Journal La sécurité informatique version ministère des finances

Posté par . Licence CC by-sa
20
10
mar.
2011

Le député Tardy, par question écrite, demanda l'an passé aux différents ministères de notre république française (oui il n'y a pas que des français dans le coin) quelle était leur politique de sécurité informatique et quel en était le budget. Sur son blog il donne les liens pour consulter les réponses des divers ministères et il publie celle de Bercy.

On y apprend que, si je ne me trompe pas, que le haut fonctionnaire de défense et de sécurité « anime la politique de SSI et en contrôle l'application. Cette politique est donnée par le RGS et les DSI sont accompagnées par une AQSSI pour en assurer la bonne application. L'AQSSI ne fait pas que vérifier ce que font les DSI, elle propose également des PSSI. Ces PSSI doivent être rédigées dans le but de respecter les engagements prévu par l'ANSSI. À un niveau plus pratique, les logiciels sont testés, ils sont également protégés par un antivirus et la messagerie est décontaminée. Le réseau est équipé d'un pare-feu, surveillé aussi bien en interne que ce qui peut venir de l'extérieur et filtré.
Pour limiter les frais, le ministère s'appuie sur l'IGC ministérielle qui permet d'utiliser les logiciels de sécurisation référencés par la DGME et l'ANSSI. Pour que la chaîne de confiance ne soit pas rompue, des certificats électroniques sont mis en place sous l'égide de l'IGC-A qui est gérée par l'ANSSI.

Le ministère fait également appel à des prestataires pour s'assurer que tout va pour le mieux ou pour améliorer ce qui ne va pas et le budget alloué en 2009 était d'environ 7,5 millions d'euros.

De tout ça, on peut se demander comment peuvent avancer les démarches avec un tel saucissonnage des responsabilités et la multitudes d'entités émettrice d'ordres. Et pour finir, le jeu est de trouver à quoi correspondent les différentes abréviations.

  • # Glossaire

    Posté par . Évalué à 10.

    Si avec tout ça, vous n'avez toujours pas compris qui fait quoi et comment, c'est à désespérer...

    • [^] # Re: Glossaire

      Posté par (page perso) . Évalué à 10.

      OMG
      WTF
      BBQ

      DLFP >> PCInpact > Numerama >> LinuxFr.org

      • [^] # Re: Glossaire

        Posté par . Évalué à 8.

        LOL

        Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur

  • # quelle bande de comique

    Posté par . Évalué à 3.

    Tres amusant vu la nouvelle du piratage de Bercy annonce la semaine derniere...

    Ils ont depense 7.5 millions d'euros pour ... rien!

    • [^] # Re: quelle bande de comique

      Posté par . Évalué à 10.

      Si, ça a servi à quelque chose: sans ces 7.5 millions d'euros, personne ne se serait rendu compte du piratage. :P

      THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.

    • [^] # Re: quelle bande de comique

      Posté par . Évalué à 10.

      Ce n'était pas un piratage, c'était un audit. L'information s'est perdue dans le labyrinthe de l'organigramme interne, puis dans la hiérarchie organique, avant de rester en souffrance sur le bureau d'un fonctionnaire muté à mi-temps dans un service en sous-effectif et en manque de compétence depuis qu'André, 63 ans, colonne vertébrale du service, a pris sa retraite par surprise.

      The capacity of the human mind for swallowing nonsense and spewing it forth in violent and repressive action has never yet been plumbed. -- Robert A. Heinlein

    • [^] # Re: quelle bande de comique

      Posté par . Évalué à 9.

      Il n'y a pas eu de piratage en fait, simplement le sous traitant qui devait réaliser l'audit à sous traiter à un autre sous traitant qui a lui même sous traiter à un sous traitant qui sous traite ses audits en Chine ... voilà c'est tout, c'est simple

    • [^] # Re: quelle bande de comique

      Posté par (page perso) . Évalué à 5.

      Tres amusant vu la nouvelle du piratage de Bercy annonce la semaine derniere...

      Ils ont depense 7.5 millions d'euros pour ... rien!

      Qu'est-ce qui te fait dire que l'architecture mise en place n'a déjà repoussé dix attaques par jour depuis sa mise en place ? Le lectorat de DLFP devrait pourtant savoir que les seuls systèmes informatiques dont on parle sont ceux qui tombent en panne, même (surtout !) lorsque c'est exceptionnel.

