Bonjour je suis étudiant en BTS Informatique de Gestion et je suis
actuellemnt en stage où je dois réaliser un audit de sécurité au sein
de l'entreprise dans laquelle je me trouve. N'ayant pas beaucoup (voire
pas du tout) de connaissances dans le domaine de la sécurité je ne sais
pas vraiment par quoi commencer ni vraiment comment procéder.
Si quelqu'un avait des pistes pour m'aider à démarrer et m'expliquer en
quelques mots la démarche à adopter ça serait plutot sympa
Sur ce bonne journée à tous et merci d'avance ^^
++
--
Ceci est une signature automatique de MesNews.
Site : http://www.mesnews.net
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
F. Dunoyer [MVP]
Bonjour je suis étudiant en BTS Informatique de Gestion et je suis actuellemnt en stage où je dois réaliser un audit de sécurité au sein de l'entreprise dans laquelle je me trouve. N'ayant pas beaucoup (voire pas du tout) de connaissances dans le domaine de la sécurité je ne sais pas vraiment par quoi commencer ni vraiment comment procéder. Si quelqu'un avait des pistes pour m'aider à démarrer et m'expliquer en quelques mots la démarche à adopter ça serait plutot sympa Sur ce bonne journée à tous et merci d'avance ^^ ++
dejà quelques liens sur le sujet (et quand je dis quelques c'est que ça ne fait qu'efleurer la question) http://fds.mvps.org/ta/Liens.htm
en ce qui me concerne le premier point de l'audit c'est déjà d'identifier le RSI (Responsable (et coupable ;) ) de la Sécurité ). Il doit y avoir un (a défaut c'est le chef d'entreprise)
Voir avec lui quels sont ses "directives" sur le domaine (s'il y'en a !) Pour info voir http://www.hsc.fr/services/audit.html.fr ca peut déjà te donner une idée des directions possibles
En ce qui concerne les serveurs et les machines, le passage de la MBSA (Console d'analyuse de la sécurité Microsoft) peut déjà facilement donner une idée de l'étendu des dégats Pour trouver la MBSA : http://www.microsoft.com/france/securite/default.mspx et particulierement http://www.microsoft.com/france/securite/outils/mbsa.aspx
cordialement
-- François Dunoyer [MVP Windows Server / Security] Quelques liens pour Windows : http://fds.mvps.org/AdressesInternets.htm Site perso : http://www.fdunoyer.net
Bonjour je suis étudiant en BTS Informatique de Gestion et je suis
actuellemnt en stage où je dois réaliser un audit de sécurité au sein de
l'entreprise dans laquelle je me trouve. N'ayant pas beaucoup (voire pas du
tout) de connaissances dans le domaine de la sécurité je ne sais pas vraiment
par quoi commencer ni vraiment comment procéder.
Si quelqu'un avait des pistes pour m'aider à démarrer et m'expliquer en
quelques mots la démarche à adopter ça serait plutot sympa
Sur ce bonne journée à tous et merci d'avance ^^
++
dejà quelques liens sur le sujet (et quand je dis quelques c'est que ça
ne fait qu'efleurer la question)
http://fds.mvps.org/ta/Liens.htm
en ce qui me concerne le premier point de l'audit c'est déjà
d'identifier le RSI
(Responsable (et coupable ;) ) de la Sécurité ). Il doit y avoir un (a
défaut c'est le chef d'entreprise)
Voir avec lui quels sont ses "directives" sur le domaine (s'il y'en a
!)
