Bonjour, je voudrais savoir si certains d'entre vous ont eu l'occasion de
suivre un stage de la Hackademy. Dans le cadre de mon boulot, je pourrais
suivre un stage de 4 jours chez eux, basé sur la sécurité en entreprise. Le
problème est que je ne suis pas sûr du niveau de leur cours, si c'est
sérieux ou pas.
Des avis ?
Voici des liens :
http://www.thehackademy.net/index.php
La société Sysdream : http://www.sysdream.com/ ,liée à la Hackademy.
Et enfin, le programme du stage que je pense suivre :
Jour 1
? Enjeux de la sécurité:
. Intégrité et confidentialité des données
. Considérations juridiques
. KYE: Qui sont les pirates, leurs motivations
? Prise d'information
. Informations publiques (whois ...)
. Scanning et grab de bannières
. Fingerprinting actif/passif
. SNMP, RIP, transfert de zone ...
. Enumération Netbios
. Etude des règles de firewalling
? Failles de type réseau
. Hijacking de connexion (arp cache poisoning, dns spoofing...)
. Attaques de protocoles sécurisés (SSL, SSH, pptp ...)
. Denial of services
. Attaques wifi
Procédures de sécurité associées: Procédures de sécurité associées:
. Intégration de la Matrice des fluxs
. Firewalling
. Protection ARP
. Architecture PKI
. VPN (IPSEC, ssh/ppp, ssl/ppp)
CONTENU
Jour 2
? Failles de type système
. Erreurs de configuration
. Attaque de l'environnement
. Brute forcing
. Attaque des mots de passe
Procédures de sécurité associées: Procédures de sécurité associées:
. Authentification UNIX/Windows
. ACL
. NIS/NIS+
. Active Directory
. Politique d'administration système
. Protection des processus
. Contrôleur d'intégrité
Jour 3
? Failles de type applicatif
. Buffer overflow
. Escape shell
. Race condition
. Format bug
Procédures de sécurité associées: Procédures de sécurité associées:
. Patch kernel
. Méthodologie de programmation sécurisée
. Méthodologie de détection de failles
? Failles de type web
. Enumération des pages
. Attaques cgi (Escape shell...)
. Failles php (include, fopen ...)
. SQL injection
. Cross site scripting
Procédures de sécurité associées: Procédures de sécurité associées:
. Méthodologie de programmation sécurisée
. Chroot de l'environnement
. Protection du serveur web
CONTENU
Jour 4
? Attaques clients
. Virus et troyens
. Injection de processus
. Attaque script (vbs, js, chm, activeX ...)
. Injection XSS/XST
Procédures de sécurité associées: Procédures de sécurité associées:
. Antivirus réseau transparant
. Protection du middleware bureautique
PROCÉDURES DE SÉCURITÉ GÉNÉRIQUES PROCÉDURES DE SÉCURITÉ GÉNÉRIQUES
Il n'en reste pas moins qu'il me semble difficile d'ignorer les concepts utilisés par l'outil pour filtrer (e.g. filtrage à état par exemple)
Je dirais même plus, la mise en place d'un firewall par quelqu'un qui ne comprends pas les rouages et les finesses de TCP/IP ne peut que déboucher sur un défaut de configuration qui peut avoir des répercussions les plus désastreuses.
Il n'en reste pas moins qu'il me semble difficile d'ignorer les concepts
utilisés par l'outil pour filtrer (e.g. filtrage à état par exemple)
Je dirais même plus, la mise en place d'un firewall par quelqu'un qui ne
comprends pas les rouages et les finesses de TCP/IP ne peut que déboucher
sur un défaut de configuration qui peut avoir des répercussions les plus
désastreuses.
Il n'en reste pas moins qu'il me semble difficile d'ignorer les concepts utilisés par l'outil pour filtrer (e.g. filtrage à état par exemple)
Je dirais même plus, la mise en place d'un firewall par quelqu'un qui ne comprends pas les rouages et les finesses de TCP/IP ne peut que déboucher sur un défaut de configuration qui peut avoir des répercussions les plus désastreuses.
OoOPendant le repas du mercredi 29 juin 2005, vers 19:24, Cedric Blancher disait:
Qu'y-a-t-il de particulier dans le filtrage à état de IPv6 ? La gestion de la mobilité ?
Juste que certains produits ne le font pas, avec tout ce qui utilise Netfilter en tête.
Netfilter n'a pas de filtrage à état sur IPv6 ? -- #if 0 2.2.16 /usr/src/linux/fs/buffer.c
Cedric Blancher
Le Wed, 29 Jun 2005 23:00:24 +0000, Vincent Bernat a écrit :
Netfilter n'a pas de filtrage à état sur IPv6 ?
$ cd /usr/src/netfilter/iptables-1.3.1/ $ find ./ -name libip6t_state* $
Ben on dirait que non...
-- Il est horrible de penser que le cerveau de certains pose un problème. Il me paraît plus charitable de supposer qu'il n'en ont pas. -+- JL in: Guide du Cabaliste Usenet - Le neurone de la Cabale -+-
Le Wed, 29 Jun 2005 23:00:24 +0000, Vincent Bernat a écrit :
Netfilter n'a pas de filtrage à état sur IPv6 ?
