Sécurité info en entreprise - Page 2

Bah le roxxor tool, étant un outil "non standard du marché" risque d'être refusé par défaut...

et de nos jours, les boites qui ont ce genre d'approche ont "forcé" le décommissionnement des applis/technos qui réclament sans cesse les droits admin

Sauf que ce modèle ne s'applique pas partout. C'est peut-être gérable pour l'info de gestion par exemple, mais Folco et Godzil ont donné des exemples (que j'ai aussi déjà rencontré en pratique) de choses qui sont difficiles ou impossibles à faire sans droits admin, mais nécessaires à certains jobs.

Imaginez un gars qui doit aller dépanner une ligne de prod en panne en urgence... il aura l'air malin s'il a besoin de faire tourner une appli constructeur (généralement datant d'il y a 10 ans, codée avec les pieds et représentant tout ce qui fait horreur au service info, mais à laquelle il n'existe pas d'alternative), d'installer un driver USB pas courant, ou même simplement de changer les paramètres TCP/IP, qu'il peut pas parce qu'il a pas les droits, et qu'il est obligé de répondre "ah ben désolé, je sais comment vous dépanner mais là je peux rien faire. Je vous recontacte d'ici deux semaines, le temps d'obtenir les autorisations."

Je peux te garantir que le discours "cette sécurité nous protège d'une attaque informatique potentielle" se verra rétorquer que les X milliers d'euros par minute que coûtent l'arrêt de la prod ne sont pas juste "potentiels", eux.

Et vous savez ce qui se passe quand on décide quand même de faire passer la sécurité info avant tout le reste ? Certains finissent tout simplement par avoir un PC "clandestin" (récupéré d'une façon ou d'une autre, sans que le service info le sache), qu'ils reformatent pour avoir un compte admin, histoire de pouvoir faire le boulot pour lequel ils sont payés. Dans le meilleur des cas, ils sont suffisamment raisonnables/malins pour être prudents et ne jamais le connecter au réseau de l'entreprise... en général, ils installent un Windows sans avoir la licence, ainsi que plein d'autres trucs plus ou moins douteux. Et tôt ou tard, ça pète, et le responsable info qui pensait avoir tout bien sécurisé en n'accordant les droits qu'au compte-goutte se réveille avec une méchante gueule de bois.

Là encore, ce n'est pas une affabulation, c'est un truc que j'ai vu plusieurs fois.

Ce que je vois plus c'est que les gens qui ne peuvent pas faire un travail dont ils sont fiers risquent de partir pour mieux, pour ça que ces SSII sont souvent (mais pas toujours) des nids à déprimés qui font descendre quiconque ne l'est pas déjà, de ce que j'ai connu.

vince (./31) :
et de nos jours, les boites qui ont ce genre d'approche ont "forcé" le décommissionnement des applis/technos qui réclament sans cesse les droits admin

Le truc c'est que c'est pas des applis qui demandent, mais les use cases...

Tu me dis que RDP sur le PC de la maison, depuis le PC du boulot est un motif de renvoi immédiat ? Parce qu'au pire je pourrais tester mon bordel comme ça... Ou une VM dans Azure.

Chez mon client actuel, même pour les VM internes le RDP est interdit. On passe par un outil plus sécurisé.

Mais de manières général, les gros comptes, il est hors de question que tu accès à une machine pro depuis une perso ou vice versa.

Pendant le confinement je ne pouvais pas utiliser mon imprimante wifi depuis mon pc pro parce que l'os est paramétré de telle sorte que TOUT passe par le VPN, donc ton imprimante, tu la vois jamais.

Zerosquare > en effet, quand la DSI est incompétente, rendre l'utilisateur administrateur de son poste ne change pas grand-chose à la situation. Après, je suis d'accord qu'il y a quelques rares cas où être admin de son poste est nécessaire, mais c'est normalement rare et tu peux toujours limiter (limitations réseaux, validation du passage en sudo, etc.)

