subject:"\[FRnOG\] \[TECH\] Les cabinets comptables \& la cyber"

On Sat, Feb 24, 2024, at 19:57, Arnaud Feix wrote:
> Alors oui cela peut être agaçant d’être audité mais c’est comme ça, il 
> y a des réglementation et celles-ci imposent des audits externes :
> PCIDSS - ACPR - DORA - NISv2 par exemple.

PCIDSS par votre agence de publicite/marketing, ca devrait etre TRES 
interessant.
Ou si vous avez des distributeurs de boissons, NISv2 gere par le meme 
prestataire
C'est un peu ca les CAC qui se melent a la "cyber-securite".
Il peut y avoir pire, tout confier a son assureur...

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Les cabinets comptables & la cyber

2024-02-24 Par sujet Arnaud Feix

Bonsoir,

Si on en revient au sujet d’origine, oui les CAC ont pour missions de s’assurer 
que le SI qui porte les flux financier est bien protégé et donc ils audits le 
SI et ces acteurs, normalement ils ont signé une accord de confidentialité 
(cela dépend de la maturité).

Alors oui cela peut être agaçant d’être audité mais c’est comme ça, il y a des 
réglementation et celles-ci imposent des audits externes :
PCIDSS - ACPR - DORA - NISv2 par exemple.

Et comme le monde est bien fait, avoir eu un audit sur une réglementation ne 
permet pas de s’affranchir d’un autre audit sur une réglementation voisine 
(sauf à prendre le même cabinet afin de mutualiser les réponses).
Bref il faut s’outiller, documenter et recueillir les preuve, cela permet de 
mieux vivre ces audits.

Note : le concepteur de DEMING a aussi développer un logiciel de cartographie 
MERCATOR (je ne l’ai pas encore testé donc pas d’avis).

Et une petite réflexion sur les composants de sécurité qui peuvent être 
demandé, il faut considérer que ce sont les basic qui s’imposent, alors oui un 
AV seul ne fera rien lors d’une attaque mais l’empilement de solution de 
sécurité peut permettre de ralentir la progression et d’alerter afin de pouvoir 
réagir avant « le drame » (modèle en couche d’emmental).

En cyber on parle de cyber kill chain de MITRE Att&ck 
(hxxps://attack.mitre.org/) et on regarde si les solutions déployé couvrent 
bien tel ou tel scénario.

Bonne soirée.



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Les cabinets comptables & la cyber

Hello,

On Sat, Feb 24, 2024, at 18:21, Maxime DERCHE wrote:
> Le 24/02/2024 à 16:59, Radu-Adrian Feurdean a écrit :
>> Bon, donc il faut un anti-virus pour chaque iDRAC/iLO/ ?
>
> Ben, c'est surtout qu'il faut arrêter de mentir quand on parle de machine non 
> connectée au réseau. Et oui si c'est infecté ça peut servir de relais, 

OK, donc d'apres toi il faut des anti-virus sur tous les iDRAC/iLO/tout autre 
dispositifs "embedded"/"black box".

Parce qu'il faut pas oublier, les iDRAC/iLO sont des machines a part entiere, 
avec leur propre pile IP, leur propre table de routage et regle de filtrage. 
Tres souvent avec les cartes reseau dedies, non-accessible pour la machine 
geree.

Et la myriade de dispositifs "proprietaires"/"embedded"/"black-box" (limite 
IoT, quoi-que), ils sont dans leur vaste majorite bases sur un Linux 
(d'habitude PAS recent, et dont il n'est PAS possible de le mettre a jour - 
dernier "firmware" etant avec un noyau + utils datant de plusieurs annees).
Ceux-la, aussi, faut donc qu'ils ont un anti-virus chacun ? Ca commence a 
devenir TRES complique !

Mon point c'est qu'exiger que *TOUTES* les machines tournent un anti-virus, 
c'est une debilite absolue. L'exemple de la machine non-connecte au reseau (ce 
qui peut quand-meme etre vrai) est juste un cas; la,  je presente d'autres. Et 
parfois il est juste impossible d'installer un anti-virus sur *TOUTES* les 
machines.

A, on parlait de "Serveur". C'est quoi la definition exacte ?

> or sur ton réseau d'administration t'as généralement pas envie d'avoir 
> d'emmerde, 
> et surtout pas d'emmerde *anticipable*.

Vu comme ca, c'est juste question d'imgaination pour dire que tu n'as pas gere 
tel ou tel "risque".

> Euh tu confonds tellement de choses qu'on se demande quoi répondre...
>
> Un antivirus à base de signature n'a pas pour objectif de protéger contre des 
> exploits 0-days qui précisément n'ont aucune chance d'être dans sa base.

Ah bon ?
Donc les anti-virus ne font rien d'autre ? 
Moi j'etais toujours au chapitre que plus les annees passent, plus il faut 
passer du temps a de-activer des fonctionalites sur un anti-virus fraichement 
installes, fonctionalites qui n'ont rien a voir avec l'analise a base de 
signatures (qui est juste UNE des fonctionalites d'un anti-virus d'aujourd'hui).

> Et vu le prix des 0-days on évite de les gâcher : ton scénario est absurde. 
> :-(

Effectivement, jusqu'au jour ou 
... ou au pif le 0-day c'est pas vraiment 0-day mais j-7, et le backlog de 
travail de l'equipe secu est de 8 jours ... Jamais eu des mises a jour "de 
securite" qui ont casse beaucoup plus de fonctionalites que les failles de 
securite corriges ? Ou alors "pour corriger le CVE-XYZT-ABC, il faut passer 
dans la version M+1.N (ou M.N+3)"...

> Ensuite, évidemment une bonne analyse est préférable à une mauvaise analyse, 
> surtout 
> en considérant les très fortes contraintes de fonctionnement de ces logiciels 
> (temps 
> d'exécution, ressources consommées, nombre de différences sur le stockage 
> entre deux 
> scans, etc.).

Pire/mieux: parfois PAS d'analyse est preferable a une mauvaise analyse.

> Les faux positifs, évidemment on s'en passerait, surtout côté SOC/CERT, et 
> ils sont 
> généralement d'autant plus gênants qu'ils sont extrêmement rares sur les 
> bases de 
> signatures, donc on a tendance à ne pas y croire.

Voir plus haut pour la "base de signatures".
Il y a aussi la mauvaise categorisation: les "virus" ne sont pas forcement tous 
des vrais "virus"; certain outils de securite sont aussi categorises comme 
"virus"/"malware".

> l'activité change, 
> mais ce sont des technologies très différentes d'un bête antivirus, 
> donc hors-sujet ici.

"Bete anti-virus" ? Voir plus haut.

>> Tu ne serais pas avant-vente pour un editeur ou distributeur de solutions 
>> anti-virus ?
>
> C'est ahurissant de lire un truc pareil. :-)

Ok, donc tu fais du conseil. 
Est-ce que tu dois supportes les consequences de tes conseils a long terme ? 
Est-ce que tu dois arbitrer entre "encore plus de securite" et "ressources 
metier" (== autre chose que securite) aupres de ton departement finance ? 
Et si tu arrives a le faire avec succes, et-ce que tu crois que c'est valable 
partout et tout le temps (a long terme, encore une fois) ?

Dans le monde de la cyber-securite, il y a plein de solutions (??? toutes ???) 
qui fonctionnent assez/tres bien dans certains cas et tres mal/pas du tout dans 
d'autres, et l'anti-virus en est une.
Donc exiger "anti-virus sur toutes les machines" est debile. Et quand ca arrive 
quand-meme, et de facon contraignante, on essaie de sortir du perimetre les cas 
ou ca n'a pas de sens. En jouant sur le definitions s'il le faut. C'est un jeu 
usant, penible voire meme risque parfois, mail qu'il faut bien jouer devant des 
exigences debiles.
BONUS : en face il y a des comptables qui ne comprennent rien a la securite, 
ils mettent juste les reponses dans une machine a scoring. 
Hereusement qu'ils ne son

Re: [FRnOG] [TECH] Les cabinets comptables & la cyber

2024-02-24 Par sujet Maxime DERCHE

Bonjour,

Le 24/02/2024 à 16:59, Radu-Adrian Feurdean a écrit :

On Tue, Feb 20, 2024, at 17:49, Maxime DERCHE wrote:

Ah je peux t'assurer que ce n'est pas du tout un "exemple fictif",
c'est même du
quotidien sur le terrain à peu près partout. Dans le même genre on a le
mythe de
l'isolation sur un vlan séparé, où le serveur continue à traiter du
trafic...

L'antivirus

Bon, donc il faut un anti-virus pour chaque iDRAC/iLO/ ?

Ben, c'est surtout qu'il faut arrêter de mentir quand on parle de machine non
connectée au réseau. Et oui si c'est infecté ça peut servir de relais, or sur ton
réseau d'administration t'as généralement pas envie d'avoir d'emmerde, et surtout pas
d'emmerde *anticipable*.

apporte une protection antimalware, a minima vis-à-vis d'une base de
signatures connues, ce qui n'est pas "rien", surtout si la base est mise à jour
très
régulièrement (chaque heure). Si la machine est branchée au réseau il apporte
également une gestion unifiée des alertes, ce qui n'est pas rien non plus,
surtout
quand on connaît les temps de propagation (qui sont littéralement fulgurants
quand
tous les serveurs partagent la même architecture matérielle, le même OS et le
même
niveau de mise à jour, donc les mêmes vulnérabilités -- dès qu'un serveur est
compromis c'est tout l'étage de l'infra qui l'est dans les secondes qui
suivent),
sans alerte il n'est pas envisageable de répondre à l'incident autrement que
par un
communiqué de presse et une notification à la CNIL. L'antivirus participe à la
supervision au même titre que les sondes de température remontées par SNMP.

