Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

L’ANSSI publie son guide d’hygiène informatique pour les entreprises

Une base de travail minimale

L'ANSSI publie son guide d'hygiène informatique pour les entreprises

Le 28 janvier 2013 à 17h01

Apparu en ébauche en octobre dernier, le guide d’hygiène informatique de l’ANSSI (Agence nationale de la sécurité des systèmes d'information) est désormais publié dans sa version finale. Au total, ce ne sont pas moins de quarante points de contrôle qui représentent un « socle minimal » de règles de sécurité pour les entreprises. Le guide ne se veut donc pas exhaustif, mais il représente une bonne base de travail.

Les actualités concernant le monde de la sécurité sont nombreuses. Il s’agit le plus souvent de malwares et d’attaques menées par des tiers. Depuis deux ans environ, ces attaques ont basculé vers un modèle particulièrement poussé, les gouvernements investissant dans une nouvelle forme d’espionnage. De fait, la publication par l’ANSSI d’un guide d’hygiène informatique à destination des entreprises est particulièrement importante.

 

Le guide se décompose en quarante points de contrôles dont certains paraitront nécessairement triviaux. Ils sont regroupés en différents chapitres, et nous vous en proposons d’ailleurs un résumé dans la suite de cet article. Tous ont trait à la sécurité des données qui est aussi vitale pour les données internes des entreprises que celles qui proviennent des clients et dont l’entreprise a mathématiquement la charge.

 

L’ANSSI souligne que si le guide ne se veut pas exhaustif, il constitue un socle sur lequel toute entreprise devrait contrôler pour s’y conformer. Il s’agit d’une base de travail conçue pour affronter deux types de situation essentiellement : les problèmes de sécurité issus de l’erreur humaine, et ceux provenant directement de l’extérieur (attaques), les deux pouvant d’ailleurs être liés.

 

La connaissance du parc informatique

Les premières règles concernent avant tout la connaissance de l’environnement informatique de l’entreprise. Cela concerne aussi bien le matériel et les données associées (telles que les adresses MAC) que la configuration logicielle : système d’exploitation, suite bureautique, visionneuses diverses, navigateurs et ainsi de suite.

 

L’entreprise se doit de posséder une liste complète des comptes utilisateur disposant de privilèges. Les protocoles de gestion des arrivées et départs des employés doivent être documentés, de même que la gestion des accès aux locaux et celle, très importante, des équipements mobiles et documents sensibles. Le tout vise à produire une carte générale du système d’informations.

Limiter les accès

L’ANSSI recommande un point particulièrement sensible dans les réseaux d’entreprise : ne limiter la connexion Internet qu’aux postes où elle est réellement nécessaire. Dans la même veine, l’entreprise prendra soin de désactiver toute possibilité de connecter des équipements personnels tels que les lecteurs MP3. L’objectif est de limiter toute ingérence des vies personnelles des employés dans le fonctionnement de l’entreprise.

De la bonne gestion des mises à jour

L’entreprise devra impérativement effectuer un relevé complet de tous les logiciels impliqués dans son fonctionnement. Le responsable devra connaître les modalités de mise à jour de chacun de ces composants et surveiller l’actualité sur la sécurité, soit via les sites des éditeurs, soit en passant par des structures spécialisées telles que les CERT.

 

Un rythme d’application des mises à jour devra être défini et suivi scrupuleusement. Lorsque c’est possible, il sera d’ailleurs préférable d’utiliser un outil dédié, tel que WSUS en environnement Windows. À ce sujet, on comprend mieux d’ailleurs les avis positifs qui ont suivi l’annonce par Adobe du suivi des Patch Tuesdays de Microsoft pour les mises à jour de Flash. L’ANSSI recommande enfin d’isoler les éléments obsolètes et de procéder à leur mise à jour manuellement.

Identification : le pavé

La gestion de l‘identité des employés est clairement un tronçon important du guide de l’ANSSI. Premièrement, il est crucial que toute personne ayant accès au réseau doive s’authentifier : aucun accès anonyme ne doit être autorisé. D’autre part, des règles strictes de définition des mots de passe doivent être créées et les utilisateurs doivent y être sensibilisés. Ces règles doivent être appliquées via des mécanismes techniques ne laissant aucun choix, tel que le blocage automatique du compte si l’utilisateur rate la fenêtre de mise à jour du mot de passe.

 

D’autre part, aucune conservation des mots de passe ne doit avoir lieu en clair dans un fichier informatique quelconque. L’enregistrement automatique, en vue de ne plus avoir besoin de réécrire le mot de passe, doit quant à lui être désactivé. Les identifiants fournis par défaut avec les équipements tels que les routeurs doivent être impérativement changés. Enfin, si c’est possible, l’ANSSI recommande chaudement d’utiliser une authentification forte, par exemple via un système de cartes à puce.

La sécurité ne concerne plus seulement les serveurs

L’ANSSI insiste sur la notion d’homogénéité de la sécurité du parc informatique. Il y a longtemps que les serveurs ne sont plus les seules machines visées. Les postes clients sont d’excellents vecteurs d’attaques. C’est d’ailleurs grâce à ces postes que Duqu avait pu pénétrer les défenses du laboratoire nucléaire iranien où il avait fini par être repéré. Des règles de base s’imposent donc : désactivation des services inutiles (réduction de la surface d’attaque), restriction des privilèges pour les comptes utilisateur simples, mise en place d’un pare-feu bloquant au moins les connexions entrantes, verrouillage de l’accès au BIOS, désactivation du Wake On Lan, etc.

