poussé et n'importe quelle société d'audit sera à même de le réaliser. C'est justement pour ça que des boîtes peuvent vendre de la "bouse" parce que le client ne sait pas ce qu'il veut... Le pire c'est que le client sera satisfait car il aura fait son audit de l'année (conforme ISO27001). Par contre les corrections ne se mettront pas en place toutes seules... Florent --- Liste de diffusion du FRnOG http://www.frnog.org/ FRNOG<http://www.frnog.org/> www.frnog.org The FRench Network Operators Group (FRnOG) is an informal group (4904 members) of people who are concerned with security, engineering and operation of the French ... --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] Audit de sécurité
Le 25 juillet 2017 à 23:33, Jérôme Nicolle a écrit : > > Le 25/07/2017 à 12:09, Florent Cottey a écrit : > > - gestion de votre Active Directory > > Essayer de faire certifier une boite noire sous gouvernance hostile, > c'est se mettre la tête bien profond dans le sable (si ce n'est ailleurs). > > Pas de sécurité sans transparence, pas de souveraineté sans expliciter > des allégeances compatibles. > C'est constructif cette théorie du complot ? Octave a d'ailleurs eu d'autres problèmes à gérer avec les licences Ubuntu. C'est sûr qu'on est ici (FRNOG) dans le monde du réseau, mais dans une entreprise qui a un SI bureautique, AD est incontournable. Je ne parle pas de "certification", loin de moi l'idée, je n'ai même pas effleuré cette idée... mais Active Directory est un environnement tellement complexe déjà à maîtriser et ensuite à gérer dans le temps qu'il y a des tonnes de points de contrôle à faire. Et ce n'est d'ailleurs pas Microsoft qui sera le meilleur dans ce domaine pour vous aider. Puisqu'on était sur le sujet de l'audit, l'idée était de faire exprimer un peu plus le besoin. Chaque société d'audit essaie de développer une spécialité et Active Directory en est une. J'ai rencontré Cogicéo sur le sujet et ils ont investi beaucoup de R&D pour apporter une vraie valeur ajoutée. La société ALSID (des anciens de l'ANSSI) a développé un outil d'audit AD en continu. Vincent Le Toux, adjoint RSSI chez Engie a un parc d'AD énorme à surveiller et s'est lancé aussi dans la création d'un outil que je recommande (https://www.pingcastle.com/). Ce n'est pas forcément évident de connaître le milieu pour bien cibler et optimiser un audit, c'est pourquoi je comprends qu'on puisse venir sur une mailing list poser la question, mais demander un audit sans le moindre détail, c'est que le besoin n'est pas très poussé et n'importe quelle société d'audit sera à même de le réaliser. C'est justement pour ça que des boîtes peuvent vendre de la "bouse" parce que le client ne sait pas ce qu'il veut... Le pire c'est que le client sera satisfait car il aura fait son audit de l'année (conforme ISO27001). Par contre les corrections ne se mettront pas en place toutes seules... Florent --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [BIZ] Audit de sécurité
> Jérôme Nicolle a écrit : > Bref, le marché de la certification sécu me paraît encore être une vaste > fumisterie Oui mais c'est ce que les pousse-papiers veulent voir. C'est comme la certification ISO et autres : tant que c'est consistent et documenté, c'est pas interdit de fabriquer de la bouse en boite certifiée. Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] Audit de sécurité
