IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

Des informations permettant de pirater les équipements d’un aéroport seraient en vente


Sujet :

Sécurité

  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Dirigeant
    Inscrit en
    Juin 2016
    Messages
    3 160
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Bénin

    Informations professionnelles :
    Activité : Dirigeant
    Secteur : Aéronautique - Marine - Espace - Armement

    Informations forums :
    Inscription : Juin 2016
    Messages : 3 160
    Points : 66 307
    Points
    66 307
    Par défaut Des informations permettant de pirater les équipements d’un aéroport seraient en vente
    Des informations permettant de pirater les équipements d’un aéroport seraient en vente
    pour 10 dollars US sur le dark web

    Les aéroports passent bien souvent à tort pour des bastions inviolables de la sécurité numérique. Cette idée a eu le temps de s’ancrer dans l’inconscient collectif de l’humanité et aujourd’hui, nous avons du mal à nous en défaire. Pourtant, ce ne sont pas les cas de failles dans les systèmes de sécurité informatique des aéroports qui manquent. Des chercheurs en sécurité ont révélé que, pour le prix ridiculement bas de 10 USD, on pouvait se procurer les informations permettant d’accéder aux systèmes d’un aéroport dont ils ont préféré taire le nom.

    En effet, des chercheurs de la firme éditrice de logiciels McAfee ont révélé une sombre escroquerie prenant pour cible un aéroport. Les criminels auteurs du forfait vendraient l’accès à des équipements aéroportuaires piratés via des boutiques RDP (Remote Desktop Protocol) sur le dark web. Précisons à toutes fins utiles que le Remote Desktop Protocol est un protocole propriétaire développé par Microsoft qui permet aux utilisateurs d'accéder à un autre ordinateur que le leur, par le biais d’une interface graphique. Ces criminels effectueraient un balayage sur Internet afin de repérer les systèmes ouverts aux connexions RDP. Une fois ces systèmes identifiés, les pirates lanceraient leurs attaques en se servant d’outils connus.

    Nom : airport-740x463.jpg
Affichages : 3458
Taille : 99,3 Ko

    Les chercheurs de McAfee ont rapporté qu’ils avaient découvert en vente dans une boutique RDP « un accès lié aux systèmes de sécurité et d'automatisation des bâtiments d'un grand aéroport international ». Ils reconnaissent ne pas savoir précisément de quelle manière ces informations sont tombées entre les mains des pirates, mais ils soulignent qu’elles auraient pu être obtenues par le biais d’attaques par force brute.

    N’importe qui pouvant acheter cet accès, les risques d’attaques sont démultipliés. De simples vols de données à des types d’attaques autrement plus dévastateurs, les possibilités d’utilisation néfaste de ces données sont quasi illimitées. Ce nouvel épisode dans la saga des données piratées vient nous rappeler à quel point un seul maillon dans un système de sécurité peut mettre en péril toute une organisation. L’aéroport en question, dont le nom n’a pas été communiqué, aurait déjà pris les mesures nécessaires pour sécuriser son système et le rendre moins vulnérable à ce genre d’attaques, selon ce que les chercheurs ont rapporté.

    Les transports aériens ne sont cependant pas le seul secteur sensible dont la sécurité laisse à désirer. Les chercheurs déclarent avoir vu de grandes quantités de données de systèmes gouvernementaux – dont des données du secteur ultrasensible des soins de santé - mises en vente à travers le monde. Et c’est plus qu’inquiétant que les données de secteurs aussi vitaux ne soient pas mieux protégées. En guise de conclusion, les chercheurs informent que l’utilisation de mots de passe complexes et d’une authentification à deux facteurs pourrait considérablement réduire la vulnérabilité des systèmes aux attaques RDP.

    Source : McAfee - wccftech

    Et vous ?

    Que pensez-vous de l'insécurité des données qui s'invite dans tous les secteurs d'activité ?
    Que faire pour éradiquer ces attaques qui deviennent un fléau pour la société ?