Exit les supports amovibles 

Les supports amovibles, tels que les clés USB et les CD/DVD, doivent impérativement être bloqués. L’ANSSI est consciente du fait que cette mesure peut paraître fortement rétrograde par les employés, mais la sécurité reste plus importante que ces considérations. Si les clés USB doivent être autorisées, l’autorun devra en être désactivé. Idem pour les CD/DVD.

La sécurité des terminaux

Idéalement, un parc informatique devrait être équipé d’une solution permettant à la fois le déploiement des politiques de sécurité et celui des mises à jour. Plus les équipements pris en charge seront nombreux, mieux ce sera. Cela inclut notamment les terminaux nomades, qui devront être concernés par les mêmes règles de sécurité que les autres, voire davantage, comme le chiffrement intégral des données. Ce chiffrement des données reste dans tous les cas valable partout, en particulier pour les médias qui peuvent être perdus. Sur les postes fixes, il a également son intérêt.

Cloisonner l’infrastructure de sécurité

Dans le cas où des postes ou serveurs contiennent des données particulièrement sensibles, il est utile de créer un sous-réseau obéissant à des règles plus strictes et protégé du reste par une passerelle. Dans le même esprit, si un réseau Wi-Fi doit être déployé, il doit être isolé dans un sous-réseau spécifique. Plus globalement, l’entreprise devrait toujours privilégier les applications et les protocoles sécurisés.

 

Enfin, la sécurité générale devrait être auditée régulièrement, en particulier les annuaires centraux (Active Directory, LDAP).

« Sed quis custodiet ipsos custodes ? »

L’idée de garder les gardiens n’a pas échappé à l’ANSSI. Ainsi, l’administration du réseau doit être elle-même protégée, car la prise de contrôle d’une machine ou d’un compte administrateur peut faire tomber toute la sécurité d’une infrastructure. Première conséquence : tout compte administrateur doit être coupé d’Internet. Deuxièmement, le réseau d’administration des équipements devrait être séparé du reste. Conséquence logique : aucun utilisateur classique ne doit recevoir le moindre privilège, et ce, sans la moindre exception.

 

Ceux qui veulent connaître le document en détail pourront le lire depuis le site officiel de l’ANSSI. Notez cependant qu’il est connecté à une autre publication. Il s’agit d’un référentiel métier sur les compétences de l’architecte référent en sécurité des systèmes d’information. Plus précis que le premier, il concerne avant tout les responsables travaillant sur les infrastructures de sécurité.

Commentaires (46)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Et à part ça, avec quel produit faut-il nettoyer son clavier et sa souris ? <img data-src=" />

votre avatar

Heu… ça fait un moment qu’il a été publié ce guide

votre avatar







MorganStern a écrit :



Et à part ça, avec quel produit faut-il nettoyer son clavier et sa souris ? <img data-src=" />





C’était la question que je me posais mais apparemment on parle d’un autre type d’hygiène !


votre avatar

Ha désolé, il s’agit de la version finalisée, je n’avais pas vu, mea culpa

votre avatar



Règle 9

Définir des règles de choix et de dimensionnement des mots de passe.



On trouvera les bonnes pratiques en matière de choix et de dimensionnement des mots de passe dans le document de l’ANSSI, Recommandations de sécurité relativesaux mots de passe. Parmi ces règles, les plus critiques sont de sensibiliser les utilisateurs aux risques liés au choix d’un mot de passe qui puisse se deviner trop facilement, et à la réutilisation de mots de passe en particulier entre messageries personnelles et professionnelles.





Ouais mais ça c’est un vrai problème et pas que dans le milieu de l’entreprise mais PARTOUT !



Ne pas partager un même mot-de-passe entre différents services est mission impossible ! Et qu’en plus il faut des mots de passe compliqués pour chacun des services, c’est tout simplement – à part capacité intellectuelle mémorielle hors normes – techniquement impossible.



Un utilisateur va potentiellement s’inscrire sur des dizaines de sites, prenons un inpactien de base:





  • PCInpact/Clubic/autre…

  • LDLC/Materiel.net/autre…

  • Amazon/autre…

  • Gmail-Google/Live/Yahoo/autre…

  • Facebook

  • Wikipedia/Ubuntu-fr/HFR/autre…

  • GoogleCode/Github/autre…

  • Free/Orange/SFR/autre…

  • Compte en ligne EDF/GDF/autre…

  • Compte en ligne LBP/autre…

  • Carte VISA/Mastercard…

  • Carte de retrait Livret A…

  • Compte email du boulot/Poste de travail du boulot







    ça fait déjà plus de 13 mots de passe qui doivent TOUS être différents les uns des autres et COMPLEXES à deviner, sans parler de ceux qu’on ne peut pas personnaliser (cartes VISA etc. ou ceux du boulot par exemple) !



    Et encore j’ai été doucement, 13 c’est rien du tout, c’est plutôt autour des 100 ou 200 vu les nombreux sites et services auquel un utilisateur est appelé à utiliser !