Ce n'est pas juste une question de compétence de la DSI :

flanker (./36) :
Après, je suis d'accord qu'il y a quelques rares cas où être admin de son poste est nécessaire, mais c'est normalement rare et tu peux toujours limiter (limitations réseaux, validation du passage en sudo, etc.)

Justement, c'est peut-être rare dans le contexte où tu travailles, mais ça n'est pas le cas partout.

Brunni citait la R&D, et c'est un bon exemple. L'un de mes clients est une boîte qu'on peut classer parmi les "gros comptes", et qui applique ce type de stratégie de sécurité. Sur le papier, ils n'ont pas besoin d'un indépendant comme moi : soit ils ont déjà les compétences en interne, soit ils ont les moyens de les recruter.

Pourtant ça fait plusieurs années qu'on travaille ensemble. Pourquoi ? L'une des raisons est que si par exemple, ils ont besoin de tester/évaluer/comparer plusieurs solutions concurrentes pour faire un choix, ils peuvent :

a) - essayer de convaincre le(s) supérieur(s) d'obtenir les ressources humaines et financières pour ça
- essayer de convaincre le service info qu'ils ont besoin d'installer des périphériques et applis ultra spécifiques, juste pour un test
- essayer de convaincre le service sécurité que, promis, tout le monde va faire attention à ne pas s'électrocuter avec du 5 volts
- essayer de convaincre le service achats que oui, ils ont réellement besoin d'acheter le même type de produit auprès de plusieurs fournisseurs différents (qui sont pas forcément dans la liste des fournisseurs approuvés), et que non, ça vaut pas la peine de perdre du temps à essayer de gratter quelques euros à ce stade
- etc.
- dans le meilleur des cas, si personne ne met son veto ou ne traîne les pieds, que la pile de paperasse est faite, et que le vent souffle dans le bon sens, envisager de commencer à travailler concrètement sur le sujet au bout de 2 mois (estimation optimiste : ce n'est pas rare de voir des projets décalés de 6 mois, un an, ou plus).

ou b) me payer une presta pour que je bosse efficacement de mon côté, et que je leur livre le résultat en 2 semaines.

Alors évidemment, moi ça me dérange pas, au contraire (). Mais quand même, quand on y réfléchit, c'est paradoxal.

Il faut être conscient que la sécurité info n'est que l'une des multiples contraintes que doit gérer une entreprise et que ces contraintes peuvent être incompatibles entre elles. Qu'en pratique, tout le monde doit faire des compromis, et accepter des risques/inconvénients qu'on préférerait éviter. Que vouloir se prémunir de tout à tout prix avec une armure lourde, c'est aussi le risque de se faire dépasser par un concurrent qui sera moins protégé mais plus rapide que toi.

Après on peut dire "moi je suis DSI, mon boulot c'est de tout faire pour assurer la sécurité info, le reste c'est pas mon problème", mais ce n'est pas une attitude constructive et ça ne fait que cacher le problème sous le tapis.

Va en parler a l'IT chez moi. Dernier trucs en date "pour se plier a un fournisseur et des (pseudo) experts en sécurité":

- Mot de passe plus long et qui expire tous les 3 mois
- maintenant meme depuis le réseau interne, ont DOIT passer par le VPN meme pour se connecter a des choses en interne.

Bien sur le VPN est merdique, plante régulièrement, il faut se connecter avec 2FA avec son compte windows, le VPN n'est pas lié a la machine, donc il ne se connect pas semi automatiquement. Si ton mobile est off/hors réseau, c'est mort, et j'en passe.

Oh, je sais bien. Mon argument est que même si l'IT fait bien son boulot, il y a des contextes où le ratio bénéfice/coût* d'une sécurité stricte mérite d'être évalué.
(* "coût" au sens général, pas seulement financier).

L'histoire des mots de passe qui expirent tous les 3 mois est un très bon exemple : on s'est aperçu qu'en pratique, ça ne faisait qu'encourager les gens à les noter sur des post-it qu'ils laissent traîner, raison pour laquelle ce n'est plus recommandé depuis des années (mais certains se basent encore des recommandations de sécurité qui datent d'il y a 20 ans...).