    Voir aussi

    Une firme de sécurité poursuivie pour ne pas avoir pu détecter un malware qui a permis de pirater les données de plus de 650 clients d'une entreprise

    Android : la nouvelle politique de sécurité de Google imposera des mises à jour régulières les fabricants de téléphones devraient s'y conformer

    Quels sont les risques de sécurité majeurs du cloud computing ? Une étude du CSA en révèle douze

    Six tendances en sécurité et gestion du risque qui pourraient être bénéfiques à votre entreprise selon Gartner

  2. #2
    Expert confirmé
    Avatar de Doksuri
    Profil pro
    Développeur Web
    Inscrit en
    Juin 2006
    Messages
    2 479
    Détails du profil
    Informations personnelles :
    Âge : 54
    Localisation : France

    Informations professionnelles :
    Activité : Développeur Web

    Informations forums :
    Inscription : Juin 2006
    Messages : 2 479
    Points : 4 691
    Points
    4 691
    Par défaut
    c'est comme les USB de charchement des telephones.... c'est super des ports USB de partout (surtout dans les aeroports), mais qui te dit qu'il n'y a pas un serveur derriere qui collecte tes datas.

    perso, j'ai un cable USB (que j'ai toujours sur moi depuis des annees) ou j'ai coup les fils de la data, je recharge mon telephone sur n'importe quoi sans avoir peur

  3. #3
    Membre extrêmement actif
    Avatar de Ryu2000
    Homme Profil pro
    Étudiant
    Inscrit en
    Décembre 2008
    Messages
    9 880
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 36
    Localisation : France, Hérault (Languedoc Roussillon)

    Informations professionnelles :
    Activité : Étudiant

    Informations forums :
    Inscription : Décembre 2008
    Messages : 9 880
    Points : 18 820
    Points
    18 820
    Par défaut
    Citation Envoyé par Bill Fassinou Voir le message
    Que faire pour éradiquer ces attaques qui deviennent un fléau pour la société ?
    Ne pas faire de système connecté qui se contrôle à distance (mais parfois on a pas le choix)
    Parce qu'il y aura toujours une faille exploitable quelque part.
    Maintenir tous les systèmes à jour au niveau de la sécurité ça coûterait une fortune et de toute façon on a pas connaissance de toutes les failles. (c'est une course entre les experts de la sécurité et les hackers)
    Il y a des hackers qui partagent leur découvertes pour faire avancer la sécurité.
    Il y a des hackers qui gardent leur découvertes pour eux, ou qui les vendent.

    En piratant certains systèmes il doit y avoir moyen de bien foutre la merde dans un pays.
    La NSA a probablement travaillé là dessus.

  4. #4
    Membre extrêmement actif
    Avatar de benjani13
    Homme Profil pro
    Consultant en sécurité
    Inscrit en
    Février 2010
    Messages
    615
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Ain (Rhône Alpes)

    Informations professionnelles :
    Activité : Consultant en sécurité

    Informations forums :
    Inscription : Février 2010
    Messages : 615
    Points : 2 826
    Points
    2 826
    Par défaut
    Citation Envoyé par Ryu2000 Voir le message
    Maintenir tous les systèmes à jour au niveau de la sécurité ça coûterait une fortune et de toute façon on a pas connaissance de toutes les failles.
    Ne pas exposer un RDP sur internet ça ne coute pas une fortune. Si c'est vraiment nécessaire, désactiver les comptes par défaut et mettre un mot de passe fort ça ne coute pas non plus une fortune.

    De plus, le genre d'arguments "de toute façon on a pas connaissance de toutes les failles" est d'une part un non sens car la sécurité se mesure en terme de niveau de risques, ce n'est pas une notion binaire et est souvent un prétexte pour éluder la sécurité des systèmes. Si on suit cette logique je ne vais pas payer pour une serrure pour ma porte d'entrée vu qu'on pourrait toujours l'ouvrir avec un bélier.

  5. #5
    Membre extrêmement actif
    Avatar de Ryu2000
    Homme Profil pro
    Étudiant
    Inscrit en
    Décembre 2008
    Messages
    9 880
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 36
    Localisation : France, Hérault (Languedoc Roussillon)

    Informations professionnelles :
    Activité : Étudiant

    Informations forums :
    Inscription : Décembre 2008
    Messages : 9 880
    Points : 18 820
    Points
    18 820
    Par défaut
    Il faut chercher à se protéger autant que possible, surtout si il s'agit d'un système sensible (comme une centrale nucléaire par exemple).
    Mais on ne peut pas être protégé à 100% (même en étant hors ligne on peut être touché, rappeler vous du virus américo-israélien Stuxnet).
    Même en faisant le plus d'effort possible il existe toujours un risque.