    Demander aux utilisateurs de mémoriser un énième mot de passe, complexe qui plus est, différent de tous ceux qu’ils utilisent déjà, est du pure délire, c’est ne pas voir la réalité en face, c’est IMPOSSIBLE, ce qu’il se passe (surtout en entreprise) c’est que le mot de passe se retrouve sur un post-it sur le bureau de l’employé tout simplement !





votre avatar

Après, c’est aux DSI et au PDG si aller vers plus de sécurité vaut le coup face à la probable perte en réactivité, et la hausse des coûts infra et humains induits par une telle politique (sans compter l’image donnée aux employés)

votre avatar



Conséquence logique : aucun utilisateur classique ne doit recevoir le moindre privilège, et ce, sans la moindre exception.







C’est bien joli, mais dans la pratique c’est souvent impossible….. quand un développeur à besoin d’installer ses petits logiciels à lui parce qu’il est plus efficace comme ça on fait comment?

votre avatar

En parlant de mot de passe, vous avez des recommandations pour un password-manager (éventuellement dans le cloud) ? Quelque chose de bien sécurisé avec chiffrement coté client… mais faut que les mots de passe soient facilement accessible (depuis une page web ?) en même temps donc pas évident !!



Je sais qu’il y a des solutions ingénieuses sur Linux avec clé privé/public etc. mais hormis le Password Manager de Firefox sur Windows vous recommanderiez quoi ?

votre avatar



Exit les supports amovibles

<img data-src=" /> comment tu fais pour transférer des fichiers sur un poste qui n’est justement pas connecté à un réseau pour des raisons de sécurité <img data-src=" />

votre avatar

KeePass Password Safe couplé à Dropbox, pour l’instant, je n’ai pas trouvé d’autre solution, mais je continue de chercher…

votre avatar







illidanPowa a écrit :



<img data-src=" /> comment tu fais pour transférer des fichiers sur un poste qui n’est justement pas connecté à un réseau pour des raisons de sécurité <img data-src=" />







Et pourtant c’est la meilleur solution. La plus part du temps tu peux quand même gérer des exceptions. Aucun support autorisé sauf des clé identifiés et gérées.


votre avatar







anonumus a écrit :



En parlant de mot de passe, vous avez des recommandations pour un password-manager (éventuellement dans le cloud) ? Quelque chose de bien sécurisé avec chiffrement coté client… mais faut que les mots de passe soient facilement accessible (depuis une page web ?) en même temps donc pas évident !!



Je sais qu’il y a des solutions ingénieuses sur Linux avec clé privé/public etc. mais hormis le Password Manager de Firefox sur Windows vous recommanderiez quoi ?





Ça.


votre avatar

Cool, je vais avoir un peut plus de lecture en provenance de l’ANSSI moi <img data-src=" />



En tous cas le regroupement est intéressant pour se faire une idée globale des préco de l’ANSSI <img data-src=" />

votre avatar



« Sed quis custodiet ipsos custodes ? »





A quoi je répondrais:





«In vino veritas»





Une fois bourré, personne n’y voit plus rien.<img data-src=" />

votre avatar

@Anonumous je tourne avec 1Password, couplé à dropbox : win/mac/android, chiffrement coté client, payant mais bien :)



pas testé KeePass, decouvert après avoir pris ma licence …

votre avatar







anonumus a écrit :



Ouais mais ça c’est un vrai problème et pas que dans le milieu de l’entreprise mais PARTOUT !



Ne pas partager un même mot-de-passe entre différents services est mission impossible ! Et qu’en plus il faut des mots de passe compliqués pour chacun des services, c’est tout simplement – à part capacité intellectuelle mémorielle hors normes – techniquement impossible.



Un utilisateur va potentiellement s’inscrire sur des dizaines de sites, prenons un inpactien de base:





  • PCInpact/Clubic/autre…

  • LDLC/Materiel.net/autre…

  • Amazon/autre…

  • Gmail-Google/Live/Yahoo/autre…

  • Facebook

  • Wikipedia/Ubuntu-fr/HFR/autre…

  • GoogleCode/Github/autre…

  • Free/Orange/SFR/autre…

  • Compte en ligne EDF/GDF/autre…

  • Compte en ligne LBP/autre…

  • Carte VISA/Mastercard…

  • Carte de retrait Livret A…

  • Compte email du boulot/Poste de travail du boulot







    ça fait déjà plus de 13 mots de passe qui doivent TOUS être différents les uns des autres et COMPLEXES à deviner, sans parler de ceux qu’on ne peut pas personnaliser (cartes VISA etc. ou ceux du boulot par exemple) !



    Et encore j’ai été doucement, 13 c’est rien du tout, c’est plutôt autour des 100 ou 200 vu les nombreux sites et services auquel un utilisateur est appelé à utiliser !



    Demander aux utilisateurs de mémoriser un énième mot de passe, complexe qui plus est, différent de tous ceux qu’ils utilisent déjà, est du pure délire, c’est ne pas voir la réalité en face, c’est IMPOSSIBLE, ce qu’il se passe (surtout en entreprise) c’est que le mot de passe se retrouve sur un post-it sur le bureau de l’employé tout simplement !





    Tu es en train de nous dire que tu as le meme mot de passe pour tous tes services? Ou que tu as une excellente memoire? <img data-src=" />



    Et soudain, entre en jeu les coffres forts a mots de passe…

    Les mots de passe perso, c’est facile et a la portée de tous de les avoir longs et forts (20 caracteres en ascii) et tous differents.



    Il n’y a plus que le master password a retenir (facile d’etre long en faisant une phrase du langage courant) et le mot de passe du boulot (qui peut d’ailleurs etre entré dans le coffre fort a mot de passe du smartphone).