Mouais donc pour repondre a un attaque fulgurante 0-day qui arrive un
dimanche nuit a 02h47 et finit de s'installer sur toute l'infra avant 02h53, il
te faut un anti-virus ? De preference le meilleur des meilleurs qui intercepte
tout acces disque et tout acces reseau et prend son temps pour bien analyser
(mais pas forcement trouver quand il y a des choses a trouver) ? Est-ce qu'il
aide au moins lundi pour le communique de presse et la notification au CNIL ?
Et les 3 precedents annees de fausses alertes et faux positifs ... non, rien...

Euh tu confonds tellement de choses qu'on se demande quoi répondre...

Un antivirus à base de signature n'a pas pour objectif de protéger contre des
exploits 0-days qui précisément n'ont aucune chance d'être dans sa base.

Et vu le prix des 0-days on évite de les gâcher : ton scénario est absurde. :-(

Ensuite, évidemment une bonne analyse est préférable à une mauvaise analyse, surtout
en considérant les très fortes contraintes de fonctionnement de ces logiciels (temps
d'exécution, ressources consommées, nombre de différences sur le stockage entre deux
scans, etc.).

Les faux positifs, évidemment on s'en passerait, surtout côté SOC/CERT, et ils sont
généralement d'autant plus gênants qu'ils sont extrêmement rares sur les bases de
signatures, donc on a tendance à ne pas y croire. Ils sont moins rares sur la
détection d'intrusion, surtout quand elle est mal réglée et/ou que l'activité change,
mais ce sont des technologies très différentes d'un bête antivirus, donc hors-sujet ici.

L'antivirus te permet de couvrir un risque. Un scénario d'attaque est
modélisable par
une chaîne de risques appliqués à des actifs, donc couper un risque particulier
sur
la totalité des actifs permet de casser un certain nombre de chaînes de
risques, et
c'est contrer autant de scénarii de risques à l'échelle globale de
l'infrastructure.

Tu ne serais pas avant-vente pour un editeur ou distributeur de solutions
anti-virus ?

C'est ahurissant de lire un truc pareil. :-)

Bien cordialement,
--
Maxime DERCHE
OpenPGP public key ID : 0xAE5264B5
OpenPGP public key fingerprint : 7221 4C4F D57C 456F 8E40 3257 47F7 29A6 AE52
64B5

OpenPGP_signature.asc
Description: OpenPGP digital signature

Re: [FRnOG] [TECH] Les cabinets comptables & la cyber

On Tue, Feb 20, 2024, at 17:49, Maxime DERCHE wrote:

> Ah je peux t'assurer que ce n'est pas du tout un "exemple fictif", 
> c'est même du 
> quotidien sur le terrain à peu près partout. Dans le même genre on a le 
> mythe de 
> l'isolation sur un vlan séparé, où le serveur continue à traiter du 
> trafic...
>
> L'antivirus

Bon, donc il faut un anti-virus pour chaque iDRAC/iLO/ ?

> apporte une protection antimalware, a minima vis-à-vis  d'une base de 
> signatures connues, ce qui n'est pas "rien", surtout si la base est mise à 
> jour très 
> régulièrement (chaque heure). Si la machine est branchée au réseau il apporte 
> également une gestion unifiée des alertes, ce qui n'est pas rien non plus, 
> surtout 
> quand on connaît les temps de propagation (qui sont littéralement fulgurants 
> quand 
> tous les serveurs partagent la même architecture matérielle, le même OS et le 
> même 
> niveau de mise à jour, donc les mêmes vulnérabilités -- dès qu'un serveur est 
> compromis c'est tout l'étage de l'infra qui l'est dans les secondes qui 
> suivent), 
> sans alerte il n'est pas envisageable de répondre à l'incident autrement que 
> par un 
> communiqué de presse et une notification à la CNIL. L'antivirus participe à 
> la 
> supervision au même titre que les sondes de température remontées par SNMP.

Mouais donc pour repondre a un attaque fulgurante 0-day qui arrive un 
dimanche nuit a 02h47 et finit de s'installer sur toute l'infra avant 02h53, il 
te faut un anti-virus ? De preference le meilleur des meilleurs qui intercepte 
tout acces disque et tout acces reseau et prend son temps pour bien analyser 
(mais pas forcement trouver quand il y a des choses a trouver) ? Est-ce qu'il 
aide au moins lundi pour le communique de presse et la notification au CNIL ?
Et les 3 precedents annees de fausses alertes et faux positifs ... non, rien...

> L'antivirus te permet de couvrir un risque. Un scénario d'attaque est 
> modélisable par 
> une chaîne de risques appliqués à des actifs, donc couper un risque 
> particulier sur 
> la totalité des actifs permet de casser un certain nombre de chaînes de 
> risques, et 
> c'est contrer autant de scénarii de risques à l'échelle globale de 
> l'infrastructure.

Tu ne serais pas avant-vente pour un editeur ou distributeur de solutions 
anti-virus ?

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Les cabinets comptables & la cyber

2024-02-24 Par sujet Stéphane Rivière


Bonjour Arnaud,

Merci beaucoup pour ta suggestion. Ce logiciel a l'air parfait pour 
poser un cadre et suivre l'avancement. Il utilise des technos standard 
(on va juste remplacer apache par nginx) a une bonne tête, une belle doc 
et je vais pouvoir l'installer en 5mn.


J'ai hâte de pouvoir y consacrer un peu de temps.

Encore merci et bon we :)

--
Stéphane Rivière
Ile d'Oléron - France


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Les cabinets comptables & la cyber

2024-02-24 Par sujet Stéphane Rivière


Bonjour Maxime,

Merci beaucoup de m'avoir répondu aussi précisément. Je suis tout à fait 
en phase avec tes explications. On peut voir tout ça comme une 
contrainte ou le vivre comme une possibilité de déclencher une réflexion 
et de mieux faire les choses, un peu comme le RGPD.


Le fait que ces normes soient payantes est malheureux (certains normes 
ISO comme le langage Ada sont par contre gratuites) mais, muni de tes 
références, il est possible de les trouver dans certaines bibliothèques 
situées dans des endroits sombres du réseau.


Je suis tout à fait d'accord qu'en fonction de sa clientèle, ce genre de 
démarche peut être, sinon indispensable, fortement recommandée.


J'ai sauvé ton message et j'espère pouvoir affecter quelques jours sur 
le sujet.


Encore merci et bon we :)

--
Stéphane Rivière
Ile d'Oléron - France


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Les cabinets comptables & la cyber

2024-02-24 Par sujet David Ponzone



> Le 24 févr. 2024 à 16:05, Radu-Adrian Feurdean 
>  a écrit :
> 
> 
> Tu te contre-dis tout seul la.
> D'accord pour ne pas prendre les CAC pour des cons par default, mais il faut 
> bien envisager le cas ou ils le sont vraiment. 
> S'ils viennent avec des questions sorties de je ne sais pas ou et traduites 
> avec Google Translate, c'est qu'ils font des choses sur lesquels ils ne sont 
> pas competents. 
> Soit ils comprennent ca et ils arretent ou moderent, soit ... c'est plus 
> complique…


Je suis assez d’accord.
Pour avoir vu les dégâts causés par un constat d’huissier, qui a quand même une 
certain valeur, sur un problème de réseau auquel il n’entrave rien, je pense 
que certaines professions devraient être capables de dire qu’ils ne sont pas 
compétents.
Ils vont faire un bilan de santé du PDG bientôt aussi ?

David



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Les cabinets comptables & la cyber

On Mon, Feb 19, 2024, at 23:02, Intermi Charles wrote:

> Donnons ce qui leur est nécessaire. Et ce qui est nécessaire, 
...
> expérience, il n'est pas si compliqué d'y repondre sans divulguer votre 
> topologie de réseau interne ni les solutions en place.

Et on fait comment quand c'est precisement ce qui est demande ?

> Il ne faut pas prendre les CAC pour plus bêtes qu'il ne le sont : ces 
> questions qui semblent tout droit sorties de google translator sont 

Tu te contre-dis tout seul la.
D'accord pour ne pas prendre les CAC pour des cons par default, mais il faut 
bien envisager le cas ou ils le sont vraiment. 
S'ils viennent avec des questions sorties de je ne sais pas ou et traduites 
avec Google Translate, c'est qu'ils font des choses sur lesquels ils ne sont 
pas competents. 
Soit ils comprennent ca et ils arretent ou moderent, soit ... c'est plus 
complique...

> leur manière d'obtenir des réponses concrètes de la part d'entités 
> n'ayant pas forcément votre vision globale des choses, et qui "rentre" 

Faut s'adapter au client, non ? 
C'est le cas dans notre metier, ca devrait etre aussi dans le leur.

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Les cabinets comptables & la cyber

On Mon, Feb 19, 2024, at 19:02, Christophe Moille wrote:

> Moi ça me questionne que l'on place sa confiance dans un tiers pour lui
> refiler une vision financière aussi complète que celle que peut avoir un
> expert-comptable sur la liste des fournisseurs et des clients d'une structure
> et en même temps paranoïer sur le nom de l'antivirus utilisé dans la boite
> sans se dire à un moment qu'il y a comme un petit hiatus.

Chacun avec son metier.
Je vois pas en quoi une boite de compables a a savoir le detail exact des 
solutions techniques implementes, surtout quand on parle d'un environnement ou 
c'est le metier du client (en general, mais il doit y avoir des tonnes 
d'exceptions) de connaitre et gerer ce type de solutions.

Dans un precedente vie on m'a dit "il faut faire ca, c'est les CACs qui les 
demandent". J'ai repondu "Ce n'est pas des comptables qui vont m'apprendre mon 
metier", et on m'a f une paix royale sur le sujet. Je suppose qu'ils ont 
juste assimile qu'il y a un (plutot encore un) depertement qui fait du "shadow 
it/telco", et ils ont du passer a autre chose (en meme temps j'avais ZERO acces 
a un tas d'outils internes geres par la DSI en question - pas besoin).

