Vu que cette petite phrase semble parler à beaucoup de monde cela peut-être l'occasion d'en profiter pour partager ses expériences autour de cette thématique.
Pour ma part c'était principalement dans le domaine de la sécurité informatique.
Visite chez des prospects et proposition de test d'intrusion, audit de sécurité et mise en place d'une politique de sécurité.
Tu sens que le prospect te considère comme un gros parasite qui ne rêve que de lui piquer son pognon et de mettre des bâtons dans les roues des employés.
- j'vais pas vous payer pour me pirater
- coût à la journée trop cher
- les produits sont trop cher
- la formation c'est trop cher
Assez souvent on se faisait jeter "on n'a jamais eu de problèmes, on n'a pas de budget, mon fils/neveu/stagiaire s'occupe de l'informatique contre un sandwich". C'est tentant, mais c'est très mal vu de faire peur au prospect en lui prédisant le pire.
La situation était toute différente pour ceux qui sont passés par la case attaque informatique (site web piraté part la team 31337, ftp détourné pour du warez, employé qui clique sur 'photo super coquine.jpg.exe') Comme par magie un budget apparaissait de nulle part et était souvent bien plus conséquent que les offres initiales.
- on veut le must du top du firewall qui peut filter du 100Gb/s (mais vous avez une ligne ADSL 5Mb)
- vous devez former nos 500 employés ces 2 prochains jours…
- vous devez comprendre comment ça c'est produit
Dans le cas de vol de données et de leur diffusion sur Internet les questions arrivaient
- comment récupérer nos données volées?
- comment empêcher leur diffusion?
À ce moment, t'as envie de hurler "c'est trop tard!" mais il faut aussitôt ravaler cette parole pleine de triomphalisme, sortir votre pipeau et assurer au client que le nécessaire sera fait dans la mesure du possible.
Bon, c'était il y a 10 ans. La situation a un peu évolué depuis, pas mal de boîtes arrivent à voir la sécurité comme un investissement et non une charge
Et vous?
# developpement : idem
Posté par Laurent J (site web personnel, Mastodon) . Évalué à 10.
J'ai rencontré et eu connaissance de cas similaires pour des prestations de développement :
Et c'est une grande satisfaction quand tu apprend que le projet a eu du retard, que cela ne correspond pas à ce que voulait le client etc…
On en a que pour son argent.
[^] # Re: developpement : idem
Posté par Fabimaru (site web personnel) . Évalué à 10.
Et c'est une moins bonne satisfaction quand tu apprends que celui qui a pris cette décision stupide est soit parti officier ailleurs (pour un meilleur salaire), soit a réussi à noyer le poisson ou à blâmer d'autres personnes/divisions….
[^] # Re: developpement : idem
Posté par reno . Évalué à 10.
Oui, le problème c'est que la mauvaise qualité ne se voit pas forcément tout de suite, donc le chef qui a rogné sur les dates, il a sa prime et puis il passe à autre chose..
[^] # Re: developpement : idem
Posté par SigNix . Évalué à 7.
En développement cela est moins gênant si tu fais un suivi un peu plus tard tu peux même récupérer le service.
Cas typique:
- Désolé vous avez l'air compétent mais je trouve que c'est trop chère.
- Pas de problème nous restons disponible.
3 mois/1 an/2 ans plus tard
Bonjour, je vous avais contacté pour un développement….
Après avoir observer une magnifique application en WinForm sous MS Access écrite par un stagiaire d'une grosse entreprise nous expliquons au client ce qui doit être modifié et pourquoi, celui-ci comprend généralement que ce n'était pas nécessairement un bon choix financier (entre ce que nous devons réécrire, l'image de marque écorchée par les bugs, les retards…)
En sécurité par contre c'est souvent trop tard quand il y a une prise de conscience. Soit ce n'est pas assez grave pour que des mesures drastiques soient prises, soit on ne peut que restaurer les données. Ça arrive quand même d'avoir des clients qui comprennent le risque dans des milieux plus concernés mais c'est plus rare.
[^] # Re: developpement : idem
Posté par mazarini . Évalué à 3.
Ce qui est vrai pour une application ne l'ai pas vraiment pour un gros système d'information.