N'en déduisez pas pour autant que je me fiche de la sécurité info dans les projets sur lesquels je travaille. Ça m'est arrivé plus d'une fois d'avertir les clients de risques de sécu qu'ils n'avaient pas envisagés.

vince (./35) :
Chez mon client actuel, même pour les VM internes le RDP est interdit. On passe par un outil plus sécurisé.

Mais de manières général, les gros comptes, il est hors de question que tu accès à une machine pro depuis une perso ou vice versa.

Pendant le confinement je ne pouvais pas utiliser mon imprimante wifi depuis mon pc pro parce que l'os est paramétré de telle sorte que TOUT passe par le VPN, donc ton imprimante, tu la vois jamais.

Oui.

Mais tu sais que si ça arrivait je prendrais mon PC perso et le connecterais à la 5G de mon téléphone pour bosser. Je l'ai déjà fait dans une précédente boîte, et j'ai aucun cas de conscience, c'est comme prendre un jour de congé et bosser depuis chez moi. Mais en étant quand-même payé (parce que bon). Bien sûr suivant comment il faudra s'expliquer au bout d'un moment, mais d'une façon générale je vois difficilement m'épanouir dans ce genre de contexte.

Bien sûr ça peut être une différente histoire si c'est pour un projet ou une boîte que j'aime vraiment. J'avais un peu moins de soucis à me plier dans le contexte du JV, même si c'est assez débile (mais ils sont paranos de l'espionnage industriel au Japon). Mais pour une SSII j'aurais vraiment de la peine, surtout qu'on y confie en général un boulot qui est loin d'être ni bandant ni très utile pour la société. C'est plus du brassage de thunes, parce que le patron est pote avec plein de gens et il a réussi à obtenir un contrat (là aussi c'est mon expérience, je projette pas sur tout le monde).

Zerosquare (./32) :
Imaginez un gars qui doit aller dépanner une ligne de prod en panne en urgence... il aura l'air malin s'il a besoin de faire tourner une appli constructeur (généralement datant d'il y a 10 ans, codée avec les pieds et représentant tout ce qui fait horreur au service info, mais à laquelle il n'existe pas d'alternative), d'installer un driver USB pas courant, ou même simplement de changer les paramètres TCP/IP, qu'il peut pas parce qu'il a pas les droits, et qu'il est obligé de répondre "ah ben désolé, je sais comment vous dépanner mais là je peux rien faire. Je vous recontacte d'ici deux semaines, le temps d'obtenir les autorisations."

Je peux te garantir que le discours "cette sécurité nous protège d'une attaque informatique potentielle" se verra rétorquer que les X milliers d'euros par minute que coûtent l'arrêt de la prod ne sont pas juste "potentiels", eux.

Tu bosses avec moi ou quoi ? C'est exactement ça.

Zerosquare (./32) :
Et vous savez ce qui se passe quand on décide quand même de faire passer la sécurité info avant tout le reste ? Certains finissent tout simplement par avoir un PC "clandestin" (récupéré d'une façon ou d'une autre, sans que le service info le sache), qu'ils reformatent pour avoir un compte admin, histoire de pouvoir faire le boulot pour lequel ils sont payés. Dans le meilleur des cas, ils sont suffisamment raisonnables/malins pour être prudents et ne jamais le connecter au réseau de l'entreprise... en général, ils installent un Windows sans avoir la licence, ainsi que plein d'autres trucs plus ou moins douteux. Et tôt ou tard, ça pète, et le responsable info qui pensait avoir tout bien sécurisé en n'accordant les droits qu'au compte-goutte se réveille avec une méchante gueule de bois.

Et voilà, c'est la façon dont les plus anciens se débrouillent (ils ont eu assez de renouvellement de laptop dans leur carrière pour réussir le tour de passe-passe à un moment donné).

Merci d'avoir eu la patience de rédiger ça, c'est effectivement ce qui se passe trop souvent. Avec les obligations de rentabilité que tu décris au-dessus. C'est lunaire.

