Bonjour,
Il y a beaucoup de cas où ce sont les clients qui bloquent pour des
raisons obscures les mises à jour ou les remplacements en reportant
indéfiniment.
On a beau mettre les recommandations en avant, insister ça ne passe pas,
par contre quand c'est franchement abusé et que l'on arrive plus à
intervenir dessus (version openssl qui empêche de se connecter à la
moitié des sites de la planète avec LE, ssh trop obsolète qui oblige de
réduire la sécurité des algos pour se connecter dessus, ...) là on
impose la migration et s'ils ne veulent toujours pas on arrête ces
dossiers et là ils acceptent ou partent.
Le 12/07/2022 à 07:36, Maxime DERCHE a écrit :
Bonjour Jérôme,
J'espère que tu vas bien. :)
Ma question ne porte pas sur l'existence de logiciels obsolètes donc
sur la gestion du risque qu'ils induisent, mais sur le risque induit
par la publicité qui en est faite, à plus ou moins bon escient.
Des vieuseries plus ou moins cachées dans les coins, il y en a
partout, et des ingénieur-es de qualité qui font du mieux possible
pour concilier des objectifs antagonistes de gestion de production et
de gestion du risque il y en a aussi (mais pas partout..). Tu en
donnes la preuve en annonçant à la fois une réponse opérationnelle
(protection périmétrique) et une réponse de gestion de la sécurité
(feuille de route), ce qui est considéré comme une bonne réponse dans
le cadre d'un cycle d'amélioration continue (Plan-Do-Control-Act dans
ISO27001 par exemple).
Là où je m'interroge, c'est sur la pratique du partage d'information
communautaire, sans laquelle Internet n'aurait jamais existé, dans un
monde où les professions du numérique sont devenues des professions
encadrées juridiquement (il y a même aujourd'hui un Code de la
Cybersécurité publié aux éditions Dialloz [1]). Comment demander de
l'aide, rapporter un bug ou annoncer l'ouverture d'un poste sans se
mettre hors-la-loi (et accessoirement risquer de violer l'intimité de
personnes concernées innocentes qui nous font toute confiance à nous,
numéristes combattant-es) ?
[1] :
<https://www.boutique-dalloz.fr/code-de-la-cybersecurite-p.html>,
publié le mois dernier, cf
<https://actu.dalloz-etudiant.fr/index.php?id=11&no_cache=1&tx_ttnews[tt_news]=39606>
Bien cordialement,
-- Maxime
Le 11/07/2022 à 19:56, Jérôme Nicolle a écrit :
Maxime,
Sur un de mes projets en cours, je dois gérer des machines qui ont
entre 12 et 19 ans d'uptime.
Globalement, elles ont toutes l'âge de boire.
J'assure la fonction de RSSI néanmoins, pour deux raisons :
- Elles sont correctement firewallées et avec du SNORT bien vener en
frontal
- On a une roadmap pour toutes les reconstruire d'ici un an (170
machines…)
Le 11/07/2022 à 18:49, Maxime DERCHE a écrit :
Bonjour,
Le 04/07/2022 à 17:54, Pierre DOLIDON a écrit :
Bonjour a tous
a tout hasard, quelqu'un aurait cloné le repo Sury pour les
versions PHP de Debian 9 ? Comme elle est passée EOL, les dépots de
sury semblent avoir été purgés également.
Par avance, merci !
Question un peu bête mais je termine à peine mon vendredi :
Vos RSSI vous autorisent encore à avouer publiquement que vous
faites tourner des OS obsolètes ?
(Je précise que j'adresse la question à l'assemblée non seulement à
la personne ayant ouvert le sujet, je ne cherche pas à pointer des
coupables mais juste à sonder l'opinion.)
frsag est une liste publique, archivée par des moteurs de recherche
web, n'importe quel agent de la CNIL pourrait tomber dessus soit
fortuitement (et ajouter le nom de la boîte à sa liste) soit lors
d'un audit, par exemple suite à déclaration d'une fuite de données
personnelles. Le ou la DPO aurait alors du mal à démentir ou à
justifier. :)
Notez que j'ai la même question pour les offres d'emploi où le
référentiel technique est décrit avec les noms voire les versions
des logiciels utilisés, cela fait une excellente source ouverte de
renseignement (OSINT blah blah blah).
Z'en pensez quoi ?
Bien cordialement,
_______________________________________________
Liste de diffusion du %(real_name)s
http://www.frsag.org/