Souvent tout marche bien (enfin pas trop mal), mais la moindre modification devient de plus en plus cher avec une accumulation de modifications faites au rabais. Ca commence par une petit traitement basé sur un code client et ca se termine par un plat de spaghetti avec du spécifique pour un client qui ne l'ai plus.
Plus que le développement, les phases d'études sont de plus en plus touchées. L'avantage, c'est que ca ne se voit pas et c'est de dev qui trinque.
# La sécurité ? Une contrainte pour la productivité
Posté par Dabowl_75 . Évalué à 10.
Là où j'officie la sécurité est avant tout une contrainte.
Prenons l'exemple de l'accès internet.
==> Https filtré par défaut
seules une liste blanche permet d'accéder à quelques sites.
Et encore, il faut renouveler chaque année l'accès et le justifier.
Seulement voilà quand on étudie un nouveau produit, il faut bien avoir accès au site pour l'évaluer.
Si on suit le process officiel, ça prend beaucoup trop de temps et il ne faut pas qu'il y ait de redirections sur un autre domaine/sous-domaine parce qu'on repart dans le process…
Bref tout ceci est un frein à la productivité.
Quel est le risque ? Contamination de poste de travail par un virus ? Risque de compromission du site ? Mais alors pourquoi ne pas opter pour autre chose que Windows ?
Nous autres informaticien avons peu ou prou le même master que les autres employés dont l'usage est plus traditionnel.
Moralité, on se sert de nos accès perso pour accéder aux sites interdits, on télécharge de chez nous les binaires/software pour le boulot, quand on n'upload pas aussi des dump chez le fournisseur…
[^] # Re: La sécurité ? Une contrainte pour la productivité
Posté par Khaos (site web personnel) . Évalué à 10.
Dans cette situation, il ne s'agit pas du tout de sécurité mais de paranoia et/ou de flicage.
A la base la sécurité doit reposer sur une étude de risques, on définit le risque potentiel (réel ou imaginaire) et on évalue ensuite le rapport entre le gain et le frein.
Clairement bloquer tout internet est (pour des postes informaticiens) un mauvais calcul. L'étude de risque n'a pas été menée correctement sinon ils auraient vu que le gain de sécurité est minime par rapport aux mauvaises pratiques que cela engendre (causes d'autres insécurités)
[^] # Re: La sécurité ? Une contrainte pour la productivité
Posté par Dabowl_75 . Évalué à 4.
j'officie dans une grande institution financière française où le logo est rouge et noir.
[^] # Re: La sécurité ? Une contrainte pour la productivité
Posté par Sufflope (site web personnel) . Évalué à 10.
Et t'as jamais sogé à partir ?
[^] # Re: La sécurité ? Une contrainte pour la productivité
Posté par KiKouN . Évalué à 10.
Pourquoi faire ? Il va bientôt être fonctionnaire.
[^] # Re: La sécurité ? Une contrainte pour la productivité
Posté par KiKouN . Évalué à 6.
Très discret le jeu de mot.
[^] # Re: La sécurité ? Une contrainte pour la productivité
Posté par romain . Évalué à 6. Dernière modification le 07 avril 2016 à 17:45.
À exiler sa peur ? (ne dites rien, c'est cadeau)
[^] # Re: La sécurité ? Une contrainte pour la productivité
Posté par groumly . Évalué à 8.
Non, mais il se dit qu'il a bien fait de passer par le parc, qu'elle a un beau cul et qu'il se ferait bien sucer avant de poser des questions compliquées sur l'Europe et les placements.
Linuxfr, le portail francais du logiciel libre et du neo nazisme.
[^] # Re: La sécurité ? Une contrainte pour la productivité
Posté par Marotte ⛧ . Évalué à 4.
Les nuls.
Jébon?
[^] # Re: La sécurité ? Une contrainte pour la productivité
Posté par Marotte ⛧ . Évalué à 6.
C’est vrai que c’est lourd les logos rouge et noir. Même… si, en rouge et noir, nous irions tous plus haut que ces montagnes de couleurs…
[^] # Re: La sécurité ? Une contrainte pour la productivité
Posté par Dabowl_75 . Évalué à 1.
c'est fait après 27 mois de bons et loyaux services :-)
[^] # Re: La sécurité ? Une contrainte pour la productivité
Posté par Michaël (site web personnel) . Évalué à 4.
