Le député Tardy, par question écrite, demanda l'an passé aux différents ministères de notre république française (oui il n'y a pas que des français dans le coin) quelle était leur politique de sécurité informatique et quel en était le budget. Sur son blog il donne les liens pour consulter les réponses des divers ministères et il publie celle de Bercy.
On y apprend que, si je ne me trompe pas, que le haut fonctionnaire de défense et de sécurité « anime la politique de SSI et en contrôle l'application. Cette politique est donnée par le RGS et les DSI sont accompagnées par une AQSSI pour en assurer la bonne application. L'AQSSI ne fait pas que vérifier ce que font les DSI, elle propose également des PSSI. Ces PSSI doivent être rédigées dans le but de respecter les engagements prévu par l'ANSSI. À un niveau plus pratique, les logiciels sont testés, ils sont également protégés par un antivirus et la messagerie est décontaminée. Le réseau est équipé d'un pare-feu, surveillé aussi bien en interne que ce qui peut venir de l'extérieur et filtré.
Pour limiter les frais, le ministère s'appuie sur l'IGC ministérielle qui permet d'utiliser les logiciels de sécurisation référencés par la DGME et l'ANSSI. Pour que la chaîne de confiance ne soit pas rompue, des certificats électroniques sont mis en place sous l'égide de l'IGC-A qui est gérée par l'ANSSI.
Le ministère fait également appel à des prestataires pour s'assurer que tout va pour le mieux ou pour améliorer ce qui ne va pas et le budget alloué en 2009 était d'environ 7,5 millions d'euros.
De tout ça, on peut se demander comment peuvent avancer les démarches avec un tel saucissonnage des responsabilités et la multitudes d'entités émettrice d'ordres. Et pour finir, le jeu est de trouver à quoi correspondent les différentes abréviations.
# Glossaire
Posté par windu.2b . Évalué à 10.
Si avec tout ça, vous n'avez toujours pas compris qui fait quoi et comment, c'est à désespérer...
[^] # Re: Glossaire
Posté par DLFP est mort . Évalué à 10.
OMG
WTF
BBQ
DLFP >> PCInpact > Numerama >> LinuxFr.org
[^] # Re: Glossaire
Posté par zebra3 . Évalué à 8.
LOL
Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur
# quelle bande de comique
Posté par Albert_ . Évalué à 3.
Tres amusant vu la nouvelle du piratage de Bercy annonce la semaine derniere...
Ils ont depense 7.5 millions d'euros pour ... rien!
[^] # Re: quelle bande de comique
Posté par Grunt . Évalué à 10.
Si, ça a servi à quelque chose: sans ces 7.5 millions d'euros, personne ne se serait rendu compte du piratage. :P
THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.
[^] # Re: quelle bande de comique
Posté par téthis . Évalué à 10.
Ce n'était pas un piratage, c'était un audit. L'information s'est perdue dans le labyrinthe de l'organigramme interne, puis dans la hiérarchie organique, avant de rester en souffrance sur le bureau d'un fonctionnaire muté à mi-temps dans un service en sous-effectif et en manque de compétence depuis qu'André, 63 ans, colonne vertébrale du service, a pris sa retraite par surprise.
The capacity of the human mind for swallowing nonsense and spewing it forth in violent and repressive action has never yet been plumbed. -- Robert A. Heinlein
[^] # Re: quelle bande de comique
Posté par kowalsky . Évalué à -1.
Dans le public, la retraite à 63 ans ?
/o\
=====> [ ]
[^] # Re: quelle bande de comique
Posté par neerd . Évalué à 9.
Il n'y a pas eu de piratage en fait, simplement le sous traitant qui devait réaliser l'audit à sous traiter à un autre sous traitant qui a lui même sous traiter à un sous traitant qui sous traite ses audits en Chine ... voilà c'est tout, c'est simple
[^] # Re: quelle bande de comique
Posté par bubar🦥 (site web personnel) . Évalué à 5.
Et il est en arrivé à pieds ?
[^] # Re: quelle bande de comique
Posté par Frédéric Perrin (site web personnel) . Évalué à 5.