$ cd /usr/src/netfilter/iptables-1.3.1/
$ find ./ -name libip6t_state*
$
Ben on dirait que non...
--
Il est horrible de penser que le cerveau de certains pose un problème.
Il me paraît plus charitable de supposer qu'il n'en ont pas.
-+- JL in: Guide du Cabaliste Usenet - Le neurone de la Cabale -+-
Le Wed, 29 Jun 2005 23:00:24 +0000, Vincent Bernat a écrit :
Netfilter n'a pas de filtrage à état sur IPv6 ?
$ cd /usr/src/netfilter/iptables-1.3.1/ $ find ./ -name libip6t_state* $
Ben on dirait que non...
-- Il est horrible de penser que le cerveau de certains pose un problème. Il me paraît plus charitable de supposer qu'il n'en ont pas. -+- JL in: Guide du Cabaliste Usenet - Le neurone de la Cabale -+-
Eric Razny
Le Wed, 29 Jun 2005 19:52:04 +0000, Rakotomandimby (R12y) Mihamina a écrit :
Rappel : la seule session de 4 jour que j'ai trouvé correspond à : http://www.thehackademy.net/cours.php#hackpro
Oui mais il n'y a pas que le firewalling... Richard a dit ne pas être celui qui met en oeuvre la sécurité. Dans ce cas là, ça peut être interessant, car il la formation poura lui permettre de lister les choses à faire
Amha de deux choses l'une :
A) tu as déjà les connaissances largement suffisantes pour comprendre ce dont parle le cours.
Et en quatres jours, à part quelques recettes de cuisines[1], je ne vois pas ce que le stage va apporter de plus qu'un "bon surf".
Non pas que je mette en doute la qualité des intervenant mais je vois mal comment faire autre chose qu'une présentation[2] quand un des 11 points présentés concerne les IDS par exemples. A mon sens il y a déjà de quoi tenir les quatres jours si on ne se contente pas de "un IDS ça sert à, et voici l'install de bidule et truc". En particulier comment l'utiliser, le paramètrer et de l'éternel débat action automatique ou pas (et le risque de DoS qui va avec), la gestion des logs, l'extention du sujet au honeypots/net...
Le point 3 n'est pas mal non plus dans le style...
B) Tu n'as pas les connaissances suffisantes sur tous les sujets.
Tu vas probablement tellement ramer que ce que tu vas en rapporter c'est que ton entreprise n'est peut être pas sécurisée et qu'il faut y mettre quelqu'un de compétant. Est-ce vraiment nécessaire de se prendre quatre jours de stage pour ça?
J'ai sur ce point tendance à être d'accord avec ce que tu as dis dans ta première réponse à l'OP.
à faire et ainsi demander à son responsable de la sécurité de mettre en oeuvre la liste qu'il a établi.
Ben si c'est celui qui a suivi le stage qui indique quoi faire à son responsable sécurité il y a une c... dans le potage ;)
Maintenant j'espère me tromper, mais une manière de le savoir pourrait être de leur demander quel est le niveau requis pour ceux qui suivent ces cours de 4 jours et quelques contacts ou au pire témoignages écrits.
Correctif : je viens de vérifier : "spécialement destiné aux professionnels". Professionnel dans quoi? la sécu (ont-ils besoins ce ces cours), réseau? programmation? (pour s'orienter vers une programation plus sure) etc...
Pré-requis : "aucun". Je reste disons... dubitatif!
Pour finir j'aurais plutôt tendance à poser une autre question : qu'es tu sensé pouvoir faire après le stage. Si la réponse te conviens ainsi que le prix du stage tout va bien (sous réserve qu'à la fin, en ayant les prérequis demandé et que tu "bosse" le stage te permette réellement d'acquérir ces nouvelles compétances), sinon courage, fuyons :)
Eric.
[1] dans le mauvais sens du terme, celle qu'on te suggère d'appliquer sans entrer dans les détails.
[2] qui peut d'ailleurs être très instructive.
Le Wed, 29 Jun 2005 19:52:04 +0000, Rakotomandimby (R12y) Mihamina a
écrit :
Rappel : la seule session de 4 jour que j'ai trouvé correspond à :
http://www.thehackademy.net/cours.php#hackpro
Oui mais il n'y a pas que le firewalling... Richard a dit ne pas être
celui qui met en oeuvre la sécurité. Dans ce cas là, ça peut être
interessant, car il la formation poura lui permettre de lister les choses
à faire
Amha de deux choses l'une :
A) tu as déjà les connaissances largement suffisantes pour comprendre ce
dont parle le cours.
Et en quatres jours, à part quelques recettes de cuisines[1], je ne vois
pas ce que le stage va apporter de plus qu'un "bon surf".
Non pas que je mette en doute la qualité des intervenant mais je
vois mal comment faire autre chose qu'une présentation[2] quand un des 11
points présentés concerne les IDS par exemples. A mon sens il y a déjà
de quoi tenir les quatres jours si on ne se contente pas de "un IDS ça
sert à, et voici l'install de bidule et truc". En particulier comment
l'utiliser, le paramètrer et de l'éternel débat action automatique ou
pas (et le risque de DoS qui va avec), la gestion des logs, l'extention du
sujet au honeypots/net...