(je me doutais que ça allait te parler )

Zerosquare (./32) :
...Certains finissent tout simplement par avoir un PC "clandestin" (récupéré d'une façon ou d'une autre, sans que le service info le sache), qu'ils reformatent pour avoir un compte admin, histoire de pouvoir faire le boulot pour lequel ils sont payés. Dans le meilleur des cas, ils sont suffisamment raisonnables/malins pour être prudents et ne jamais le connecter au réseau de l'entreprise... en général, ils installent un Windows sans avoir la licence, ainsi que plein d'autres trucs plus ou moins douteux. Et tôt ou tard, ça pète, et le responsable info qui pensait avoir tout bien sécurisé en n'accordant les droits qu'au compte-goutte se réveille avec une méchante gueule de bois.

Là encore, ce n'est pas une affabulation, c'est un truc que j'ai vu plusieurs fois.

Alors ça dépend des endroits, mais en général ce PC "clandestin" ne pourra de toute façon pas se connecter au SI de l'entreprise. Ça ne sera donc au final pas si gênant, à part pour le gars qui va jongler entre les deux postes.
J'ai déjà vu chez nous des gars avec cette configuration, juste par flemme de faire une demande d'exception de sécurité pour avoir un compte admin. Si la demande est justifiée, elle sera acceptée de toute façon et c'est juste chiant pour eux...
Mais là encore, pour rester sur de la R&D, je vois beaucoup de développeurs ou de chercheurs qui font n'importe quoi avec les comptes admin par flemme, il faut arrêter de minimiser.
Soit parce que ce sont des juniors sortis d'école et persuadés de tout savoir (alors qu'en fait non évidemment), soit des seniors qui ont gardé de mauvaises habitudes de bosser continuellement sur un compte admin (alors qu'une élévation de privilèges suffit)
Chez nous demander un compte prend littéralement 2 minutes et il est valable 3 ans (renouvelable). Après, c'est déjà arrivé, les gars peuvent perdre leur droit s'ils font n'importe quoi ou installent des choses qui ne font pas partie de la charte informatique de l'entreprise.
La plupart ici, je pense, ont les bons réflexes, mais c'est loin d'être la majorité malheureusement.

Iceman RGC (./43) :
Chez nous demander un compte prend littéralement 2 minutes et il est valable 3 ans (renouvelable). Après, c'est déjà arrivé, les gars peuvent perdre leur droit s'ils font n'importe quoi ou installent des choses qui ne font pas partie de la charte informatique de l'entreprise.

Voilà, ça c'est un compromis qui me semble acceptable pour tout le monde.

Sinon, comme contre-exemple de sécurité info, il y a aussi Twitter apparemment (si ce qui est raconté est vrai, c'est dingue) :
https://twitter.com/AvidHalaby/status/1602127460677844993

Cette liste avait été étrangement publié à l’époque où musk voulais w’se debinner

Godzil (./38) :
Va en parler a l'IT chez moi. Dernier trucs en date "pour se plier a un fournisseur et des (pseudo) experts en sécurité":

- Mot de passe plus long et qui expire tous les 3 mois
- maintenant meme depuis le réseau interne, ont DOIT passer par le VPN meme pour se connecter a des choses en interne.

Bien sur le VPN est merdique, plante régulièrement, il faut se connecter avec 2FA avec son compte windows, le VPN n'est pas lié a la machine, donc il ne se connect pas semi automatiquement. Si ton mobile est off/hors réseau, c'est mort, et j'en passe.

Ton expérience reflète pas mal ce que j'essaye de mettre chez nous (mais galère infinie entre Windows qui évolue trop souvent et mal... les box multi-bandes qui font galérer le VPN... et là récemment, on a eu pour la 1ère fois en 4 ans, SFR fibre qui plante 4h en journée, donc plus de VPN. Super ambiance...)

