Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

L’ANSSI propose 42 mesures minimales d’hygiène informatique

Les points 18 et 31 plairont à l'Intérieur

L'ANSSI propose 42 mesures minimales d'hygiène informatique

Le 25 janvier 2017 à 16h00

L'Agence de sécurité informatique de l'État liste tout ce qu'une entreprise ou un organisme doit contrôler en matière de numérique. Un travail de fond qui doit notamment s'appuyer sur des produits qualifiés par l'agence et le chiffrement, quand disponibles.

Alors que le Forum international de la cybersécurité (FIC) bat son plein à Lille, l'Agence nationale de sécurité des systèmes d'information (ANSSI) a mis à jour son guide d'hygiène informatique. D'abord publié en 2013, il a été renouvelé pour être plus complet et mieux prendre en compte de nouveaux usages. Attention, il ne s'agit pas de conseils pour les particuliers, mais pour les organisations et entreprises, avec leurs problèmatiques spécifiques.

Revisiter son informatique de fonds en combles

Le guide « est né du constat que si les mesures qui y sont édictées avaient été appliquées par les entités concernées, la majeure partie des attaques informatiques ayant requis une intervention de l’agence aurait pu être évitée » indique l'ANSSI dans son communiqué. Il est donc primoridal que le document soit compréhensible, avec 42 mesures à mettre en place.

Concrètement, le guide s'attarde sur chaque aspect de l'entreprise, de la gestion des accès et des permissions des employés, au schéma et à la sécurité du réseau de l'entreprise, en passant par la prise en compte des terminaux mobiles et l'analyse des risques. Autant dire que chaque point n'est pas une simple case à cocher, mais un travail continu, qui peut demander des ressources importantes, même à de petites entreprises. Le principal étant de formaliser et noter ce qui peut l'être, ainsi que de réduire le risque humain, en imposant par exemple une authentification forte et des mots de passe sûrs quand c'est possible.

 Privilégier les produits qualifiés par l'ANSSI

Comme l'indique l'agence, cette mise à jour concerne notamment les technologies, les pratiques et la séparation des usages. Comme semble le suggérer le guide, l'usage de terminaux personnels ou l'accès aux données professionnelles en dehors de son réseau sont encore des défis.

Le dernier point est de privilégier les produits qualifiés par l'ANSSI, qui sont entre autres inspectés selon les besoins de l'administration et sur leur sécurité technique. Il reste que ce n'est pas une solution miracle, les qualifications étant en retard dans des domaines comme le cloud, et que la normalisation européenne est encore balbutiante. Dans l'ensemble, ces mesures sont un socle minimum « non exhaustif » pour garantir cette fameuse hygiène informatique. Une notion qu'Axelle Lemaire, secrétaire d'État au numérique, a d'ailleurs dit ne pas apprécier.

Commentaires (65)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

18 et 31 <img data-src=" />

ça leur rabaissera un peu le caquet

votre avatar







Cashiderme a écrit :



une source ? <img data-src=" />



François Asselineau, président-fondateur-secrétaire général-trésorier-standardiste de l’UPR. <img data-src=" />


votre avatar







popolski a écrit :



18 et 31 <img data-src=" />

ça leur rabaissera un peu le caquet





C’est un guide aux entreprises, donc justement si en tant que particulier tu l’appliques c’est suspect



“- Hé Robert, le suspect il a téléchargé le rapport de l’ANSSI 2017, c’est pas un peu bizarre?




  • OMG il a quelque chose à cacher celui-là, allons le choper on a assez de preuves”

    <img data-src=" />


votre avatar







matroska a écrit :



Oui c’est exactement ça, plus sales que les toilettes publiques ! Mais ça concerne les claviers/souris aussi.

<img data-src=" />







Ca me fait tjrs rire ce genre de trucs, on parle en terme de densité de bactérie, non en terme de diversité, dangerosité…


votre avatar







marba a écrit :



Ce qu’il faut comprendre c’est que l’armée ne travaille pas du tout sur le même ordre de grandeur en terme de chiffrement que des solutions grand public. À mon avis le chiffrement est toujours considéré comme une arme, c’est juste que le chiffrement grand public est pour le chiffrement ce qu’est un pistolet à bille pour un fusil d’assaut.

Les révélations sur la NSA l’ont bien montré.





Ah…

Ben en fait non, l’armée utilise les mêmes chiffrements que le grand public, pourquoi utiliser autre chose que ce qui est reconnu par les cryptanalystes du monde entier. Si les banques et institutions financières utilisent des chiffrements connus, tu peux être sûr que ce n’est pas à la légère.

Tu crois que de l’AES 256 c’est pas solide ? Déjà que du 128, c’est loin d’être “craquable” même par l’ensemble des ordinateurs de la planète.


votre avatar







matroska a écrit :



Oui c’est exactement ça, plus sales que les toilettes publiques ! Mais ça concerne les claviers/souris aussi.