    Après il faut suivre le protocole, un pote bossait dans une entreprise qui a subit une attaque à l'époque des ransomwares (donc il n'y a pas très longtemps), il disait que l'attaque était passé par l'imprimante car elle avait un mot de passe trop simple.

    On ne sera jamais en sécurité à 100% (en plus il peut y avoir des logiciels truqués, des backdoors dans des appareils réseaux ou des logiciels, etc).
    Mais il faut quand même faire le maximum pour prévenir le plus de scénarios connu.

  6. #6
    Expert éminent

    Profil pro
    Fabricant et casseur d'avions
    Inscrit en
    Avril 2004
    Messages
    3 816
    Détails du profil
    Informations personnelles :
    Localisation : France, Tarn (Midi Pyrénées)

    Informations professionnelles :
    Activité : Fabricant et casseur d'avions
    Secteur : Aéronautique - Marine - Espace - Armement

    Informations forums :
    Inscription : Avril 2004
    Messages : 3 816
    Points : 7 648
    Points
    7 648
    Par défaut
    On ne communique pas le nom de l'aéroport en question, mais avec la photo on sait que c'est à Amsterdam qu'il ne faut pas se brancher en USB... C'est ça?

  7. #7
    Membre expérimenté
    Homme Profil pro
    Développeur .NET
    Inscrit en
    Juillet 2005
    Messages
    562
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 42
    Localisation : France, Saône et Loire (Bourgogne)

    Informations professionnelles :
    Activité : Développeur .NET
    Secteur : Distribution

    Informations forums :
    Inscription : Juillet 2005
    Messages : 562
    Points : 1 511
    Points
    1 511
    Par défaut
    Citation Envoyé par Ryu2000 Voir le message
    il disait que l'attaque était passé par l'imprimante car elle avait un mot de passe trop simple.
    Étrange comme conclusion, une imprimante n'a jamais eu pour vocation d'être accessible de l'extérieur... Incriminer l'imprimante et sa config par défaut sert juste à discriminer le vrai responsable, celui-qui gère le réseau.
    Tous ça pour dire que la sécurité c'est un métier complet au même sens qu'il y a des développeur, des admin réseaux, des admin Bdd, et donc des experts en sécurité. Et pourtant la plupart des temps on fait reposer cette responsabilité sur quelqu'un qui ne connait rien de plus en sécurité que la bonne utilisation d'un mot de passe... comme si c'était suffisant.

    De plus la sécurité à 100% n'existe pas, le jeu de la sécurité c'est de mettre un maximum de moyen dedans pour forcer les attaquants à eu aussi monter en moyen. Ainsi plus votre sécurité sera ficelé, plus l'attaquant devra être qualifié, plus il aura besoin de ressources, et donc moins important sera le risque.

    J@ck.

  8. #8
    Membre extrêmement actif
    Avatar de Ryu2000
    Homme Profil pro
    Étudiant
    Inscrit en
    Décembre 2008
    Messages
    9 880
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 36
    Localisation : France, Hérault (Languedoc Roussillon)

    Informations professionnelles :
    Activité : Étudiant

    Informations forums :
    Inscription : Décembre 2008
    Messages : 9 880
    Points : 18 820
    Points
    18 820
    Par défaut
    Citation Envoyé par J@ckHerror Voir le message
    Étrange comme conclusion, une imprimante n'a jamais eu pour vocation d'être accessible de l'extérieur...
    Ouais ça m'a paru bizarre également.
    Peut être qu'il se foutait de ma gueule, j'ai pas approfondi le sujet...
    Mais bon les imprimantes peuvent représenter un risque.

  9. #9
    Membre expérimenté
    Homme Profil pro
    Développeur .NET
    Inscrit en
    Juillet 2005
    Messages
    562
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 42
    Localisation : France, Saône et Loire (Bourgogne)

    Informations professionnelles :
    Activité : Développeur .NET
    Secteur : Distribution

    Informations forums :
    Inscription : Juillet 2005
    Messages : 562
    Points : 1 511
    Points
    1 511
    Par défaut
    Citation Envoyé par Ryu2000 Voir le message
    Ouais ça m'a paru bizarre également.
    Peut être qu'il se foutait de ma gueule, j'ai pas approfondi le sujet...
    Ou plus simplement il pense faire de la sécurité, mais finalement qu'a la hauteur de ces connaissances, qui sont proches du néant en terme de sécurité, pour beaucoup des mots de passe fort et un SI à jour leurs fait dire qu'ils sont au top de la sécurité. Mais ils ignorent ce qu'est la sécurité informatique.
    Je parle comme si je connaissais le truc, mais pas du tout, j'ai fait un peu de sécurité dans un labo de rechercher mais uniquement pour me rendre compte du vaste de domaine qu'est la sécurité informatique.

