Bonjour Nicolas, Le 20/02/2024 à 09:36, Nicolas Vigier a écrit :
On Mon, 19 Feb 2024, Vincent Duvernet wrote:Comment faire évoluer la situation sans faire bondir les admins réseaux ? Voici mes 2 cts : Un questionnaire en ligne anonymisé sauf en dernière partie afin de générer un "scoring" avec le nom de l'entreprise par catégorie (accès distant, visiteurs, utilisateurs, cloud...) ça pourrait faire sens. Ça permet de poser des questions techniques pointues sans que le site ne fasse de rétention (donc faut un site de confiance on est bien d'accord). Est-ce que c'est suffisant ? probablement pas mais ça donnerait l'impression de faire quelque chose un minimum qualitatif plutôt que de remplir un fichier Excel à la con en me faisant perdre mon temps.Et c'est comme cela que l'on se retrouve ensuite à devoir faire des trucs completement idiots dans le seul but d'augmenter le "scoring". Le questionnaire demande si toutes les machines font tourner un antivirus homologué et à jour ? Afin de pouvoir répondre oui et augmenter le "scoring", la machine sous Linux non connectée au réseau fera donc desormais tourner une machine virtuelle Windows avec un antivirus, les antivirus homologués ne fonctionnant que sous Windows (avant peut-etre de la reinstaller completement sous Windows, pour simplifier), et nous allons la connecter au réseau afin de pouvoir mettre à jour l'antivirus.
Alors celle-là on l'a entendue tellement de fois qu'on se demande encore comment on peut encore la tenter, mais ça rate jamais. C'est les lacs du Connemara.
La machine sous Linux "non connectée au réseau" a une carte IPMI/iLO/etc. qui... est connectée au réseau. Si c'est une machine virtuelle alors elle est en plus connectée au réseau physique de l'hôte. Bref dans un périmètre technique réseau, tout ce qui existe est _forcément_ connecté. Et ce qui n'est pas connecté au réseau doit quand même être tenu à jour parce qu'il reste toujours le risque de l'accès physique à la machine, donc il n'y a vraiment pas moyen de prétendre un zéro réseau.
Après effectivement j'ai déjà soulevé ici ou ailleurs (frsag ?) la question de l'antivirus sous Linux, ça existe, y compris en zone UE (ESET par exemple). Et il y a toujours l'ami ClamAV quand il faut vraiment une excuse (ou bien quand on fait de l'OpenBSD :p).
Note qu'en prévoyant un plan d'assurance qualité/sécurité en amont, on évite non seulement de se taper un questionnaire ISO 27001 par an et par client, mais en plus on peut se permettre de jouer avec les règles : il devient facile d'expliquer qu'on a choisi de ne pas répondre à telle exigence parce qu'en fait on a couvert le risque autrement.
Bien cordialement, -- Maxime DERCHE OpenPGP public key ID : 0xAE5264B5 OpenPGP public key fingerprint : 7221 4C4F D57C 456F 8E40 3257 47F7 29A6 AE52 64B5 <https://www.mouet-mouet.net/maxime/blog/>
OpenPGP_signature.asc
Description: OpenPGP digital signature