Si c'est toi qui t'occupe du compte Twitter, je te félicite pour ton humour.
[^] # Re: La sécurité ? Une contrainte pour la productivité
Posté par Mimoza . Évalué à 7.
Et au final c'est encore plus risqué car ceux qui télécharge chez eux peuvent avoir un PC qui ressemble a un milieu de culture plus qu'autre chose et avec une clé USB importe tout ça sur les postes du boulot.
[^] # Re: La sécurité ? Une contrainte pour la productivité
Posté par gouttegd . Évalué à 10.
Dans le même genre de Fausses Bonnes Idées™, dans mon ancien labo il avait été décidé que les ordinateurs pilotant les microscopes ne seraient pas du tout connectés au réseau (ni au réseau local de l’institut, ni — encore moins — à l’Internet). Raison invoquée : éviter les virus.
« Et donc quand je veux transférer les images que je viens de prendre depuis l’ordinateur du microscope vers mon propre poste de travail, je fais comment sans réseau ?
— Bah vous passez par une clef USB. »
Résultat des courses, des ordinateurs avec un antivirus dont la base de signatures n’est jamais mise à jour (puisque pas d’accès Internet), et des dizaines d’utilisateurs qui vont et viennent avec des clefs USB. Je vous laisse imaginer le résultat…
[^] # Re: La sécurité ? Une contrainte pour la productivité
Posté par nonas . Évalué à 10. Dernière modification le 07 avril 2016 à 13:09.
Dans mon ancien labo, ils sont allés plus loin pour éviter le soucis : tu ne peux que graver tes données sur le PC du microscope : ni clé USB, ni réseau.
[^] # Re: La sécurité ? Une contrainte pour la productivité
Posté par KiKouN . Évalué à 3.
Alors qu'un PC hyper firewallé qui ne peut aller écrire que dans un endroit, voir même qui broadcaste les images sur l'ethernet, liaison série sans Rx, hertzien ou autre aurai très bien fait l'affaire. Avec un joli serveur entre qui recueille toutes ces infos pour les remettre à qui le veut.
En ce qui concerne la liaison série sans Rx, c'est testé et approuvé. Mais le transfert une dizaine de mesures par seconde ne représente pas le même volume que des images de microscope.
[^] # Re: La sécurité ? Une contrainte pour la productivité
Posté par Mimoza . Évalué à 3.
J'espère au moins que la gravure était sur des RW … sinon bonjour le gaspillage.
[^] # Re: La sécurité ? Une contrainte pour la productivité
Posté par dinomasque . Évalué à -4.
Quel est le résultat ?
A part en configurant son OS en mode "Windows 95", j'ai du mal à voir comment des clefs USB peuvent être un vecteur de contamination.
BeOS le faisait il y a 20 ans !
[^] # Re: La sécurité ? Une contrainte pour la productivité
Posté par patrick_g (site web personnel) . Évalué à 8.
Et BadUSB ?
[^] # Re: La sécurité ? Une contrainte pour la productivité
Posté par gouttegd . Évalué à 10.
Concrètement ? Après chaque retour d’une session de microscopie, je trouvais à la racine de ma clef au moins trois ou quatre fichiers cachés exécutables (au nom généralement aléatoire), qui ne s’y trouvaient pas auparavant.
Moi je m’en fichais vu que mon propre poste était sous GNU/Linux (j’effaçais quand même les fichiers pour ne pas les propager à mon tour la prochaine fois que je branchais ma clef sur une autre machine), mais pour les autres utilisateurs (la plupart sous Windows), c’est pas terrible.
Je crois que c’est un vecteur beaucoup plus efficace et réaliste que le réseau.
Je veux bien reconnaître à Microsoft que l’époque où on pouvait dire « tu branches un Windows sur le réseau, 10 secondes plus tard paf t’es infecté » est probablement révolue. Mais les infections par média amovible restent bien une réalité.
[^] # Re: La sécurité ? Une contrainte pour la productivité
Posté par Dabowl_75 . Évalué à 1.
les ports USB sont fermés
il faut une dérogation avec l'aval de plusieurs chefs
[^] # Re: La sécurité ? Une contrainte pour la productivité
Posté par claudex . Évalué à 4.
Vous branchez vos souris avec un port PS/2 ?