    Maintenant pour revenir à ton pote, pour moi, c'est lui ET sa hiérarchie les responsables dans un tel cas. Il est en effet assez rare qu'une entreprise alloue un budget sécurité informatique, quand bien même la quasis intégralité des entreprises cours un risque, bien souvent assez important. Je présume que les choses vont changer petit à petit, la saison des ransomware à bien aidé à faire prendre conscience de la chose aux décideurs. Dans mon cas perso par exemple, ma direction commence de temps en temps à parler des problèmes de sécurité informatique, car ils ont compris que maintenant le risque est majeur et bien présent (on a bloqué une attaque l'année dernière alors qu'un poste avait été infecté et qu'un serveur commençais à être crypté, 0 impact car réaction rapide (mais chanceuse)). Mais pour autant je suis pas prêt de voir un audit ... mais les choses avance tout doucement.

    J@ck.

  10. #10
    Membre éprouvé
    Homme Profil pro
    Architecte cybersécurité
    Inscrit en
    Avril 2014
    Messages
    516
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Hauts de Seine (Île de France)

    Informations professionnelles :
    Activité : Architecte cybersécurité
    Secteur : Industrie

    Informations forums :
    Inscription : Avril 2014
    Messages : 516
    Points : 1 196
    Points
    1 196
    Par défaut
    Maintenant pour revenir à ton pote, pour moi, c'est lui ET sa hiérarchie les responsables dans un tel cas. Il est en effet assez rare qu'une entreprise alloue un budget sécurité informatique, quand bien même la quasis intégralité des entreprises cours un risque, bien souvent assez important. Je présume que les choses vont changer petit à petit, la saison des ransomware à bien aidé à faire prendre conscience de la chose aux décideurs. Dans mon cas perso par exemple, ma direction commence de temps en temps à parler des problèmes de sécurité informatique, car ils ont compris que maintenant le risque est majeur et bien présent (on a bloqué une attaque l'année dernière alors qu'un poste avait été infecté et qu'un serveur commençais à être crypté, 0 impact car réaction rapide (mais chanceuse)). Mais pour autant je suis pas prêt de voir un audit ... mais les choses avance tout doucement.

    Mais c'est surtout la culture des gens (et non des entreprises) qu'il faut changer.

    Combien d'ingénieur systèmes et réseaux savent utiliser SE Linux par exemple? Quand bien même ils sont sur CentOS, ils le désactivent parce qu'ils ont la flemme d'étudier son fonctionnement.

    ISO27001 devrait pouvoir faire changer un peu les choses.

  11. #11
    Membre extrêmement actif
    Avatar de Ryu2000
    Homme Profil pro
    Étudiant
    Inscrit en
    Décembre 2008
    Messages
    9 880
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 36
    Localisation : France, Hérault (Languedoc Roussillon)

    Informations professionnelles :
    Activité : Étudiant

    Informations forums :
    Inscription : Décembre 2008
    Messages : 9 880
    Points : 18 820
    Points
    18 820
    Par défaut
    Citation Envoyé par J@ckHerror Voir le message
    Ou plus simplement il pense faire de la sécurité
    Non mais il pense pas du tout faire de la sécurité, ce n'est pas du tout son job.
    C'est jusqu'un soir il a du rester plus tard au travail parce qu'il y avait une histoire de ransomware, et lui et le chef de l'entreprise on cherché et réglé le problème avant de repartir. (c'est une toute petite entreprise)

    Citation Envoyé par J@ckHerror Voir le message
    qu'un serveur commençais à être crypté
    On dit chiffrer, crypter ça n'existe pas en Français.
    Par contre décrypter ça existe.
    De mémoire décrypter signifie "déchiffrer sans connaitre la clé".
    Donc crypter ça voudrait dire "chiffrer sans connaitre la clé" et c'est impossible, il te faut une clé pour chiffrer quelque chose.

