Le 15 mars 2019 à 16:42 +0100, Philippe ASTIER <phili...@astier-consulting.fr>, a écrit : > > > > Tandis qu'au niveau applicatif, c'est tellement bien. Je me souviens encore > > avec émotion d'un appareil de visioconf dont je n'ai jamais pu changer le > > mot de passe d'admin. Alors s'il avait été directement accessible sur > > internet sans sécurisation sur la couche 4 ou 3, j'imagine bien ce qui se > > serait passé. > > Il faut faire le tri dans les vendeurs, et fusiller ceux qui sont stupides.
C’est un exemple. Il y a aussi des applications très anciennes qu’on n’a pas les moyens de refaire à neuf, des applications plus modernes mais qui ont souffert d’une absence d’intégration de la question sécuritaire. Il y a aussi les simples erreurs de conception. Et au final, pour nombre d’entre elles, le firewall suffit à limiter le risque. > Je me répète… mais j’estime que 75% des devices de mes clients sont en > permanence en dehors de la forteresse supposée de leur entreprise… > > Au passage, les grosses failles qui ont paralysées des usines en France ou la > sécu en Angleterre, genre Wannacry… c’était installé sur des appareils > internes. > > La sécurité périmétrique est morte et enterrée depuis 10 ans. Utile, mais > très insuffisante. > Les attaques frontales directes, c’est bon pour les étudiants en première > année de Hacking High School, et ça sert à remplir les logs des firewalls et > rassurer les CFO sur leur niveau de dépense en sécurité… Ça fait aussi 10 ans que j’entends dire que la sécurité perimetrique c’est dépassé et ça fait 10 ans que quand j’investigue un peu sur les moyens de gérer une sécurité au plus proche, je tombe sur des solutions au mieux mal dimensionnées, au pire bouffones. Moi aussi j’ai 75% dehors, mais il se trouve que les 75% dehors sont d’une part moins vulnérables et d’autre part moins critiques. --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