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
[^] # Re: La sécurité ? Une contrainte pour la productivité
Posté par Dring . Évalué à 2.
On a pareil ici ; un truc installé au niveau du bios et avec un pilote Windows qui empêche d'utiliser une clé USB en mass storage. Super pénible, mais moins depuis qu'ils ont rajouté github et stackoverflow à la liste blanche.
Je travaille moi aussi pour une institution financière mais d'une autre couleur.
[^] # Re: La sécurité ? Une contrainte pour la productivité
Posté par claudex . Évalué à 4.
Il suffit de bricoler un device USB qui se fait passer pour un clavier, ça permet d'importer des données (bon, il ne faut pas vouloir charger un blueray).
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
[^] # Re: La sécurité ? Une contrainte pour la productivité
Posté par Marotte ⛧ . Évalué à 5. Dernière modification le 07 avril 2016 à 21:49.
Ça doit bien déjà exister non ?
J’ai souvenir d’une success story d’une boîte de pentesting qui avait pénétré
le SI deleur client en distribuant des clés USB piégées, que les employés à qui elles avaient été distribuées s’étaient empressés de brancher sur leur poste… Ces clés avaient été présentées comme des goodies offerts par le prestataire…Je me demande la proportion de clients d’audit de sécurité avec test de pénétration qui se feraient encore avoir comme ça :)
Maintenant rien à voir avec la choucroute mais je me pose une question « de français » :
Quand vous employez des mots étrangers issus d’une langue qui n’a qu’un genre pour les noms, vous accordez quand même avec le genre du mot équivalent en français ?
Ici, aurais-je dû écrire : « J’ai souvenir d’un success story » ? Ça me choque un peu mais c’est techniquement correct (le meilleur type de correction…)
Bien sûr on va me dire que je pourrais m’abstenir d’écrire en franglais mais ce n’est pas la question. STFW ?… aussi oui…
[^] # Re: La sécurité ? Une contrainte pour la productivité
Posté par Nils Ratusznik (site web personnel, Mastodon) . Évalué à 4.
Oui, ça s'appelle "USB Rubber Ducky", c'est en vente chez Hak5.
[^] # Re: La sécurité ? Une contrainte pour la productivité
Posté par claudex . Évalué à 3.
Bien sûr qu'il existe des rogue keyboard. La partie bricolage, c'était sur la partie scripting pour qu'il permette de transmettre des données pour du transfert de fichier.
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
[^] # Re: La sécurité ? Une contrainte pour la productivité
Posté par Marotte ⛧ . Évalué à 4. Dernière modification le 07 avril 2016 à 22:33.
Oui mais je voulais raconter cette histoire quoi :)
La lecture de ta réponse m’a forcé à y réfléchir et j’avoue qu’en effet ça ne me semble pas si simple que ça… (mais je suis pas une flèche).
La première idée qui m’est venue c’est d’envoyer un Ctrl+Alt+F1 pour pouvoir envoyer des commandes ensuite… mais bon… je pense que le dernier des utilisateurs se rendrait compte à ce moment là qu’il aurait pas dû brancher cette clé… Sans compter que si personne est connecté sur ce TTY…
[^] # séquence pour lancer les commandes
Posté par bobble bubble . Évalué à 3.
j'aurais essayé Alt+F2 plutôt
[^] # Re: La sécurité ? Une contrainte pour la productivité
Posté par Aissen . Évalué à 4.
C’est même pire que ça… il est tout à fait possible de transformer une clef USB "standard" en un clavier… en réecrivant le code du contrôleur. Et jusqu’à il y a peu, la plupart des modèles n’avaient aucune protection, il suffit du logiciel adapté pour réecrire le code:
http://www.wired.com/2014/11/badusb-only-affects-half-of-usbs/
http://usb-fix.blogspot.com
https://github.com/adamcaudill/Psychson
http://flashboot.ru/
[^] # Re: La sécurité ? Une contrainte pour la productivité
Posté par Michaël (site web personnel) . Évalué à 4.
Il n'y a pas d'autre règle que l'usage, comme en témoigne Grévisse (§468). Pour les mots anglais, c'est assez divers, et cela change même selon qu'on parle du français d'Europe ou du français du Canada, Grévisse cite par exemple:
Les exemples montrent que le genre du mot équivalent français peut exercer une attraction mais n'est pas le seul déterminant.