Apres, une autre strategie peut etre de repondre *EXACTEMENT* aux questions, de 
telle facon que ca n'a plus aucun sens. Ca devrait etre interessant surtout 
avec des questions mal-traduites.

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Les cabinets comptables & la cyber

2024-02-23 Par sujet Arnaud Feix

C’est Dredi et je vous souhaite une bonne soirée,

Je souhaite apporter à votre attention un petit logiciel qui devrait vous 
permettre d’implémenter une gestion de la sécurité conforme à l’ISO 27001.

La documentation se trouve là : https://dbarzin.github.io/deming/index.fr/

Et le GitHub du projet est ici : 
https://github.com/dbarzin/deming/blob/main/README.fr.md

 Bon Week End


> Le 23 févr. 2024 à 15:15, Maxime DERCHE  a écrit :
> 
> Bonjour,
> 
> Le 21/02/2024 à 14:56, Stéphane Rivière a écrit :
>>> Note que les questionnaires de gestion des tierces parties sont 
>>> généralement calqués sur le framework offert par ISO 27001/27002
>> Y a t'il un endroit où l'on peut lire un exemple détaillé de mise en œuvre 
>> des 27001/27002 ?
>> J'ai trouvé quelques liens pour newbies mais rien de bien pratique :
>> https://www.interfacing.com/fr/comparing-iso-27001-vs-iso-27002
>> https://en.wikipedia.org/wiki/ISO/IEC_27001
>> https://en.wikipedia.org/wiki/ISO/IEC_27002
> 
> Les textes des normes ne sont pas accessibles publiquement, il faut les 
> acheter, par exemple sur la boutique de l'AFNOR (cf [1], [2], [3] et [4], tu 
> peux prendre les normes ISO rebrandées NF sans te poser de question).
> 
> Pour simplifier, ISO 27001 édicte des exigences génériques et ISO 27002 
> fournit une checklist d'actions concrètes permettant d'y répondre, exigence 
> par exigence.
> 
> À partir de ces deux listes, l'une plutôt management et l'autre plutôt 
> technique, tu peux te construire ton management sécurité à ta sauce en 
> piochant les choses qui t'intéressent, et c'est clairement fait pour cela 
> puisque la démarche d'ISO 27001 est une démarche itérative où tu construis 
> ton système de management de la sécurité de l'information (SMSI) au fur et à 
> mesure de tes moyens/investissements/risques, idéalement en améliorant ton 
> SMSI (et/ou en réduisant tes risques si tu crois ou pas à la religion de la 
> gestion de risque) d'année en année, de cycle en cycle.
> 
> J'avoue ne pas avoir sous la main de récit type "from zero to ISO 27001" mais 
> ça doit largement exister, et puis tu peux aussi te renseigner chez tes 
> confrères et consœurs qui peuvent avoir des retours très variés.
> 
> Mais tu n'es absolument pas obligé d'adhérer à une démarche de certification, 
> en tout cas pas en première intention.
> 
> Un point important à prendre en compte est que ces textes constituent un 
> langage commun pour les gens qui font de la sécurité, de la conformité, de la 
> gestion de risque, de la protection des données personnelles (ISO 27701, qui 
> est une extension d'ISO 27001). Donc montrer que tu peux calquer ta propre 
> démarche sur le cadre fourni par la norme te permettra de te faire 
> immédiatement comprendre de personnes très loin des professions techniques.
> 
> Cela veut dire que tu seras immédiatement pris au sérieux par l'ensemble des 
> parties prenantes dès l'instant où tu présenteras tes affaires en conformité 
> sur la forme, même si sur le fond tu es loin d'être certifiable (ou que par 
> principe la norme t'ennuie ou t'inquiète). Tu montres que tu as réfléchi au 
> problème et qu'on peut discuter avec toi, tu ne fais pas partie des gens qui 
> vont refuser d'installer un antivirus au fallacieux prétexte qu'il agrandit 
> la sacro-sainte surface d'attaque (ahem).
> 
> D'où l'idée de présenter à ta clientèle tes mesures de sécurité dans un 
> document-type plan d'assurance qualité/sécurité en reprenant le format 
> proposé par ISO 27001+27002, même si tu n'est pas à 100% aligné sur toutes 
> les exigences (mais personne ne l'est). Au pire tu te retrouves à discuter 
> avec la sécurité du client d'une roadmap datée pour corriger les points 
> rédhibitoires, et au mieux tu évites complètement de remplir les 
> questionnaires qui, disons-le franchement, emmerdent tout autant celles et 
> ceux qui doivent les relire et les évaluer...
> 
> 
> [1] : 
> 
> [2] : 
> 
> [3] : 
> 
> [4] : 
> 
> 
> 
> Bien cordialement,
> -- 
> Maxime DERCHE
> OpenPGP public key ID : 0xAE5264B5
> OpenPGP public key fingerprint : 7221 4C4F D57C 456F 8E40 3257 47F7 29A6 AE52 
> 64B5
> 
> 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Les cabinets comptables & la cyber

2024-02-23 Par sujet Maxime DERCHE


Bonjour,

Le 21/02/2024 à 14:56, Stéphane Rivière a écrit :


Note que les questionnaires de gestion des tierces parties sont généralement 
calqués sur le framework offert par ISO 27001/27002


Y a t'il un endroit où l'on peut lire un exemple détaillé de mise en œuvre des 
27001/27002 ?


J'ai trouvé quelques liens pour newbies mais rien de bien pratique :

https://www.interfacing.com/fr/comparing-iso-27001-vs-iso-27002
https://en.wikipedia.org/wiki/ISO/IEC_27001
https://en.wikipedia.org/wiki/ISO/IEC_27002


Les textes des normes ne sont pas accessibles publiquement, il faut les acheter, par 
exemple sur la boutique de l'AFNOR (cf [1], [2], [3] et [4], tu peux prendre les 
normes ISO rebrandées NF sans te poser de question).


Pour simplifier, ISO 27001 édicte des exigences génériques et ISO 27002 fournit une 
checklist d'actions concrètes permettant d'y répondre, exigence par exigence.


À partir de ces deux listes, l'une plutôt management et l'autre plutôt technique, tu 
peux te construire ton management sécurité à ta sauce en piochant les choses qui 
t'intéressent, et c'est clairement fait pour cela puisque la démarche d'ISO 27001 est 
une démarche itérative où tu construis ton système de management de la sécurité de 
l'information (SMSI) au fur et à mesure de tes moyens/investissements/risques, 
idéalement en améliorant ton SMSI (et/ou en réduisant tes risques si tu crois ou pas 
à la religion de la gestion de risque) d'année en année, de cycle en cycle.


J'avoue ne pas avoir sous la main de récit type "from zero to ISO 27001" mais ça doit 
largement exister, et puis tu peux aussi te renseigner chez tes confrères et consœurs 
qui peuvent avoir des retours très variés.


Mais tu n'es absolument pas obligé d'adhérer à une démarche de certification, en tout 
cas pas en première intention.


Un point important à prendre en compte est que ces textes constituent un langage 
commun pour les gens qui font de la sécurité, de la conformité, de la gestion de 
risque, de la protection des données personnelles (ISO 27701, qui est une extension 
d'ISO 27001). Donc montrer que tu peux calquer ta propre démarche sur le cadre fourni 
par la norme te permettra de te faire immédiatement comprendre de personnes très loin 
des professions techniques.


Cela veut dire que tu seras immédiatement pris au sérieux par l'ensemble des parties 
prenantes dès l'instant où tu présenteras tes affaires en conformité sur la forme, 
même si sur le fond tu es loin d'être certifiable (ou que par principe la norme 
t'ennuie ou t'inquiète). Tu montres que tu as réfléchi au problème et qu'on peut 
discuter avec toi, tu ne fais pas partie des gens qui vont refuser d'installer un 
antivirus au fallacieux prétexte qu'il agrandit la sacro-sainte surface d'attaque (ahem).


D'où l'idée de présenter à ta clientèle tes mesures de sécurité dans un document-type 
plan d'assurance qualité/sécurité en reprenant le format proposé par ISO 27001+27002, 
même si tu n'est pas à 100% aligné sur toutes les exigences (mais personne ne l'est). 
Au pire tu te retrouves à discuter avec la sécurité du client d'une roadmap datée 
pour corriger les points rédhibitoires, et au mieux tu évites complètement de remplir 
les questionnaires qui, disons-le franchement, emmerdent tout autant celles et ceux 
qui doivent les relire et les évaluer...



[1] : 

[2] : 

[3] : 

[4] : 




Bien cordialement,
--
Maxime DERCHE
OpenPGP public key ID : 0xAE5264B5
OpenPGP public key fingerprint : 7221 4C4F D57C 456F 8E40 3257 47F7 29A6 AE52 
64B5




OpenPGP_signature.asc
Description: OpenPGP digital signature

Re: [FRnOG] [TECH] Les cabinets comptables & la cyber

2024-02-22 Par sujet Stéphane Rivière


Le 22/02/2024 à 09:22, Kévin CHAILLY a écrit :

Mode dredi -1

Merci pour ta contrib, ça fait plaisir :)))

--
Stéphane Rivière
Ile d'Oléron - France


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Les cabinets comptables & la cyber

2024-02-22 Par sujet Kévin CHAILLY

Mode dredi -1

>
> Mode dredi - 2
>
> [...]et autres scrum
> masters formant une nouvelle espèce de singes surpayés
>
[...]
Faudrait pas confondre scrum master et scrotum master.
[...]
 Rien ne change depuis 35 ans, hormis la complexité

> globale qui augmente.
>
[...]
Le risque s'est décentralisé, il y a 35 ans, le risque Cyber était
uniquement dans le domaine des mêmes entreprises qui aujourd'hui ont tout
un panel de cadres divers et variés avec des fiches de postes digne d'un
[insérer ici une phrase de vendredi au choix]

Aujourd'hui, le risque est présent chez tous, et encore plus chez les
membres de cette liste, pour la plupart assujettis en plus des devoirs liés
à leur métier à divers arsenaux juridiques parfois contrariants et parfois
contraires.


