Sécurité info en entreprise - Page 1

Zerosquare a souhaité poursuivre une discussion dérivée dans un nouveau sujet. La discussion initiale a eu lieu dans le sujet topics/171573-le-topic-de-windows-10/97#post-2885 tandis que la discussion dérivée continue dans le sujet topics/194282-securite-info-en-entreprise où les messages en rapport ont été copiés.

Tain je comprends pourquoi les gens bossant dans un environnement pro détestent Windows.
Là dans ma nouvelle boîte je suis obligé d'utiliser le PC du client. Bon il est pas dég en matière de hardware, ça aurait presque pu être un truc que j'aurais choisi moi.
Mais… il est configuré avec les policies via AzureAD, plein de trucs deviennent contre-intuitifs (genre...). Tu peux même pas te loguer avec le lecteur d'empreintes (enfin tu peux pour juste débloquer de Win+L, mais veille ou autre il prend l'empreinte et te dit qu'il faut t'identifier ).
Souvent d'ailleurs il met une ou deux minutes à reprendre de veille, genre tu peux bouger la souris mais c'est tout.
La network discovery est désactivée et autres merdes donc je peux pas accéder à mon NAS en LAN.
La croix et la bannière pour activer le RDP (en fait je sais que j'aurais pas dû le faire, le client me tombera peut-être dessus).
McAffee par défaut (mais pas le client qui me l'a installé, juste ça vient avec HP). Je l'ai désinstallé, on verra si le client me pourchasse.
Un logiciel d'espionnage pour la gestion de parc informatique du client, qui a la mauvaise habitude de se bloquer à 100% de CPU et ralentir pas mal le système. D'autres services inconnus (car ils ne consomment pas de CPU eux-même) qui font plein de requêtes sur des composants Windows genre log, pour monitorer, et qui fait que ces services consomment eux aussi proche de 100% d'un core en constance.
À la première charge ma batterie est restée à 100%, puis tout à coup -> 4% et pouf.
Et j'en oublie. Et mon patron est "just use this machine for now". Grr. Bon je ne me plains pas, j'ai les droits d'admin donc je ne suis pas limité aux 2-3 softs pré-installés pour travailler, je peux au moins mettre mon RoxxorTool.

bah franchement, ça va !

de mon coté, interdiction de lan, pas de droits admin, pas d'empruntes (lecteur de cartes), AV non paramétrable (scan auto intégral le mardi après midi), pas de rdp (motif de renvoi), pas d'usb (motif de renvoi), accès réseau limités, boite mail limitée (pas de pj à l'extérieur, superchiant parce que nos filiales hors france sont considérées comme l'extérieur et que ce sont mes principaux interlocuteurs, j'ai vu des mails bloqués à cause du logo dans la signature), etc...

Putain 😳

Bon j'espère que c'est pas des motifs de renvoi tout ce que j'ai fait

Ici, Windows 7, Sophos (qui introduit plein de crashs, comme par hasard, comme cette merde est super intrusive et installe un driver kernel qui s'injecte dans tout et n'importe quoi; j'ai un ticket en cours avec ces pignoufs pour qu'ils règlent ça, car ça m'empêche d'utiliser asan) + McAfee (deux antivirus, c'est bien connu c'est mieux), un proxy ultra restrictif qui accepte github.com & reddit.com (il faut bien se distraire pendant les réunions j'imagine) mais bloque gist.github.com, pas de droits admin, un jenkins qui foire la moitié des checkout des dépôts, un nouveau jenkins qui en foire un tiers, reboots forcés quand les policy sont mises à jour (???), ram limite (il me faut 4 eclipse + 1 visual studio si je fais mon pire workload, 2x rcp, 2x j2e, + composant c++) evidemment pas de license clion. Pas de runner windows docker, y a juste une installation msvc2019 build tools sur un executeur jenkins qu'il faut aller chercher a la main, ce qui fait que je suis obligé de pousser les sln générés par cmake sur git, etc ... Et il a fallu le demander puisqu'avant c'était une install de msvc 2016 c# uniquement, du coup pour livrer le binaire c++ on le mettait à la main sur nexus

et quand l'admin est venu quand j'ai détecté mes pb avec sophos il était tout surpris que je sache utiliser la ligne de commande. ça ça me fume, je suis dev, pas tableuriste

./2864, ./2866 : vous venez de me filer de méchants flashbacks

(le seul job dont j'ai démissionné, et qui m'a définitivement convaincu de devenir indépendant. C'était pas la seule raison, mais ça a pesé dans la balance.)