    ===
    Chaque objet connecté et chaque périphérique connecté sur le réseaux sont des portes d'entrées potentiels pour les attaques.

    Les objets connectés posent d'immenses problèmes de sécurité informatique. La preuve cette affaire au cours de laquelle des pirates ont réussi à accéder frauduleusement aux données d'un casino grâce à... un thermomètre d'aquarium connecté.

  12. #12
    Membre expérimenté
    Homme Profil pro
    Développeur .NET
    Inscrit en
    Juillet 2005
    Messages
    562
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 42
    Localisation : France, Saône et Loire (Bourgogne)

    Informations professionnelles :
    Activité : Développeur .NET
    Secteur : Distribution

    Informations forums :
    Inscription : Juillet 2005
    Messages : 562
    Points : 1 511
    Points
    1 511
    Par défaut
    Mea culpa, crypter chiffrer encoder toussa toussa comme je vous le dit je ne suis pas un expert, mais c'est pas une raison pour pas utiliser les bons mots, un petit rappel ne fait jamais de mal :p !

    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    Non mais il pense pas du tout faire de la sécurité, ce n'est pas du tout son job.
    Exactement comme moi, ce n'est pas mon job mais quand il y a un problème c'est quand même moi que l'on vient voir...
    Alors que pour moi, ce rôle devrait au pire revenir à un prestataire externe, qui assure la sécurité informatique de l'entreprise, avec audit régulier etc... en gros ce que les grosses entreprises font devrait également être fait dans les petites, mais ce n'est pas encore le cas aujourd'hui, je suis persuadé que ça viendra, de la même manière qu'on a tous un mec qui passe tous les ans dans le bureau pour les clim, et un autre pour l'électricité.

    J@ck.

  13. #13
    Membre extrêmement actif
    Avatar de Ryu2000
    Homme Profil pro
    Étudiant
    Inscrit en
    Décembre 2008
    Messages
    9 880
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 36
    Localisation : France, Hérault (Languedoc Roussillon)

    Informations professionnelles :
    Activité : Étudiant

    Informations forums :
    Inscription : Décembre 2008
    Messages : 9 880
    Points : 18 820
    Points
    18 820
    Par défaut
    Citation Envoyé par J@ckHerror Voir le message
    De la même manière qu'on a tous un mec qui passe tous les ans dans le bureau pour les clim, et un autre pour l'électricité.
    Ouais enfin la vérification de la sécurité est un peu plus compliqué et crucial que la vérification de la clim... (une clim en panne c'est moins grave qu'une entreprise piraté)
    Chaque appareil branché au réseau est un risque potentiel.
    Même un routeur peut être hacké

    Dans les entreprises ils installent des logiciels pour protéger les PC, mais tu perds ton profil d'administrateur et si tu veux installer un logiciel t'es obligé de demandé à la personne qui gère ça... (il doit installer à distance via TeamViewer)
    Bon au moins ça évite que quelqu'un installe un mauvais logiciel et de toute façon on installe pas des logiciels tous les jours.

  14. #14
    Membre expérimenté
    Homme Profil pro
    Développeur .NET
    Inscrit en
    Juillet 2005
    Messages
    562
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 42
    Localisation : France, Saône et Loire (Bourgogne)

    Informations professionnelles :
    Activité : Développeur .NET
    Secteur : Distribution

    Informations forums :
    Inscription : Juillet 2005
    Messages : 562
    Points : 1 511
    Points
    1 511
    Par défaut
    Citation Envoyé par Ryu2000 Voir le message
    Ouais enfin la vérification de la sécurité est un peu plus compliqué et crucial que la vérification de la clim...
    Bien-sur, et pourtant c'est le mec de la clim que l'on voit et pas celui des audits de sécurité informatique.

    Pour la petit histoire, un jour, j'ai vue une clim qui gouttait sur un serveur ...

    Il parait que 90% des problèmes de sécurité sont supprimé par le simple fait de ne pas être en session administrateur. En effet c'est plus compliqué pour l'admin, il y a aussi les problèmes de progiciel demandant forcement les droits admin, j'espère de plus en plus rare.

    J@ck.