> > Note que les questionnaires de gestion des tierces parties sont
> > généralement calqués sur le framework offert par ISO 27001/27002
>

ISO 27001 est elle-même l'héritière d'une norme ( BS 7799 ) qui date de
1995, l'intérêt pour l'exploitation continue d'un environnement
informatique ne date pas d'hier, même si elle nous semble maladroite.

my 2cts,

Nous avons la chance d'avoir une compréhension plus profonde des systèmes
sous-jacents à ces questionnaires, et de pouvoir mettre en évidence les
limites et défauts de ces questionnaires, critiquer les gens qui n'ont pas
de compréhension ni le niveau technique suffisant pour savoir si un
antivirus est installé sur tous les postes n'est-il-pas au final une faute
professionnelle de notre part ? Plus que jamais, les années post-2000 ont
vu l'émergence d'une demande forte de soft-skills dans les métiers
techniques, car un bon technicien/admin/ingénieur est aujourd'hui aussi un
bon communicant, savoir vulgariser et mettre en évidence des risques non
décrits par un questionnaire destiné à faire rentrer une société dans une
case A ou B. Personne ne lit les petites lignes des contrats qui mettent
les prestataires à l'abri d'un procès quelconque suite à un danger bien
expliqué dans l'alinéa 7 de l'annexe XIIbis, Mais sachant cela, n'est-ce
pas la responsabilité de l'ensemble des acteurs de faire preuve de
pédagogie vis à vis de leurs clients ? La vraie valeur d'un acteur de
proximité (particulièrement quand son rôle est de connecter un ensemble
d'ordinateurs à l'ensemble des hackers de la planète, parfois même en IPv4
ET en IPv6 à la fois !) est-elle là ?

Je suis pas persuadé de pouvoir faire de l'internet un monde meilleur, j'ai
encore lu des tweets aujourd'hui, mais je reste persuadé que la
sensibilisation à la cybersécurité de l'ensemble des acteurs à notre portée
ne peut être que bénéfique, même si quand on leur parle de penetration
testing ils ne pensent pas à l'informatique.

Le monde et les réseaux ont changé, même le boulanger est en IPv6, et au
travers de cela, les besoins des utilisateurs ont changé, plus que jamais,
la valeur du conseil du numérique.

Soyons les prêtres de la religion du saint-bortz, et pardonnons aux
pécheurs qui ont fait du NAT sur leur serveur RDS.

Bon vendredi en avance.

Kévin

>
> --
> Stéphane Rivière
> Ile d'Oléron - France
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Les cabinets comptables & la cyber

2024-02-21 Par sujet Stéphane Rivière




Ce sont ces décennies de culture toxique dans toute notre industrie 
qui nous ont mené là.


Mode dredi - 2

Tant que les "directeurs informatiques" (parfois des incompétents 
pathologiques et parachutés à ce poste en punition disciplinaire sans 
eau ni biscuits) fonderont leur avis sur S&V micro (en admettant que ce 
torchon existe encore) pour promouvoir une IT Microchiottée et du 
Claoude micro-servicé, le tout orchestré par des devops et autres scrum 
masters formant une nouvelle espèce de singes surpayés, toute tentative 
de "cyber" (mouarf) sécuriser la chose à coup de milliers de pages 
pondues par du cabinet d'audit à trop cher la journée, sera vouée à 
l'échec et les hackers auront la partie belle.


Loin de moi l'idée qu'un troupeau de manchots serait suffisant à 
endiguer à lui seul tous les trous dans les fenêtres mais il y a quand 
même un problème fondamental de compétence et de bons choix stratégiques 
chez certains. Rien ne change depuis 35 ans, hormis la complexité 
globale qui augmente. Mais l'imbécilité crasse règne toujours et les 
hackers sont souvent à la fête.


Note que les questionnaires de gestion des tierces parties sont 
généralement calqués sur le framework offert par ISO 27001/27002


Y a t'il un endroit où l'on peut lire un exemple détaillé de mise en 
œuvre des 27001/27002 ?


J'ai trouvé quelques liens pour newbies mais rien de bien pratique :

https://www.interfacing.com/fr/comparing-iso-27001-vs-iso-27002
https://en.wikipedia.org/wiki/ISO/IEC_27001
https://en.wikipedia.org/wiki/ISO/IEC_27002

--
Stéphane Rivière
Ile d'Oléron - France


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Les cabinets comptables & la cyber

2024-02-21 Par sujet Nicolas Vigier

On Tue, 20 Feb 2024, Maxime DERCHE wrote:

> > > Après effectivement j'ai déjà soulevé ici ou ailleurs (frsag ?) la 
> > > question
> > > de l'antivirus sous Linux, ça existe, y compris en zone UE (ESET par
> > > exemple). Et il y a toujours l'ami ClamAV quand il faut vraiment une 
> > > excuse
> > > (ou bien quand on fait de l'OpenBSD :p).
> > 
> > Et sachant que plusieurs vulnérabilités critiques sur Clamav on deja
> > été annoncées dans le passé, cela rajoute de la surface d'attaque sur
> > la machine. Ce qui peut valoir le cout ou pas suivant le contexte.
> 
> Mais lol, cette mauvaise fois. :-)
> 
> L'antivirus te permet de couvrir un risque. Un scénario d'attaque est
> modélisable par une chaîne de risques appliqués à des actifs, donc couper un
> risque particulier sur la totalité des actifs permet de casser un certain
> nombre de chaînes de risques, et c'est contrer autant de scénarii de risques
> à l'échelle globale de l'infrastructure.

Ca permet de couvrir un risque dans un certain contexte uniquement. Si
on parle d'un système qui va contenir des données jamais susceptibles
d'etre executées l'antivirus ne sert à rien. Si le systeme va contenir
des données très confidentielles auquel certaines personnes motivées
sont susceptibles de vouloir accéder, alors l'antivirus risque d'etre
au contraire néfaste puisqu'il va permettre à n'importe qui capable de
trouver un bug dans l'antivirus de l'exploiter pour acceder aux données
du systeme. Peut-etre meme que dans certains cas l'antivirus va décider
d'envoyer les fichiers super confidentiels directement sur les serveurs
de l'editeur de l'antivirus pour analyse.

> Si des vulnérabilités critiques sont publiées, dans ClamAV comme dans
> n'importe quel autre bout de code, il faut appliquer la procédure de mise à
> jour critique -- avec un gestionnaire de paquet la surface d'attaque n'est
> pas plus grande avec ou sans tel ou tel autre logiciel installé, surtout
> s'il est actionné via une orchestration centralisée.

Quand on met en place un système sur lequel la sécurité est importante
on ne se contente pas d'appliquer des mises à jour. Il est tout aussi
important de séléctionner minitieusement les logiciels qu'on fait tourner
en essayant d'exclure ceux qui sont le plus susceptibles de contenir
des problème de sécurité. Et un antivirus, c'est à dire un programme
capable de décoder à peu près tous les formats de fichiers existants,
c'est exactement le type de logiciel qu'il est à peu près impossible de
faire sans bugs.

> En toute bonne foi, agrandir un tout petit peu la surface d'attaque pour la
> réduire énormément, le compromis est généralement considéré bénéfique.

Tout dépend du contexte. C'est justement le problème de ce type de
questionnaire automatique de supposer que l'unique risque contre
lequel il faudrait se proteger est celui d'un fichier contenant un
virus qui va etre téléchargé et executé. Mais il y a de nombreux cas où
ce type de risque n'existe pas et c'est contre d'autres risques qu'il
est important de se protéger.

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Les cabinets comptables & la cyber

Le 20/02/2024 à 16:42, Nicolas Vigier a écrit :

On Tue, 20 Feb 2024, Maxime DERCHE wrote:

Bonjour Nicolas,

Le 20/02/2024 à 09:36, Nicolas Vigier a écrit :

On Mon, 19 Feb 2024, Vincent Duvernet wrote:

Comment faire évoluer la situation sans faire bondir les admins réseaux ?
Voici mes 2 cts :
Un questionnaire en ligne anonymisé sauf en dernière partie afin de générer un
"scoring" avec le nom de l'entreprise par catégorie (accès distant, visiteurs,
utilisateurs, cloud...) ça pourrait faire sens. Ça permet de poser des questions
techniques pointues sans que le site ne fasse de rétention (donc faut un site de
confiance on est bien d'accord).
Est-ce que c'est suffisant ? probablement pas mais ça donnerait l'impression de
faire quelque chose un minimum qualitatif plutôt que de remplir un fichier
Excel à la con en me faisant perdre mon temps.

Et c'est comme cela que l'on se retrouve ensuite à devoir faire des
trucs completement idiots dans le seul but d'augmenter le "scoring".

Le questionnaire demande si toutes les machines font tourner un
antivirus homologué et à jour ? Afin de pouvoir répondre oui et augmenter
le "scoring", la machine sous Linux non connectée au réseau fera donc
desormais tourner une machine virtuelle Windows avec un antivirus, les
antivirus homologués ne fonctionnant que sous Windows (avant peut-etre
de la reinstaller completement sous Windows, pour simplifier), et
nous allons la connecter au réseau afin de pouvoir mettre à jour
l'antivirus.

Alors celle-là on l'a entendue tellement de fois qu'on se demande encore
comment on peut encore la tenter, mais ça rate jamais. C'est les lacs du
Connemara.

La machine sous Linux "non connectée au réseau" a une carte IPMI/iLO/etc.
qui... est connectée au réseau.

Une machine "non connectée au réseau" n'a évidement pas une carte
IPMI/iLO/etc connectée au réseau sinon ca ne serait pas une machine non
connectée au réseau.

Si c'est une machine virtuelle alors elle
est en plus connectée au réseau physique de l'hôte. Bref dans un périmètre
technique réseau, tout ce qui existe est _forcément_ connecté. Et ce qui
n'est pas connecté au réseau doit quand même être tenu à jour parce qu'il
reste toujours le risque de l'accès physique à la machine, donc il n'y a
vraiment pas moyen de prétendre un zéro réseau.