Qu'est-ce qui te fait dire que l'architecture mise en place n'a déjà repoussé dix attaques par jour depuis sa mise en place ? Le lectorat de DLFP devrait pourtant savoir que les seuls systèmes informatiques dont on parle sont ceux qui tombent en panne, même (surtout !) lorsque c'est exceptionnel.
[^] # Re: quelle bande de comique
Posté par Alex . Évalué à 2.
Résumé de l'attaque
En fait la mise en place du dsi interministerielle n'est pas encore complètement en place. Néanmoins on peut s'inquiéter qu'une attaque finalement basique passe si facilement
[^] # Re: quelle bande de comique
Posté par Ellendhel (site web personnel) . Évalué à 2.
Attaque basique, mais ciblée c'est ce qui fait la différence.
Si l'attaquant à pris le soin de bien se renseigner auparavant (et on peut raisonnablement penser que c'est le cas) alors il a de bonnes chances de préparer une attaque profilée pour passer sous le seuil de détection.
Cela exploite des failles humaines de manière intelligente (message en provenance d'un "service voisin" donc n'éveillant pas la méfiance) et une faille technique non connue. Face à cela, il y a malheureusement peu de parades.
Après, il faut être clair : si les personnes disposent de droits d'administration sur leur machine, ce qui permet au cheval de Troie de s'exécuter complètement, c'est une faute grave.
Quelques renseignements complémentaires, si les liens ne sont pas déjà passés :
http://sid.rstack.org/blog/index.php/462-du-piratage-de-bercy
http://www.ssi.gouv.fr/site_article320.html
[^] # Re: quelle bande de comique
Posté par Alex . Évalué à 5.
c'est bien ça l'inquiétant connaitre l'os cible, que les comptes sont en admin, que les mails ne sont pas signés, etc... ça fait beaucoup d'infos un kiddies peut faire ça avec set et metasploit
# pdf
Posté par Ramón Perez (site web personnel) . Évalué à 2.
Il parait que le virus était contenu dans un pdf :
http://tempsreel.nouvelobs.com/actualite/societe/20110307.OBS9242/bercy-victime-d-un-pdf-piege.html
Donc le coupable serait Acrobat Reader. Je ne comprends pas pourquoi cet outil bloated est encore utilisé...
[^] # Re: pdf
Posté par DLFP est mort . Évalué à 3.
Il est souvent préinstallé.
DLFP >> PCInpact > Numerama >> LinuxFr.org
# Mouais ....
Posté par root_rtfm . Évalué à 6.
Les personnes qui ont le malheur de croiser Hadopi devrai répondre la même chose ;-)
Pour moi, avec le piratage de Bercy, nous sommes face à un défaut de sécurisation flagrant de leur accès internet et par conséquent, ils devraient être poursuivi par la justice pour cette infraction comme toute personne morale.
Par contre, vue le nombre de sigle, je comprends mieux maintenant pourquoi mes impôts augmentent. Ils ne leur serait pas possible de faire comme dans toute société sérieuse avec un DSI et des audits externe ? .....
[^] # Re: Mouais ....
Posté par teoB . Évalué à 6.
Et les condamner à s'auto-payer une amende.
[^] # Re: Mouais ....
Posté par Nitchevo (site web personnel) . Évalué à 6.
Je ne pense pas que l'objectif de l'attaque était de contraindre les ordinateurs du Minefi à télécharger le dernier album de Madame Sarkozy. D'ailleurs une telle violence n'est même pas concevable.
[^] # Re: Mouais ....
Posté par Philip Marlowe . Évalué à 2.
Ça fait plusieurs fois que je vois Minefi pour Ministère des finances. Orwellien à fond, pas dans le sens influencé par les idées de George Orwell mais plutôt comme faisant partie des abominations imaginées par George Orwell.
Y a-t-il quelqu'un qui peut indiquer l'origine de cet usage ?
[^] # Re: Mouais ....
Posté par neerd . Évalué à 2.
je ne connais pas l'origine mais dans la même veine j'entends souvent parler du minedef pour la Défense
[^] # Re: Mouais ....
Posté par Olivier Serve (site web personnel) . Évalué à 1.
Comme toujours quand on doit utiliser un terme long de façon répétée, on finit par utiliser un équivalent plus court.
C'est ainsi qu'on parle de "moto" au lieu de "motocycle".
La principale force d'évolution d'une langue est la paresse de ses utilisateurs.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.