    Il faut eduquer les gens dans ce sens.



    Personne ne trouverait normal de pouvoir utiliser la meme clé pour toutes les serrures de son quotidien (voiture, maison, boite aux lettres, maison de vacances, clé des voisins/enfants/parents pour aroser les plantes et nourrir le chat, clé du tiroir du bureau, cadenas pour le casier de la salle de sport, etc…)



    Mais des que c’est dematerialisé, hop, ils ne se posent plus de question….




votre avatar

Encore une administration qui sert à rien, juste à caser des copains des politiques…

A croire que tout ce qui n’est pas organisé par une administration publique n’existe pas. L’amour n’existe pas, puisqu’il n’y a pas de ministère de l’amour…

votre avatar







Ph11 a écrit :



Encore une administration qui sert à rien, juste à caser des copains des politiques…

A croire que tout ce qui n’est pas organisé par une administration publique n’existe pas. L’amour n’existe pas, puisqu’il n’y a pas de ministère de l’amour…





Encore un commentaire qui sert à rien, juste à montrer son ignorance.



L’ANSSI fait un énorme travail (veille technologique, publication au CERTA, sécurisation des réseaux publics, etc) et publie régulièrement de très bon rapports (sur la résilience de l’internet notamment)



Mais c’est plus simple de parler sans savoir.


votre avatar

Préconisations faites par des mecs qui n’ont jamais vraiment du travailler dans l’informatique dans le privé…

Je dois sans cesse ramener des documents chez moi pour les lires ou y travailler (ce qui est de plus en plus courant pour beaucoup de monde) et à l’inverse avoir accès sur mon lieu de travail à un certains nombres de documents perso, comment je fais sans clé USB (perso il va sans dire car ce n’est pas celui pour qui je bosse qui va me la fournir) ?

De même, un certains nombres de taches nécessites de rechercher des informations en lignes, comment on fait sans les accès internet ?

Surtout sachant que les RH accèdent régulièrement Facebook pour leur pêche aux infos, tout bloquer parait un peu abusé.

De plus en plus de boites ont des postes en open space, comment on fait quand on a besoin de me concentrer et que ça discute autour de soi si on ne peut pas utiliser de MP3 ?

Dans ces open spaces, les 34 des personnes sont des sous traitants indeps ou de SSII, comment ils font pour accéder à leurs informations ou mails situés sur les sites de leur propres boites ? Ils bossent chez eux le soir ?

On peut faire de la sécurité sans pour cela tout cloisonner au point que ça en devienne bloquant pour travailler correctement et efficacement mais c’est sur que c’est un peu plus compliquer à imaginer que ces règles en partie bidons.

votre avatar



L’ANSSI….





Une question de caractère <img data-src=" /><img data-src=" />





<img data-src=" /><img data-src=" />

votre avatar







Ricard a écrit :



A quoi je répondrais: «In vino veritas»



Une fois bourré, personne n’y voit plus rien.<img data-src=" />





Les vrais admins boivent de la Guinness, pas du vin !


votre avatar







brichmarsa a écrit :



Préconisations faites par des mecs qui n’ont jamais vraiment du travailler dans l’informatique dans le privé…





Complètement faux… mais bon ça rejoint mon précédent commentaire.







brichmarsa a écrit :



Je dois sans cesse ramener des documents chez moi pour les lires ou y travailler (ce qui est de plus en plus courant pour beaucoup de monde) et à l’inverse avoir accès sur mon lieu de travail à un certains nombres de documents perso, comment je fais sans clé USB (perso il va sans dire car ce n’est pas celui pour qui je bosse qui va me la fournir) ?

De même, un certains nombres de taches nécessites de rechercher des informations en lignes, comment on fait sans les accès internet ?

Surtout sachant que les RH accèdent régulièrement Facebook pour leur pêche aux infos, tout bloquer parait un peu abusé.





Ils n’ont pas dit d’interdire Internet mais de l’autoriser seulement pour les personnes qui en ont besoin.







brichmarsa a écrit :



De plus en plus de boites ont des postes en open space, comment on fait quand on a besoin de me concentrer et que ça discute autour de soi si on ne peut pas utiliser de MP3 ?





Aucun rapport, tu peux utiliser autant de lecteurs que tu veux. Mais pas les connecter au réseau interne de l’entreprise.







brichmarsa a écrit :



Dans ces open spaces, les 34 des personnes sont des sous traitants indeps ou de SSII, comment ils font pour accéder à leurs informations ou mails situés sur les sites de leur propres boites ? Ils bossent chez eux le soir ?





Cf internet pour ceux qui en ont besoin.







brichmarsa a écrit :



On peut faire de la sécurité sans pour cela tout cloisonner au point que ça en devienne bloquant pour travailler correctement et efficacement mais c’est sur que c’est un peu plus compliquer à imaginer que ces règles en partie bidons.





Si il y a un reproche à faire ce n’est pas que ces règles sont “bidons” mais plutôt déjà trop connus. Mais l’ANSSI précise bien que c’est une base.


votre avatar







bzc a écrit :



Encore un commentaire qui sert à rien, juste à montrer son ignorance.



L’ANSSI fait un énorme travail (veille technologique, publication au CERTA, sécurisation des réseaux publics, etc) et publie régulièrement de très bon rapports (sur la résilience de l’internet notamment)



Mais c’est plus simple de parler sans savoir.