Ca dépend des cas. Mais peu importe, c'était un exemple fictif où un
antivirus n'apporte strictement rien. Si il y a un risque d'accès
physique à la machine c'est pas un antivirus qui va y changer quoi que
ce soit.

Ah je peux t'assurer que ce n'est pas du tout un "exemple fictif", c'est même du
quotidien sur le terrain à peu près partout. Dans le même genre on a le mythe de
l'isolation sur un vlan séparé, où le serveur continue à traiter du trafic...

L'antivirus apporte une protection antimalware, a minima vis-à-vis d'une base de
signatures connues, ce qui n'est pas "rien", surtout si la base est mise à jour très
régulièrement (chaque heure). Si la machine est branchée au réseau il apporte
également une gestion unifiée des alertes, ce qui n'est pas rien non plus, surtout
quand on connaît les temps de propagation (qui sont littéralement fulgurants quand
tous les serveurs partagent la même architecture matérielle, le même OS et le même
niveau de mise à jour, donc les mêmes vulnérabilités -- dès qu'un serveur est
compromis c'est tout l'étage de l'infra qui l'est dans les secondes qui suivent),
sans alerte il n'est pas envisageable de répondre à l'incident autrement que par un
communiqué de presse et une notification à la CNIL. L'antivirus participe à la
supervision au même titre que les sondes de température remontées par SNMP.

Il n'y a pas si longtemps les infections se faisaient majoritairement hors-ligne, par
des échanges de disquettes, même entre ami-es... Ce risque particulier n'a pas évolué.

Évidemment les technologies antivirales ne se valent pas toutes, et leurs diverses
implémentations non plus, et l'efficacité des équipes de reversers qui font les 3x8
en se relayant H24 à l'année pour tenir à jour les bases de signatures non plus. Ce
n'est pas une raison pour cracher dans la soupe...

Après effectivement j'ai déjà soulevé ici ou ailleurs (frsag ?) la question
de l'antivirus sous Linux, ça existe, y compris en zone UE (ESET par
exemple). Et il y a toujours l'ami ClamAV quand il faut vraiment une excuse
(ou bien quand on fait de l'OpenBSD :p).

Et sachant que plusieurs vulnérabilités critiques sur Clamav on deja
été annoncées dans le passé, cela rajoute de la surface d'attaque sur
la machine. Ce qui peut valoir le cout ou pas suivant le contexte.

Mais lol, cette mauvaise fois. :-)

L'antivirus te permet de couvrir un risque. Un scénario d'attaque est modélisable par
une chaîne de risques appliqués à des actifs, donc couper un risque particulier sur
la totalité des actifs permet de casser un certain nombre de chaînes de risques, et
c'est contrer autant de scénarii de risques à l'échelle globale de l'infra

Re: [FRnOG] [TECH] Les cabinets comptables & la cyber

2024-02-20 Par sujet Julien Escario

Bonjour,
Pardon de mettre mon grain de sel mais je crois comprendre le fond du
problème : les CAC appliquent la même logique de risque matériel
raisonnable au systèmes d'informations.

Hors, on peut considérer que dans le cas d'une machine métier ou d'un
bâtiment, un risque de casse ou d’incendie va se traduire par un arrêt
de prod plus ou moins long et donc une provision pour couvrir ce risque.

Dans le cas d'une brèche dans le S.I. d'une boite, c'est juste ... mort.
Si un vilain est rentré, il a copié toutes les données, chiffré
l'ensemble et/ou pété les sauvegardes, il n'y aura pas de reprise
d'activité.

En gros, c'est comme si on provisionnait 100% de la valorisation de la
boite, ca n'a aucun sens.

Alors oui, les données ca se reconstruit mais dans les exemples que j'ai
pu observer, la boite ne s'en remet jamais.

Donc en fait, c'est tout ou rien : soit le S.I. est inviolable (mouarf)
et on provisionne 0, soit le S.I. est troué et on provisionne 100%.

Et ça, les CAC, assureurs et autres risk-management ne veulent pas
l'entendre, ce que je peux comprendre.

Les gars, gérer un S.I. en 2024, c'est passer au travers d'un anneau
enflammé, en équilibre sur un fil, en monocycle, au dessus d'une fosse
remplie de crocos. Il va falloir accepter que ca demande des moyens
humains considérables.

Julien

Le 19/02/2024 à 23:02, Intermi Charles a écrit :

Je suis un ancien geek passé de l'autre côté de la rivière (plutôt côté audit
généraliste que CaC)... Ce qui me donne un aperçu de l'attendu.
Je doute que le CaC s'intéresse réellement au fond du problème. Son objetif
encore une fois est d'avoir ce qu'on apelle une assurance raisonnable. Peu
importe la solution mise en place: ce qui importe, c'est que l'ensemble de la
ligne, y compris les sous traitants de rang X, aient mis en place des mesures
offrants cette assurance.
De ce fait, bien que les suggestions d'aller plus au fond du sujet soient, de
notre point de vue de geek, intéressantes, car se recentrant sur la réalité de
la problématique, elles ne me semblent pas pertinentes pour répondre à la
question du CaC.
Donnons ce qui leur est nécessaire. Et ce qui est nécessaire, c'est ce que
l'entreprise ne peut ignorer en terme de bonne pratique, c'est à dire
aujourd'hui les recommandations de l'anssi (considérées tant dans le milieu de
l'audit que des CaC comme le Graal).
Si vos réponses permettent de couvrir l'inquiétude quant à leur bonne prise en
compte, vous n'aurez pas d'autre diligences. Et de mon expérience, il n'est pas
si compliqué d'y repondre sans divulguer votre topologie de réseau interne ni
les solutions en place.
Si vous avez régulièrement ce type de requêtes, ce qui peut être le cas si vous
êtes sous traitant sur de nombreuses entreprises cotées, vous pouvez utilement
répondre en mettant face à chaque recommandation anssi votre parade, et envoyer
ce doc générique comme reponse à toute sollicitation (et indépendemlent de la
demande des CaC, c'est un relativement bon exercice pour challenger votre mise
en place).
Il ne faut pas prendre les CAC pour plus bêtes qu'il ne le sont : ces questions qui
semblent tout droit sorties de google translator sont leur manière d'obtenir des réponses
concrètes de la part d'entités n'ayant pas forcément votre vision globale des choses, et
qui "rentre" dans leurs cases. Nombreuses restent les entreprises confiant leur
sécurité SI à Duchmole, ancien responsable du nettoyage de surface...
Je ne doute pas que cette position évoluera dans les dix/vingt années à venir,
selon l'équilibre des risques, tout comme les gros bureau de CaC ont désormais
des spécialistes sur les risques marchés, les risques images...
Que la force soit avec vous,
Charles Bonnet.

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Les cabinets comptables & la cyber

2024-02-20 Par sujet Nicolas Vigier

On Tue, 20 Feb 2024, Maxime DERCHE wrote:

> Bonjour Nicolas,
> 
> Le 20/02/2024 à 09:36, Nicolas Vigier a écrit :
> > On Mon, 19 Feb 2024, Vincent Duvernet wrote:
> > 
> > > Comment faire évoluer la situation sans faire bondir les admins réseaux ?
> > > Voici mes 2 cts :
> > > Un questionnaire en ligne anonymisé sauf en dernière partie afin de 
> > > générer un "scoring" avec le nom de l'entreprise par catégorie (accès 
> > > distant, visiteurs, utilisateurs, cloud...) ça pourrait faire sens. Ça 
> > > permet de poser des questions techniques pointues sans que le site ne 
> > > fasse de rétention (donc faut un site de confiance on est bien d'accord).
> > > Est-ce que c'est suffisant ? probablement pas mais ça donnerait 
> > > l'impression de faire quelque chose un minimum qualitatif plutôt que de 
> > > remplir un fichier Excel à la con en me faisant perdre mon temps.
> > 
> > Et c'est comme cela que l'on se retrouve ensuite à devoir faire des
> > trucs completement idiots dans le seul but d'augmenter le "scoring".
> > 
> > Le questionnaire demande si toutes les machines font tourner un
> > antivirus homologué et à jour ? Afin de pouvoir répondre oui et augmenter
> > le "scoring", la machine sous Linux non connectée au réseau fera donc
> > desormais tourner une machine virtuelle Windows avec un antivirus, les
> > antivirus homologués ne fonctionnant que sous Windows (avant peut-etre
> > de la reinstaller completement sous Windows, pour simplifier), et
> > nous allons la connecter au réseau afin de pouvoir mettre à jour
> > l'antivirus.
> 
> Alors celle-là on l'a entendue tellement de fois qu'on se demande encore
> comment on peut encore la tenter, mais ça rate jamais. C'est les lacs du
> Connemara.
> 
> La machine sous Linux "non connectée au réseau" a une carte IPMI/iLO/etc.
> qui... est connectée au réseau.

Une machine "non connectée au réseau" n'a évidement pas une carte
IPMI/iLO/etc connectée au réseau sinon ca ne serait pas une machine non
connectée au réseau.

> Si c'est une machine virtuelle alors elle
> est en plus connectée au réseau physique de l'hôte. Bref dans un périmètre
> technique réseau, tout ce qui existe est _forcément_ connecté. Et ce qui
> n'est pas connecté au réseau doit quand même être tenu à jour parce qu'il
> reste toujours le risque de l'accès physique à la machine, donc il n'y a
> vraiment pas moyen de prétendre un zéro réseau.

Ca dépend des cas. Mais peu importe, c'était un exemple fictif où un
antivirus n'apporte strictement rien. Si il y a un risque d'accès
physique à la machine c'est pas un antivirus qui va y changer quoi que
ce soit.

