flanker (./2871) :Tiens, tu travailles dans l'entreprise de Nil RHJPP, maintenant ?
Mais normalement, tu ne devrais à peu près jamais en avoir besoin d'être admin. Il est tout à fait possible de mettre en place un store avec les applications disponibles et sans avoir les droits d'admin.
flanker (./2871) :Déjà, on ne parle pas des utilisateurs en général, on parle des dévs. Si tu ne leur fais pas confiance pour utiliser les droits admin à bon escient, en tout logique tu ne dois pas non plus les laisser coder, vu que le risque créé par du code vulnérable ou malveillant est potentiellement bien supérieur.
Laisser les utilisateurs être admin, c'est la garantie que les antivirus vont être coupés et que les proxy vont être contournés.
flanker (./2871) :Oui, d'ailleurs normalement tu ne devrais à peu près jamais avoir besoin d'être payé pour ton boulot, c'est possible de se débrouiller en s'adaptant aux restrictions de la pauvreté, et au pire si vraiment c'est impossible de s'en sortir sans argent tu peux faire une demande spéciale argumentée.
Mais normalement, tu ne devrais à peu près jamais en avoir besoin d'être admin. Il est tout à fait possible de mettre en place un store avec les applications disponibles et sans avoir les droits d'admin. Même pour faire du dév, il y a de moins en moins besoin d'être admin. Laisser les utilisateurs être admin, c'est la garantie que les antivirus vont être coupés et que les proxy vont être contournés.
Uther (./2874) :D'accord avec ça. En principe ça ne devrait effectivement pas être nécessaire si presque tout ce qui est important est en userland, mais plus l'userland est vaste (genre Android) plus au final tu reviens avec les mêmes problèmes que si t'étais root.
Même si je suis d'accord qu'un dev puisse savoir gérer les droits root. Il y a quand même un problème avec windows (et la plupart des Linux) qui demandent encore beaucoup trop souvent les droits admin pour des opérations qui devraient pouvoir se faire au niveau utilisateur (bien que ça se soit amélioré).
Zerosquare (./2873) :Ce sont des dev, s’ils n’ont pas réellement besoin des droits d’admin, il n’y a aucune raison de les donner (surtout qu’on peut difficilement dire que tous les dev savent ce qu’ils font).flanker (./2871) :Déjà, on ne parle pas des utilisateurs en général, on parle des dévs. Si tu ne leur fais pas confiance pour utiliser les droits admin à bon escient, en tout logique tu ne dois pas non plus les laisser coder, vu que le risque créé par du code vulnérable ou malveillant est potentiellement bien supérieur.
Laisser les utilisateurs être admin, c'est la garantie que les antivirus vont être coupés et que les proxy vont être contournés.
Sauf que si tu donnes les droits d’admin, tu peux être sûr que certains vont désactiver l’antivirus.
Quant aux antivirus et aux proxies, s'ils sont configurés correctement (je veux dire, de façon à ne pas gêner excessivement les gens dans leur travail), il n'y a pas de raison de chercher à les contourner.
(cross)
Zerosquare (./2873) :Han !flanker (./2871) :Tiens, tu travailles dans l'entreprise de Nil RHJPP, maintenant ?
Mais normalement, tu ne devrais à peu près jamais en avoir besoin d'être admin. Il est tout à fait possible de mettre en place un store avec les applications disponibles et sans avoir les droits d'admin.
Fadest (./2882) :
Juste une question, vous avez déjà été confrontés à un client ou une entreprise qui a subi les conséquences d'une attaque informatique ?
Parce que quelques semaines ou mois pour remettre sur pied un SI (je parle pas des outils des devs, mais l'infra et tout ce qui fait tourner la boite opérationnellement), c'est un risque majeur. Et le RSSI qui n'aurait pas pris en amont les mesures appropriées (il n'existe pas de sécurité à 100%, mais il y quand même moyen de minorer les risques), il n'est pas près de retrouver un job...
Donc oui, à titre personnel, je dis que je sais ce que je fais, tu dis que tu sais ce que tu fais, la cousine de ton voisin d'en face qui bosse à la compta dit qu'elle sait ce qu'elle fait et individuellement tout le monde pense être OK, mais il n'empêche que ce type d'attaques arrive beaucoup plus souvent que nécessaire, et qu'il y a bien eu à un moment un point d'entrée.
Il suffit de voir les résultats des tests des campagnes de phishing organisés par les grandes entreprises, y compris dans des ESN (avec donc un public majoritairement de devs qui sont censés être sensibilisés) ou des entreprises qui ont déjà été bloquées, ça fait peur...
Fadest (./2882) :Tu veux parler de ces entreprises qu'on surnomme affectueusement "marchands de viande", et qui embauchent n'importe quel jeune diplômé du moment qu'ils ont un client à qui le fourguer comme "expert" ?
Il suffit de voir les résultats des tests des campagnes de phishing organisés par les grandes entreprises, y compris dans des ESN (avec donc un public majoritairement de devs qui sont censés être sensibilisés)
flanker (./2884) :Tu peux partir du principe que la présence des gens "kisiconnaissent" est un impondérable, et donc qu'il ne faut faire confiance à personne, et absolument tout verrouiller. C'est un bon moyen pour avoir une entreprise où on coche bien toutes les cases sur la feuille Excel, où ce qui se fait normalement en 5 minutes prend une semaine, et dont tous les gens motivés finissent par se barrer parce qu'on les empêche de travailler dans de bonnes conditions.
Je n'y ai pas été directement confronté, mais j'ai plusieurs récits, et très souvent il y a quelqu'un kisiconnait dans la boucle.
Vu les conséquences souvent désastreuses des attaques (au moins celles qui se voient), je trouve que ce n'est clairement pas une décision à prendre à la légère.
