Journal Avant c'est trop cher, après c'est trop tard

Posté par  . Licence CC By‑SA.
48
7
avr.
2016

Vu que cette petite phrase semble parler à beaucoup de monde cela peut-être l'occasion d'en profiter pour partager ses expériences autour de cette thématique.

Pour ma part c'était principalement dans le domaine de la sécurité informatique.

Visite chez des prospects et proposition de test d'intrusion, audit de sécurité et mise en place d'une politique de sécurité.
Tu sens que le prospect te considère comme un gros parasite qui ne rêve que de lui piquer son pognon et de mettre des bâtons dans les roues des employés.
- j'vais pas vous payer pour me pirater
- coût à la journée trop cher
- les produits sont trop cher
- la formation c'est trop cher

Assez souvent on se faisait jeter "on n'a jamais eu de problèmes, on n'a pas de budget, mon fils/neveu/stagiaire s'occupe de l'informatique contre un sandwich". C'est tentant, mais c'est très mal vu de faire peur au prospect en lui prédisant le pire.

La situation était toute différente pour ceux qui sont passés par la case attaque informatique (site web piraté part la team 31337, ftp détourné pour du warez, employé qui clique sur 'photo super coquine.jpg.exe') Comme par magie un budget apparaissait de nulle part et était souvent bien plus conséquent que les offres initiales.
- on veut le must du top du firewall qui peut filter du 100Gb/s (mais vous avez une ligne ADSL 5Mb)
- vous devez former nos 500 employés ces 2 prochains jours…
- vous devez comprendre comment ça c'est produit

Dans le cas de vol de données et de leur diffusion sur Internet les questions arrivaient
- comment récupérer nos données volées?
- comment empêcher leur diffusion?
À ce moment, t'as envie de hurler "c'est trop tard!" mais il faut aussitôt ravaler cette parole pleine de triomphalisme, sortir votre pipeau et assurer au client que le nécessaire sera fait dans la mesure du possible.

Bon, c'était il y a 10 ans. La situation a un peu évolué depuis, pas mal de boîtes arrivent à voir la sécurité comme un investissement et non une charge

Et vous?

  • # developpement : idem

    Posté par  (site web personnel, Mastodon) . Évalué à 10.

    J'ai rencontré et eu connaissance de cas similaires pour des prestations de développement :

    • "vous êtes trop cher"
    • "date de livraison trop lointaine (vous êtes trop lent)"
    • "je vais faire appel à cette boite qui propose 2 fois moins cher et qui me fait ça pour demain"

    Et c'est une grande satisfaction quand tu apprend que le projet a eu du retard, que cela ne correspond pas à ce que voulait le client etc…

    On en a que pour son argent.

    • [^] # Re: developpement : idem

      Posté par  (site web personnel) . Évalué à 10.

      Et c'est une grande satisfaction quand tu apprend que le projet a eu du retard, que cela ne correspond pas à ce que voulait le client etc…

      Et c'est une moins bonne satisfaction quand tu apprends que celui qui a pris cette décision stupide est soit parti officier ailleurs (pour un meilleur salaire), soit a réussi à noyer le poisson ou à blâmer d'autres personnes/divisions….

      • [^] # Re: developpement : idem

        Posté par  . Évalué à 10.

        Oui, le problème c'est que la mauvaise qualité ne se voit pas forcément tout de suite, donc le chef qui a rogné sur les dates, il a sa prime et puis il passe à autre chose..

    • [^] # Re: developpement : idem

      Posté par  . Évalué à 7.

      En développement cela est moins gênant si tu fais un suivi un peu plus tard tu peux même récupérer le service.
      Cas typique:
      - Désolé vous avez l'air compétent mais je trouve que c'est trop chère.
      - Pas de problème nous restons disponible.
      3 mois/1 an/2 ans plus tard
      Bonjour, je vous avais contacté pour un développement….
      Après avoir observer une magnifique application en WinForm sous MS Access écrite par un stagiaire d'une grosse entreprise nous expliquons au client ce qui doit être modifié et pourquoi, celui-ci comprend généralement que ce n'était pas nécessairement un bon choix financier (entre ce que nous devons réécrire, l'image de marque écorchée par les bugs, les retards…)

      En sécurité par contre c'est souvent trop tard quand il y a une prise de conscience. Soit ce n'est pas assez grave pour que des mesures drastiques soient prises, soit on ne peut que restaurer les données. Ça arrive quand même d'avoir des clients qui comprennent le risque dans des milieux plus concernés mais c'est plus rare.