> Après effectivement j'ai déjà soulevé ici ou ailleurs (frsag ?) la question
> de l'antivirus sous Linux, ça existe, y compris en zone UE (ESET par
> exemple). Et il y a toujours l'ami ClamAV quand il faut vraiment une excuse
> (ou bien quand on fait de l'OpenBSD :p).

Et sachant que plusieurs vulnérabilités critiques sur Clamav on deja
été annoncées dans le passé, cela rajoute de la surface d'attaque sur
la machine. Ce qui peut valoir le cout ou pas suivant le contexte.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Les cabinets comptables & la cyber


Bonjour Laurent,

Le 20/02/2024 à 16:04, Laurent Barme a écrit :


Le 20/02/2024 à 15:00, Maxime DERCHE a écrit :
…
Ce sont ces décennies de culture toxique dans toute notre industrie qui nous ont 
mené là. Pour rappeler Churchill, je dirais que beaucoup ont refusé la sécurité et 
se retrouvent maintenant face à la loi et la sécurité.

Churchill aurait dit ça où et dans quelles circonstances ?


Au temps pour moi, en fait ce n'est pas lui : 
.


Personne ne va les plaindre. Et il n'y a pas les gentils d'un côté et les méchants 
de l'autre car les gentils sont déjà certifiés depuis belle lurette, il ne reste 
que les mauvais, c'est-à-dire ceux qui se sont fait pirater sans le dire et ceux 
qui sont obligés de l'avouer.


Ah, alors il suffit d'être certifié pour être protégé ? Et ceux qui ne sont pas 
certifiés se sont nécessairement fait pirater, qu'ils l'aient avoué ou non ?


Les bons n'ont jamais eu de mal à obtenir une certification, en fait beaucoup d'entre 
eux ont des standards bien au-dessus des normes, et ce depuis longtemps. Certains 
lisent d'ailleurs ces lignes.


La certification n'est jamais qu'un papier qui évite d'avoir à remplir d'autres 
papiers. Elle ne distingue pas les gens qui n'ont que de la sécurité de papier de 
celles et ceux qui prennent leur devoir moral au sérieux.


Et oui, les mauvais par contre, on les voit tous les jours aux informations. Parfois 
on l'apprend des mois voire des années plus tard.



Bien cordialement,
--
Maxime DERCHE
OpenPGP public key ID : 0xAE5264B5
OpenPGP public key fingerprint : 7221 4C4F D57C 456F 8E40 3257 47F7 29A6 AE52 
64B5




OpenPGP_signature.asc
Description: OpenPGP digital signature

Re: [FRnOG] [TECH] Les cabinets comptables & la cyber

2024-02-20 Par sujet Laurent Barme




Le 20/02/2024 à 15:00, Maxime DERCHE a écrit :
…
Ce sont ces décennies de culture toxique dans toute notre industrie qui nous 
ont mené là. Pour rappeler Churchill, je dirais que beaucoup ont refusé la 
sécurité et se retrouvent maintenant face à la loi et la sécurité.

Churchill aurait dit ça où et dans quelles circonstances ?

Personne ne va les plaindre. Et il n'y a pas les gentils d'un côté et les 
méchants de l'autre car les gentils sont déjà certifiés depuis belle lurette, 
il ne reste que les mauvais, c'est-à-dire ceux qui se sont fait pirater sans 
le dire et ceux qui sont obligés de l'avouer.


Ah, alors il suffit d'être certifié pour être protégé ? Et ceux qui ne sont pas 
certifiés se sont nécessairement fait pirater, qu'ils l'aient avoué ou non ?




---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Les cabinets comptables & la cyber


Bonjour Nicolas,

Le 20/02/2024 à 09:36, Nicolas Vigier a écrit :

On Mon, 19 Feb 2024, Vincent Duvernet wrote:


Comment faire évoluer la situation sans faire bondir les admins réseaux ?
Voici mes 2 cts :
Un questionnaire en ligne anonymisé sauf en dernière partie afin de générer un 
"scoring" avec le nom de l'entreprise par catégorie (accès distant, visiteurs, 
utilisateurs, cloud...) ça pourrait faire sens. Ça permet de poser des questions 
techniques pointues sans que le site ne fasse de rétention (donc faut un site de 
confiance on est bien d'accord).
Est-ce que c'est suffisant ? probablement pas mais ça donnerait l'impression de 
faire quelque chose un minimum qualitatif plutôt que de remplir un fichier 
Excel à la con en me faisant perdre mon temps.


Et c'est comme cela que l'on se retrouve ensuite à devoir faire des
trucs completement idiots dans le seul but d'augmenter le "scoring".

Le questionnaire demande si toutes les machines font tourner un
antivirus homologué et à jour ? Afin de pouvoir répondre oui et augmenter
le "scoring", la machine sous Linux non connectée au réseau fera donc
desormais tourner une machine virtuelle Windows avec un antivirus, les
antivirus homologués ne fonctionnant que sous Windows (avant peut-etre
de la reinstaller completement sous Windows, pour simplifier), et
nous allons la connecter au réseau afin de pouvoir mettre à jour
l'antivirus.


Alors celle-là on l'a entendue tellement de fois qu'on se demande encore comment on 
peut encore la tenter, mais ça rate jamais. C'est les lacs du Connemara.


La machine sous Linux "non connectée au réseau" a une carte IPMI/iLO/etc. qui... est 
connectée au réseau. Si c'est une machine virtuelle alors elle est en plus connectée 
au réseau physique de l'hôte. Bref dans un périmètre technique réseau, tout ce qui 
existe est _forcément_ connecté. Et ce qui n'est pas connecté au réseau doit quand 
même être tenu à jour parce qu'il reste toujours le risque de l'accès physique à la 
machine, donc il n'y a vraiment pas moyen de prétendre un zéro réseau.


Après effectivement j'ai déjà soulevé ici ou ailleurs (frsag ?) la question de 
l'antivirus sous Linux, ça existe, y compris en zone UE (ESET par exemple). Et il y a 
toujours l'ami ClamAV quand il faut vraiment une excuse (ou bien quand on fait de 
l'OpenBSD :p).


Note qu'en prévoyant un plan d'assurance qualité/sécurité en amont, on évite non 
seulement de se taper un questionnaire ISO 27001 par an et par client, mais en plus 
on peut se permettre de jouer avec les règles : il devient facile d'expliquer qu'on a 
choisi de ne pas répondre à telle exigence parce qu'en fait on a couvert le risque 
autrement.



Bien cordialement,
--
Maxime DERCHE
OpenPGP public key ID : 0xAE5264B5
OpenPGP public key fingerprint : 7221 4C4F D57C 456F 8E40 3257 47F7 29A6 AE52 
64B5




OpenPGP_signature.asc
Description: OpenPGP digital signature

Re: [FRnOG] [TECH] Les cabinets comptables & la cyber


Bonjour David,

Le 20/02/2024 à 10:01, David Ponzone a écrit :

Encore une fois, on va voir se pointer un raz de marée de réglementations s’abattre 
sur l’entreprise lambda, alors qu’on peut se demander si Viamedis avait eu le moindre 
audit avant de se faire trouer et piquer 33M de numéros de sécu (ils viennent 
seulement de mettre en place une authentification 2FA sur leur portail en utilisant 
la brique b2clogin.com  de Azure).

Et dans le questionnaire, le CAC interroge les RH sur le process départ et la 
gestion des conflits?
Parce qu’il me semble que la majorité des fuites viennent de l’intérieur.

David


En fait l'argumentation victimaire "il y a pire ailleurs" fait partie du problème : 
pourquoi ne pas simplement accepter qu'il y a un enjeu *moral* à protéger les 
données, et en conclure que qui veut la fin veut les moyens ?


Ce sont ces décennies de culture toxique dans toute notre industrie qui nous ont mené 
là. Pour rappeler Churchill, je dirais que beaucoup ont refusé la sécurité et se 
retrouvent maintenant face à la loi et la sécurité. Personne ne va les plaindre. Et 
il n'y a pas les gentils d'un côté et les méchants de l'autre car les gentils sont 
déjà certifiés depuis belle lurette, il ne reste que les mauvais, c'est-à-dire ceux 
qui se sont fait pirater sans le dire et ceux qui sont obligés de l'avouer.


Aujourd'hui le Code de la Cybersécurité fait plus de 1 100 pages (et encore je n'ai 
que la 1ere édition, de 2022) et oui, il s'applique à tous nos métiers, de l'admin 
sys au dev ouaibe node.js en passant par tous les métiers qui utilisent le système 
d'information, dont les Ressources Humaines (je hais cet oxymore).


Note que les questionnaires de gestion des tierces parties sont généralement calqués 
sur le framework offert par ISO 27001/27002 donc oui, les questions relatives à la 
prise de poste, au changement de poste et à la sortie de l'organisation sont ou 
devraient être inclues.


(Note aussi que la norme ISO 27001 figure au programme du Master Ressources Humaines 
depuis une dizaine d'années maintenant. Ce n'est évidemment pas un point majeur du 
programme enseigné mais cela flèche assez clairement le sens de l'histoire.)



Bien cordialement,
--
Maxime DERCHE
OpenPGP public key ID : 0xAE5264B5
OpenPGP public key fingerprint : 7221 4C4F D57C 456F 8E40 3257 47F7 29A6 AE52 
64B5




OpenPGP_signature.asc
Description: OpenPGP digital signature

Re: [FRnOG] [TECH] Les cabinets comptables & la cyber

2024-02-20 Par sujet David Ponzone

Encore une fois, on va voir se pointer un raz de marée de réglementations 
s’abattre sur l’entreprise lambda, alors qu’on peut se demander si Viamedis 
avait eu le moindre audit avant de se faire trouer et piquer 33M de numéros de 
sécu (ils viennent seulement de mettre en place une authentification 2FA sur 
leur portail en utilisant la brique b2clogin.com  de 
Azure).

Et dans le questionnaire, le CAC interroge les RH sur le process départ et la 
gestion des conflits?
Parce qu’il me semble que la majorité des fuites viennent de l’intérieur.