Pour les mots d'autres langues, par exemple en français on écrit plutôt le SPD alors qu'en allemand c'est féminin, ce qui montre que les noms empruntés à une langue ne conservent pas nécessairement leur genre en changeant – sans pour autant être assignés au genre d'un mot français équivalent comme dans ce cas particulier.
[^] # Re: La sécurité ? Une contrainte pour la productivité
Posté par Misc (site web personnel) . Évalué à 10.
Et du coup, c'est quoi la motivation pour ne pas trouver un taf qui soit moins relou ?
Parce que bon, le taf, on y passe pas mal de temps, donc ça me parait important que le truc soit pas trop chiant. Est ce que ça paye tellement bien, le travail en lui même est intéressant, ou d'autres raisons ?
[^] # Re: La sécurité ? Une contrainte pour la productivité
Posté par ckiller . Évalué à 10.
la drogue, le fric, les voyages au panama…
# Merci pour cette phrase toute faite mais facilement compréhensible
Posté par Christophe B. (site web personnel) . Évalué à 4.
Tu dis que cela date de 10 ans mais je ne suis pas convaincu …
Le genre de dialogue que tu rapportes dois encore se produire.
Certaines personnes ont besoin de se bruler pour comprendre que le feu c'est dangereux
Par contre dans certains milieu proches des assurances et des banques, je trouve qu'il en font un peu trop.
Même si mon client ne fait que RECEVOIR des fichiers en ascii et formattés il a quand même droit à un audit informatique.
Le premier auditeur c'était un vrai, il était au courant des versions de Linux du noyau etc …
Le deuxième s'est borné à envoyer un mail concernant shellock poodle et venom
Mais bon, on voit bien que la facture concernant la sécurité est de plus en plus étudiée, les comptables et autres contrôleurs de gestion commencent à être au courant.
C'est comme les sites webs, il n'y a plus que les partis politiques pour avoir des factures de plusieurs centaines de milliers ( millions ? ) d'euros … pour un site web statique de quelques pages
Sinon tu as pensé à envoyer un devis a Mossack et Fonseca ?
[^] # Re: Merci pour cette phrase toute faite mais facilement compréhensible
Posté par modr123 . Évalué à 3.
et comment veux tu qu'ils se financent sinon ?
l'argent des sites étant payés par l'état dans le cadres des comptes de campagnes éléctoral
[^] # Re: Merci pour cette phrase toute faite mais facilement compréhensible
Posté par passant·e . Évalué à 4.
Je radotais du vieux vécu mais c'est sûrement encore d'actualité…
C'est vrai que pas mal de monde s'est goinfré. Bon, pas autant que les experts Y2K et J2EE
Je trolle dès quand ça parle business, sécurité et sciences sociales
[^] # Re: Merci pour cette phrase toute faite mais facilement compréhensible
Posté par Christophe B. (site web personnel) . Évalué à 7.
Pour J2EE je sais pas
par contre pour Y2K effectivement … c’était le bon temps
D'ailleurs il y a eu tellement d'abus et de malhonnêteté que l'on a rangé les professionnels de la la profession informatique au même niveau que les garagistes, plombiers et autres syndics de copropriétés
# Ouep
Posté par yeahman . Évalué à 7.
Les commentaires sont très intéressants, on a tous une expérience différente.
La mienne ? Des décideurs qui prennent ceux qui promettent tout.
Le moins cher, le plus rapide, etc…
Et même s'ils se sont brûlé les doigts avant, il s'en foutent.
Il ne veulent pas prendre plus cher et moins rapide.
Pourquoi ? Parce qu'à un moment donné dans un contexte d'économie mondiale en berne ou chaque brouzouf compte, s'il y a un souci, ils auront choisi le moins cher. Et pour la plupart des grosses boites, c'est uniquement ça qui importe.
Et s'ils ne sont pas satisfaits ? Ils se retournent vers l'entreprise qui leur a vendu du rêve et les saigne à coup d'avocat et de pénalités de retard.
# Audit sécurité bidon
Posté par Denis Dordoigne . Évalué à 7.