      • [^] # Re: developpement : idem

        Posté par  . Évalué à 3.

        Ce qui est vrai pour une application ne l'ai pas vraiment pour un gros système d'information.
        Souvent tout marche bien (enfin pas trop mal), mais la moindre modification devient de plus en plus cher avec une accumulation de modifications faites au rabais. Ca commence par une petit traitement basé sur un code client et ca se termine par un plat de spaghetti avec du spécifique pour un client qui ne l'ai plus.

        Plus que le développement, les phases d'études sont de plus en plus touchées. L'avantage, c'est que ca ne se voit pas et c'est de dev qui trinque.

  • # La sécurité ? Une contrainte pour la productivité

    Posté par  . Évalué à 10.

    Là où j'officie la sécurité est avant tout une contrainte.

    Prenons l'exemple de l'accès internet.

    ==> Https filtré par défaut
    seules une liste blanche permet d'accéder à quelques sites.

    Et encore, il faut renouveler chaque année l'accès et le justifier.

    Seulement voilà quand on étudie un nouveau produit, il faut bien avoir accès au site pour l'évaluer.
    Si on suit le process officiel, ça prend beaucoup trop de temps et il ne faut pas qu'il y ait de redirections sur un autre domaine/sous-domaine parce qu'on repart dans le process…

    Bref tout ceci est un frein à la productivité.

    Quel est le risque ? Contamination de poste de travail par un virus ? Risque de compromission du site ? Mais alors pourquoi ne pas opter pour autre chose que Windows ?

    Nous autres informaticien avons peu ou prou le même master que les autres employés dont l'usage est plus traditionnel.

    Moralité, on se sert de nos accès perso pour accéder aux sites interdits, on télécharge de chez nous les binaires/software pour le boulot, quand on n'upload pas aussi des dump chez le fournisseur…

    • [^] # Re: La sécurité ? Une contrainte pour la productivité

      Posté par  (site web personnel) . Évalué à 10.

      Dans cette situation, il ne s'agit pas du tout de sécurité mais de paranoia et/ou de flicage.

      A la base la sécurité doit reposer sur une étude de risques, on définit le risque potentiel (réel ou imaginaire) et on évalue ensuite le rapport entre le gain et le frein.

      Clairement bloquer tout internet est (pour des postes informaticiens) un mauvais calcul. L'étude de risque n'a pas été menée correctement sinon ils auraient vu que le gain de sécurité est minime par rapport aux mauvaises pratiques que cela engendre (causes d'autres insécurités)

    • [^] # Re: La sécurité ? Une contrainte pour la productivité

      Posté par  . Évalué à 7.

      Et au final c'est encore plus risqué car ceux qui télécharge chez eux peuvent avoir un PC qui ressemble a un milieu de culture plus qu'autre chose et avec une clé USB importe tout ça sur les postes du boulot.

      • [^] # Re: La sécurité ? Une contrainte pour la productivité

        Posté par  . Évalué à 10.

        Dans le même genre de Fausses Bonnes Idées™, dans mon ancien labo il avait été décidé que les ordinateurs pilotant les microscopes ne seraient pas du tout connectés au réseau (ni au réseau local de l’institut, ni — encore moins — à l’Internet). Raison invoquée : éviter les virus.

        « Et donc quand je veux transférer les images que je viens de prendre depuis l’ordinateur du microscope vers mon propre poste de travail, je fais comment sans réseau ?
        — Bah vous passez par une clef USB. »

        Résultat des courses, des ordinateurs avec un antivirus dont la base de signatures n’est jamais mise à jour (puisque pas d’accès Internet), et des dizaines d’utilisateurs qui vont et viennent avec des clefs USB. Je vous laisse imaginer le résultat…

        • [^] # Re: La sécurité ? Une contrainte pour la productivité

          Posté par  . Évalué à 10. Dernière modification le 07 avril 2016 à 13:09.

          Dans mon ancien labo, ils sont allés plus loin pour éviter le soucis : tu ne peux que graver tes données sur le PC du microscope : ni clé USB, ni réseau.

          • [^] # Re: La sécurité ? Une contrainte pour la productivité

            Posté par  . Évalué à 3.

            Alors qu'un PC hyper firewallé qui ne peut aller écrire que dans un endroit, voir même qui broadcaste les images sur l'ethernet, liaison série sans Rx, hertzien ou autre aurai très bien fait l'affaire. Avec un joli serveur entre qui recueille toutes ces infos pour les remettre à qui le veut.