Zerosquare (./24) :Bin non, il ne faut pas tout verrouiller : ne pas être admin de son poste ne veut pas dire que tu n'as pas les outils nécessaires pour travailler.flanker (./2884) :Tu peux partir du principe que la présence des gens "kisiconnaissent" est un impondérable, et donc qu'il ne faut faire confiance à personne, et absolument tout verrouiller. C'est un bon moyen pour avoir une entreprise où on coche bien toutes les cases sur la feuille Excel, où ce qui se fait normalement en 5 minutes prend une semaine, et dont tous les gens motivés finissent par se barrer parce qu'on les empêche de travailler dans de bonnes conditions.
Je n'y ai pas été directement confronté, mais j'ai plusieurs récits, et très souvent il y a quelqu'un kisiconnait dans la boucle.
Vu les conséquences souvent désastreuses des attaques (au moins celles qui se voient), je trouve que ce n'est clairement pas une décision à prendre à la légère.
Et au final, tu te mangeras une attaque informatique quand même, parce que le dév (qui n'avait pas les droits d'admin) a laissé un serveur ouvert aux quatre vents avec le mot de passe par défaut.Quand le réseau se fait complètement défoncer, c'est que le problème ne vient pas des utilisateurs avec un simple accès bureautique mais de ceux qui ont des accès privilégiés. Et comme toujours, la SSI est un tout. En effet, ça ne sert à rien de blinder les postes utilisateurs si tu n'as pas un minimum de rigueur sur les serveurs, mais inversement, ça ne sert à rien de blinder les serveurs si les postes de travail ne sont pas blindés.
Ou parce que les mises à jour de sécurité n'ont pas été faites depuis perpète, parce qu'il faut 3 mois pour que la moindre modif soit validée.
Ou parce qu'un manager a laissé traîner son portable avec des données en clair dessus (et comme il est manager, personne n'a osé lui faire remarquer).
Je n'invente rien, tous les mois il y a une news sur une grosse boîte qui se fait avoir de cette façon.
Ou alors, tu peux considérer que le gars "kisiconnait" n'a pas sa place dans l'entreprise. Ne pas lui avoir donné les droits admin a peut-être empêché la catastrophe cette fois-ci, mais s'il s'est laissé avoir par un phishing basique, ça en dit long sur sa compétence en matière de sécurité informatique. Du coup :Le (spear)phishing, ça marche. Pas forcément du premier coup, mais ça marche et *avec tout le monde*. Penser qu'on est au-dessus de ça parce qu'on sait ne pas cliquer sur le spam grossier est une mauvaise démarche. Les métiers où tu n'as jamais le moindre lien ou la moindre pièce jointe sont quand même extrêmement rares.
1) ce n'est probablement pas la première fois qu'il fait ce genre de bourde, donc tout ce à quoi il a(vait) accès devient suspect
2) il faut se demander pourquoi/comment il est arrivé en poste
flanker (./25) :Pour une secrétaire, probablement pas, en effet.
Bin non, il ne faut pas tout verrouiller : ne pas être admin de son poste ne veut pas dire que tu n'as pas les outils nécessaires pour travailler.
flanker (./25) :Encore une fois, personne ne dit qu'il faut tourner avec les droits admin tout le temps. La question est de pouvoir les obtenir quand tu en as besoin.
Le (spear)phishing, ça marche. Pas forcément du premier coup, mais ça marche et *avec tout le monde*. Penser qu'on est au-dessus de ça parce qu'on sait ne pas cliquer sur le spam grossier est une mauvaise démarche. Les métiers où tu n'as jamais le moindre lien ou la moindre pièce jointe sont quand même extrêmement rares.
Zerosquare (./26) :biais du survivant : penses à toutes celles qu'elles ont empêché, le truc c'est que ce n'est pas mesuré (et je ne pense pas que ce soit mesurable)
(que toute leur sécurité lourde n'a pas empêché)
vince (./27) :Sur le papier, pourquoi pas, si le processus est fluide.
Un système qui marche souvent pour ménager la chèvre et le choux, c'est la validation managériale : tu fais une demande de "sudo", ton resp valide (et si c'est pour faire le travail qu'il attend de toi il acceptera alors que l'install de doom il refusera) et là y'a une prise de main à distance du desk it* qui fait l'exécution en mode admin pour l'install avec leurs droits
vince (./27) :L'externalisation des services IT, en pratique et d'après ce que j'ai pu lire, ça fait surtout pire que mieux. Bon courage pour expliquer au mec que tu as besoin qu'il fasse un truc qui n'est pas dans sa liste, sur une appli qu'il ne connaît pas. Quant à l'aspect sécurité de la chose, considérer que déléguer l'admin à un sous-traitant en Inde est mieux que de faire confiance à ses propres équipes, c'est... assez hardi.
*je précise au cas où que ça existe sous forme de services externalisés que des tpe/pme prennent souvent quand ils soustraitent la maintenance de leur parc
vince (./27) :Mouais. Peut-être, mais quand on voit celles qui réussissent, bien souvent ce sont des choses qui montrent qu'il y a des gros problèmes de fond en matière de sécurité.
biais du survivant : penses à toutes celles qu'elles ont empêché, le truc c'est que ce n'est pas mesuré (et je ne pense pas que ce soit mesurable)
Zerosquare (./28) :manager ou pas, le fait de devoir laisser une trace de pourquoi tu as eu une élévation de droits fait réfléchir un peu certains... le manager n'a pas besoin d'être compétent, le simple fait qu'il représente la figure d'authorité ET que ça sera tracé suffit à calmer les ardeurs
le manager a-t-il réellement la compétence technique pour décider du bien-fondé de la demande ?