David

> Le 20 févr. 2024 à 09:51, Maxime DERCHE  a écrit :
> 
> Le 19/02/2024 à 17:04, Vincent Duvernet a écrit :
>> Bonjour,
>> J'avais déjà eu le cas il y a quelques temps avec un groupe Japonais mais 
>> là, ça fait 2 clients FR avec la même approche (visiblement par 2 cabinets 
>> différents).
>> Leur commissaire aux comptes demande une évaluation des risques cyber'.
>> On se tape des questions plus ou moins débiles / mal traduites du type :
>> - Une solution antivirus est-elle installée sur chaque poste de l'entreprise 
>> ? Est-elle mise à jour régulièrement ?
>> - La porte vers internet a-t-elle un pare-feu configuré ? Quels protocoles 
>> sont filtrés/interdits ? (ICMP, TCP, UDP,) [éviter nmap, SSH ou RDP .]
>> Et d'autres plus sensibles :
>> - Quels sont les sous-réseaux, leur IP et leur fonction ?
>> - Quels sont les outils (logiciels) mis en place pour la connexion à 
>> distance pour le télétravail ?
>> Là franchement, ça me hérisse le poil.
>> Est-ce que c'est juste moi qui suis trop old school pour ne pas vouloir 
>> divulguer des informations à un tiers de "semi-confiance" potentiellement 
>> exploitables pour une attaque ?
>> Quels sont vos retours sur la question ?
>> Merci,
>> Vincent
> 
> Ça devient un classique oui, et ça va se durcir : les métiers du numérique 
> sont devenus des métiers réglementés.
> 
> Le plus simple :
>  * faire signer un plan d'assurance qualité/sécurité en annexe de chaque 
> contrat ;
>  * passer la certification ISO 27001 voire SOC 2 type 2.
> 
> Le plan d'assurance qualité/sécurité te permet de répondre à l'avance aux 
> questionnaires, la certification montre qu'un tiers de confiance a déjà posé 
> les questions.
> 
> Concernant le point que tu lèves, les cabinets d'expertise comptable et de 
> commissariat aux comptes n'ont pas intérêt à jouer avec le feu. Évidemment le 
> cas des cabinets d'audit style "big 4" est différent, d'autant plus qu'ils 
> sont soumis au Patriot Act.
> 
> 
> Bien cordialement,
> -- 
> Maxime DERCHE
> OpenPGP public key ID : 0xAE5264B5
> OpenPGP public key fingerprint : 7221 4C4F D57C 456F 8E40 3257 47F7 29A6 AE52 
> 64B5
> 
> 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Les cabinets comptables & la cyber


Le 19/02/2024 à 17:04, Vincent Duvernet a écrit :

Bonjour,

J'avais déjà eu le cas il y a quelques temps avec un groupe Japonais mais là, 
ça fait 2 clients FR avec la même approche (visiblement par 2 cabinets 
différents).
Leur commissaire aux comptes demande une évaluation des risques cyber'.

On se tape des questions plus ou moins débiles / mal traduites du type :

- Une solution antivirus est-elle installée sur chaque poste de l'entreprise ? 
Est-elle mise à jour régulièrement ?
- La porte vers internet a-t-elle un pare-feu configuré ? Quels protocoles sont 
filtrés/interdits ? (ICMP, TCP, UDP,) [éviter nmap, SSH ou RDP .]

Et d'autres plus sensibles :
- Quels sont les sous-réseaux, leur IP et leur fonction ?
- Quels sont les outils (logiciels) mis en place pour la connexion à distance 
pour le télétravail ?

Là franchement, ça me hérisse le poil.
Est-ce que c'est juste moi qui suis trop old school pour ne pas vouloir divulguer des 
informations à un tiers de "semi-confiance" potentiellement exploitables pour 
une attaque ?


Quels sont vos retours sur la question ?

Merci,

Vincent


Ça devient un classique oui, et ça va se durcir : les métiers du numérique sont 
devenus des métiers réglementés.


Le plus simple :
  * faire signer un plan d'assurance qualité/sécurité en annexe de chaque 
contrat ;
  * passer la certification ISO 27001 voire SOC 2 type 2.

Le plan d'assurance qualité/sécurité te permet de répondre à l'avance aux 
questionnaires, la certification montre qu'un tiers de confiance a déjà posé les 
questions.


Concernant le point que tu lèves, les cabinets d'expertise comptable et de 
commissariat aux comptes n'ont pas intérêt à jouer avec le feu. Évidemment le cas des 
cabinets d'audit style "big 4" est différent, d'autant plus qu'ils sont soumis au 
Patriot Act.



Bien cordialement,
--
Maxime DERCHE
OpenPGP public key ID : 0xAE5264B5
OpenPGP public key fingerprint : 7221 4C4F D57C 456F 8E40 3257 47F7 29A6 AE52 
64B5




OpenPGP_signature.asc
Description: OpenPGP digital signature

Re: [FRnOG] [TECH] Les cabinets comptables & la cyber

2024-02-20 Par sujet Nicolas Vigier

On Mon, 19 Feb 2024, Vincent Duvernet wrote:

> Comment faire évoluer la situation sans faire bondir les admins réseaux ?
> Voici mes 2 cts :
> Un questionnaire en ligne anonymisé sauf en dernière partie afin de générer 
> un "scoring" avec le nom de l'entreprise par catégorie (accès distant, 
> visiteurs, utilisateurs, cloud...) ça pourrait faire sens. Ça permet de poser 
> des questions techniques pointues sans que le site ne fasse de rétention 
> (donc faut un site de confiance on est bien d'accord).
> Est-ce que c'est suffisant ? probablement pas mais ça donnerait l'impression 
> de faire quelque chose un minimum qualitatif plutôt que de remplir un fichier 
> Excel à la con en me faisant perdre mon temps.

Et c'est comme cela que l'on se retrouve ensuite à devoir faire des
trucs completement idiots dans le seul but d'augmenter le "scoring".

Le questionnaire demande si toutes les machines font tourner un
antivirus homologué et à jour ? Afin de pouvoir répondre oui et augmenter
le "scoring", la machine sous Linux non connectée au réseau fera donc
desormais tourner une machine virtuelle Windows avec un antivirus, les
antivirus homologués ne fonctionnant que sous Windows (avant peut-etre
de la reinstaller completement sous Windows, pour simplifier), et
nous allons la connecter au réseau afin de pouvoir mettre à jour
l'antivirus.

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Les cabinets comptables & la cyber

2024-02-20 Par sujet Toussaint OTTAVI





Le 20/02/2024 à 08:51, Laurent Barme a écrit :
C'est d'ailleurs à la base du problème ; les recommandations de l'ANSI 
ne sont pas universellement pertinentes ou applicables.


Cela semble être une généralité dans les cabinets d'audit ou de conseil 
: ils sont tous très prompts à relever "ce qui ne va pas" ou "ce qu'il 
ne faut pas faire'; mais quand on leur demande "comment il faudrait 
faire" pour traiter un problème particulier, là, il n'y a plus personne :-(


Moralité : faites du conseil, pas de l'ingénierie ni de l'exploitation :-D


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Les cabinets comptables & la cyber




Le 19/02/2024 à 23:02, Intermi Charles a écrit :
…

  les recommandations de l'anssi (considérées tant dans le milieu de l'audit 
que des CaC comme le Graal).

C'est d'ailleurs à la base du problème ; les recommandations de l'ANSI ne sont 
pas universellement pertinentes ou applicables. Un exemple parmi d'autres, la 
R10 qui dit de bloquer tout accès à Internet depuis ou vers le poste 
d'administration… Si, si, c'est dans la version 3.0 en date du 11/05/21, celle 
disponible aujourd'hui en téléchargement sur le site de l'ANSI !



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Les cabinets comptables & la cyber




Le 19/02/2024 à 22:22, Bertrand FRUCHET via frnog a écrit :



La mission du CAC est annuelle, le risque sera réévalué l'année suivante mais 
si vous l'avez occulté, vous participez sans le savoir à l'absence de 
protection car il n'y aura pas de thésaurisation interne à l'entreprise pour 
pallier à ce risque pendant 1 an.


La mission de l'administration informatique est quotidienne. Les attaques se 
déroulent 24/24 et 7/7 ; le risque peut devoir être réévalué et les dispositifs 
de protection adaptés tous les jours.


Je comprends les préoccupations du CAC mais cela ne justifie pas de demander la 
communication de détails tels que le nom de l'antivirus ou les plans d'adressage 
des sous-réseaux internes. D'autant moins que ce serait contre-productif car la 
divulgation d'informations sensibles augmente e risque considéré.



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Les cabinets comptables & la cyber

2024-02-19 Par sujet Intermi Charles

Je suis un ancien geek passé de l'autre côté de la rivière (plutôt côté audit 
généraliste que CaC)... Ce qui me donne un aperçu de l'attendu.
Je doute que le CaC s'intéresse réellement au fond du problème. Son objetif 
encore une fois est d'avoir ce qu'on apelle une assurance raisonnable. Peu 
importe la solution mise en place: ce qui importe, c'est que l'ensemble de la 
ligne, y compris les sous traitants de rang X, aient mis en place des mesures 
offrants cette assurance.
De ce fait, bien que les suggestions d'aller plus au fond du sujet soient, de 
notre point de vue de geek, intéressantes, car se recentrant sur la réalité de 
la problématique, elles ne me semblent pas pertinentes pour répondre à la 
question du CaC.
Donnons ce qui leur est nécessaire. Et ce qui est nécessaire, c'est ce que 
l'entreprise ne peut ignorer en terme de bonne pratique, c'est à dire 
aujourd'hui les recommandations de l'anssi (considérées tant dans le milieu de 
l'audit que des CaC comme le Graal).
Si vos réponses permettent de couvrir l'inquiétude quant à leur bonne prise en 
compte, vous n'aurez pas d'autre diligences. Et de mon expérience, il n'est pas 
si compliqué d'y repondre sans divulguer votre topologie de réseau interne ni 
les solutions en place.
Si vous avez régulièrement ce type de requêtes, ce qui peut être le cas si vous 
êtes sous traitant sur de nombreuses entreprises cotées, vous pouvez utilement 
répondre en mettant face à chaque recommandation anssi votre parade, et envoyer 
ce doc générique comme reponse à toute sollicitation (et indépendemlent de la 
demande des CaC, c'est un relativement bon exercice pour challenger votre mise 
en place).
Il ne faut pas prendre les CAC pour plus bêtes qu'il ne le sont : ces questions 
qui semblent tout droit sorties de google translator sont leur manière 
d'obtenir des réponses concrètes de la part d'entités n'ayant pas forcément 
votre vision globale des choses, et qui "rentre" dans leurs cases. Nombreuses 
restent les entreprises confiant leur sécurité SI à Duchmole, ancien 
responsable du nettoyage de surface...
Je ne doute pas que cette position évoluera dans les dix/vingt années à venir, 
selon l'équilibre des risques, tout comme les gros bureau de CaC ont désormais 
des spécialistes sur les risques marchés, les risques images...
Que la force soit avec vous,
Charles Bonnet.