            En ce qui concerne la liaison série sans Rx, c'est testé et approuvé. Mais le transfert une dizaine de mesures par seconde ne représente pas le même volume que des images de microscope.

          • [^] # Re: La sécurité ? Une contrainte pour la productivité

            Posté par  . Évalué à 3.

            J'espère au moins que la gravure était sur des RW … sinon bonjour le gaspillage.

        • [^] # Re: La sécurité ? Une contrainte pour la productivité

          Posté par  . Évalué à -4.

          Quel est le résultat ?

          A part en configurant son OS en mode "Windows 95", j'ai du mal à voir comment des clefs USB peuvent être un vecteur de contamination.

          BeOS le faisait il y a 20 ans !

          • [^] # Re: La sécurité ? Une contrainte pour la productivité

            Posté par  (site web personnel) . Évalué à 8.

            Et BadUSB ?

          • [^] # Re: La sécurité ? Une contrainte pour la productivité

            Posté par  . Évalué à 10.

            Quel est le résultat ?

            Concrètement ? Après chaque retour d’une session de microscopie, je trouvais à la racine de ma clef au moins trois ou quatre fichiers cachés exécutables (au nom généralement aléatoire), qui ne s’y trouvaient pas auparavant.

            Moi je m’en fichais vu que mon propre poste était sous GNU/Linux (j’effaçais quand même les fichiers pour ne pas les propager à mon tour la prochaine fois que je branchais ma clef sur une autre machine), mais pour les autres utilisateurs (la plupart sous Windows), c’est pas terrible.

            j'ai du mal à voir comment des clefs USB peuvent être un vecteur de contamination.

            Je crois que c’est un vecteur beaucoup plus efficace et réaliste que le réseau.

            Je veux bien reconnaître à Microsoft que l’époque où on pouvait dire « tu branches un Windows sur le réseau, 10 secondes plus tard paf t’es infecté » est probablement révolue. Mais les infections par média amovible restent bien une réalité.

      • [^] # Re: La sécurité ? Une contrainte pour la productivité

        Posté par  . Évalué à 1.

        les ports USB sont fermés

        il faut une dérogation avec l'aval de plusieurs chefs

        • [^] # Re: La sécurité ? Une contrainte pour la productivité

          Posté par  . Évalué à 4.

          Vous branchez vos souris avec un port PS/2 ?

          « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

          • [^] # Re: La sécurité ? Une contrainte pour la productivité

            Posté par  . Évalué à 2.

            On a pareil ici ; un truc installé au niveau du bios et avec un pilote Windows qui empêche d'utiliser une clé USB en mass storage. Super pénible, mais moins depuis qu'ils ont rajouté github et stackoverflow à la liste blanche.

            Je travaille moi aussi pour une institution financière mais d'une autre couleur.

            • [^] # Re: La sécurité ? Une contrainte pour la productivité

              Posté par  . Évalué à 4.

              avec un pilote Windows qui empêche d'utiliser une clé USB en mass storage.

              Il suffit de bricoler un device USB qui se fait passer pour un clavier, ça permet d'importer des données (bon, il ne faut pas vouloir charger un blueray).

              « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

              • [^] # Re: La sécurité ? Une contrainte pour la productivité

                Posté par  . Évalué à 5. Dernière modification le 07 avril 2016 à 21:49.

                Il suffit de bricoler un device USB qui se fait passer pour un clavier

                Ça doit bien déjà exister non ?

                J’ai souvenir d’une success story d’une boîte de pentesting qui avait pénétré le SI de leur client en distribuant des clés USB piégées, que les employés à qui elles avaient été distribuées s’étaient empressés de brancher sur leur poste… Ces clés avaient été présentées comme des goodies offerts par le prestataire…

                Je me demande la proportion de clients d’audit de sécurité avec test de pénétration qui se feraient encore avoir comme ça :)

                Maintenant rien à voir avec la choucroute mais je me pose une question « de français » :

                J’ai souvenir d’une success story

                Quand vous employez des mots étrangers issus d’une langue qui n’a qu’un genre pour les noms, vous accordez quand même avec le genre du mot équivalent en français ?

                Ici, aurais-je dû écrire : « J’ai souvenir d’un success story » ? Ça me choque un peu mais c’est techniquement correct (le meilleur type de correction…)

                Bien sûr on va me dire que je pourrais m’abstenir d’écrire en franglais mais ce n’est pas la question. STFW ?… aussi oui…

                • [^] # Re: La sécurité ? Une contrainte pour la productivité

                  Posté par  (site web personnel, Mastodon) . Évalué à 4.