Mouais… Il y aura toujours des gens pour argumenter une utilité aux administrations inutiles… Mais sans leur existence, on ne vivrait pas plus mal.


votre avatar







Ph11 a écrit :



Mouais… Il y aura toujours des gens pour argumenter une utilité aux administrations inutiles… Mais sans leur existence, on ne vivrait pas plus mal.







C’est pas mal cet argumentation on peut s’en servir pour plus ou moins tout sur terre.



Bref je vais arrêter là, si tu veux continuer à critiquer ce que tu ne connais pas fais toi plaisir.



Note que je ne reproche pas de pas connaitre l’utilité de l’ANSSI, mais par exemple moi je connais rien à la pêche et ben ça me viendrait pas à l’idée d’aller commenter un article sur les hameçons pour affirmer des contre-vérités.


votre avatar







Guiguiolive a écrit :



Tu es en train de nous dire que tu as le meme mot de passe pour tous tes services? Ou que tu as une excellente memoire? <img data-src=" />



Et soudain, entre en jeu les coffres forts a mots de passe…

Les mots de passe perso, c’est facile et a la portée de tous de les avoir longs et forts (20 caracteres en ascii) et tous differents.



Il n’y a plus que le master password a retenir (facile d’etre long en faisant une phrase du langage courant) et le mot de passe du boulot (qui peut d’ailleurs etre entré dans le coffre fort a mot de passe du smartphone).



Il faut eduquer les gens dans ce sens.



Personne ne trouverait normal de pouvoir utiliser la meme clé pour toutes les serrures de son quotidien (voiture, maison, boite aux lettres, maison de vacances, clé des voisins/enfants/parents pour aroser les plantes et nourrir le chat, clé du tiroir du bureau, cadenas pour le casier de la salle de sport, etc…)



Mais des que c’est dematerialisé, hop, ils ne se posent plus de question….





Il faut surtout se débarrasser des mots de passes


votre avatar







fred42 a écrit :



Les vrais admins boivent de la Guinness, pas du vin !





Du p’tit lait.<img data-src=" />


votre avatar







bzc a écrit :



C’est pas mal cet argumentation on peut s’en servir pour plus ou moins tout sur terre.





Pas spécialement. L’utilité de quelque chose est relative et ne concerne que les personnes qui ne voient un intérêt en cela.

Concernant une administration, cela engage toute la population alors que cette utilité n’intéresse qu’une partie de la population. S’il y a réellement de la valeur ajoutée dans ce que fait cette administration, cela se ferait spontanément. Sans valeur ajoutée, elle n’existerait pas, et ce ne serait pas une perte.

De plus, vu comment fonctionne la bureaucratie française où le népotisme est roi, il y aura toujours une suspicion concernant les administrations.



Il y en a qui trouvent que la commission copie privée ou l’hadopi sont très utiles.


votre avatar

Il y a une méthode très simple pour retenir les mots de passe de tout les service en n’en ayant un différent pour chaque. Il suffit de générer chaque mot de passe avec un algorithme facile à retenir et à appliquer en utilisant comme base par exemple le nom du service ou tout autre chaîne de caractère s’y rapportant. Ainsi il est très facile de générer plein de mots de passe très complexes et facile à retenir .

votre avatar







Shaeis a écrit :



Il y a une méthode très simple pour retenir les mots de passe de tout les service en n’en ayant un différent pour chaque. Il suffit de générer chaque mot de passe avec un algorithme facile à retenir et à appliquer en utilisant comme base par exemple le nom du service ou tout autre chaîne de caractère s’y rapportant. Ainsi il est très facile de générer plein de mots de passe très complexes et facile à retenir .







Oui et le jour où quelqu’un trouve ton mot de passe r2&9IU1X@Site sur un site il faut combien de temps pour trouver r2&9IU1X@Gmail selon toi ?


votre avatar







illidanPowa a écrit :



C’est bien joli, mais dans la pratique c’est souvent impossible….. quand un développeur à besoin d’installer ses petits logiciels à lui parce qu’il est plus efficace comme ça on fait comment?







Bah il fait comme tout le monde, il l’installe dans un sous-répertoire de son rép personnel.

<img data-src=" />


votre avatar







bzc a écrit :



Oui et le jour où quelqu’un trouve ton mot de passe r2&9IU1X@Site sur un site il faut combien de temps pour trouver r2&9IU1X@Gmail selon toi ?







au doigt mouillé, je dirais :

autant de temps que pour trouver le premier s’il utilise un brute force sur la seconde cible comme un benet de base, à peine moins s’il utilise un dico avec générateur de variantes.



maintenant osef un peu, les mdp de mes comptes web sont carrément «weak» (3 structures logiques pour retrouver tout mdp en 3 essais au pire), mais par contre pour les trucs qui m’importent c’est du mdp unique et plus poilu, passphrase quand j’en ai la possibilité.



Mais de toute façon sur le web les possibilités d’identifications sont généralement trop pauvres pour pouvoir faire autrement sans devoir retenir des centaines de mdp différents ; et il est par ailleurs inimaginable que je confie la gestion des mdp à un soft tiers (sans aller à la parano complotiste, le soft est juste susceptible de crasher et paumer tous les mdp un jour au l’autre)



Bref, sans meme parler de l’utilisateur lambda, amha les mdp web sont, pour la majorité, condamnés à etre faibles.


votre avatar







bzc a écrit :



Oui et le jour où quelqu’un trouve ton mot de passe r2&9IU1X@Site sur un site il faut combien de temps pour trouver r2&9IU1X@Gmail selon toi ?





