sécurité et machine virtuelle

Jean Bon (de Parme) wrote:

Bonjour

voila, j'ai un pc Medion akuya 1.6ghz avec 1Go de ram (ultraportable)
avec XP home SP3 installé dessus.
Ce PC est utilisé a des fin professionnel avec des logiciel sensibles
(dossiers medicaux)

Quant on utilise des données sensibles avec un ordi la première règle
c'est de ne pas s'en servir pour un usage Familial/Personnel

Le probleme avec ces logiciels c'est qu'ils necessitent les droits
admin + desactivation du firewall pour causer avec la CPAM.
Bon ce probleme j'ai une solution.

Par contre ce PC doit aussi servir a acceder a certain site normaux
(google, mappy, mail non pro, ETC ETC)

Donc ca pose un probleme niveau securité.

Il n'y a pas de problème de sécurité.
Le problème dans ce cas précis c'est l'usage que tu en fait.

Du reste se pose 2 problèmes.

La sécurité de tes données
Leur sécurisation

Tu ferais mieux d'utiliser un VPN (transfert sécurisé via IpSec par ex,
il serait étonnant que la CPAM n'utilise pas ce procédé ou alors l'admin
ferait mieux de se recycler).

Pour la protection des données, d'externaliser les dossiers médicaux
(disque dur externe avec copies sur des SD)

Ensuite reste la compromission si le PC est infecté, mais là c'est
prendre le problème à l'envers puisque les bonnes questions n'ont pas
été posé

On Fri, 26 Sep 2008 22:30:09 +0200, Depassage
<monadresseamoi@hotmail.com> wrote:

il serait étonnant que la CPAM n'utilise pas ce procédé ou alors l'admin
ferait mieux de se recycler).

D'apres l'installateur de ces logiciels, il faut desactiver tous les
firewall et mettre XP en mode administrateur....

De plus si la personne a un ultraportable, c'est pas pour en acheter
un 2ieme.

Depassage a écrit :

Tu ferais mieux d'utiliser un VPN (transfert sécurisé via IpSec par ex,
il serait étonnant que la CPAM n'utilise pas ce procédé ou alors l'admin
ferait mieux de se recycler).

MDR (comme ils disent), cela me rappelle la LS top sécurisé qui
devait relier le ministère de l'intérieur et l'imprimerie nationale ...
alors quoi un serveur VPN par centre de la CPAM (1 par département
parait-il depuis 2 mois) ? cela fait encore bcp trop cher.

Pour la protection des données, d'externaliser les dossiers médicaux
(disque dur externe avec copies sur des SD)

cela fait sens, au moins le disque est placé au coffre hors des
horaires d'exercice; de même un OS (linux) booté depuis un CD
permettrait de limiter les risques sur cette partie et isolerait
d'une compromission de l'"OS résident" (celui du disk).

Sylvain.

Jean Bon (de Parme) wrote:

On Fri, 26 Sep 2008 22:30:09 +0200, Depassage
<monadresseamoi@hotmail.com> wrote:

il serait étonnant que la CPAM n'utilise pas ce procédé ou alors l'admin
ferait mieux de se recycler).

D'apres l'installateur de ces logiciels, il faut desactiver tous les
firewall et mettre XP en mode administrateur....

C'est une hérésie... et du n'importe quoi en terme de sécurité

De plus si la personne a un ultraportable, c'est pas pour en acheter
un 2ieme.