Plop, Le 25/07/2017 à 12:09, Florent Cottey a écrit : > - gestion de votre Active Directory Essayer de faire certifier une boite noire sous gouvernance hostile, c'est se mettre la tête bien profond dans le sable (si ce n'est ailleurs). Pas de sécurité sans transparence, pas de souveraineté sans expliciter des allégeances compatibles. Certifier une plate-forme MSFT comme viable sur un marché national non US, c'est de la poudre aux yeux, si ce n'est pas qu'une vaste fumisterie. Et ça vaut aussi pour toutes les plateformes de vendors soumis au patriot-act ou à des gouvernements opaques. D'ailleurs, ça vaut aussi pour les hébergeurs soumis au patriot-act section 215 (coucou Octave). Bref, le marché de la certification sécu me paraît encore être une vaste fumisterie. Mieux vaut faire preuve de bon-sens dans les architectures, ce qui est une compétence encore plus rare que les certificateurs de compliance sécu, je le concède. @+ -- Jérôme Nicolle +33 (0)6 19 31 27 14 --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] Audit de sécurité
Le mar. 25 juil., vers 08:14, Alexei Popof exprimait : > Bonjour à toutes et à tous, Salutations, > J'ai une nouvelle direction générale qui souhaite faire un audit de sécurité. > > > Ma question est la suivante: > > Avez-vous des adresses sur Paris de cabinets d'audit de confiance > adaptés à une PME de 25 salariés. [...] Il y a des gens assez compétents chez https://www.lexfo.fr/, comprendre qui ne font pas tourner un nessus pour te pondre un rapport de 500 pages. Numériquement, Stéphane --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] Audit de sécurité
Bonjour, As-tu jeté un coup d'œil à Optalia ? voir s'il peuvent répondre à ton besoin ? http://newlode.io/optalia Souhayel Le 25 juillet 2017 à 15:07, Christophe Casalegno (DN) < christophe.casale...@digital-network.net> a écrit : > Hello, pour avoir été moi même du métier pendant près de 20 ans, et > effectuant encore quelques opérations de temps en temps, j'ai un bon > retour de NetXP sur le sujet. > > amicalement, > > -- > Christophe Casalegno > https://www.christophe-casalegno.com > > > On 25/07/2017 12:05, A Gaillard wrote: > > Plusieurs cabinets ont été cités, je rajouterais celui dans lequel je > suis, > > et en cours de certification PASSI actuellement : *NetXP* > > > > Cordialement, > > Adrien. > > > > Le 25 juil. 2017 12:11, "Florent Cottey" a > > écrit : > > > > Le 25 juillet 2017 à 10:14, Alexei Popof a > écrit : > > > >> Avez-vous des adresses sur Paris de cabinets d'audit de confiance > adaptés > >> à une PME de 25 salariés. Nous gérons des flux financiers importants et > >> c'est pour cela que la DG souhaite montrer au CA que tout a été fait au > >> mieux pour se protéger. > >> > > Bonjour, > > > > tous les prestataires qualifiés PASSI seront de confiance. C'est une > > démarche encadrée par l'Etat. > > https://www.ssi.gouv.fr/administration/qualifications/ > > prestataires-de-services-de-confiance-qualifies/ > prestataires-daudit-de-la- > > securite-des-systemes-dinformation-passi-qualifies/ > > Cette liste n'est pas exhaustive car de bonnes sociétés ayant déjà leur > > clientèle n'ont pas ressenti le besoin de s'inscrire dans cette démarche. > > Je pense à Synactiv, Lexfo ou XMCO. > > > > Après il faut voir le besoin. Est-ce du généraliste sur votre système > > d'information ? > > - gestion de votre Active Directory > > - renforcement du réseau > > - fichiers qui traînent sur les partages réseau > > - mots de passe faibles > > - systèmes non patchés > > > > Est-ce du très spécifique sur les flux financiers ? Y a-t-il des > > applications maison à regarder avec attention ? > > > > Je pense que ce deuxième point doit arriver dans un second temps après > > avoir sécurisé le système d'information car il suffit souvent d'avoir les > > mots de passe des utilisateurs avec des failles assez simples pour > ensuite > > accéder aux applications avec des comptes légitimes. > > > > En étape 0 je conseillerai de passer soi-même un scanner de vulnérabilité > > type Nessus. Ca évitera de payer des experts pour trouver des > > vulnérabilités triviales à identifier. > > > > Florent > > > > --- > > Liste de diffusion du FRnOG > > http://www.frnog.org/ > > > > --- > > Liste de diffusion du FRnOG > > http://www.frnog.org/ > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] Audit de sécurité
Hello, pour avoir été moi même du métier pendant près de 20 ans, et effectuant encore quelques opérations de temps en temps, j'ai un bon retour de NetXP sur le sujet. amicalement, -- Christophe Casalegno https://www.christophe-casalegno.com On 25/07/2017 12:05, A Gaillard wrote: > Plusieurs cabinets ont été cités, je rajouterais celui dans lequel je suis, > et en cours de certification PASSI actuellement : *NetXP* > > Cordialement, > Adrien. > > Le 25 juil. 2017 12:11, "Florent Cottey" a > écrit : > > Le 25 juillet 2017 à 10:14, Alexei Popof a écrit : > >> Avez-vous des adresses sur Paris de cabinets d'audit de confiance adaptés >> à une PME de 25 salariés. Nous gérons des flux financiers importants et >> c'est pour cela que la DG souhaite montrer au CA que tout a été fait au >> mieux pour se protéger. >> > Bonjour, > > tous les prestataires qualifiés PASSI seront de confiance. C'est une > démarche encadrée par l'Etat. > https://www.ssi.gouv.fr/administration/qualifications/ > prestataires-de-services-de-confiance-qualifies/prestataires-daudit-de-la- > securite-des-systemes-dinformation-passi-qualifies/ > Cette liste n'est pas exhaustive car de bonnes sociétés ayant déjà leur > clientèle n'ont pas ressenti le besoin de s'inscrire dans cette démarche. > Je pense à Synactiv, Lexfo ou XMCO. > > Après il faut voir le besoin. Est-ce du généraliste sur votre système > d'information ? > - gestion de votre Active Directory > - renforcement du réseau > - fichiers qui traînent sur les partages réseau > - mots de passe faibles > - systèmes non patchés > > Est-ce du très spécifique sur les flux financiers ? Y a-t-il des > applications maison à regarder avec attention ? > > Je pense que ce deuxième point doit arriver dans un second temps après > avoir sécurisé le système d'information car il suffit souvent d'avoir les > mots de passe des utilisateurs avec des failles assez simples pour ensuite > accéder aux applications avec des comptes légitimes. > > En étape 0 je conseillerai de passer soi-même un scanner de vulnérabilité > type Nessus. Ca évitera de payer des experts pour trouver des > vulnérabilités triviales à identifier. > > Florent > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] Audit de sécurité
Plusieurs cabinets ont été cités, je rajouterais celui dans lequel je suis, et en cours de certification PASSI actuellement : *NetXP* Cordialement, Adrien. Le 25 juil. 2017 12:11, "Florent Cottey" a écrit : Le 25 juillet 2017 à 10:14, Alexei Popof a écrit : > Avez-vous des adresses sur Paris de cabinets d'audit de confiance adaptés > à une PME de 25 salariés. Nous gérons des flux financiers importants et > c'est pour cela que la DG souhaite montrer au CA que tout a été fait au > mieux pour se protéger. > Bonjour, tous les prestataires qualifiés PASSI seront de confiance. C'est une démarche encadrée par l'Etat. https://www.ssi.gouv.fr/administration/qualifications/ prestataires-de-services-de-confiance-qualifies/prestataires-daudit-de-la- securite-des-systemes-dinformation-passi-qualifies/ Cette liste n'est pas exhaustive car de bonnes sociétés ayant déjà leur clientèle n'ont pas ressenti le besoin de s'inscrire dans cette démarche. Je pense à Synactiv, Lexfo ou XMCO. Après il faut voir le besoin. Est-ce du généraliste sur votre système d'information ? - gestion de votre Active Directory - renforcement du réseau - fichiers qui traînent sur les partages réseau - mots de passe faibles - systèmes non patchés Est-ce du très spécifique sur les flux financiers ? Y a-t-il des applications maison à regarder avec attention ? Je pense que ce deuxième point doit arriver dans un second temps après avoir sécurisé le système d'information car il suffit souvent d'avoir les mots de passe des utilisateurs avec des failles assez simples pour ensuite accéder aux applications avec des comptes légitimes. En étape 0 je conseillerai de passer soi-même un scanner de vulnérabilité type Nessus. Ca évitera de payer des experts pour trouver des vulnérabilités triviales à identifier. Florent --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] Audit de sécurité
Le 25 juillet 2017 à 10:14, Alexei Popof a écrit : > Avez-vous des adresses sur Paris de cabinets d'audit de confiance adaptés > à une PME de 25 salariés. Nous gérons des flux financiers importants et > c'est pour cela que la DG souhaite montrer au CA que tout a été fait au > mieux pour se protéger. > Bonjour, tous les prestataires qualifiés PASSI seront de confiance. C'est une démarche encadrée par l'Etat. https://www.ssi.gouv.fr/administration/qualifications/prestataires-de-services-de-confiance-qualifies/prestataires-daudit-de-la-securite-des-systemes-dinformation-passi-qualifies/ Cette liste n'est pas exhaustive car de bonnes sociétés ayant déjà leur clientèle n'ont pas ressenti le besoin de s'inscrire dans cette démarche. Je pense à Synactiv, Lexfo ou XMCO. Après il faut voir le besoin. Est-ce du généraliste sur votre système d'information ? - gestion de votre Active Directory - renforcement du réseau - fichiers qui traînent sur les partages réseau - mots de passe faibles - systèmes non patchés Est-ce du très spécifique sur les flux financiers ? Y a-t-il des applications maison à regarder avec attention ? Je pense que ce deuxième point doit arriver dans un second temps après avoir sécurisé le système d'information car il suffit souvent d'avoir les mots de passe des utilisateurs avec des failles assez simples pour ensuite accéder aux applications avec des comptes légitimes. En étape 0 je conseillerai de passer soi-même un scanner de vulnérabilité type Nessus. Ca évitera de payer des experts pour trouver des vulnérabilités triviales à identifier. Florent --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] Audit de sécurité
Hello, si tu veux des bons: http://www.hsc.fr/ pour avoir utilisé leurs services a plusieurs reprises dont très récemment, c 'est le top. (c est une filiale de deloite de memoire) niveau prix ils sont dans le marché. Denis Le 25 juillet 2017 à 10:14, Alexei Popof a écrit : > Bonjour à toutes et à tous, > > > J'ai une nouvelle direction générale qui souhaite faire un audit de > sécurité. > > > Ma question est la suivante: > > Avez-vous des adresses sur Paris de cabinets d'audit de confiance adaptés > à une PME de 25 salariés. Nous gérons des flux financiers importants et > c'est pour cela que la DG souhaite montrer au CA que tout a été fait au > mieux pour se protéger. > > > Merci de vos retours. > > > Alexei. > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] Audit de sécurité
Hello, Je ne connais pas de cabinet d’audit à conseiller. Telindus faisait se genre de chose il me semble. J’ajouterais, quite a faire un audit, autant préparer le nouveau règlement européen ( https://www.cnil.fr/fr/reglement-europeen-sur-la-protection-des-donnees-ce-qui-change-pour-les-professionnels) et verifier la conformité PCI DSS (surtout pour le bancaire). On 25 July 2017 at 10:16:21, Alexei Popof (alexei.po...@hotmail.fr) wrote: Bonjour à toutes et à tous, J'ai une nouvelle direction générale qui souhaite faire un audit de sécurité. Ma question est la suivante: Avez-vous des adresses sur Paris de cabinets d'audit de confiance adaptés à une PME de 25 salariés. Nous gérons des flux financiers importants et c'est pour cela que la DG souhaite montrer au CA que tout a été fait au mieux pour se protéger. Merci de vos retours. Alexei. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/