L’algo n’a pas a etre aussi simple…



On peut tres bien imaginer ajouter a la fin du mot de passe le nombre de lettres du service encadré par la derniere lettre et la premiere…



Soit dans ton exemple: r2&9IU1X@l5g …

Bonne chance pour te douter de l’astuce. Et ca reste tres simple a mettre en oeuvre…


votre avatar







Ph11 a écrit :



Encore une administration qui sert à rien, juste à caser des copains des politiques…

A croire que tout ce qui n’est pas organisé par une administration publique n’existe pas. L’amour n’existe pas, puisqu’il n’y a pas de ministère de l’amour…







T’abuses un chouillat là…

L’ANSSI a, si je ne m’abuse, été mise en place justement parce qu’en France les mauvaises pratiques règnent en maitre et qu’on est parmi les meilleurs (cocorico!) dans la catégorie des pays qui se font voler leurs inovations et secrets industriels.



bref, un problème identifié, un début de solution mis en place, au bénéfice de tous.


votre avatar







anonumus a écrit :



Ouais mais ça c’est un vrai problème et pas que dans le milieu de l’entreprise mais PARTOUT !



Ne pas partager un même mot-de-passe entre différents services est mission impossible ! Et qu’en plus il faut des mots de passe compliqués pour chacun des services, c’est tout simplement – à part capacité intellectuelle mémorielle hors normes – techniquement impossible.



Un utilisateur va potentiellement s’inscrire sur des dizaines de sites, prenons un inpactien de base:





  • PCInpact/Clubic/autre…

  • LDLC/Materiel.net/autre…

  • Amazon/autre…

  • Gmail-Google/Live/Yahoo/autre…

  • Facebook

  • Wikipedia/Ubuntu-fr/HFR/autre…

  • GoogleCode/Github/autre…

  • Free/Orange/SFR/autre…

  • Compte en ligne EDF/GDF/autre…

  • Compte en ligne LBP/autre…

  • Carte VISA/Mastercard…

  • Carte de retrait Livret A…

  • Compte email du boulot/Poste de travail du boulot







    ça fait déjà plus de 13 mots de passe qui doivent TOUS être différents les uns des autres et COMPLEXES à deviner, sans parler de ceux qu’on ne peut pas personnaliser (cartes VISA etc. ou ceux du boulot par exemple) !



    Et encore j’ai été doucement, 13 c’est rien du tout, c’est plutôt autour des 100 ou 200 vu les nombreux sites et services auquel un utilisateur est appelé à utiliser !



    Demander aux utilisateurs de mémoriser un énième mot de passe, complexe qui plus est, différent de tous ceux qu’ils utilisent déjà, est du pure délire, c’est ne pas voir la réalité en face, c’est IMPOSSIBLE, ce qu’il se passe (surtout en entreprise) c’est que le mot de passe se retrouve sur un post-it sur le bureau de l’employé tout simplement !







    Ya plus simple : par exemple, tu apprends un seul mot de masse, genre “11dempya1”, et tu utilises une méthodepour personnaliser le mot de passe. Par exemple, tu prends tout le temps la seconde lettre du NDD, et tu la fais précéder ton mot de passe “générique”.



    Genre PCI, ca donne “c11dempya1”… super dur !



    Et si tu veux éviter les redondances “qui peuvent arriver”, ben, prends deux lettres ^^


votre avatar







anonumus a écrit :



Ouais mais ça c’est un vrai problème et pas que dans le milieu de l’entreprise mais PARTOUT !



Ne pas partager un même mot-de-passe entre différents services est mission impossible ! Et qu’en plus il faut des mots de passe compliqués pour chacun des services, c’est tout simplement – à part capacité intellectuelle mémorielle hors normes – techniquement impossible.



Un utilisateur va potentiellement s’inscrire sur des dizaines de sites, prenons un inpactien de base:





  • PCInpact/Clubic/autre…

  • LDLC/Materiel.net/autre…

  • Amazon/autre…

  • Gmail-Google/Live/Yahoo/autre…

  • Facebook

  • Wikipedia/Ubuntu-fr/HFR/autre…

  • GoogleCode/Github/autre…

  • Free/Orange/SFR/autre…

  • Compte en ligne EDF/GDF/autre…

  • Compte en ligne LBP/autre…

  • Carte VISA/Mastercard…

  • Carte de retrait Livret A…

  • Compte email du boulot/Poste de travail du boulot







    ça fait déjà plus de 13 mots de passe qui doivent TOUS être différents les uns des autres et COMPLEXES à deviner, sans parler de ceux qu’on ne peut pas personnaliser (cartes VISA etc. ou ceux du boulot par exemple) !