-Mot de passe long: c'est bien. Phrase de passe, c'est mieux! J'ai collé (et instruit) à 15 caractères chez nous il y a 2 ans. Je n'ai pas eu de plainte
-Expiration 3 mois: complètement crétin. On était à 6 mois, puis 12, puis j'ai viré (suite nouvelles recos de l'ANSSI il y a un moment déjà). Le problème me tombera un jour dessus avec un audit (de partenaire) qui demandera pourquoi, mais j'ouvrirai grand ma bouche (enfin j'espère que j'y arriverai )
-VPN sur le réseau interne: là je vois pas trop la valeur ajoutée, sauf à garantir un unique point d'entrée. Peut-être que ça simplifie l'archi, mais c'est quand même débile de charger le boîtier alors qu'au bureau on peut tout faire à plat...
Note que ça me simplifierait aussi la vie: j'ai évidemment des utilisateurs dont le VPN (automatique) ne se connecte pas, on se bat toujours avec la réinstall du truc et 2-3 conneries. Mais j'ai pire: le VPN qui se connecte automatiquement au bureau (alors qu'il ne devrait pas) et hop, plus rien n'est accessible en interne

redangel (./47) :
les box multi-bandes qui font galérer le VPN

Tiens, j'ai ce souci à la maison. Comment régler ça ?

Tu désactives une des 2 bandes WiFi Je conseille à tout le monde de virer le 5Ghz pour garder la portée, mais si c'est pas trop grand chez toi, tu peux virer le 2,4.
Ca reste quand même une solution de contournement, j'espère qu'on trouvera une meilleure solution.

Ah ?
Ça pourrait être ça, on a un truc "Zscaler tunnel", je suis pas sûr si c'est ça qui fait mais c'est une plaie ce PC du boulot, même juste pour une réunion Teams ça coupe aléatoirement, et le RDP sur mon PC fixe est assez saccadé, utilisable mais chiant par moments, alors que je suis en réseau local et que normalement c'est comme une KVM juste à 30 FPS…

ZScaler ici aussi
Merci red, c'est cool je vais tenter. Le truc étonnant, c'est qu'en début de session ça va déco tous les quelques secondes (là où tu essayez d'ouvrir les quelques pages intranet que tu veux utiliser), puis après j'ai l'impression que ça se stabilise. M'enfin ça reste chiant

redangel (./47) :
-Mot de passe long: c'est bien. Phrase de passe, c'est mieux! J'ai collé (et instruit) à 15 caractères chez nous il y a 2 ans. Je n'ai pas eu de plainte

Pas de caret à puce ?

-Expiration 3 mois: complètement crétin. On était à 6 mois, puis 12, puis j'ai viré (suite nouvelles recos de l'ANSSI il y a un moment déjà). Le problème me tombera un jour dessus avec un audit (de partenaire) qui demandera pourquoi, mais j'ouvrirai grand ma bouche (enfin j'espère que j'y arriverai )

suffit de dire que tu as suivi les recommandation ANSSI

-VPN sur le réseau interne: là je vois pas trop la valeur ajoutée, sauf à garantir un unique point d'entrée. Peut-être que ça simplifie l'archi, mais c'est quand même débile de charger le boîtier alors qu'au bureau on peut tout faire à plat...
Note que ça me simplifierait aussi la vie: j'ai évidemment des utilisateurs dont le VPN (automatique) ne se connecte pas, on se bat toujours avec la réinstall du truc et 2-3 conneries. Mais j'ai pire: le VPN qui se connecte automatiquement au bureau (alors qu'il ne devrait pas) et hop, plus rien n'est accessible en interne

comment ça, à plat ? J'imagine qu'il y a quand même plusieurs VLAN en fonction du type de machines (serveurs, bureautique, …)

flanker (./52) :
Pas de caret à puce ?

Ah, mon rêve... surtout en la couplant avec le badge à l'entrée ! Mais c'est un "gros" projet, pas évident (du tout).

flanker (./52) :
suffit de dire que tu as suivi les recommandation ANSSI

C'est ce que je voulais dire par "ouvrir ma bouche". Je vais bien tomber sur un partenaire non-francophone (et non versé dans la sécu, bien sûr) pour me dire "C'est qui ?"

flanker (./52) :
comment ça, à plat ? J'imagine qu'il y a quand même plusieurs VLAN en fonction du type de machines (serveurs, bureautique, …)

Oui oui c'est tout vlanifié (même si mériterait un coup de balai). Quand je dis à plat, c'était hors gateway externe.