                  Il suffit de bricoler un device USB qui se fait passer pour un clavier

                  Ça doit bien déjà exister non ?

                  Oui, ça s'appelle "USB Rubber Ducky", c'est en vente chez Hak5.

                • [^] # Re: La sécurité ? Une contrainte pour la productivité

                  Posté par  . Évalué à 3.

                  Ça doit bien déjà exister non ?

                  Bien sûr qu'il existe des rogue keyboard. La partie bricolage, c'était sur la partie scripting pour qu'il permette de transmettre des données pour du transfert de fichier.

                  « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

                • [^] # Re: La sécurité ? Une contrainte pour la productivité

                  Posté par  (site web personnel) . Évalué à 4.

                  Quand vous employez des mots étrangers issus d’une langue qui n’a qu’un genre pour les noms, vous accordez quand même avec le genre du mot équivalent en français ?

                  Il n'y a pas d'autre règle que l'usage, comme en témoigne Grévisse (§468). Pour les mots anglais, c'est assez divers, et cela change même selon qu'on parle du français d'Europe ou du français du Canada, Grévisse cite par exemple:

                  • business, gang, job et magazine qui sont masculins en Europe mais féminins au Canada (Qu'en est-il du français parlé dans les pays d'Afrique?)
                  • interview plutôt féminin comme entrevue mais pas rare au masculin
                  • high-school est parfois féminin, parfois masculin

                  Les exemples montrent que le genre du mot équivalent français peut exercer une attraction mais n'est pas le seul déterminant.

                  Pour les mots d'autres langues, par exemple en français on écrit plutôt le SPD alors qu'en allemand c'est féminin, ce qui montre que les noms empruntés à une langue ne conservent pas nécessairement leur genre en changeant – sans pour autant être assignés au genre d'un mot français équivalent comme dans ce cas particulier.

    • [^] # Re: La sécurité ? Une contrainte pour la productivité

      Posté par  (site web personnel) . Évalué à 10.

      Et du coup, c'est quoi la motivation pour ne pas trouver un taf qui soit moins relou ?

      Parce que bon, le taf, on y passe pas mal de temps, donc ça me parait important que le truc soit pas trop chiant. Est ce que ça paye tellement bien, le travail en lui même est intéressant, ou d'autres raisons ?

  • # Merci pour cette phrase toute faite mais facilement compréhensible

    Posté par  (site web personnel) . Évalué à 4.

    Tu dis que cela date de 10 ans mais je ne suis pas convaincu …
    Le genre de dialogue que tu rapportes dois encore se produire.

    Certaines personnes ont besoin de se bruler pour comprendre que le feu c'est dangereux

    Par contre dans certains milieu proches des assurances et des banques, je trouve qu'il en font un peu trop.
    Même si mon client ne fait que RECEVOIR des fichiers en ascii et formattés il a quand même droit à un audit informatique.

    Le premier auditeur c'était un vrai, il était au courant des versions de Linux du noyau etc …
    Le deuxième s'est borné à envoyer un mail concernant shellock poodle et venom

    Mais bon, on voit bien que la facture concernant la sécurité est de plus en plus étudiée, les comptables et autres contrôleurs de gestion commencent à être au courant.

    C'est comme les sites webs, il n'y a plus que les partis politiques pour avoir des factures de plusieurs centaines de milliers ( millions ? ) d'euros … pour un site web statique de quelques pages

    Sinon tu as pensé à envoyer un devis a Mossack et Fonseca ?

  • # Ouep

    Posté par  . Évalué à 7.

    Les commentaires sont très intéressants, on a tous une expérience différente.

    La mienne ? Des décideurs qui prennent ceux qui promettent tout.
    Le moins cher, le plus rapide, etc…

    Et même s'ils se sont brûlé les doigts avant, il s'en foutent.
    Il ne veulent pas prendre plus cher et moins rapide.

    Pourquoi ? Parce qu'à un moment donné dans un contexte d'économie mondiale en berne ou chaque brouzouf compte, s'il y a un souci, ils auront choisi le moins cher. Et pour la plupart des grosses boites, c'est uniquement ça qui importe.

    Et s'ils ne sont pas satisfaits ? Ils se retournent vers l'entreprise qui leur a vendu du rêve et les saigne à coup d'avocat et de pénalités de retard.

  • # Audit sécurité bidon

    Posté par  . Évalué à 7.