  15. #15
    Membre extrêmement actif
    Avatar de benjani13
    Homme Profil pro
    Consultant en sécurité
    Inscrit en
    Février 2010
    Messages
    615
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Ain (Rhône Alpes)

    Informations professionnelles :
    Activité : Consultant en sécurité

    Informations forums :
    Inscription : Février 2010
    Messages : 615
    Points : 2 826
    Points
    2 826
    Par défaut
    Citation Envoyé par J@ckHerror Voir le message
    M
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    Non mais il pense pas du tout faire de la sécurité, ce n'est pas du tout son job.
    Exactement comme moi, ce n'est pas mon job mais quand il y a un problème c'est quand même moi que l'on vient voir...
    Alors que pour moi, ce rôle devrait au pire revenir à un prestataire externe, qui assure la sécurité informatique de l'entreprise, avec audit régulier etc... en gros ce que les grosses entreprises font devrait également être fait dans les petites, mais ce n'est pas encore le cas aujourd'hui, je suis persuadé que ça viendra, de la même manière qu'on a tous un mec qui passe tous les ans dans le bureau pour les clim, et un autre pour l'électricité.
    Je ne suis pas du tout d'accord là dessus. La sécurité c'est pas un gars qui vient une fois par an vérifier le niveau des jauges et remettre un coup de tournevis (c'est une image je ne dénigre pas les réparateurs de clim' ).

    Dans ton message, remplace "sécurité" par "correction des bugs". Est-ce choquant qu'on vienne te voir si tu as introduit des bugs? Serait-ce normal de ne pas faire de corrections de bugs et juste demander à un gars de passer de temps en temps pour détecter et corriger les bugs? Est-ce que tu crois que ce serait efficace? C'est exactement pareille avec la sécurité. Pour moi un problème de sécurité doit être considéré comme un bug, et sa non correction doit être considéré comme une dette technique. Dette qui peut couter très cher. J'ai audité des projets (souvent des vieux trucs) où, la conclusion était que le projet était à jeter et à recommencer.

    La sécurité est une part du job de toute personne bossant dans l'informatique, du moins ça devrait l'être. Je suis admin réseaux, je dois connaitre les implications en terme de sécurité des choix que je fais (forces et faiblesse des protocoles, etc). Je suis dev web, je dois connaitre les failles web courantes et les éviter. Je suis admin sys, je dois savoir faire du hardenning. Je suis dev bas niveau, je dois connaitre les failles applicatives courantes. Etc, etc.

    Le problème est qu'on voit la sécurité comme une matière à part, alors que c'est un tronc commun. Malheureusement les formations ne se sont pas adaptées. Pour chaque matière informatique il devrait avoir un module de sécurité associé pour que les élèves, futurs pro, aient les bons réflexes en tout occasion, quelque soit leur futur métier.

    Un dernier point sur la vision de la sécurité. Quelqu'un qui réalise un audit n'est pas non plus là pour mettre un coup de tournevis. Il est là pour analyser et remonter le fait que y a des vis qui sont en trains de se barrer, conseiller comment les revisser correctement, voir conseiller d'autres types de vis qui seraient plus adaptées. C'est à l'organisateur de l'audit de faire redescendre les informations aux bonnes équipes qui iront prendre les mesures adéquats. C'est comme un testeur, un testeur vous remonte des bugs, puis vous les corrigez de la façon adéquats.

    Pour finir, je pense que 90% de la sécurisation incombe aux équipes en charges des projets (quelques soit leur poste, technicien, ingénieur, manager, direction), l'auditeur est là pour amener les 10% restant, et il ne pourra jamais allé plus loin que ça (car toujours très limité dans le temps, et on lui demande de se concentrer sur une toute petite partie des applications ou de l'infra). L'auditeur est là pour voir ce qui a échappé à la vigilance des intervenants du projet, découvrir des problèmes plus poussés de part ses compétences, et apporter du conseil.

    PS:
    Autre cas régulier, une boite développe une appli et se dit, à deux semaines de la mise en prod qu'il serait peut être intéressant de faire un audit. Pour ça, elles paient un prestataire pour 5 jours d'audit. Pensez-vous qu'une personne en une semaine peut trouver et résoudre tous les problèmes de sécurité? Quand je dis une semaine, je compte une bonne demi journée pour se mettre en route (dialogue avec les intervenants, découvertes du périmètres, résolution de problèmes divers), et une bonne journée et demi de rédaction du rapport. Reste, au mieux, 3 jours. Voila au mieux la place que prend la sécurité dans les projets, 3 jours homme, n'est-ce pas ridicule?