Pour info voir http://www.hsc.fr/services/audit.html.fr ca peut déjà te
donner une idée des directions possibles
En ce qui concerne les serveurs et les machines, le passage de la MBSA
(Console d'analyuse de la sécurité Microsoft) peut déjà facilement
donner une idée de l'étendu des dégats
Pour trouver la MBSA :
http://www.microsoft.com/france/securite/default.mspx
et particulierement
http://www.microsoft.com/france/securite/outils/mbsa.aspx
cordialement
--
François Dunoyer [MVP Windows Server / Security]
Quelques liens pour Windows : http://fds.mvps.org/AdressesInternets.htm
Site perso : http://www.fdunoyer.net
Bonjour je suis étudiant en BTS Informatique de Gestion et je suis actuellemnt en stage où je dois réaliser un audit de sécurité au sein de l'entreprise dans laquelle je me trouve. N'ayant pas beaucoup (voire pas du tout) de connaissances dans le domaine de la sécurité je ne sais pas vraiment par quoi commencer ni vraiment comment procéder. Si quelqu'un avait des pistes pour m'aider à démarrer et m'expliquer en quelques mots la démarche à adopter ça serait plutot sympa Sur ce bonne journée à tous et merci d'avance ^^ ++
dejà quelques liens sur le sujet (et quand je dis quelques c'est que ça ne fait qu'efleurer la question) http://fds.mvps.org/ta/Liens.htm
en ce qui me concerne le premier point de l'audit c'est déjà d'identifier le RSI (Responsable (et coupable ;) ) de la Sécurité ). Il doit y avoir un (a défaut c'est le chef d'entreprise)
Voir avec lui quels sont ses "directives" sur le domaine (s'il y'en a !) Pour info voir http://www.hsc.fr/services/audit.html.fr ca peut déjà te donner une idée des directions possibles
En ce qui concerne les serveurs et les machines, le passage de la MBSA (Console d'analyuse de la sécurité Microsoft) peut déjà facilement donner une idée de l'étendu des dégats Pour trouver la MBSA : http://www.microsoft.com/france/securite/default.mspx et particulierement http://www.microsoft.com/france/securite/outils/mbsa.aspx
cordialement
-- François Dunoyer [MVP Windows Server / Security] Quelques liens pour Windows : http://fds.mvps.org/AdressesInternets.htm Site perso : http://www.fdunoyer.net
m
Merci Mr François pour cette réponse rapide ^^ Je vais éplucher les liens que vous me proposez et pour les "directives" du domaine vous voulez parler des différentes stratégies appliquées via l'AD? En tout cas encore merci et bonne journée
-- Ceci est une signature automatique de MesNews. Site : http://www.mesnews.net
Merci Mr François pour cette réponse rapide ^^
Je vais éplucher les liens que vous me proposez et pour les
"directives" du domaine vous voulez parler des différentes stratégies
appliquées via l'AD?
En tout cas encore merci et bonne journée
--
Ceci est une signature automatique de MesNews.
Site : http://www.mesnews.net
Merci Mr François pour cette réponse rapide ^^ Je vais éplucher les liens que vous me proposez et pour les "directives" du domaine vous voulez parler des différentes stratégies appliquées via l'AD? En tout cas encore merci et bonne journée
-- Ceci est une signature automatique de MesNews. Site : http://www.mesnews.net
F. Dunoyer [MVP]
a formulé ce mardi :
Merci Mr François pour cette réponse rapide ^^ Je vais éplucher les liens que vous me proposez et pour les "directives" du domaine vous voulez parler des différentes stratégies appliquées via l'AD? En tout cas encore merci et bonne journée
Non pas du tout je parle de directive générale dans le domaine de la sécurité. Qu'est ce qui l'interesse, qu'est ce qui le préoccupe ? L'AD aussi bien il ne sait même pas ce que c'est !
Est ce que son objectif c'est la production avant toute chose (on n'arrete pas les serveur de prod par exemple ou pas plus d'une h par mois !) Est ce que tous les utilisateurs de tous les services doivent pouvoir accéder aux documents de l'entreprise ou au contraire y'a t'il (ou doit il ) y avoir un cloisement strict des informations ?
Quelles sont les données sensibles (s'il y'en a) ? Quelle politique est souhaités (souhaitable) sur les backup !
Quels sont délais d'indisponibiltes acceptables pour un serveur ? (il y'a des gens qui peuvent passer une journée à remonter un serveur sans que ce soit un probleme et d'autre qui ne suportent pas 30 mn d'indisponibilité, et tous les serveurs ne sont pas dans les mêmes cas).
L'audit c'est souvent déjà rédiger un état de ce qui devait être avant même de réaliser un état de ce qui est !
-- François Dunoyer [MVP Windows Server / Security] Des infos en Vrac : http://fds.mvps.org/ta/envrac.htm Site perso : http://www.fdunoyer.net
m@tos a formulé ce mardi :
Merci Mr François pour cette réponse rapide ^^
Je vais éplucher les liens que vous me proposez et pour les "directives" du
domaine vous voulez parler des différentes stratégies appliquées via l'AD?