Le point 3 n'est pas mal non plus dans le style...
B) Tu n'as pas les connaissances suffisantes sur tous les sujets.
Tu vas probablement tellement ramer que ce que tu vas en rapporter c'est
que ton entreprise n'est peut être pas sécurisée et qu'il faut y mettre
quelqu'un de compétant. Est-ce vraiment nécessaire de se prendre quatre
jours de stage pour ça?
J'ai sur ce point tendance à être d'accord avec ce que tu as dis dans ta
première réponse à l'OP.
à faire et ainsi demander à son responsable de la sécurité de mettre
en oeuvre la liste qu'il a établi.
Ben si c'est celui qui a suivi le stage qui indique quoi faire à son
responsable sécurité il y a une c... dans le potage ;)
Maintenant j'espère me tromper, mais une manière de le savoir pourrait
être de leur demander quel est le niveau requis pour ceux qui suivent ces
cours de 4 jours et quelques contacts ou au pire témoignages écrits.
Correctif : je viens de vérifier : "spécialement destiné aux
professionnels". Professionnel dans quoi? la sécu (ont-ils besoins ce ces
cours), réseau? programmation? (pour s'orienter vers une programation
plus sure) etc...
Pré-requis : "aucun". Je reste disons... dubitatif!
Pour finir j'aurais plutôt tendance à poser une autre question : qu'es
tu sensé pouvoir faire après le stage. Si la réponse te conviens ainsi
que le prix du stage tout va bien (sous réserve qu'à la fin, en ayant
les prérequis demandé et que tu "bosse" le stage te permette
réellement d'acquérir ces nouvelles compétances), sinon courage, fuyons :)
Eric.
[1] dans le mauvais sens du terme, celle qu'on te suggère d'appliquer
sans entrer dans les détails.
Le Wed, 29 Jun 2005 19:52:04 +0000, Rakotomandimby (R12y) Mihamina a écrit :
Rappel : la seule session de 4 jour que j'ai trouvé correspond à : http://www.thehackademy.net/cours.php#hackpro
Oui mais il n'y a pas que le firewalling... Richard a dit ne pas être celui qui met en oeuvre la sécurité. Dans ce cas là, ça peut être interessant, car il la formation poura lui permettre de lister les choses à faire
Amha de deux choses l'une :
A) tu as déjà les connaissances largement suffisantes pour comprendre ce dont parle le cours.
Et en quatres jours, à part quelques recettes de cuisines[1], je ne vois pas ce que le stage va apporter de plus qu'un "bon surf".
Non pas que je mette en doute la qualité des intervenant mais je vois mal comment faire autre chose qu'une présentation[2] quand un des 11 points présentés concerne les IDS par exemples. A mon sens il y a déjà de quoi tenir les quatres jours si on ne se contente pas de "un IDS ça sert à, et voici l'install de bidule et truc". En particulier comment l'utiliser, le paramètrer et de l'éternel débat action automatique ou pas (et le risque de DoS qui va avec), la gestion des logs, l'extention du sujet au honeypots/net...
Le point 3 n'est pas mal non plus dans le style...
B) Tu n'as pas les connaissances suffisantes sur tous les sujets.
Tu vas probablement tellement ramer que ce que tu vas en rapporter c'est que ton entreprise n'est peut être pas sécurisée et qu'il faut y mettre quelqu'un de compétant. Est-ce vraiment nécessaire de se prendre quatre jours de stage pour ça?
J'ai sur ce point tendance à être d'accord avec ce que tu as dis dans ta première réponse à l'OP.
à faire et ainsi demander à son responsable de la sécurité de mettre en oeuvre la liste qu'il a établi.
Ben si c'est celui qui a suivi le stage qui indique quoi faire à son responsable sécurité il y a une c... dans le potage ;)
Maintenant j'espère me tromper, mais une manière de le savoir pourrait être de leur demander quel est le niveau requis pour ceux qui suivent ces cours de 4 jours et quelques contacts ou au pire témoignages écrits.
Correctif : je viens de vérifier : "spécialement destiné aux professionnels". Professionnel dans quoi? la sécu (ont-ils besoins ce ces cours), réseau? programmation? (pour s'orienter vers une programation plus sure) etc...
Pré-requis : "aucun". Je reste disons... dubitatif!
Pour finir j'aurais plutôt tendance à poser une autre question : qu'es tu sensé pouvoir faire après le stage. Si la réponse te conviens ainsi que le prix du stage tout va bien (sous réserve qu'à la fin, en ayant les prérequis demandé et que tu "bosse" le stage te permette réellement d'acquérir ces nouvelles compétances), sinon courage, fuyons :)
Eric.
[1] dans le mauvais sens du terme, celle qu'on te suggère d'appliquer sans entrer dans les détails.
[2] qui peut d'ailleurs être très instructive.
Vincent Bernat
OoOEn cette nuit nuageuse du jeudi 30 juin 2005, vers 01:05, Cedric Blancher disait:
Netfilter n'a pas de filtrage à état sur IPv6 ?
$ cd /usr/src/netfilter/iptables-1.3.1/ $ find ./ -name libip6t_state* $
Ben on dirait que non...