Sauf qu'il m'étonnerait franchement qu'il ait été dit de faire de tout
et n'importe quoi avec un ordi comportant des données "sensibles"

L'usage exclusif prédomine vu le peu de sécurité apparement conçu autour
ou alors il y a des paramètres qui t'échappes (comme la constitution
d'un VPN crypté, et/ou d'un dossier protégé/crypté etc)

Si un dossier médical se retrouve dans la nature, ou est intercepté ou
se trouve modifié, altéré, détruit etc c'est devant les tribunaux que tu
vas te retrouver
Quant on voit déja qu'un dossier médical ne doit pas etre divulgué à un
tiers meme avec l'accord du patient

Quant à la réponse à ta question, tu peux effectivement te créer une
machine virtuelle, y installer un autre os, ou alors plus simplement
tout faire passer par un logiciel type sandboxie

Néanmoins autant tu sera relativement protégé pour te servir de cette Vm
pour ton usage personnel, autant il reste un ordi présentant des failles
de sécu importante pour l'usage professionnel

Mais à mon avis il doit y avoir quelques paramètres qui t'échappent, car
il n'est pas normal de tout désactiver pour faire du traitement d'envoi
ou alors c'est révélateur d'un système justement sécurisé pour
l'envoi/réception des données (ton firewall doit t'indiquer, si il est
évolué, pourquoi ca bloque et sur quel port ca passe)

"Jean Bon (de Parme)" <invalid@invalid.invalid> a écrit dans le message de
news: 1agqd41booo9m9ec5uintpjg0pvjktrapl@4ax.com...

Bonjour

voila, j'ai un pc Medion akuya 1.6ghz avec 1Go de ram (ultraportable)
avec XP home SP3 installé dessus.
Ce PC est utilisé a des fin professionnel avec des logiciel sensibles
(dossiers medicaux)

Le probleme avec ces logiciels c'est qu'ils necessitent les droits
admin + desactivation du firewall pour causer avec la CPAM.
Bon ce probleme j'ai une solution.
Par contre ce PC doit aussi servir a acceder a certain site normaux
(google, mappy, mail non pro, ETC ETC)

Donc ca pose un probleme niveau securité.

C'est pourquoi j'avais pensé a cloisonner tout ca pour que chacune des
2 parties ne parle pas a l'autre.

Logiciel pro : Sur un XP non virtuel qui bloque tout sauf ce qui est
necessaire aux logiciels non virtuel avec impossibilité d'utiliser
n'importe quel autre logiciel avec le net.

Le reste : une machine virtuelle qui n'a pas acces a XP non virtuel (y
compris les disques non virtuel) et dont l'acces peut etre autorisé au
net.

Voila. Si vous avez d'autre solution (pas cher) je suis ouvert a toute
propositions et meme a mettre l'OS virtuel sous linux.

moi je dis que :

1 - les medecins devraient s'adresser a de vrais professionnels. Et la CPAM
mettre a la dispo des medecins, non seulement un logiciel et des techniques
de transfert securisées, mais aussi un package complet, depuis le materiel,
jusqu'au Tunnel securise, et y compris le SE et son mode de demarrage.
2 - ceux qui ne sont pas sur devraient avoir l'honneteté de refuser ce genre
de travail. (sans que cela signifie qu'ils sont mauvais)
3 - les professionnels capable de faire se travail devraient recevoir une
habilitation renouvellable et controllée mieux qu'un ISO.

On parle bien de nos dossiers medicaux a tous, sujet sur lequel ont fait
tant de bruit concernant les dossiers contenus sur une puce ? oui ?
Et ses meme infos, seraient transmises au petit bonheur le chance et
stockées sur des PC qui servent a tout et n'importe quoi par des
utilisateurs qui ne connaissent des PC que ce que leurs ados leurs montrent
?

Mais cette question de la securite concerne plutot le groupe
news:fr.comp.securite plutot que celui des virus.



--
Cordialement,
Az Sam.

On Sat, 27 Sep 2008 09:16:34 +0200, Depassage
<monadresseamoi@hotmail.com> wrote:

Jean Bon (de Parme) wrote:

On Fri, 26 Sep 2008 22:30:09 +0200, Depassage
<monadresseamoi@hotmail.com> wrote:

il serait étonnant que la CPAM n'utilise pas ce procédé ou alors l'admin
ferait mieux de se recycler).