19 févr. 2024 17:50:27 Vincent Duvernet :

> Bonjour,
> 
> Merci pour cette réponse de l'autre côté de la rivière, c'est très 
> intéressant et instructif.
> Je ne savais pas qu'il y avait des non geek par ici ^^.
> 
> Je comprends mieux l'objet de leur demande.
> 
> Et au final, comme prévu, une partie des informations ne sont pas divulguées 
> et le reste est du coup assez vide de sens.
> 
> Comment faire évoluer la situation sans faire bondir les admins réseaux ?
> Voici mes 2 cts :
> Un questionnaire en ligne anonymisé sauf en dernière partie afin de générer 
> un "scoring" avec le nom de l'entreprise par catégorie (accès distant, 
> visiteurs, utilisateurs, cloud...) ça pourrait faire sens. Ça permet de poser 
> des questions techniques pointues sans que le site ne fasse de rétention 
> (donc faut un site de confiance on est bien d'accord).
> Est-ce que c'est suffisant ? probablement pas mais ça donnerait l'impression 
> de faire quelque chose un minimum qualitatif plutôt que de remplir un fichier 
> Excel à la con en me faisant perdre mon temps.
> 
> Vincent
> 
> 
> -Message d'origine-
> De : frnog-requ...@frnog.org  De la part de Bertrand 
> FRUCHET via frnog
> Envoyé : lundi 19 février 2024 17:42
> À : frnog@frnog.org
> Objet : Re: [FRnOG] [TECH] Les cabinets comptables & la cyber
> 
> Bonjour la liste,
> 
> Comme nous sommes une filiale d'un cabinet d'expertise comptable, je vous 
> apporte notre vision.
> 
> La mission de commissariat aux comptes (dévolue aux experts-comptables dûment 
> accrédités par le conseil de l'ordre des experts-comptables) doit déterminer 
> les risques encourus par l'entreprise. Le risque cyber fait partie de la 
> mission dans son assertion économique : quel risque financier l'entreprise 
> auditée prend-elle eu égard à son plan de protection et de continuité 
> informatique.
> 
> Cette demande n'est absolument pas technique (et c'est bien le problème). 
> Comment un expert-comptable, qui n'a pas ou très peu de compétences 
> numériques professionnelles, peut-il juger du niveau de risque encouru par 
> son client ?
> 
> De ce fait, on en arrive à des questions idiotes du genre quel est le nom de 
> votre antivirus, avez-vous un pare-feu, faites-vous des sauvegard

Re: [FRnOG] [TECH] Les cabinets comptables & la cyber

2024-02-19 Par sujet Bertrand FRUCHET via frnog


Merci charles pour e recentrage du sujet.

Par ma propre expérience, en tant qu'auditeur pour le compte d'un CAC, 
ce qui est attendu est l'identification d'un risque numérique pouvant 
porter préjudice à l'entreprise.


si vous êtes sollicité pour fournir des informations, elles doivent 
permettre au Commissaire aux comptes de déterminer si le risque est 
avéré, envisageable, sans objet, insignifiant, etc mais vous ne 
devez pas occulter les possibles manquements.


Il vaut mieux surestimer un risque car votre expertise technique vous 
amène à douter plutôt que de minimiser ce même risque parce que vous ne 
voulez pas annoncer que vous n'avez pas engager telle ou telle mesure ou 
solution technique.


La mission du CAC est annuelle, le risque sera réévalué l'année suivante 
mais si vous l'avez occulté, vous participez sans le savoir à l'absence 
de protection car il n'y aura pas de thésaurisation interne à 
l'entreprise pour pallier à ce risque pendant 1 an.


Le rôle de conseiller technique du CAC est ingrat mais je commence 
toujours par dire qu'il s'agit d'estimer si il faut mettre en place une 
ligne budgétaire pour éviter la catastrophe Et nous savons tous à 
quel point certains de nos clients sont pingres en matière de risque non 
encore vécu. Croyez-moi, lorsque le risque se transforme en catastrophe, 
ils changent de vision.


Bertrand

Le 19/02/2024 à 20:55, Intermi Charles a écrit :

Je crois que ce qu'est la mission du CAC a été un peu perdue dans ces 
échanges...

Il faut rapeller que l'entreprise est son client. Que ce soit en direct, ou 
envers ses actionnaires/parties prenantes. Cette entreprise lui confie la 
mission de s'assurer, avec son regard externe et impartial, de la conformité 
des actions réalisées, notamment en terme de couverture des risques.
C'est de ça dont on parle ici: le CAC posera les questions lui permettant de donner une 
"assurance raisonnable" de la bonne gestion de ce risque, au dirigeant, aux 
actionnaires (ou autres parties prenantes, dont toujours l'État, ne serait ce que pour 
des questions de préservation de l'emploi ;) ).
Face à un soucis, ce qui sera questionné sont les moyens mis en oeuvre pour 
parer au risque: donc avoir un antivirus, parefeu, solution de sauvegarde, des 
séparations de reseaux,... Bref, pas compliqué il suffit de reprendre les todo 
list de l'anssi à ce sujet. La qualité de la mise en place importe relativement 
peu, puisqu'on ne parle pas d'obligation de résultat.
Dans vos réponses, soyez donc juste assez precis pour qu'il n'y ait pas de 
doute que ces préconisations soient mises en place. Nul besoin de specifier ce 
qu'il y a dedans... Ex: reseau, juste confirmer que les sous reseaux sont bien 
séparées. Antivirus, préciser qu'il y en a un, et idéalement si il a fait 
l'objet d'une certification. Ce genre de chose suffit en général largement, 
tant pour donner cette assurance raisonnable au CAC que pour en effet éviter de 
trop faciliter le travail d'un éventuel malveillant.

Apres je rejoins des commentaires précédents : un malveillant avec toutes les 
données du CAC a plus intérêt à s'attaquer à la partie business/finance...

Charles Bonnet.

19 févr. 2024 19:30:01 LPR du CTV :


Bonsoir,

Ce mail de retour du 19/02/2024 notifie en particulier:
(cf. mail ID ):

Moi ça me questionne que l'on place sa confiance dans un tiers pour lui
refiler une vision financière aussi complète que celle que peut avoir un
expert-comptable sur la liste des fournisseurs et des clients d'une structure
et en même temps paranoïer sur le nom de l'antivirus utilisé dans la boite
sans se dire à un moment qu'il y a comme un petit hiatus.
(sic)

Moi ça me questionne aussi sur du pompage de données.

Avec attentions,
--
Michel Soleilhavoup   ·   Guichet terminal

LPR du CTV


---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/




---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Les cabinets comptables & la cyber

2024-02-19 Par sujet Spyou



Le 19/02/2024 à 17:04, Vincent Duvernet a écrit :

Est-ce que c'est juste moi qui suis trop old school pour ne pas vouloir divulguer des 
informations à un tiers de "semi-confiance" potentiellement exploitables pour 
une attaque ?



Si le contrat signé avec le client ne comporte aucune mention obligeant 
à ce genre de communication (et avec à minima un NDA si c'est le cas), 
tri vertical direct de la demande.



Halte à la technostructure écrasante ! :p



OpenPGP_signature.asc
Description: OpenPGP digital signature

Re: [FRnOG] [TECH] Les cabinets comptables & la cyber




Le 19/02/2024 à 17:04, Vincent Duvernet a écrit :

Bonjour,

J'avais déjà eu le cas il y a quelques temps avec un groupe Japonais mais là, 
ça fait 2 clients FR avec la même approche (visiblement par 2 cabinets 
différents).
Leur commissaire aux comptes demande une évaluation des risques cyber'.

On se tape des questions plus ou moins débiles / mal traduites du type :

- Une solution antivirus est-elle installée sur chaque poste de l'entreprise ? 
Est-elle mise à jour régulièrement ?
- La porte vers internet a-t-elle un pare-feu configuré ? Quels protocoles sont 
filtrés/interdits ? (ICMP, TCP, UDP,) [éviter nmap, SSH ou RDP .]

Et d'autres plus sensibles :
- Quels sont les sous-réseaux, leur IP et leur fonction ?
- Quels sont les outils (logiciels) mis en place pour la connexion à distance 
pour le télétravail ?

Là franchement, ça me hérisse le poil.
Est-ce que c'est juste moi qui suis trop old school pour ne pas vouloir divulguer des 
informations à un tiers de "semi-confiance" potentiellement exploitables pour 
une attaque ?
Pas du tout et tu as bien raison de ne pas vouloir divulguer des informations 
sensibles !


Quels sont vos retours sur la question ?

Merci,

Vincent


---
Liste de diffusion du FRnOG
http://www.frnog.org/




---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Les cabinets comptables & la cyber