  16. #16
    Membre expérimenté
    Homme Profil pro
    Développeur .NET
    Inscrit en
    Juillet 2005
    Messages
    562
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 42
    Localisation : France, Saône et Loire (Bourgogne)

    Informations professionnelles :
    Activité : Développeur .NET
    Secteur : Distribution

    Informations forums :
    Inscription : Juillet 2005
    Messages : 562
    Points : 1 511
    Points
    1 511
    Par défaut
    Merci benjani13 pour ce retour plutôt constructif et intéressant.

    En effet je suis développeur d'appli métier et je traite les problèmes de sécurité de mes développements. Du moins je fais ce que je connais à ce niveau, je n'ai pas de problème avec ça. Le jour ou une bibliothèque tiers que j'utilise installera une backdoor ou truc du genre alors là, oui, je serais le seul responsable.

    De même que lorsque je parlais d'audit, en effet, le mec n'est pas là pour corriger les problèmes, mais pour les révéler.

    Disont que le scénario que j'aimerais se voir produire de plus en plus, c'est que les décideurs dans les entreprises (de toutes tailles) commencent à prendre la mesure des risques encourus (que ce soit parce que leurs admin leur en parlent, parce que leurs copains pdg l'a fait aussi, ... peut importe), et donc demande des audits qui forcément vont révéler des problèmes. Puis c'est les équipes en interne qui devront trouvés des réponse aux problèmes, avec sans doute l'aide des auditeurs.
    Mais sauf d'en parler à ça hiérarchie et attirer leurs regard dessus, dans la pratique il est bien souvent compliqué de faire bouger les choses, et l'on peut gère faire plus. Oui je peux me perfectionner pour avec des dev béton niveaux sécurité, des mots de passe chiffré en bdd, tant que les opératrices écrivent le mot de passe sur le post it en bas de l'écran ...

    Donc oui je te rejoins c'est une politique qui doit être générale, et pour ça il n'y a que le plus haut échelon de l'entreprise qui peut déployer une nouvelle politique d'entreprise.

    J@ck.

  17. #17
    Membre éprouvé
    Homme Profil pro
    Architecte cybersécurité
    Inscrit en
    Avril 2014
    Messages
    516
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Hauts de Seine (Île de France)

    Informations professionnelles :
    Activité : Architecte cybersécurité
    Secteur : Industrie

    Informations forums :
    Inscription : Avril 2014
    Messages : 516
    Points : 1 196
    Points
    1 196
    Par défaut
    Le jour ou une bibliothèque tiers que j'utilise installera une backdoor ou truc du genre alors là, oui, je serais le seul responsable.
    Ou du responsable de la sécurité ou du responsable système.

    Disont que le scénario que j'aimerais se voir produire de plus en plus, c'est que les décideurs dans les entreprises (de toutes tailles) commencent à prendre la mesure des risques encourus (que ce soit parce que leurs admin leur en parlent, parce que leurs copains pdg l'a fait aussi, ... peut importe), et donc demande des audits qui forcément vont révéler des problèmes. Puis c'est les équipes en interne qui devront trouvés des réponse aux problèmes, avec sans doute l'aide des auditeurs.
    Mais sauf d'en parler à ça hiérarchie et attirer leurs regard dessus, dans la pratique il est bien souvent compliqué de faire bouger les choses, et l'on peut gère faire plus. Oui je peux me perfectionner pour avec des dev béton niveaux sécurité, des mots de passe chiffré en bdd, tant que les opératrices écrivent le mot de passe sur le post it en bas de l'écran ...

    Donc oui je te rejoins c'est une politique qui doit être générale, et pour ça il n'y a que le plus haut échelon de l'entreprise qui peut déployer une nouvelle politique d'entreprise.
    ------> ISO 27001, la formation continue de la sécurité en entreprise en France.

Discussions similaires

  1. Réponses: 11
    Dernier message: 26/01/2011, 12h52
  2. Réponses: 0
    Dernier message: 14/11/2010, 17h49
  3. Réponses: 6
    Dernier message: 18/09/2007, 17h44
  4. Creation d'un formulaire permettant d'ajouter des information dans une autre fenêtre
    Par @rno0059 dans le forum Balisage (X)HTML et validation W3C
    Réponses: 1
    Dernier message: 22/06/2007, 08h47

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo