Bonjour, Merci à tous pour vos échanges et vos idées. Comme je m'y attendais, le sujet est loin d'être simple.
La R9-- propose l'utilisation d'un VDI pour accéder à l'internet mais le déconseille pour administrer des Hyperviseurs et des Annuaires. La R9- est a solution la plus sexy (utilisation de poste multi-niveaux) mais peu de solutions sur le marché, l'ANSSI développe Clip-OS depuis 2006 mais en 2019 toujours pas de version utilisable en production et SEDUCS en lisant le PDF je n'ai pas compris ce que cela faisait exactement. La R9 demande d'avoir deux PC physiques différents (/là je vais perdre tous mes ingénieurs .../)
S'il y a des personnes de l'ANSSI sur la liste, il serait intéressant qu'ils puissent partager dans les grandes lignes la solution mise en place chez eux.
Thierry Le 29/06/2019 à 17:22, Stéphane Rivière a écrit :
Le 29/06/2019 à 16:51, Florent CARRÉ a écrit :Bonjour tout le monde,Je plussoie ton approche, y compris l'excellent saltstack. Xen a une empreinte bien plus faible qu'un nux. Enfin, on va pas détailler, suffit d'aller voir sur le site de Qubes ou mater leurs ML... Maintenant, comme tu dis, bon courage... (et n'oublions pas la "cape de zorro" pour taper les credentials, de boucher/briquer tous les ports pour la "femme de chambre", etc...). Sans compter le hardware. Un PC sans hardware certifié, il sert à quoi l'OS ultra sécurisé ? À rester bien au chaud dans un intranet blindé.
smime.p7s
Description: Signature cryptographique S/MIME