      • [^] # Re: quelle bande de comique

        Posté par . Évalué à 2.

        Résumé de l'attaque

        En fait la mise en place du dsi interministerielle n'est pas encore complètement en place. Néanmoins on peut s'inquiéter qu'une attaque finalement basique passe si facilement

        • [^] # Re: quelle bande de comique

          Posté par (page perso) . Évalué à 2.

          Attaque basique, mais ciblée c'est ce qui fait la différence.

          Si l'attaquant à pris le soin de bien se renseigner auparavant (et on peut raisonnablement penser que c'est le cas) alors il a de bonnes chances de préparer une attaque profilée pour passer sous le seuil de détection.

          Cela exploite des failles humaines de manière intelligente (message en provenance d'un "service voisin" donc n'éveillant pas la méfiance) et une faille technique non connue. Face à cela, il y a malheureusement peu de parades.

          Après, il faut être clair : si les personnes disposent de droits d'administration sur leur machine, ce qui permet au cheval de Troie de s'exécuter complètement, c'est une faute grave.

          Quelques renseignements complémentaires, si les liens ne sont pas déjà passés :

          http://sid.rstack.org/blog/index.php/462-du-piratage-de-bercy

          http://www.ssi.gouv.fr/site_article320.html

          • [^] # Re: quelle bande de comique

            Posté par . Évalué à 5.

            Si l'attaquant à pris le soin de bien se renseigner auparavant

            c'est bien ça l'inquiétant connaitre l'os cible, que les comptes sont en admin, que les mails ne sont pas signés, etc... ça fait beaucoup d'infos un kiddies peut faire ça avec set et metasploit

  • # pdf

    Posté par (page perso) . Évalué à 2.

    Il parait que le virus était contenu dans un pdf :
    http://tempsreel.nouvelobs.com/actualite/societe/20110307.OBS9242/bercy-victime-d-un-pdf-piege.html

    Donc le coupable serait Acrobat Reader. Je ne comprends pas pourquoi cet outil bloated est encore utilisé...

  • # Mouais ....

    Posté par . Évalué à 6.

    Les personnes qui ont le malheur de croiser Hadopi devrai répondre la même chose ;-)
    Pour moi, avec le piratage de Bercy, nous sommes face à un défaut de sécurisation flagrant de leur accès internet et par conséquent, ils devraient être poursuivi par la justice pour cette infraction comme toute personne morale.
    Par contre, vue le nombre de sigle, je comprends mieux maintenant pourquoi mes impôts augmentent. Ils ne leur serait pas possible de faire comme dans toute société sérieuse avec un DSI et des audits externe ? .....

    • [^] # Re: Mouais ....

      Posté par . Évalué à 6.

      Pour moi, avec le piratage de Bercy, nous sommes face à un défaut de sécurisation flagrant de leur accès internet et par conséquent, ils devraient être poursuivi par la justice pour cette infraction comme toute personne morale.

      Et les condamner à s'auto-payer une amende.

    • [^] # Re: Mouais ....

      Posté par (page perso) . Évalué à 6.

      Je ne pense pas que l'objectif de l'attaque était de contraindre les ordinateurs du Minefi à télécharger le dernier album de Madame Sarkozy. D'ailleurs une telle violence n'est même pas concevable.

      • [^] # Re: Mouais ....

        Posté par . Évalué à 2.

        Ça fait plusieurs fois que je vois Minefi pour Ministère des finances. Orwellien à fond, pas dans le sens influencé par les idées de George Orwell mais plutôt comme faisant partie des abominations imaginées par George Orwell.

        Y a-t-il quelqu'un qui peut indiquer l'origine de cet usage ?

        • [^] # Re: Mouais ....

          Posté par . Évalué à 2.

          je ne connais pas l'origine mais dans la même veine j'entends souvent parler du minedef pour la Défense

        • [^] # Re: Mouais ....

          Posté par (page perso) . Évalué à 1.

          Comme toujours quand on doit utiliser un terme long de façon répétée, on finit par utiliser un équivalent plus court.
          C'est ainsi qu'on parle de "moto" au lieu de "motocycle".

          La principale force d'évolution d'une langue est la paresse de ses utilisateurs.

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.