Je n'ai que 10 ans d'expérience chez des fournisseurs de services et des hébergeurs, je n'ai donc jamais eu l'occasion de voir un audit de sécurité sérieux, ceux-ci doivent être statistiquement négligeables dans l'offre proposée sur le marché. Généralement le client prend le prestataire le moins cher qui va se contenter de lancer un script pour collecter des données et générer un rapport qui sera vaguement personnalisé. J'ai vu des recommandations totalement grotesques sortir de ces rapports, tout en ne voyant pas des failles béantes, mais le client était content parce qu'il avait eu son audit de sécurité.
Membre de l'april, et vous ? https://april.org/adherer -- Infini, l'internet libre et non commercial : https://infini.fr
[^] # Re: Audit sécurité bidon
Posté par dyno partouzeur du centre . Évalué à 8.
J'ai vu des pentesteurs sérieux et compétents, qui ne se contentent pas de lancer des outils de script kiddies qui génère un rapport automatique : Des mecs qui vont vriament t'anayser ton site, trouver un truc bizarre avec des outils comme burp, et creuser jusqu'à te trouver une faille qui te fera bondir et te dire comment corriger, ou te dire que c'est pas exploitable, et pourquoi. Mais forcément c'était cher.
En réalité, le DSI moyen prendra le moins cher qui a un minimum de crédibilité. Il pense que de toutes façons la sécurité c'est pas forcément son rôle, c'est le rôle des développeurs et des admins. Lui il veut juste acheter un coup de tampon qui lui permettra de dire "vous voyez, j'avais mis en place des process, j'avais fait le nécessaire, c'est pas de ma faute".
# s/cher/coûteux/
Posté par kna . Évalué à 7.
Il n'y a pas qu'en terme d'argent que c'est cher.
Typiquement, on ne prend pas le temps de faire proprement les choses, on fait un hack à la rache et non documenté qui fait le job à un instant t. Ou on ne fait pas certaines interventions qui devraient être faites (des mises à jour par exemple) pour éviter une indisponibilité.
Après, c'est pas forcément trop tard, mais c'est plus cher. T'as juste toute une équipe entière qui passe toute la journée à remettre le service en route.
[^] # Re: s/cher/coûteux/
Posté par Anonyme . Évalué à 10.
le problème que je constate, c'est que mon équipe ou la votre ne va pas envoyer une facture avec : grosse connerie du stagiaire (fils de X) 15Hx7 personnes = 12 600€ 30 jours fin de mois svp
en ce moment je me tâte de plus en plus à le faire, vu les conneries que je me tape a cause d'amateurisme flagrant et de méthode larrache. Si ca marche je ferais un journal :).
larrache je le fais aussi de temps en temps, mais quand le BE a 4 mois pour pondre un script shell a 2 balles et le fait le matin pour la réunion de l'après midi, je suis colère tout rouge !
[^] # Re: s/cher/coûteux/
Posté par passant·e . Évalué à 10.
je vote pour un journal!
Je trolle dès quand ça parle business, sécurité et sciences sociales
[^] # Re: s/cher/coûteux/
Posté par Kerro . Évalué à 3.
Pour ma part j'ai eu l'occasion de le faire : plusieurs fois pour un même client qui a l'habitude de faire appel à des « moins bons que la comptable ».
Suite au passage d'un prestataire qui avait juste à installer une application sans rien de particulier sur un serveur. Je le sais puisque désormais c'est moi qui m'en occupe : il suffit de lancer le setup et de faire suivant-suivant-suivant. Mais bon il y a un dossier a mettre en lecture/écriture pour un groupe, je pense que c'est là qu'ils n'ont pas su faire sans flinguer le système :-)
Sur la facture la ligne était du style : « réinstallation du serveur X suite à l'intervention de la société Y : 2h » (oui, réinstallation, car les sauvegardes de l'époque ne s'occupaient que des données, pas du système). Rien de méchant, mais je justifie chaque ligne facturée.
Une autre fois c'était quelque chose dans le goût de : « assistance pour la société Y : 3h30 » parce que le mec ne sait même pas faire un copier/coller depuis l'explorateur Windows /o\ C'est tellement énorme que je ne vois pas comment il a pu se retrouver à ce poste (il était commercial à l'origine. Et à l'entendre parler et argumenter, je pense que c'était un mauvais commercial).
Et une troisième fois dont je ne me souviens plus. Cela dit les sommes en jeu sont faibles. Je suis le premier à le regretter.