    à ton avis ca sert à quoi que le navigateur retienne tes MDP ?

    qu’il en bloque l’acces avec un MDP principal ?

    et pour la flexibilité il les ‘sécurisent’ dans le cloud (oui je sais) pour que de chez ou de ton taf tu puissent avoir les MAJ de tes MDP



    ca sert à ce que justement tu puisses avoir un MDP fort de type w_Z’Er$7t5*ù^ pour chaque site (si il le supporte, la aussi ya du boulot)



    Firefox &gt; Option &gt; Security

    et Firefox &gt; Option &gt; Sync



    mais ya le meme pour tous les navigateur depuis je dirais 5 ans, peut etre +



    A++



    ps : utiliseshttp://www.pctools.com/guides/password/ (met toutes les options)


votre avatar







anonumus a écrit :



ça fait déjà plus de 13 mots de passe qui doivent TOUS être différents les uns des autres et COMPLEXES à deviner, sans parler de ceux qu’on ne peut pas personnaliser (cartes VISA etc. ou ceux du boulot par exemple) !



Et encore j’ai été doucement, 13 c’est rien du tout, c’est plutôt autour des 100 ou 200 vu les nombreux sites et services auquel un utilisateur est appelé à utiliser !



Demander aux utilisateurs de mémoriser un énième mot de passe, complexe qui plus est, différent de tous ceux qu’ils utilisent déjà, est du pure délire, c’est ne pas voir la réalité en face, c’est IMPOSSIBLE, ce qu’il se passe (surtout en entreprise) c’est que le mot de passe se retrouve sur un post-it sur le bureau de l’employé tout simplement !









Il faut avoir un carnet physique ou un fichier avec des indices de mot de passe, pas les mots de passe en clair. Même si le carnet ou le fichier passent dans d’autres mains, ils ne doivent rien pouvoir faire.



Les mots de passe les plus importants sont ceux qui stockent un numéro de CB et les boites mails. Cf la fonction “mot de passe oublié ?” de nombreux sites.





A chacun de se trouver une technique de mémorisation.


votre avatar







illidanPowa a écrit :



C’est bien joli, mais dans la pratique c’est souvent impossible….. quand un développeur à besoin d’installer ses petits logiciels à lui parce qu’il est plus efficace comme ça on fait comment?







Un dev n’est pas un utilisateur classique


votre avatar

Je n’ai pas trouvé le chapitre sur le pare-feu Office <img data-src=" />

votre avatar







anonumus a écrit :



c’est que le mot de passe se retrouve sur un post-it sur le bureau de l’employé tout simplement !



En plus il faut le changer tous les X mois, donc oui, ça fini sur un post-it :) (avec ceux de toutes les applis métier )


votre avatar







Guiguiolive a écrit :



Personne ne trouverait normal de pouvoir utiliser la meme clé pour toutes les serrures de son quotidien… Mais des que c’est dematerialisé, hop, ils ne se posent plus de question….







l’ENORME différence, c’est que tes clés matérielles c’est facile d’en faire des différentes et de les garder sur toi. Pour le mot de passe c’est relativement facile d’en faire des différents mais c’est une autre paire de manche de les mémoriser.



Si pour sécuriser quelque chose tu as besoin d’utiliser des moyens impossibles ou difficiles à avoir/obtenir, autant dire que tu n’as pas les moyens de sécuriser et que ce système est mauvais :



Tout système d’authentification basé sur les mots de passe est mauvais

Tout système qui se base quasi exclusivement sur les capacités de génération d’aléa et de mémorisation d’un humain est mauvais



Je ne dis pas qu’un humain capable de faire un bon aléa et de mémoriser 5 ou 6* mots de passes de 12 caractères changés tous les trois mois n’existe pas, je dis juste que ça doit être d’une relative rareté.



* : parce que c’est pas non plus la peine d’avoir des mots de passe complexes et long pour tout et n’importe quoi


votre avatar







illidanPowa a écrit :



<img data-src=" /> comment tu fais pour transférer des fichiers sur un poste qui n’est justement pas connecté à un réseau pour des raisons de sécurité <img data-src=" />





Dans une ancienne boite on nous fournissait des clés exclusivement pour passer les documents en plateforme (hors réseau).



illidanPowa a écrit :



C’est bien joli, mais dans la pratique c’est souvent impossible….. quand un développeur à besoin d’installer ses petits logiciels à lui parce qu’il est plus efficace comme ça on fait comment?





Dans la même boite quand tu arrivais on te demandais quels outils tu avais besoin. Tu faisais une demande et le lendemain ils étaient installés.



Si c’était un logiciel particulier le DSI venait te voir et te l’installait directement.



Un utilisateur n’a pas à avoir des droits d’administrations sur son PC. Ne serait-ce que pour la santé mentale du DSI.


votre avatar

Ayant travaillé dans le support utilisateurs de base il y a quelques années, je peux vous dire que mémoriser ne serait-ce qu’un mot de passe de 8 caractères (à changer tous les 4560 jours) est de trop.

Exemple : Toto@2012 était déjà compliqué pour ma population d’utilisateurs.



Comme on dit dans le métier pour les users : “deux boutons, un de trop”



Sortie de là il est possible de sectoriser ses mots de passe :

-Même mot de passe pour les sites de ventes

-Même mot de passe pour les sites “douteux”

-Même mot de passe pour les forums/news

-Même mot de passe pour toutes les applis relatives au boulot.



Cela me semble un bon compromis entre Risque et prise de tête.

Plus les règles seront contraignantes et moins les utilisateurs lambda s’y plieront !

votre avatar

Le coup du post-it : indémodable ! <img data-src=" />

Les développeurs qui se font emmerder par le CORSIC (correspondant informatique) je connais !

Une politique SSI qui réduit les PC à des minitels où même un pauvre switch KVM est interdit, d’où l’empilement des écrans sur les bureaux je connais aussi !