Brunni (./50) :
Ça pourrait être ça, on a un truc "Zscaler tunnel", je suis pas sûr si c'est ça

Non c'est pas ça; zscaler (qui fait plein de trucs...) c'est avant tout un proxy. Donc il chope tout le trafic, l'inspecte, le blanchit... et ça bouffe de la ressource.
On a failli signer y a tout juste 1 mois. Mon chef était à fond (il connaissait déjà d'avant). Je lui ai dit : "Attends le devis, quand même..."
Ca a pas loupé: c'est hors de prix pour une PME.

Bon au final c'est pas bien mais il semblerait que le RDP VERS le PC du boulot DEPUIS le PC fixe de la maison fonctionne bien, sans trop de saccades, pas l'inverse.

Du coup j'ai mis le PC du boulot en RDP et je bosse depuis celui de la maison… c'est un peu pourri car je ne vois pas tout de suite les notifs Teams, mais bon… la différence de vitesse lors des opérations de dév (NPM, yarn, build et co) est d'un ordre 5 genre (alors que c'est un Ryzen 5800U qui selon le bench fait mieux que mon PC). Bien sûr le gros de la différence vient du fait que j'ai pu exclure le dossier node_modules de mon antivirus…
Mon boss est au courant que je fais ça, c'est même lui qui m'a conseillé d'utiliser mon PC perso…

redangel (./53) :

flanker (./52) :
Pas de caret à puce ?

Ah, mon rêve... surtout en la couplant avec le badge à l'entrée ! Mais c'est un "gros" projet, pas évident (du tout).

En pratique, ce n'est pas si compliqué, mais c'est surtout de la procédure qui doit être carrée (vu que tu vas certainement mettre au moins trois certificats différents sur la même carte à puce, et vouloir séquestrer certaines des clefs privées).

flanker (./52) :
suffit de dire que tu as suivi les recommandation ANSSI

C'est ce que je voulais dire par "ouvrir ma bouche". Je vais bien tomber sur un partenaire non-francophone (et non versé dans la sécu, bien sûr) pour me dire "C'est qui ?"

Tu dis que c'est l'équivalent français de la CISA ou du NCSC. Et s'ils ne connaissent toujours pas, c'est mauvais signe.

Ils en ont souvent rien a foutre.

Voilà. Il y en a qui sont vraiment des tanches, mais pour autant ils s'attendent à ce que tu coches les cases de leur procédure.

Ben voilà, petite frayeur, mon client a vu un autre auteur pour mes commits. Mon adresse perso quoi. Il a pris peur que je push sur un repo privé, ce que malgré toute la sécurité bidon ils peuvent difficilement éviter.
La réalité c'est juste que j'avais copié le .gitconfig que j'utilise partout et pas changé l'adresse e-mail de l'auteur

tu leur files un lien vers les articles récents sur reflets.info

"voilà, y'a la démonstration de ce qui est arrivé aux mecs chez altice qui s'en foutaient... et ils ont attendu deux mois avant de demander aux gens de changer leur mdp, y'a pas eu de campagne systématique..."

(et oui, les leaks contenaient des mdps et même des codes de coffre forts dans les résidences)

En tous cas je répète mais je comprends les gens qui détestent Windows après l'avoir utilisé en entreprise, moi aussi maintenant j'ai un arrière-goût de gerbe quand j'utilise mon PC fixe, alors qu'avant j'adorais. Je me retrouve à utiliser le Mac juste pour me sentir en vacances.

Mais je sais pas comment ils configurent leur merde, mais genre l'appli Settings plante quand tu essaie d'accéder à User Accounts -> Sign in options. Donc impossible de voir pourquoi le capteur d'empreintes ne marche plus, ou changer mon mdp. L'autre jour le gestionnaire des tâches plantait répétitivement quand tu allais dans l'onglet Détails. Il a fini par se réinstaller tout seul (enfin se réinitialiser) après plusieurs plantages -- intelligent ça MS -- mais bon.