# BSI
Posté par Michaël (site web personnel) . Évalué à 4. Dernière modification le 07 avril 2016 à 15:58.
Il y a aussi un vrai travail des pouvoir publics pour sensibiliser les entrepreneurs à ces problématiques, par exemple au travers des agences nationales comme l'ANSSI pour la France ou le BSI pour l'Allemagne – où j'habite. (En fait j'habite même à côté du BSI, qui pour la petite histoire occupe les locaux de l'ancienne ambassade de RDA à l'époque de la division.) Ces deux organismes organisent apparemment des workshops et des formations. À l'échelle locale, les chambres de commerce et d'industrie organisent aussi des évènements à ce sujet.
D'ailleurs je suppose que les CC sont toujours intéressées par des intervenants potentiels.
[^] # Re: BSI
Posté par Sufflope (site web personnel) . Évalué à 7.
Ils ont gagné leur légitimité en découvrant tous les micros ?
[^] # Re: BSI
Posté par Kerro . Évalué à 7.
Non car le bâtiment est directement construit en micros. Le ciment ne sert qu'à colmater les interstices.
[^] # Re: BSI
Posté par LoloB . Évalué à 1.
Concernant l'ANSSI, il y a même une obligation de se mettre au niveau pour les OIV (env 200~300 sociétés en France). Il y a des certifications pour les prestataires de service (PDIS, PRIS, PASSI) et les obtenir n'est pas évident.
Non, en terme de sécurité on a ce qu'il faut en terme de prestataires (IBM, Thalès, EADS, OBS, …) mais si on ne force pas les clients, ils ne font rien (exemple en France : TV5, Areva, …).
A priori, la sécurité des OIV devrait s'élever durant les 3 prochaines années …
# Ecologie
Posté par gUI (Mastodon) . Évalué à 10.
C'est tout simplement le drame de l'écologie.
Pour l'instant, on est encore dans la phase "c'est trop cher". A nous de ne pas rentrer dans la "c'est trop tard"…
En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.
# Désolé pour le lien "sale", mais
Posté par MTux . Évalué à 5.
…voici probablement un autre exemple : http://korben.info/offrir-organes-cest-plus-cool-doffrir-donnees-personnelles.html
Et comme d'habitude il faut faire un bad buzz pour obtenir une réponse, c'est triste.
# [HS] avec le titre
Posté par Glandos . Évalué à 3.
C'est marrant, en voyant le titre dans mon lecteur de flux, j'ai pensé à l'annonce de Nest http://www.numerama.com/business/161259-nest-va-eteindre-lensemble-des-hub-domotique-revolv.html
Ça s'y prête bien aussi, mais c'est pas le sujet.
Effectivement, la sécurité, on n'y est pas encore. Quand je parle de mettre des mots différents et aléatoires sur chaque caméra IP d'un réseau qui va se monter, on me dit que ça va être trop dur à gérer.
[^] # Re: [HS] avec le titre
Posté par notimeu . Évalué à 2.
Je sais pas vraiment sur quels protocoles vous tournez, mais utiliser TLS avec une autorité de certification interne, et distribuer des certificat pour chaque caméra IP ne serait-il pas plus simple et plus rapide à gérer (à part la partie renouvellement) ? Comme ça pas besoin de vérifier le MDP, juste valider le certificat client.
[^] # Re: [HS] avec le titre
Posté par Glandos . Évalué à 2.
Pour l'interface Web, d'accord. Mais les flux RTSP, à ma connaissance, pas de TLS possible. Et encore moins avec des caméras IP pas trop chères…
[^] # Re: [HS] avec le titre
Posté par notimeu . Évalué à 1.
Effectivement le support du TLS pour les flux RTSP semble être dépendant de l'implémentation fournisseur.
[^] # Re: [HS] avec le titre
Posté par briaeros007 . Évalué à 2.
c'est pas srtp la norme a utiliser plutôt si vous voulez sécurisé du flux comme ça ?
# Sujet discuté dans NoLimitSécu
Posté par Aissen . Évalué à 2.
Le sujet a été traité récemment dans NoLimitSecu:
https://www.nolimitsecu.fr/methodologie-d-evaluation-du-niveau-de-securite-des-prestataires-de-services-it/
Épisode du podcast très intéressant, avec des retours positifs.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.