En effet, il y a des patchs du projet USAGI. Je trouve vraiment surprenant de vendre le fait que Netfilter fait de l'IPv6 alors que le support est aussi limité. Mais c'est vrai que c'est même indiqué sur la page d'accueil :
Main Features
* stateless packet filtering (IPv4 and IPv6) * stateful packet filtering (IPv4) -- I WILL NOT PRESCRIBE MEDICATION I WILL NOT PRESCRIBE MEDICATION I WILL NOT PRESCRIBE MEDICATION -+- Bart Simpson on chalkboard in episode 9F02
OoOEn cette nuit nuageuse du jeudi 30 juin 2005, vers 01:05, Cedric
Blancher <blancher@cartel-securite.fr> disait:
Netfilter n'a pas de filtrage à état sur IPv6 ?
$ cd /usr/src/netfilter/iptables-1.3.1/
$ find ./ -name libip6t_state*
$
Ben on dirait que non...
En effet, il y a des patchs du projet USAGI. Je trouve vraiment
surprenant de vendre le fait que Netfilter fait de l'IPv6 alors que le
support est aussi limité. Mais c'est vrai que c'est même indiqué sur
la page d'accueil :
Main Features
* stateless packet filtering (IPv4 and IPv6)
* stateful packet filtering (IPv4)
--
I WILL NOT PRESCRIBE MEDICATION
I WILL NOT PRESCRIBE MEDICATION
I WILL NOT PRESCRIBE MEDICATION
-+- Bart Simpson on chalkboard in episode 9F02
OoOEn cette nuit nuageuse du jeudi 30 juin 2005, vers 01:05, Cedric Blancher disait:
Netfilter n'a pas de filtrage à état sur IPv6 ?
$ cd /usr/src/netfilter/iptables-1.3.1/ $ find ./ -name libip6t_state* $
Ben on dirait que non...
En effet, il y a des patchs du projet USAGI. Je trouve vraiment surprenant de vendre le fait que Netfilter fait de l'IPv6 alors que le support est aussi limité. Mais c'est vrai que c'est même indiqué sur la page d'accueil :
Main Features
* stateless packet filtering (IPv4 and IPv6) * stateful packet filtering (IPv4) -- I WILL NOT PRESCRIBE MEDICATION I WILL NOT PRESCRIBE MEDICATION I WILL NOT PRESCRIBE MEDICATION -+- Bart Simpson on chalkboard in episode 9F02
Stephane Sales
Eric Razny wrote:
Pré-requis : "aucun". Je reste disons... dubitatif! Pour étayer le sujet je peux donner l'exemple d'une formation iptables
que je donne : Durée : 2 jours Public : Admins réseaux/système Pré-requis : TCP/IP et bases réseaux -- Le fait qu'il ne soit pas open-source vous certifie un produit complet et performant, pas un produit touché par tout le monde, avec de mauvais codes. -- Jayce - Ça tombe sous le sens. --
Eric Razny wrote:
Pré-requis : "aucun". Je reste disons... dubitatif!
Pour étayer le sujet je peux donner l'exemple d'une formation iptables
que je donne :
Durée : 2 jours
Public : Admins réseaux/système
Pré-requis : TCP/IP et bases réseaux
--
Le fait qu'il ne soit pas open-source vous certifie un produit complet
et performant, pas un produit touché par tout le monde, avec de mauvais
codes.
-- Jayce - Ça tombe sous le sens. --
Pré-requis : "aucun". Je reste disons... dubitatif! Pour étayer le sujet je peux donner l'exemple d'une formation iptables
que je donne : Durée : 2 jours Public : Admins réseaux/système Pré-requis : TCP/IP et bases réseaux -- Le fait qu'il ne soit pas open-source vous certifie un produit complet et performant, pas un produit touché par tout le monde, avec de mauvais codes. -- Jayce - Ça tombe sous le sens. --
Vincent Bernat
OoOEn cette matinée ensoleillée du jeudi 30 juin 2005, vers 09:25, Vincent Bernat disait:
Netfilter n'a pas de filtrage à état sur IPv6 ?
$ cd /usr/src/netfilter/iptables-1.3.1/ $ find ./ -name libip6t_state* $
Ben on dirait que non...
En effet, il y a des patchs du projet USAGI.
Ou alors dans le patchomatic : nf_conntrack. -- BOFH excuse #59: failed trials, system needs redesigned
OoOEn cette matinée ensoleillée du jeudi 30 juin 2005, vers 09:25,
Vincent Bernat <bernat@luffy.cx> disait:
Netfilter n'a pas de filtrage à état sur IPv6 ?
$ cd /usr/src/netfilter/iptables-1.3.1/
$ find ./ -name libip6t_state*
$
Ben on dirait que non...
En effet, il y a des patchs du projet USAGI.
Ou alors dans le patchomatic : nf_conntrack.
--
BOFH excuse #59:
failed trials, system needs redesigned
OoOEn cette matinée ensoleillée du jeudi 30 juin 2005, vers 09:25, Vincent Bernat disait:
Netfilter n'a pas de filtrage à état sur IPv6 ?
$ cd /usr/src/netfilter/iptables-1.3.1/ $ find ./ -name libip6t_state* $
Ben on dirait que non...