    Je n'ai que 10 ans d'expérience chez des fournisseurs de services et des hébergeurs, je n'ai donc jamais eu l'occasion de voir un audit de sécurité sérieux, ceux-ci doivent être statistiquement négligeables dans l'offre proposée sur le marché. Généralement le client prend le prestataire le moins cher qui va se contenter de lancer un script pour collecter des données et générer un rapport qui sera vaguement personnalisé. J'ai vu des recommandations totalement grotesques sortir de ces rapports, tout en ne voyant pas des failles béantes, mais le client était content parce qu'il avait eu son audit de sécurité.

    Membre de l'april, et vous ? https://april.org/adherer -- Infini, l'internet libre et non commercial : https://infini.fr

    • [^] # Re: Audit sécurité bidon

      Posté par  . Évalué à 8.

      J'ai vu des pentesteurs sérieux et compétents, qui ne se contentent pas de lancer des outils de script kiddies qui génère un rapport automatique : Des mecs qui vont vriament t'anayser ton site, trouver un truc bizarre avec des outils comme burp, et creuser jusqu'à te trouver une faille qui te fera bondir et te dire comment corriger, ou te dire que c'est pas exploitable, et pourquoi. Mais forcément c'était cher.

      En réalité, le DSI moyen prendra le moins cher qui a un minimum de crédibilité. Il pense que de toutes façons la sécurité c'est pas forcément son rôle, c'est le rôle des développeurs et des admins. Lui il veut juste acheter un coup de tampon qui lui permettra de dire "vous voyez, j'avais mis en place des process, j'avais fait le nécessaire, c'est pas de ma faute".

  • # s/cher/coûteux/

    Posté par  . Évalué à 7.

    Il n'y a pas qu'en terme d'argent que c'est cher.

    Typiquement, on ne prend pas le temps de faire proprement les choses, on fait un hack à la rache et non documenté qui fait le job à un instant t. Ou on ne fait pas certaines interventions qui devraient être faites (des mises à jour par exemple) pour éviter une indisponibilité.

    Après, c'est pas forcément trop tard, mais c'est plus cher. T'as juste toute une équipe entière qui passe toute la journée à remettre le service en route.

    • [^] # Re: s/cher/coûteux/

      Posté par  . Évalué à 10.

      le problème que je constate, c'est que mon équipe ou la votre ne va pas envoyer une facture avec : grosse connerie du stagiaire (fils de X) 15Hx7 personnes = 12 600€ 30 jours fin de mois svp

      en ce moment je me tâte de plus en plus à le faire, vu les conneries que je me tape a cause d'amateurisme flagrant et de méthode larrache. Si ca marche je ferais un journal :).

      larrache je le fais aussi de temps en temps, mais quand le BE a 4 mois pour pondre un script shell a 2 balles et le fait le matin pour la réunion de l'après midi, je suis colère tout rouge !

      • [^] # Re: s/cher/coûteux/

        Posté par  . Évalué à 10.

        je vote pour un journal!

        Je trolle dès quand ça parle business, sécurité et sciences sociales

      • [^] # Re: s/cher/coûteux/

        Posté par  . Évalué à 3.

        Pour ma part j'ai eu l'occasion de le faire : plusieurs fois pour un même client qui a l'habitude de faire appel à des « moins bons que la comptable ».

        Suite au passage d'un prestataire qui avait juste à installer une application sans rien de particulier sur un serveur. Je le sais puisque désormais c'est moi qui m'en occupe : il suffit de lancer le setup et de faire suivant-suivant-suivant. Mais bon il y a un dossier a mettre en lecture/écriture pour un groupe, je pense que c'est là qu'ils n'ont pas su faire sans flinguer le système :-)
        Sur la facture la ligne était du style : « réinstallation du serveur X suite à l'intervention de la société Y : 2h » (oui, réinstallation, car les sauvegardes de l'époque ne s'occupaient que des données, pas du système). Rien de méchant, mais je justifie chaque ligne facturée.

        Une autre fois c'était quelque chose dans le goût de : « assistance pour la société Y : 3h30 » parce que le mec ne sait même pas faire un copier/coller depuis l'explorateur Windows /o\ C'est tellement énorme que je ne vois pas comment il a pu se retrouver à ce poste (il était commercial à l'origine. Et à l'entendre parler et argumenter, je pense que c'était un mauvais commercial).

        Et une troisième fois dont je ne me souviens plus. Cela dit les sommes en jeu sont faibles. Je suis le premier à le regretter.

  • # BSI

    Posté par  (site web personnel) . Évalué à 4. Dernière modification le 07 avril 2016 à 15:58.