En tout cas encore merci et bonne journée
Non pas du tout je parle de directive générale dans le domaine de la
sécurité.
Qu'est ce qui l'interesse, qu'est ce qui le préoccupe ?
L'AD aussi bien il ne sait même pas ce que c'est !
Est ce que son objectif c'est la production avant toute chose
(on n'arrete pas les serveur de prod par exemple ou pas plus d'une h
par mois !)
Est ce que tous les utilisateurs de tous les services doivent pouvoir
accéder aux documents de l'entreprise ou au contraire y'a t'il (ou doit
il ) y avoir un cloisement strict des informations ?
Quelles sont les données sensibles (s'il y'en a) ?
Quelle politique est souhaités (souhaitable) sur les backup !
Quels sont délais d'indisponibiltes acceptables pour un serveur ?
(il y'a des gens qui peuvent passer une journée à remonter un serveur
sans que ce soit un probleme et d'autre qui ne suportent pas 30 mn
d'indisponibilité, et tous les serveurs ne sont pas dans les mêmes
cas).
L'audit c'est souvent déjà rédiger un état de ce qui devait être avant
même de réaliser un état de ce qui est !
--
François Dunoyer [MVP Windows Server / Security]
Des infos en Vrac : http://fds.mvps.org/ta/envrac.htm
Site perso : http://www.fdunoyer.net
Merci Mr François pour cette réponse rapide ^^ Je vais éplucher les liens que vous me proposez et pour les "directives" du domaine vous voulez parler des différentes stratégies appliquées via l'AD? En tout cas encore merci et bonne journée
Non pas du tout je parle de directive générale dans le domaine de la sécurité. Qu'est ce qui l'interesse, qu'est ce qui le préoccupe ? L'AD aussi bien il ne sait même pas ce que c'est !
Est ce que son objectif c'est la production avant toute chose (on n'arrete pas les serveur de prod par exemple ou pas plus d'une h par mois !) Est ce que tous les utilisateurs de tous les services doivent pouvoir accéder aux documents de l'entreprise ou au contraire y'a t'il (ou doit il ) y avoir un cloisement strict des informations ?
Quelles sont les données sensibles (s'il y'en a) ? Quelle politique est souhaités (souhaitable) sur les backup !
Quels sont délais d'indisponibiltes acceptables pour un serveur ? (il y'a des gens qui peuvent passer une journée à remonter un serveur sans que ce soit un probleme et d'autre qui ne suportent pas 30 mn d'indisponibilité, et tous les serveurs ne sont pas dans les mêmes cas).
L'audit c'est souvent déjà rédiger un état de ce qui devait être avant même de réaliser un état de ce qui est !
-- François Dunoyer [MVP Windows Server / Security] Des infos en Vrac : http://fds.mvps.org/ta/envrac.htm Site perso : http://www.fdunoyer.net
m
merci encore pour ces précisions. je pensais devoir m'attacher directement à un aspect technique en analysant ce qui était en place et en trouver les failles mais effectivement il paraît plus logique de savoir d'abord quelle idée se fait la direction suur le niveau de sécurité souhaité et surtout quels sont leurs besoins. ++
F. Dunoyer [MVP] avait soumis l'idée :
a formulé ce mardi :
Merci Mr François pour cette réponse rapide ^^ Je vais éplucher les liens que vous me proposez et pour les "directives" du domaine vous voulez parler des différentes stratégies appliquées via l'AD? En tout cas encore merci et bonne journée
Non pas du tout je parle de directive générale dans le domaine de la sécurité. Qu'est ce qui l'interesse, qu'est ce qui le préoccupe ? L'AD aussi bien il ne sait même pas ce que c'est !
Est ce que son objectif c'est la production avant toute chose (on n'arrete pas les serveur de prod par exemple ou pas plus d'une h par mois !) Est ce que tous les utilisateurs de tous les services doivent pouvoir accéder aux documents de l'entreprise ou au contraire y'a t'il (ou doit il ) y avoir un cloisement strict des informations ?