D'apres l'installateur de ces logiciels, il faut desactiver tous les
firewall et mettre XP en mode administrateur....

C'est une hérésie... et du n'importe quoi en terme de sécurité

Je suis d'accord. Mais seulement comme la majorité des utilisateur de
santé ne sont pas specialiste en informatique, ils prennent plus ou
moins en fonction du commercial qui vend sa merde.

De plus si la personne a un ultraportable, c'est pas pour en acheter
un 2ieme.

Sauf qu'il m'étonnerait franchement qu'il ait été dit de faire de tout
et n'importe quoi avec un ordi comportant des données "sensibles"

A partir du moment où l'on doit faire ce qui a été demandé au dessus,
on est plus a ca pres.
L'ideal est justement de cloisonner tout ca.

L'usage exclusif prédomine vu le peu de sécurité apparement conçu autour

ou alors il y a des paramètres qui t'échappes (comme la constitution
d'un VPN crypté, et/ou d'un dossier protégé/crypté etc)

Ca change rien s'il y a VPN crypté, le FW est tombé (XP et routeur
!!!)et XP est en administrateur. En utilisant une simple faille comme
ce fut le cas il y a quelques annees avec blaster tu imagine les
degats...

Et comme on peut pas se passer de connexion internet, ni de messagerie
obligatoire pour la teletransmission...

Si un dossier médical se retrouve dans la nature, ou est intercepté ou
se trouve modifié, altéré, détruit etc c'est devant les tribunaux que tu
vas te retrouver

C'est pas pour moi. La question m'a été posé (du FW et mode admin) et
je m'y suis interessé.
J'essaye juste de limiter les degats que provoque ce genre de
developpeur de programme...

Quant on voit déja qu'un dossier médical ne doit pas etre divulgué à un
tiers meme avec l'accord du patient

Tout ca je suis au courrant, mais tu n'imagine pas le nombre de
medecin qui ont un acces au web depuis leur PC medical....

Quant à la réponse à ta question, tu peux effectivement te créer une
machine virtuelle, y installer un autre os, ou alors plus simplement
tout faire passer par un logiciel type sandboxie

Ha on revient a l'esentiel.
Ok je vais suivre cette piste.

Néanmoins autant tu sera relativement protégé pour te servir de cette Vm
pour ton usage personnel, autant il reste un ordi présentant des failles
de sécu importante pour l'usage professionnel

Je sais, c'est pourquoi je veux verouiller la partie pro en filtrant
moi meme les acces web tout en laissant libre choix de "foutre le
bordel" dans un OS virtuel type ubuntu sans aucun droit d'nstallation
ou autres pour l'utilisateur.

Mais à mon avis il doit y avoir quelques paramètres qui t'échappent, car
il n'est pas normal de tout désactiver pour faire du traitement d'envoi
ou alors c'est révélateur d'un système justement sécurisé pour
l'envoi/réception des données (ton firewall doit t'indiquer, si il est
évolué, pourquoi ca bloque et sur quel port ca passe)

Le seul parametre qui peut m'echapper, c'est s'il y a liaison
securisé. Je pense que oui.
Pour le FW et le mode administrateur j'en suis sur car la personne qui
s'occupe de l'installation du logiciel me l'a confirmé apres avoir
insisté pour qu'il appele le developpeur du logiciel.

Mais pour le reste je suis sur des parametres. De toute facon je vais
recevoir le PC cette semaine et je pourrai voir ce qu'ils ont fait...
Et en cas de probleme de securité, j'en informerai directement la
CPAM.

Ce que je ne comprend pas dans cette histoire, c'est que la CPAM nous
redirige vers des prestataires qui developpent eux meme les logiciels.
Pourquoi ne developpe t elle pas elle meme le logiciel, tout en
donnant l'autorisation a d'autre developpeur d'en faire autant...