En effet, il y a des patchs du projet USAGI.
Ou alors dans le patchomatic : nf_conntrack. -- BOFH excuse #59: failed trials, system needs redesigned
Richard H
Beaucoup de réponses intéressantes dont je vous remercie.
Pour que cela soit constructif, il est nécessaire que je fasse le point sur certaines choses.
Je ne suis pas le patron de la boîte où je bosse, premier point. Ensuite, nous sommes une petite boîte, éditeur d'un produit informatique destiné à la gestion de boulangerie. Avec une dizaine d'employés, nous n'avons pas de « responsable sécurité ». Et à vrai dire, nous n'avons pas, jusqu'à présent, de réseau ouvert vers l'extérieur (notre site web est hébergé par un prestataire et n'est pas relié à notre réseau interne).
Nous allons très bientôt mettre en place un PC serveur avec Windows Server 2003. Notre site WEB ne sera pas situé sur ce serveur, mais nos Pc portables devront pouvoir s'y loguer depuis l'extérieur (VPN).
Nos techniciens, qui installent PC et réseaux chez les clients, vont se charger de l'installation du serveur chez nous. Mon rôle est de m'assurer, autant que possible, de la sécurité du réseau. Mais c'est un rôle annexe pour moi, il est loin de constituer la majeure partie de mon boulot. Je préfère aller plus loin que le simple truc de base : on met un pare-feu et anti-virus, on met le système à jour régulièrement et hop, le tour est joué. C'est déjà pas mal, mais j'aimerais être un peu plus sûr de la sécurité. Par exemple, si les paramétrages par défaut du firewall ne sont pas optimaux, ou si notre façon de paramétrer les droits d'accès au serveur est mauvaise, j'aimerais le savoir et corriger cela. C'est dans cette optique que j'ai cherché une formation sur la sécurité et j'ai trouvé le stage de la hackademy.
À vous lire, je suis un peu perplexe. Nous n'allons surement pas investir dans le poste d'un responsable sécurité, ce serait disproportionné par rapport à notre taille et nos besoins. Je ne peux pas non plus entamer des études spécialisées : je suis payé pour autre chose. Je pensais, un peu naïvement, peut-être, qu'acquérir des connaissances de base suffirait pour assurer une sécurité correcte. Je me demande, à vous lire, si c'est possible ou pas. Me conseillez-vous, en fait, de faire appel à un prestataire extérieur, qui viendra paramétrer et sécuriser le réseau ? Ou bien est-ce une chose dont on peut raisonnablement s'assurer sans être spécialiste ?
Merci :)
Richard
Beaucoup de réponses intéressantes dont je vous remercie.
Pour que cela soit constructif, il est nécessaire que je fasse le point sur
certaines choses.
Je ne suis pas le patron de la boîte où je bosse, premier point. Ensuite,
nous sommes une petite boîte, éditeur d'un produit informatique destiné à la
gestion de boulangerie. Avec une dizaine d'employés, nous n'avons pas de «
responsable sécurité ». Et à vrai dire, nous n'avons pas, jusqu'à présent,
de réseau ouvert vers l'extérieur (notre site web est hébergé par un
prestataire et n'est pas relié à notre réseau interne).
Nous allons très bientôt mettre en place un PC serveur avec Windows Server
2003. Notre site WEB ne sera pas situé sur ce serveur, mais nos Pc portables
devront pouvoir s'y loguer depuis l'extérieur (VPN).
Nos techniciens, qui installent PC et réseaux chez les clients, vont se
charger de l'installation du serveur chez nous. Mon rôle est de m'assurer,
autant que possible, de la sécurité du réseau. Mais c'est un rôle annexe
pour moi, il est loin de constituer la majeure partie de mon boulot. Je
préfère aller plus loin que le simple truc de base : on met un pare-feu et
anti-virus, on met le système à jour régulièrement et hop, le tour est joué.
C'est déjà pas mal, mais j'aimerais être un peu plus sûr de la sécurité. Par
exemple, si les paramétrages par défaut du firewall ne sont pas optimaux, ou
si notre façon de paramétrer les droits d'accès au serveur est mauvaise, j'aimerais
le savoir et corriger cela. C'est dans cette optique que j'ai cherché une
formation sur la sécurité et j'ai trouvé le stage de la hackademy.
À vous lire, je suis un peu perplexe. Nous n'allons surement pas investir
dans le poste d'un responsable sécurité, ce serait disproportionné par
rapport à notre taille et nos besoins. Je ne peux pas non plus entamer des
études spécialisées : je suis payé pour autre chose. Je pensais, un peu
naïvement, peut-être, qu'acquérir des connaissances de base suffirait pour
assurer une sécurité correcte. Je me demande, à vous lire, si c'est possible
ou pas. Me conseillez-vous, en fait, de faire appel à un prestataire
extérieur, qui viendra paramétrer et sécuriser le réseau ? Ou bien est-ce
une chose dont on peut raisonnablement s'assurer sans être spécialiste ?
Beaucoup de réponses intéressantes dont je vous remercie.
Pour que cela soit constructif, il est nécessaire que je fasse le point sur certaines choses.
Je ne suis pas le patron de la boîte où je bosse, premier point. Ensuite, nous sommes une petite boîte, éditeur d'un produit informatique destiné à la gestion de boulangerie. Avec une dizaine d'employés, nous n'avons pas de « responsable sécurité ». Et à vrai dire, nous n'avons pas, jusqu'à présent, de réseau ouvert vers l'extérieur (notre site web est hébergé par un prestataire et n'est pas relié à notre réseau interne).
Nous allons très bientôt mettre en place un PC serveur avec Windows Server 2003. Notre site WEB ne sera pas situé sur ce serveur, mais nos Pc portables devront pouvoir s'y loguer depuis l'extérieur (VPN).
Nos techniciens, qui installent PC et réseaux chez les clients, vont se charger de l'installation du serveur chez nous. Mon rôle est de m'assurer, autant que possible, de la sécurité du réseau. Mais c'est un rôle annexe pour moi, il est loin de constituer la majeure partie de mon boulot. Je préfère aller plus loin que le simple truc de base : on met un pare-feu et anti-virus, on met le système à jour régulièrement et hop, le tour est joué. C'est déjà pas mal, mais j'aimerais être un peu plus sûr de la sécurité. Par exemple, si les paramétrages par défaut du firewall ne sont pas optimaux, ou si notre façon de paramétrer les droits d'accès au serveur est mauvaise, j'aimerais le savoir et corriger cela. C'est dans cette optique que j'ai cherché une formation sur la sécurité et j'ai trouvé le stage de la hackademy.
À vous lire, je suis un peu perplexe. Nous n'allons surement pas investir dans le poste d'un responsable sécurité, ce serait disproportionné par rapport à notre taille et nos besoins. Je ne peux pas non plus entamer des études spécialisées : je suis payé pour autre chose. Je pensais, un peu naïvement, peut-être, qu'acquérir des connaissances de base suffirait pour assurer une sécurité correcte. Je me demande, à vous lire, si c'est possible ou pas. Me conseillez-vous, en fait, de faire appel à un prestataire extérieur, qui viendra paramétrer et sécuriser le réseau ? Ou bien est-ce une chose dont on peut raisonnablement s'assurer sans être spécialiste ?
Merci :)
Richard
Rakotomandimby (R12y) Mihamina
"Richard H" :
Me conseillez-vous, en fait, de faire appel à un prestataire extérieur, qui viendra paramétrer et sécuriser le réseau ?
Tout est dans les chiffres:
- quel budget est alloué à cet aspect sécurité du réseau? - combien vont vous couter la mise en place des W2k3? W2k3 est-il indispensable? quels arguments?
Avec des chiffres, on peut facilement déduire l'importance que vous accordez à la sécurité et ainsi vous conseiller.
-- Miroir de logiciels libres http://www.etud-orleans.fr Développement de logiciels libres http://aspo.rktmb.org/activites/developpement Infogerance de serveur dédié http://aspo.rktmb.org/activites/infogerance (En louant les services de l'ASPO vous luttez contre la fracture numerique)
"Richard H" <rhierro@pos-scriptum.com> :
Me conseillez-vous, en fait, de faire
appel à un prestataire extérieur, qui viendra paramétrer et sécuriser
le réseau ?
Tout est dans les chiffres:
- quel budget est alloué à cet aspect sécurité du réseau?
- combien vont vous couter la mise en place des W2k3? W2k3 est-il
indispensable? quels arguments?
Avec des chiffres, on peut facilement déduire l'importance que vous
accordez à la sécurité et ainsi vous conseiller.
--
Miroir de logiciels libres http://www.etud-orleans.fr
Développement de logiciels libres http://aspo.rktmb.org/activites/developpement
Infogerance de serveur dédié http://aspo.rktmb.org/activites/infogerance
(En louant les services de l'ASPO vous luttez contre la fracture numerique)
Me conseillez-vous, en fait, de faire appel à un prestataire extérieur, qui viendra paramétrer et sécuriser le réseau ?
Tout est dans les chiffres:
- quel budget est alloué à cet aspect sécurité du réseau? - combien vont vous couter la mise en place des W2k3? W2k3 est-il indispensable? quels arguments?
Avec des chiffres, on peut facilement déduire l'importance que vous accordez à la sécurité et ainsi vous conseiller.
-- Miroir de logiciels libres http://www.etud-orleans.fr Développement de logiciels libres http://aspo.rktmb.org/activites/developpement Infogerance de serveur dédié http://aspo.rktmb.org/activites/infogerance (En louant les services de l'ASPO vous luttez contre la fracture numerique)
Dominique Blas
[...]
À vous lire, je suis un peu perplexe. Nous n'allons surement pas investir dans le poste d'un responsable sécurité, ce serait disproportionné par rapport à notre taille et nos besoins. Je ne peux pas non plus entamer des études spécialisées : je suis payé pour autre chose. Je pensais, un peu naïvement, peut-être, qu'acquérir des connaissances de base suffirait pour assurer une sécurité correcte. Je me demande, à vous lire, si c'est possible ou pas. Me conseillez-vous, en fait, de faire appel à un prestataire extérieur, qui viendra paramétrer et sécuriser le réseau ? Ou bien est-ce une chose dont on peut raisonnablement s'assurer sans être spécialiste ?
Oui, la sous-traitance ponctuelle me semble être la meilleure voie pour vous. Non pas que je doute de vos capacités à être en mesure configurer de manière excellente un firewall au bout de quelques heures (bien expliqué chez un sujet bien sensibilisé et disposant d'une formation réseau, c'est tout à fait réalisable) mais cela n'est pas de votre ressort d'une part et d'autre part c'est loin d'être suffisant. Il y a tellement d'autres choses à prendre en considération !
Si comprendre la sécurité de manière globale (enjeux, coûts, prospective ) est assez simple et rapide (1 ou plusieurs jours de séminaire selon la taille de la boîte) il n'en va pas de même dans ses manifestations tant elles sont nombreuses et disparates : filtrage [firewalling], détection d'intrusion, services et serveurs Web, réseaux de communication, liens avec les partenaires, nomadisme [ordinateurs et téléphones portables, PDA, super-PDA], système de courrier électronique, gestion des utilisateurs, gestion des droits sur système de fichiers, annuaires, applications de commande/facturation/paye et applications métier, personnel, sécurité physique des lieux, des moyens de transports, business intelligence, infoguerre, etc.
Bien entendu selon votre domaine d'activité vous prendrez plus ou moins en considération certains points. Par exemple, dans votre cas, il y a bien peu de chance que le vol de portable (ordinateur) ait pour objectif de voler les données présentes sur son disque dur. Il n'est donc pas utile d'en passer par le chiffrement de ce disque. D'un autre côté vu le coût de ce chiffrement aujourd'hui il n'y a pas vraiment de raison de s'en priver non plus. Vous ne figurez pas non plus au nombre des entreprises d'un secteur technologique sensible (et protéger par l'état) et, à cet égard, n'êtes pas tenu de protéger vos accès, vos relations et vos moyens de communication de manière militaire.
En fait, quels sont vos risques et l'importance de l'impact associé en terme de probabilité décroissante ?
Je vous propose la liste suivante.
1. L'incident ou l'accident (la panne électrique ou de matériel, la perte de documents importants, la perte de sauvegardes) ;
2. La malveillance externe globale (être pris sous le feu d'un virus, cheval de Troie, déni de service, etc mais au même titre que bien d'autres sociétés) ;
3. la malveillance interne (un de vos commis, partenaire, salarié commet une bourde intentionnellement ou non) ;
4. La malveillance externe ciblée (un concurrent vous en veut personnellement et, étant donné le coût actuel d'un financement d'attaque en règle pas forcément mortelle mais pénible au plus, il ne s'en prive pas. Juste le temps de vous occuper l'esprit avec votre informatique le temps de la signature d'un gros contrat.
En fait, c'est davantage cela dont vous avez besoin, vous. De comprendre les différentes dimensions de la sécurité des systèmes d'information d'aujourd'hui afin d'être en mesure de focaliser, ensuite, les mesures sur tel ou tel point correspondant davantage à votre métier.
C'est une formation orientée manager qu'il vous faut.
db
--
Courriel : usenet blas net
[...]
À vous lire, je suis un peu perplexe. Nous n'allons surement pas investir
dans le poste d'un responsable sécurité, ce serait disproportionné par
rapport à notre taille et nos besoins. Je ne peux pas non plus entamer des
études spécialisées : je suis payé pour autre chose. Je pensais, un peu
naïvement, peut-être, qu'acquérir des connaissances de base suffirait pour
assurer une sécurité correcte. Je me demande, à vous lire, si c'est possible
ou pas. Me conseillez-vous, en fait, de faire appel à un prestataire
extérieur, qui viendra paramétrer et sécuriser le réseau ? Ou bien est-ce
une chose dont on peut raisonnablement s'assurer sans être spécialiste ?
Oui, la sous-traitance ponctuelle me semble être la meilleure voie pour
vous.
Non pas que je doute de vos capacités à être en mesure configurer de
manière excellente un firewall au bout de quelques heures (bien expliqué
chez un sujet bien sensibilisé et disposant d'une formation réseau,
c'est tout à fait réalisable) mais cela n'est pas de votre ressort d'une
part et d'autre part c'est loin d'être suffisant. Il y a tellement
d'autres choses à prendre en considération !
Si comprendre la sécurité de manière globale (enjeux, coûts, prospective
) est assez simple et rapide (1 ou plusieurs jours de séminaire selon la
taille de la boîte) il n'en va pas de même dans ses manifestations tant
elles sont nombreuses et disparates : filtrage [firewalling], détection
d'intrusion, services et serveurs Web, réseaux de communication, liens
avec les partenaires, nomadisme [ordinateurs et téléphones portables,
PDA, super-PDA], système de courrier électronique, gestion des
utilisateurs, gestion des droits sur système de fichiers, annuaires,
applications de commande/facturation/paye et applications métier,
personnel, sécurité physique des lieux, des moyens de transports,
business intelligence, infoguerre, etc.
Bien entendu selon votre domaine d'activité vous prendrez plus ou moins
en considération certains points. Par exemple, dans votre cas, il y a
bien peu de chance que le vol de portable (ordinateur) ait pour objectif
de voler les données présentes sur son disque dur. Il n'est donc pas
utile d'en passer par le chiffrement de ce disque. D'un autre côté vu le
coût de ce chiffrement aujourd'hui il n'y a pas vraiment de raison de
s'en priver non plus.
Vous ne figurez pas non plus au nombre des entreprises d'un secteur
technologique sensible (et protéger par l'état) et, à cet égard, n'êtes
pas tenu de protéger vos accès, vos relations et vos moyens de
communication de manière militaire.
En fait, quels sont vos risques et l'importance de l'impact associé en
terme de probabilité décroissante ?
Je vous propose la liste suivante.
1. L'incident ou l'accident (la panne électrique ou de matériel, la
perte de documents importants, la perte de sauvegardes) ;
2. La malveillance externe globale (être pris sous le feu d'un virus,
cheval de Troie, déni de service, etc mais au même titre que bien
d'autres sociétés) ;
3. la malveillance interne (un de vos commis, partenaire, salarié commet
une bourde intentionnellement ou non) ;
4. La malveillance externe ciblée (un concurrent vous en veut
personnellement et, étant donné le coût actuel d'un financement
d'attaque en règle pas forcément mortelle mais pénible au plus, il ne
s'en prive pas. Juste le temps de vous occuper l'esprit avec votre
informatique le temps de la signature d'un gros contrat.
En fait, c'est davantage cela dont vous avez besoin, vous. De comprendre
les différentes dimensions de la sécurité des systèmes d'information
d'aujourd'hui afin d'être en mesure de focaliser, ensuite, les mesures
sur tel ou tel point correspondant davantage à votre métier.
C'est une formation orientée manager qu'il vous faut.
À vous lire, je suis un peu perplexe. Nous n'allons surement pas investir dans le poste d'un responsable sécurité, ce serait disproportionné par rapport à notre taille et nos besoins. Je ne peux pas non plus entamer des études spécialisées : je suis payé pour autre chose. Je pensais, un peu naïvement, peut-être, qu'acquérir des connaissances de base suffirait pour assurer une sécurité correcte. Je me demande, à vous lire, si c'est possible ou pas. Me conseillez-vous, en fait, de faire appel à un prestataire extérieur, qui viendra paramétrer et sécuriser le réseau ? Ou bien est-ce une chose dont on peut raisonnablement s'assurer sans être spécialiste ?
Oui, la sous-traitance ponctuelle me semble être la meilleure voie pour vous. Non pas que je doute de vos capacités à être en mesure configurer de manière excellente un firewall au bout de quelques heures (bien expliqué chez un sujet bien sensibilisé et disposant d'une formation réseau, c'est tout à fait réalisable) mais cela n'est pas de votre ressort d'une part et d'autre part c'est loin d'être suffisant. Il y a tellement d'autres choses à prendre en considération !
Si comprendre la sécurité de manière globale (enjeux, coûts, prospective ) est assez simple et rapide (1 ou plusieurs jours de séminaire selon la taille de la boîte) il n'en va pas de même dans ses manifestations tant elles sont nombreuses et disparates : filtrage [firewalling], détection d'intrusion, services et serveurs Web, réseaux de communication, liens avec les partenaires, nomadisme [ordinateurs et téléphones portables, PDA, super-PDA], système de courrier électronique, gestion des utilisateurs, gestion des droits sur système de fichiers, annuaires, applications de commande/facturation/paye et applications métier, personnel, sécurité physique des lieux, des moyens de transports, business intelligence, infoguerre, etc.
Bien entendu selon votre domaine d'activité vous prendrez plus ou moins en considération certains points. Par exemple, dans votre cas, il y a bien peu de chance que le vol de portable (ordinateur) ait pour objectif de voler les données présentes sur son disque dur. Il n'est donc pas utile d'en passer par le chiffrement de ce disque. D'un autre côté vu le coût de ce chiffrement aujourd'hui il n'y a pas vraiment de raison de s'en priver non plus. Vous ne figurez pas non plus au nombre des entreprises d'un secteur technologique sensible (et protéger par l'état) et, à cet égard, n'êtes pas tenu de protéger vos accès, vos relations et vos moyens de communication de manière militaire.
En fait, quels sont vos risques et l'importance de l'impact associé en terme de probabilité décroissante ?
Je vous propose la liste suivante.
1. L'incident ou l'accident (la panne électrique ou de matériel, la perte de documents importants, la perte de sauvegardes) ;
2. La malveillance externe globale (être pris sous le feu d'un virus, cheval de Troie, déni de service, etc mais au même titre que bien d'autres sociétés) ;
3. la malveillance interne (un de vos commis, partenaire, salarié commet une bourde intentionnellement ou non) ;
4. La malveillance externe ciblée (un concurrent vous en veut personnellement et, étant donné le coût actuel d'un financement d'attaque en règle pas forcément mortelle mais pénible au plus, il ne s'en prive pas. Juste le temps de vous occuper l'esprit avec votre informatique le temps de la signature d'un gros contrat.
En fait, c'est davantage cela dont vous avez besoin, vous. De comprendre les différentes dimensions de la sécurité des systèmes d'information d'aujourd'hui afin d'être en mesure de focaliser, ensuite, les mesures sur tel ou tel point correspondant davantage à votre métier.
C'est une formation orientée manager qu'il vous faut.