Quelles sont les données sensibles (s'il y'en a) ? Quelle politique est souhaités (souhaitable) sur les backup !
Quels sont délais d'indisponibiltes acceptables pour un serveur ? (il y'a des gens qui peuvent passer une journée à remonter un serveur sans que ce soit un probleme et d'autre qui ne suportent pas 30 mn d'indisponibilité, et tous les serveurs ne sont pas dans les mêmes cas).
L'audit c'est souvent déjà rédiger un état de ce qui devait être avant même de réaliser un état de ce qui est !
-- Ceci est une signature automatique de MesNews. Site : http://www.mesnews.net
merci encore pour ces précisions. je pensais devoir m'attacher
directement à un aspect technique en analysant ce qui était en place et
en trouver les failles mais effectivement il paraît plus logique de
savoir d'abord quelle idée se fait la direction suur le niveau de
sécurité souhaité et surtout quels sont leurs besoins.
++
F. Dunoyer [MVP] avait soumis l'idée :
m@tos a formulé ce mardi :
Merci Mr François pour cette réponse rapide ^^
Je vais éplucher les liens que vous me proposez et pour les "directives" du
domaine vous voulez parler des différentes stratégies appliquées via l'AD?
En tout cas encore merci et bonne journée
Non pas du tout je parle de directive générale dans le domaine de la
sécurité.
Qu'est ce qui l'interesse, qu'est ce qui le préoccupe ?
L'AD aussi bien il ne sait même pas ce que c'est !
Est ce que son objectif c'est la production avant toute chose
(on n'arrete pas les serveur de prod par exemple ou pas plus d'une h par mois
!)
Est ce que tous les utilisateurs de tous les services doivent pouvoir accéder
aux documents de l'entreprise ou au contraire y'a t'il (ou doit il ) y avoir
un cloisement strict des informations ?
Quelles sont les données sensibles (s'il y'en a) ?
Quelle politique est souhaités (souhaitable) sur les backup !
Quels sont délais d'indisponibiltes acceptables pour un serveur ?
(il y'a des gens qui peuvent passer une journée à remonter un serveur sans
que ce soit un probleme et d'autre qui ne suportent pas 30 mn
d'indisponibilité, et tous les serveurs ne sont pas dans les mêmes cas).
L'audit c'est souvent déjà rédiger un état de ce qui devait être avant même
de réaliser un état de ce qui est !
--
Ceci est une signature automatique de MesNews.
Site : http://www.mesnews.net
merci encore pour ces précisions. je pensais devoir m'attacher directement à un aspect technique en analysant ce qui était en place et en trouver les failles mais effectivement il paraît plus logique de savoir d'abord quelle idée se fait la direction suur le niveau de sécurité souhaité et surtout quels sont leurs besoins. ++
F. Dunoyer [MVP] avait soumis l'idée :
a formulé ce mardi :
Merci Mr François pour cette réponse rapide ^^ Je vais éplucher les liens que vous me proposez et pour les "directives" du domaine vous voulez parler des différentes stratégies appliquées via l'AD? En tout cas encore merci et bonne journée
Non pas du tout je parle de directive générale dans le domaine de la sécurité. Qu'est ce qui l'interesse, qu'est ce qui le préoccupe ? L'AD aussi bien il ne sait même pas ce que c'est !
Est ce que son objectif c'est la production avant toute chose (on n'arrete pas les serveur de prod par exemple ou pas plus d'une h par mois !) Est ce que tous les utilisateurs de tous les services doivent pouvoir accéder aux documents de l'entreprise ou au contraire y'a t'il (ou doit il ) y avoir un cloisement strict des informations ?
Quelles sont les données sensibles (s'il y'en a) ? Quelle politique est souhaités (souhaitable) sur les backup !
Quels sont délais d'indisponibiltes acceptables pour un serveur ? (il y'a des gens qui peuvent passer une journée à remonter un serveur sans que ce soit un probleme et d'autre qui ne suportent pas 30 mn d'indisponibilité, et tous les serveurs ne sont pas dans les mêmes cas).
L'audit c'est souvent déjà rédiger un état de ce qui devait être avant même de réaliser un état de ce qui est !
-- Ceci est une signature automatique de MesNews. Site : http://www.mesnews.net