Et surtout des SSI incapables de comprendre et d’interpréter la politique de sécurité dictée en haut-lieu, ils prônent et imposent des contraintes inutiles … ça craint <img data-src=" />



JM

votre avatar







bzc a écrit :



C’est pas mal cet argumentation on peut s’en servir pour plus ou moins tout sur terre.



Bref je vais arrêter là, si tu veux continuer à critiquer ce que tu ne connais pas fais toi plaisir.



Note que je ne reproche pas de pas connaitre l’utilité de l’ANSSI, mais par exemple moi je connais rien à la pêche et ben ça me viendrait pas à l’idée d’aller commenter un article sur les hameçons pour affirmer des contre-vérités.





La différence est que l’ANSSI s’adresse à des personnes qui connaissent la sécurité informatique pas à des pêcheurs a la ligne. C’est comme si un fabriquant de filet indiquait a des pêcheurs bretons comment les utiliser.

Je confirme ce que je disait précédemment, à cause de ce type de préconisations les 34 des directions informatique estiment qu’un développeur ou qu’un ingénieur de prod n’a rien a faire sur le net sans prendre en compte le fait que c’est là qu”ils peuvent trouver le plus efficacement des solutions à leurs problèmes quotidiens. Mais tu as raison de défendre ta crémerie, il faut bien justifier son salaire.même dans l’administration.

Je pense que ce type d’agence devrait commencer par recommander des campagnes d’information sur la sécurité au grand public sur des sujets comme le spam, le phishing, la gestion des mots de passe, la pratique sécurisée de’ l’informatique sur le et chez eux au quotidien, et l’application des principes de sécurité s’appliquerait naturellement en entreprise.


votre avatar







brichmarsa a écrit :



La différence est que l’ANSSI s’adresse à des personnes qui connaissent la sécurité informatique pas à des pêcheurs a la ligne. C’est comme si un fabriquant de filet indiquait a des pêcheurs bretons comment les utiliser.





L’ANSSI ne fabrique rien, cette analogie est vraiment pas bonne.





Je confirme ce que je disait précédemment, à cause de ce type de préconisations les 34 des directions informatique estiment qu’un développeur ou qu’un ingénieur de prod n’a rien a faire sur le net sans prendre en compte le fait que c’est là qu”ils peuvent trouver le plus efficacement des solutions à leurs problèmes quotidiens.



Les 34 ? D’ou sort ce chiffre ? Car de mon expérience personnelle en tout cas il y a une infime minorité d’entreprise qui ne donnent pas accès à Internet à tout le monde.

En ce qui concerne les préconisations elle disent de donner accès quand c’est nécessaire. Si le sysadmin qui s’occupe de ça n’arrive pas à faire ce jugement il faut en changer.





Mais tu as raison de défendre ta crémerie, il faut bien justifier son salaire.même dans l’administration.



Ahah je bosse dans le privé mais bien essayé.





Je pense que ce type d’agence devrait commencer par recommander des campagnes d’information sur la sécurité au grand public sur des sujets comme le spam, le phishing, la gestion des mots de passe, la pratique sécurisée de’ l’informatique sur le et chez eux au quotidien, et l’application des principes de sécurité s’appliquerait naturellement en entreprise.



Oui donc on en revient au problème initial : ne pas savoir de quoi on parle.

Spam securite-informatique.gouv.fr République FrançaisePhishing securite-informatique.gouv.fr République Françaisesecurite-informatique.gouv.fr République FrançaiseMots de passe securite-informatique.gouv.fr République Française


votre avatar







bzc a écrit :



L’ANSSI ne fabrique rien, cette analogie est vraiment pas bonne.





Les 34 ? D’ou sort ce chiffre ? Car de mon expérience personnelle en tout cas il y a une infime minorité d’entreprise qui ne donnent pas accès à Internet à tout le monde.

En ce qui concerne les préconisations elle disent de donner accès quand c’est nécessaire. Si le sysadmin qui s’occupe de ça n’arrive pas à faire ce jugement il faut en changer.





Ahah je bosse dans le privé mais bien essayé.







Ce n’était pas un essai, je fait des déductions, apparemment fausses par rapport à ta réaction et tes commentaires. Mea culpa.







bzc a écrit :



Oui donc on en revient au problème initial : ne pas savoir de quoi on parle.

Spam securite-informatique.gouv.fr République FrançaisePhishing securite-informatique.gouv.fr République Françaisesecurite-informatique.gouv.fr République FrançaiseMots de passe securite-informatique.gouv.fr République FrançaiseJe sors ça de mon expérience de 25 ans d’informatique, en tant qu’ingé systeme pendant 9 ans pour l’informatique interne chez un constructeur informatique et du reste en tant que prestataire dans la production chez un certains nombre de gros clients et je pense qu’à ce niveau d’expérience, j’ai le droit de dire que je sais a peu près de quoi je parles, oui



Qui va sur les sites du gouvernement pour se renseigner sur les “dangers” de l’informatique dans le grand public ? Je parlais de campagnes d’information nationales à la tv et dans les journaux, un peu comme celles concernant le tabac ou la conduite car je penses que si on en me meurt pas, cette ignorance doit quand même couter un bras a l’économie nationale chaque année.


L’ANSSI publie son guide d’hygiène informatique pour les entreprises

  • La connaissance du parc informatique

Fermer