    Bon, c'était il y a 10 ans. La situation a un peu évolué depuis, pas mal de boîtes arrivent à voir la sécurité comme un investissement et non une charge

    Il y a aussi un vrai travail des pouvoir publics pour sensibiliser les entrepreneurs à ces problématiques, par exemple au travers des agences nationales comme l'ANSSI pour la France ou le BSI pour l'Allemagne – où j'habite. (En fait j'habite même à côté du BSI, qui pour la petite histoire occupe les locaux de l'ancienne ambassade de RDA à l'époque de la division.) Ces deux organismes organisent apparemment des workshops et des formations. À l'échelle locale, les chambres de commerce et d'industrie organisent aussi des évènements à ce sujet.

    D'ailleurs je suppose que les CC sont toujours intéressées par des intervenants potentiels.

    • [^] # Re: BSI

      Posté par  (site web personnel) . Évalué à 7.

      En fait j'habite même à côté du BSI, qui pour la petite histoire occupe les locaux de l'ancienne ambassade de RDA à l'époque de la division.

      Ils ont gagné leur légitimité en découvrant tous les micros ?

      • [^] # Re: BSI

        Posté par  . Évalué à 7.

        Non car le bâtiment est directement construit en micros. Le ciment ne sert qu'à colmater les interstices.

    • [^] # Re: BSI

      Posté par  . Évalué à 1.

      Concernant l'ANSSI, il y a même une obligation de se mettre au niveau pour les OIV (env 200~300 sociétés en France). Il y a des certifications pour les prestataires de service (PDIS, PRIS, PASSI) et les obtenir n'est pas évident.

      Non, en terme de sécurité on a ce qu'il faut en terme de prestataires (IBM, Thalès, EADS, OBS, …) mais si on ne force pas les clients, ils ne font rien (exemple en France : TV5, Areva, …).

      A priori, la sécurité des OIV devrait s'élever durant les 3 prochaines années …

  • # Ecologie

    Posté par  (Mastodon) . Évalué à 10.

    C'est tout simplement le drame de l'écologie.

    Pour l'instant, on est encore dans la phase "c'est trop cher". A nous de ne pas rentrer dans la "c'est trop tard"…

    En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.

  • # Désolé pour le lien "sale", mais

    Posté par  . Évalué à 5.

    …voici probablement un autre exemple : http://korben.info/offrir-organes-cest-plus-cool-doffrir-donnees-personnelles.html

    Et comme d'habitude il faut faire un bad buzz pour obtenir une réponse, c'est triste.

  • # [HS] avec le titre

    Posté par  . Évalué à 3.

    C'est marrant, en voyant le titre dans mon lecteur de flux, j'ai pensé à l'annonce de Nest http://www.numerama.com/business/161259-nest-va-eteindre-lensemble-des-hub-domotique-revolv.html

    Ça s'y prête bien aussi, mais c'est pas le sujet.

    Effectivement, la sécurité, on n'y est pas encore. Quand je parle de mettre des mots différents et aléatoires sur chaque caméra IP d'un réseau qui va se monter, on me dit que ça va être trop dur à gérer.

    • [^] # Re: [HS] avec le titre

      Posté par  . Évalué à 2.

      Je sais pas vraiment sur quels protocoles vous tournez, mais utiliser TLS avec une autorité de certification interne, et distribuer des certificat pour chaque caméra IP ne serait-il pas plus simple et plus rapide à gérer (à part la partie renouvellement) ? Comme ça pas besoin de vérifier le MDP, juste valider le certificat client.

      • [^] # Re: [HS] avec le titre

        Posté par  . Évalué à 2.

        Pour l'interface Web, d'accord. Mais les flux RTSP, à ma connaissance, pas de TLS possible. Et encore moins avec des caméras IP pas trop chères…

        • [^] # Re: [HS] avec le titre

          Posté par  . Évalué à 1.

          Effectivement le support du TLS pour les flux RTSP semble être dépendant de l'implémentation fournisseur.

          • [^] # Re: [HS] avec le titre

            Posté par  . Évalué à 2.

            c'est pas srtp la norme a utiliser plutôt si vous voulez sécurisé du flux comme ça ?

  • # Sujet discuté dans NoLimitSécu

    Posté par  . Évalué à 2.

    Le sujet a été traité récemment dans NoLimitSecu:
    https://www.nolimitsecu.fr/methodologie-d-evaluation-du-niveau-de-securite-des-prestataires-de-services-it/

    Épisode du podcast très intéressant, avec des retours positifs.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.