On 27 Sep 2008 07:16:53 GMT, "Az Sam" <me@home.net> wrote:

moi je dis que :

1 - les medecins devraient s'adresser a de vrais professionnels. Et la CPAM
mettre a la dispo des medecins, non seulement un logiciel et des techniques
de transfert securisées, mais aussi un package complet, depuis le materiel,
jusqu'au Tunnel securise, et y compris le SE et son mode de demarrage.

Je suis d'accord.

2 - ceux qui ne sont pas sur devraient avoir l'honneteté de refuser ce genre
de travail. (sans que cela signifie qu'ils sont mauvais)

Y a du pognon a se faire....(et pas qu'un peu)

3 - les professionnels capable de faire se travail devraient recevoir une
habilitation renouvellable et controllée mieux qu'un ISO.

toutafé.

On parle bien de nos dossiers medicaux a tous, sujet sur lequel ont fait
tant de bruit concernant les dossiers contenus sur une puce ? oui ?
Et ses meme infos, seraient transmises au petit bonheur le chance et
stockées sur des PC qui servent a tout et n'importe quoi par des
utilisateurs qui ne connaissent des PC que ce que leurs ados leurs montrent
?

Oui. Et meme si le PC est utilisé que pour le pro, le fait de
desactiver le FW et d'etre admin est pas moins pire que de telecharger
sur emule. Meme si le risque sur emule est plus important.

Sans compter, qu'il faut aussi un logiciel de messagerie pour recevoir
les resultats des confreres ou labo par exemple. A cela va s'ajouter
le probleme du spam...

Mais cette question de la securite concerne plutot le groupe
news:fr.comp.securite plutot que celui des virus.

On Sat, 27 Sep 2008 09:16:34 +0200, Depassage
<monadresseamoi@hotmail.com> wrote:

De plus si la personne a un ultraportable, c'est pas pour en acheter
un 2ieme.

Sauf qu'il m'étonnerait franchement qu'il ait été dit de faire de tout
et n'importe quoi avec un ordi comportant des données "sensibles"

L'usage exclusif prédomine vu le peu de sécurité apparement conçu

Il y a aussi l'usage de la messagerie qui permet d'envoyer des rapport
ou de recevoir des resultats des confreres ou labo. A cela s'ajoutera
le probleme du spam.

Dans ce cas là il faudrait avoir 2 PC, un pour le cabinet
consultation, et un autre pour archiver les mail pro.

C'est pour ca que l'usage d'une cloison virtuelle est plus adapté.
Ca permet d'avoir les 2 a la fois.

Jean Bon (de Parme) a écrit :

Bonjour

voila, j'ai un pc Medion akuya 1.6ghz avec 1Go de ram (ultraportable)
avec XP home SP3 installé dessus.
Ce PC est utilisé a des fin professionnel avec des logiciel sensibles
(dossiers medicaux)

.....

Le plus simple serait de mettre un dual boot, après partitionnement du
disque. D'un côté XP pour la famille, de l'autre Linux pour le pro; Il
faut virer les drivers MS pour les formats ext3 ou xfs.

Az Sam wrote:

"Jean Bon (de Parme)" <invalid@invalid.invalid> a écrit dans le message
de news: 1agqd41booo9m9ec5uintpjg0pvjktrapl@4ax.com...

Bonjour

On parle bien de nos dossiers medicaux a tous, sujet sur lequel ont fait
tant de bruit concernant les dossiers contenus sur une puce ? oui ?
Et ses meme infos, seraient transmises au petit bonheur le chance et
stockées sur des PC qui servent a tout et n'importe quoi par des
utilisateurs qui ne connaissent des PC que ce que leurs ados leurs
montrent ?

D'où l 'hérésie :-)

Mais cette question de la securite concerne plutot le groupe
news:fr.comp.securite plutot que celui des virus.

Un peu des deux parce que les virus ont pratiquement disparu au profit
des malwares,dont outre l'intrusion est liée la notion d'espionnage,
mais à la base c'est effectivement fr.comp.securité