En tous cas quand t'as un matos pas adapté à ce que t'as à faire ça pue le looser-isme. Genre c'est plus important de donner l'impression de bosser que le faire.

Je nie pas que ça peut être mal fait, mais sur le fond c’est tout à fait normal de ne pas être admin sur son poste (et même quand j’étais admin d’un réseau, je n’étais pas admin de mon poste bureautique ou de dev, je devais passer par le poste d’admin pour faire des changements) et d’avoir un EDR ou un proxy filtrant.

Il y a quand même une marge entre "ne pas avoir les droits admin tout le temps" et "ne pas pouvoir les obtenir en cas de besoin".

Et avoir une sécurité exagérément stricte et/ou mal implémentée est un excellent moyen pour que les salariés se mettent à chercher des moyens de la contourner, ne serait-ce que pour pouvoir faire leur boulot, tout simplement. Et une fois que le pli est pris, bon courage pour rattraper ensuite... (mais ce n'est pas à toi que je vais l'apprendre )

Mais normalement, tu ne devrais à peu près jamais en avoir besoin d'être admin. Il est tout à fait possible de mettre en place un store avec les applications disponibles et sans avoir les droits d'admin. Même pour faire du dév, il y a de moins en moins besoin d'être admin. Laisser les utilisateurs être admin, c'est la garantie que les antivirus vont être coupés et que les proxy vont être contournés.

Dans on métier, j'ai besoin des droits d'admin de façon temporaire (modifier mon IP pour me connecter à une machine, installer l'IDE de je ne sais quel drive dont je dois recharger les paramètres etc).
Ma boite a adopté une double stratégie :
- des VMs sur les quelles on est admin
- un système d'élévation des droits, temporaire, qui se fait avec le téléphone corporate.

Ca me parait équilibré, dans la mesure où j'ai une sécurité constante dans le travail ordinaire, et malgré tout la possibilité d'élever mes privilèges sans créer un ticket quand je suis sur le terrain et qu'il me faut du répondant immédiatement.

flanker (./2871) :
Mais normalement, tu ne devrais à peu près jamais en avoir besoin d'être admin. Il est tout à fait possible de mettre en place un store avec les applications disponibles et sans avoir les droits d'admin.

Tiens, tu travailles dans l'entreprise de Nil RHJPP, maintenant ?

flanker (./2871) :
Laisser les utilisateurs être admin, c'est la garantie que les antivirus vont être coupés et que les proxy vont être contournés.

Déjà, on ne parle pas des utilisateurs en général, on parle des dévs. Si tu ne leur fais pas confiance pour utiliser les droits admin à bon escient, en tout logique tu ne dois pas non plus les laisser coder, vu que le risque créé par du code vulnérable ou malveillant est potentiellement bien supérieur.

Quant aux antivirus et aux proxies, s'ils sont configurés correctement (je veux dire, de façon à ne pas gêner excessivement les gens dans leur travail), il n'y a pas de raison de chercher à les contourner.

(cross)

Même si je suis d'accord qu'un dev puisse savoir gérer les droits root. Il y a quand même un problème avec windows (et la plupart des Linux) qui demandent encore beaucoup trop souvent les droits admin pour des opérations qui devraient pouvoir se faire au niveau utilisateur (bien que ça se soit amélioré).

Un proxy? Pourquoi un proxy quant tu méprise le réseau complet? tu met un firewall qui bloque ce dont tu veux pas, et a moins d'installer un VPN, c'est un peu compliqué pour passer.a travers.

Quand au droit d'admin, juste pour faire mon boulot j'ai tres régulièrement besoin de passer admin, installation de drivers USB, mise a jour d'applications qui installent des trucs ou il faut etre admin, et j'en passe, et c'est partciluerement chiant de devoir taper ces infos plusieurs fois par jour. (merci l'historique de copier/coller de windows, ca fait passer la chose un poil mieux.)

flanker (./2871) :
Mais normalement, tu ne devrais à peu près jamais en avoir besoin d'être admin. Il est tout à fait possible de mettre en place un store avec les applications disponibles et sans avoir les droits d'admin. Même pour faire du dév, il y a de moins en moins besoin d'être admin. Laisser les utilisateurs être admin, c'est la garantie que les antivirus vont être coupés et que les proxy vont être contournés.

Oui, d'ailleurs normalement tu ne devrais à peu près jamais avoir besoin d'être payé pour ton boulot, c'est possible de se débrouiller en s'adaptant aux restrictions de la pauvreté, et au pire si vraiment c'est impossible de s'en sortir sans argent tu peux faire une demande spéciale argumentée.
Franchement moi je ferais pas confiance à comment mes employés utilisent leur argent. Imagine qu'il aille aux putes et se ramène pas à l'heure pour le daily le matin, ou qu'il engage un espion

Uther (./2874) :
Même si je suis d'accord qu'un dev puisse savoir gérer les droits root. Il y a quand même un problème avec windows (et la plupart des Linux) qui demandent encore beaucoup trop souvent les droits admin pour des opérations qui devraient pouvoir se faire au niveau utilisateur (bien que ça se soit amélioré).

D'accord avec ça. En principe ça ne devrait effectivement pas être nécessaire si presque tout ce qui est important est en userland, mais plus l'userland est vaste (genre Android) plus au final tu reviens avec les mêmes problèmes que si t'étais root.
C'est juste difficile de faire ça correctement. Mais j'aime assez l'approche granulaire qu'Android prend, avec des palliers de sécurité (au final tu t'en fous du détail, tu veux juste ne permettre certaines opérations sensibles que si le téléphone a un certain niveau de sécurité).

(pas le temps de répondre en détail mais l'argument "ouais mais les devs, ils savent ce qu'ils font", j'aurais tendance à dire "non, pas la majorité", les principales fuites de sécurité que j'ai croisé en 20 ans, c'était 80% du temps des dévs à la source)

(ben en même temps, les fuites ne peuvent venir que de gens qui ont accès aux données, donc forcément... Et la plupart du temps, ça se produit parce que l'entreprise a embauché des dévs au rabais, ou que leurs managers ne les laissent pas bosser proprement - et dans les deux cas, ne pas leur donner les droits admin ne résout rien).

Zerosquare (./2873) :

flanker (./2871) :
Laisser les utilisateurs être admin, c'est la garantie que les antivirus vont être coupés et que les proxy vont être contournés.

Déjà, on ne parle pas des utilisateurs en général, on parle des dévs. Si tu ne leur fais pas confiance pour utiliser les droits admin à bon escient, en tout logique tu ne dois pas non plus les laisser coder, vu que le risque créé par du code vulnérable ou malveillant est potentiellement bien supérieur.

Ce sont des dev, s’ils n’ont pas réellement besoin des droits d’admin, il n’y a aucune raison de les donner (surtout qu’on peut difficilement dire que tous les dev savent ce qu’ils font).
Le risque, ce n’est pas d’avoir simplement une machine pourrie, c’est d’avoir tout le SI qui se fait pourrir et la boîte qui met la clef sous la porte.

Quant aux antivirus et aux proxies, s'ils sont configurés correctement (je veux dire, de façon à ne pas gêner excessivement les gens dans leur travail), il n'y a pas de raison de chercher à les contourner.

(cross)

Sauf que si tu donnes les droits d’admin, tu peux être sûr que certains vont désactiver l’antivirus.

Chez nous a on les droits d'admin, mais pas de moyen de désactiver simplement l'anti-virus.

C'est ça le truc, les droits d'admin sont mal définis. Tu ne devrais pas en avoir besoin pour simplement installer le framework .net ou je ne sais quoi, dont tu as besoin pour développer.
Mais d'un autre côté le framework .net apporte des modifs à ton système donc ça a du sens que c'est le rôle d'un admin.
C'est pour ça que l'approche modulaire est importante. Oui sur le principe pas de droit d'admin c'est OK, parce que tu n'as pas besoin d'administrer ton système par définition. Mais installer un logiciel c'est quelque chose d'un peu plus précis qu'administrer. Installer un logiciel qui permet de remapper le clavier est différent d'installer le framework .net, ou installer un driver. Désactiver l'antivirus est quelque chose de différent d'installer un soft. Toutes ces distinctions ne sont pas faites dans nos OS modernes.
Dans la pratique, du moins sous Windows, c'est juste ultra limité de ne pas avoir les droits d'admin.

Juste une question, vous avez déjà été confrontés à un client ou une entreprise qui a subi les conséquences d'une attaque informatique ?
Parce que quelques semaines ou mois pour remettre sur pied un SI (je parle pas des outils des devs, mais l'infra et tout ce qui fait tourner la boite opérationnellement), c'est un risque majeur. Et le RSSI qui n'aurait pas pris en amont les mesures appropriées (il n'existe pas de sécurité à 100%, mais il y quand même moyen de minorer les risques), il n'est pas près de retrouver un job...

Donc oui, à titre personnel, je dis que je sais ce que je fais, tu dis que tu sais ce que tu fais, la cousine de ton voisin d'en face qui bosse à la compta dit qu'elle sait ce qu'elle fait et individuellement tout le monde pense être OK, mais il n'empêche que ce type d'attaques arrive beaucoup plus souvent que nécessaire, et qu'il y a bien eu à un moment un point d'entrée.
Il suffit de voir les résultats des tests des campagnes de phishing organisés par les grandes entreprises, y compris dans des ESN (avec donc un public majoritairement de devs qui sont censés être sensibilisés) ou des entreprises qui ont déjà été bloquées, ça fait peur...

Zerosquare (./2873) :

flanker (./2871) :
Mais normalement, tu ne devrais à peu près jamais en avoir besoin d'être admin. Il est tout à fait possible de mettre en place un store avec les applications disponibles et sans avoir les droits d'admin.

Tiens, tu travailles dans l'entreprise de Nil RHJPP, maintenant ?

Han !
Mais nos utilisateurs peuvent avoir les droits d'administration s'ils les veulent et faire du bureau à distance et on ne va pas leur préparer un petit magasin d'applications, ce serait ingérable tellement les besoins sont divers. Les utilisateurs sont responsables de leur matériel et peuvent installer ce qu'ils veulent dans la mesure où c'est légal (on achète les licences sur demande) et que ça ne dégrade pas le fonctionnement du système informatique.

Fadest (./2882) :
Juste une question, vous avez déjà été confrontés à un client ou une entreprise qui a subi les conséquences d'une attaque informatique ?
Parce que quelques semaines ou mois pour remettre sur pied un SI (je parle pas des outils des devs, mais l'infra et tout ce qui fait tourner la boite opérationnellement), c'est un risque majeur. Et le RSSI qui n'aurait pas pris en amont les mesures appropriées (il n'existe pas de sécurité à 100%, mais il y quand même moyen de minorer les risques), il n'est pas près de retrouver un job...

Donc oui, à titre personnel, je dis que je sais ce que je fais, tu dis que tu sais ce que tu fais, la cousine de ton voisin d'en face qui bosse à la compta dit qu'elle sait ce qu'elle fait et individuellement tout le monde pense être OK, mais il n'empêche que ce type d'attaques arrive beaucoup plus souvent que nécessaire, et qu'il y a bien eu à un moment un point d'entrée.
Il suffit de voir les résultats des tests des campagnes de phishing organisés par les grandes entreprises, y compris dans des ESN (avec donc un public majoritairement de devs qui sont censés être sensibilisés) ou des entreprises qui ont déjà été bloquées, ça fait peur...

Je n'y ai pas été directement confronté, mais j'ai plusieurs récits, et très souvent il y a quelqu'un kisiconnait dans la boucle.
Vu les conséquences souvent désastreuses des attaques (au moins celles qui se voient), je trouve que ce n'est clairement pas une décision à prendre à la légère.

Fadest (./2882) :
Il suffit de voir les résultats des tests des campagnes de phishing organisés par les grandes entreprises, y compris dans des ESN (avec donc un public majoritairement de devs qui sont censés être sensibilisés)

Tu veux parler de ces entreprises qu'on surnomme affectueusement "marchands de viande", et qui embauchent n'importe quel jeune diplômé du moment qu'ils ont un client à qui le fourguer comme "expert" ?

flanker (./2884) :
Je n'y ai pas été directement confronté, mais j'ai plusieurs récits, et très souvent il y a quelqu'un kisiconnait dans la boucle.
Vu les conséquences souvent désastreuses des attaques (au moins celles qui se voient), je trouve que ce n'est clairement pas une décision à prendre à la légère.

Tu peux partir du principe que la présence des gens "kisiconnaissent" est un impondérable, et donc qu'il ne faut faire confiance à personne, et absolument tout verrouiller. C'est un bon moyen pour avoir une entreprise où on coche bien toutes les cases sur la feuille Excel, où ce qui se fait normalement en 5 minutes prend une semaine, et dont tous les gens motivés finissent par se barrer parce qu'on les empêche de travailler dans de bonnes conditions.

Et au final, tu te mangeras une attaque informatique quand même, parce que le dév (qui n'avait pas les droits d'admin) a laissé un serveur ouvert aux quatre vents avec le mot de passe par défaut.
Ou parce que les mises à jour de sécurité n'ont pas été faites depuis perpète, parce qu'il faut 3 mois pour que la moindre modif soit validée.
Ou parce qu'un manager a laissé traîner son portable avec des données en clair dessus (et comme il est manager, personne n'a osé lui faire remarquer).
Je n'invente rien, tous les mois il y a une news sur une grosse boîte qui se fait avoir de cette façon.

Ou alors, tu peux considérer que le gars "kisiconnait" n'a pas sa place dans l'entreprise. Ne pas lui avoir donné les droits admin a peut-être empêché la catastrophe cette fois-ci, mais s'il s'est laissé avoir par un phishing basique, ça en dit long sur sa compétence en matière de sécurité informatique. Du coup :
1) ce n'est probablement pas la première fois qu'il fait ce genre de bourde, donc tout ce à quoi il a(vait) accès devient suspect
2) il faut se demander pourquoi/comment il est arrivé en poste

TL;DR : "trust no one" vs. "trust, but verify".

Zerosquare (./24) :

flanker (./2884) :
Je n'y ai pas été directement confronté, mais j'ai plusieurs récits, et très souvent il y a quelqu'un kisiconnait dans la boucle.
Vu les conséquences souvent désastreuses des attaques (au moins celles qui se voient), je trouve que ce n'est clairement pas une décision à prendre à la légère.

Tu peux partir du principe que la présence des gens "kisiconnaissent" est un impondérable, et donc qu'il ne faut faire confiance à personne, et absolument tout verrouiller. C'est un bon moyen pour avoir une entreprise où on coche bien toutes les cases sur la feuille Excel, où ce qui se fait normalement en 5 minutes prend une semaine, et dont tous les gens motivés finissent par se barrer parce qu'on les empêche de travailler dans de bonnes conditions.

Bin non, il ne faut pas tout verrouiller : ne pas être admin de son poste ne veut pas dire que tu n'as pas les outils nécessaires pour travailler.

Et au final, tu te mangeras une attaque informatique quand même, parce que le dév (qui n'avait pas les droits d'admin) a laissé un serveur ouvert aux quatre vents avec le mot de passe par défaut.
Ou parce que les mises à jour de sécurité n'ont pas été faites depuis perpète, parce qu'il faut 3 mois pour que la moindre modif soit validée.
Ou parce qu'un manager a laissé traîner son portable avec des données en clair dessus (et comme il est manager, personne n'a osé lui faire remarquer).
Je n'invente rien, tous les mois il y a une news sur une grosse boîte qui se fait avoir de cette façon.

Quand le réseau se fait complètement défoncer, c'est que le problème ne vient pas des utilisateurs avec un simple accès bureautique mais de ceux qui ont des accès privilégiés. Et comme toujours, la SSI est un tout. En effet, ça ne sert à rien de blinder les postes utilisateurs si tu n'as pas un minimum de rigueur sur les serveurs, mais inversement, ça ne sert à rien de blinder les serveurs si les postes de travail ne sont pas blindés.

Ou alors, tu peux considérer que le gars "kisiconnait" n'a pas sa place dans l'entreprise. Ne pas lui avoir donné les droits admin a peut-être empêché la catastrophe cette fois-ci, mais s'il s'est laissé avoir par un phishing basique, ça en dit long sur sa compétence en matière de sécurité informatique. Du coup :
1) ce n'est probablement pas la première fois qu'il fait ce genre de bourde, donc tout ce à quoi il a(vait) accès devient suspect
2) il faut se demander pourquoi/comment il est arrivé en poste

Le (spear)phishing, ça marche. Pas forcément du premier coup, mais ça marche et *avec tout le monde*. Penser qu'on est au-dessus de ça parce qu'on sait ne pas cliquer sur le spam grossier est une mauvaise démarche. Les métiers où tu n'as jamais le moindre lien ou la moindre pièce jointe sont quand même extrêmement rares.

flanker (./25) :
Bin non, il ne faut pas tout verrouiller : ne pas être admin de son poste ne veut pas dire que tu n'as pas les outils nécessaires pour travailler.

Pour une secrétaire, probablement pas, en effet.

Pour un dév... ça peut peut-être marcher dans une grosse boîte si chaque dév a un domaine d'intervention bien défini à l'avance, et que le service info a pris le temps de tout bien lui configurer aux petits oignons. Dès que tu as besoin d'un minimum de polyvalence et de réactivité, ce n'est pas viable en pratique (à moins de considérer que c'est OK de gaspiller une semaine de productivité à attendre une autorisation pour faire quelque chose qui prend 5 minutes, autorisation qui ne te sera probablement même pas accordée parce que le service concerné n'aura pas envie de s'embêter pour si peu : déjà vécu). C'est ça que Brunni, Folco et moi essayons de t'expliquer.

flanker (./25) :
Le (spear)phishing, ça marche. Pas forcément du premier coup, mais ça marche et *avec tout le monde*. Penser qu'on est au-dessus de ça parce qu'on sait ne pas cliquer sur le spam grossier est une mauvaise démarche. Les métiers où tu n'as jamais le moindre lien ou la moindre pièce jointe sont quand même extrêmement rares.

Encore une fois, personne ne dit qu'il faut tourner avec les droits admin tout le temps. La question est de pouvoir les obtenir quand tu en as besoin.

Quand aux attaques ciblées, effectivement ça existe et c'est bien de s'en préoccuper, mais c'est le sommet de l'iceberg. Quand on voit comment de grandes entreprises se font avoir, c'est bien plus souvent à cause de bourdes basiques (que toute leur sécurité lourde n'a pas empêché) qu'à cause d'attaques élaborées.

Un système qui marche souvent pour ménager la chèvre et le choux, c'est la validation managériale : tu fais une demande de "sudo", ton resp valide (et si c'est pour faire le travail qu'il attend de toi il acceptera alors que l'install de doom il refusera) et là y'a une prise de main à distance du desk it* qui fait l'exécution en mode admin pour l'install avec leurs droits

*je précise au cas où que ça existe sous forme de services externalisés que des tpe/pme prennent souvent quand ils soustraitent la maintenance de leur parc

Zerosquare (./26) :
(que toute leur sécurité lourde n'a pas empêché)

biais du survivant : penses à toutes celles qu'elles ont empêché, le truc c'est que ce n'est pas mesuré (et je ne pense pas que ce soit mesurable)

vince (./27) :
Un système qui marche souvent pour ménager la chèvre et le choux, c'est la validation managériale : tu fais une demande de "sudo", ton resp valide (et si c'est pour faire le travail qu'il attend de toi il acceptera alors que l'install de doom il refusera) et là y'a une prise de main à distance du desk it* qui fait l'exécution en mode admin pour l'install avec leurs droits

Sur le papier, pourquoi pas, si le processus est fluide.
En pratique, ça prend combien de temps de faire la paperasse et d'obtenir une réponse ? combien de fois tu peux l'utiliser avant que ton manager dise "bon, tu me casses les pieds là" ? le manager a-t-il réellement la compétence technique pour décider du bien-fondé de la demande ? (je préempte : "si c'était le cas, il serait pas manager ")

vince (./27) :
*je précise au cas où que ça existe sous forme de services externalisés que des tpe/pme prennent souvent quand ils soustraitent la maintenance de leur parc

L'externalisation des services IT, en pratique et d'après ce que j'ai pu lire, ça fait surtout pire que mieux. Bon courage pour expliquer au mec que tu as besoin qu'il fasse un truc qui n'est pas dans sa liste, sur une appli qu'il ne connaît pas. Quant à l'aspect sécurité de la chose, considérer que déléguer l'admin à un sous-traitant en Inde est mieux que de faire confiance à ses propres équipes, c'est... assez hardi.

vince (./27) :
biais du survivant : penses à toutes celles qu'elles ont empêché, le truc c'est que ce n'est pas mesuré (et je ne pense pas que ce soit mesurable)

Mouais. Peut-être, mais quand on voit celles qui réussissent, bien souvent ce sont des choses qui montrent qu'il y a des gros problèmes de fond en matière de sécurité.

Zerosquare (./28) :
le manager a-t-il réellement la compétence technique pour décider du bien-fondé de la demande ?

manager ou pas, le fait de devoir laisser une trace de pourquoi tu as eu une élévation de droits fait réfléchir un peu certains... le manager n'a pas besoin d'être compétent, le simple fait qu'il représente la figure d'authorité ET que ça sera tracé suffit à calmer les ardeurs

Sur le principe je suis d'accord, mais en pratique j'en ai eu surprenamment souvent besoin même encore maintenant, genre pour tester tel ou tel soft pour de la veille techno, pour aider à faire un choix technique.

Est-ce que tu autoriserais les VM sinon ? Pour ce genre de tests.

Et l'autre truc c'est comment mon chef va décider si on peut installer mon RoxxorTool, un outil open source que j'ai développé moi et qui améliore à mort ma productivité ? Mais surtout le fun en travaillant, vs chaque jour me faire réfléchir un peu sur quelle fonte je vais utiliser pour ma démission ?