<img data-src=" />









Jarodd a écrit :



Ca vient d’une “étude” sponsorisée par un vendeur de gel hydroalcooliques. Ca en dit long sur la crédibilité de l’étude…









caesar a écrit :



Ca me fait tjrs rire ce genre de trucs, on parle en terme de densité de bactérie, non en terme de diversité, dangerosité…





Je ne connais pas encore d’histoire de contamination par quelqu’un s’asseyant sur des toilettes publiques.



En revanche, c’est très compréhensible que les claviers (ordi et mobile) soient assez sales en terme de bactéries diverses, imagine ce que tu fais avec tes mains quand tu prends le métro ou bus (poignées et barres), serres la main des gens, éternue (moi je n’éternue pas dans ma main mais mon coude), etc.


votre avatar

Allez, sans rancune ce que j’annonçais est bien là … alors le chiffrement … et les préco de l’aNSi, pour le gueux oui , pour les seigneurs lisez ci-dessous :



D-Wave a donné quelques précisions techniques sur son 2000Q. Il fonctionne à une température de moins de 15 millikelvins (donc près du zéro absolu), pour permettre à la puce de réaliser son traitement quantique. Chaque système peut comprendre jusqu’à 2048 qubits et 5 600 raccords pour chaque qubit. Le 2000Q consomme 25 kW en énergie.

votre avatar

Pour DWAVE si !

naïf tu es.

votre avatar

tu as un train de retard , une fois de plus :

D-Wave a donné quelques précisions techniques sur son 2000Q. Il fonctionne à une température de moins de 15 millikelvins (donc près du zéro absolu), pour permettre à la puce de réaliser son traitement quantique. Chaque système peut comprendre jusqu’à 2048 qubits et 5 600 raccords pour chaque qubit. Le 2000Q consomme 25 kW en énergie.

En savoir plus surhttp://www.silicon.fr/d-wave-livre-son-systeme-quantique-2000q-a-15-millions-de-…

votre avatar

+1

votre avatar

Changement de fréquence pour cause de documentation à lire.

votre avatar







ledufakademy a écrit :



tu as un train de retard , une fois de plus :

D-Wave a donné quelques précisions techniques sur son 2000Q. Il fonctionne à une température de moins de 15 millikelvins





Tu ressors à chaque fois l’ordinateur quantique, qui manifestement te fait “tripper”.



Pour l’instant on est dans du conditionnel total. Tous les articles scientifiques indiquent qu’on est très loin de pouvoir construire un de ces ordinateurs quantiques permettant d’implémenter des algorithmes un tant soit peu réalistes.



PS : si les chercheurs estimaient un tant soit peu que le chiffrement soit cassable sous peu, ça serait l’effervescence, or ce n’est pas le cas.


votre avatar

tu réponds à quoi exactement?

tu prétends qu’il est interdit en France d’utiliser une clé supérieure à une longueur X?

ou que l’ANSSI bosse secrètement à casser du chiffrement avec un ordi quantique?

juste pour comprendre où se situe ma naïveté. <img data-src=" />

votre avatar

Si ces recommandations de base étaient appliquées dans ma boite j’aurai des projets pour les 3 a 6 ans à venir&nbsp;<img data-src=" />



Les gens ne sont pas assez conscient de leur action.&nbsp;

Document téléchargé et information distillée en interne&nbsp;<img data-src=" />

votre avatar

Ce qu’on appelle la saleté, c’est assez difficile à définir et ca va bien au delà des germes. On peut salir un clavier avec quelque chose de stérile.

&nbsp;

Pare exemple l’urine&nbsp; <img data-src=" />

votre avatar

il existe , IL existeeee : société d-wave , réveil, réveil : 15 Millions de $ … ben oui c’est un faux !



il faut s’instruire … un peu.

votre avatar

<img data-src=" />



Ah mais je crois vraiment que je vais imprimer chaque page et les afficher aux coins et dans les couloirs, ça c’est cool :)

votre avatar

“Les points 18 et 31 plairont à l’Intérieur”

Ce serait plutôt “les points 18 et 31 vont vous surprendre”

votre avatar

42, c’est volontaire comme nombre de recommandations, ou bien ? ^^

votre avatar







&nbsp; L’ANSSI a écrit :



Références

&nbsp; Douglas Adams,The Hitchhiker’s Guide to the Galaxy (ou H2G2 ), roman de science-fiction, 1979





Je sais pas trop…


votre avatar

1 - Se laver les mains avant d’utiliser clavier et souris.

2 - …



<img data-src=" />

votre avatar

un classique, les fondamentaux mais c’est bien de le rappeler …

je crois ne pas avoir lu de truc sur le filtrage et analyse des flux , la sécu. périmétrique c’est bien mais cela ne suffit pas.

votre avatar

… quand l’anssi te dit “allez, chiffrez” c’est qu’il y a déjà des trucs pour casser les chiffrements usuels ET autorisés (un clef sup. à 256 bits et considérée comme arme de guerre , rappel)…

ordi quantique : le premier qui stabilisera son ordi quantique va essayer de garder sa trouvaille aussi longtemps qu’il le pourra <img data-src=" />

votre avatar







ledufakademy a écrit :



(un clef sup. à 256 bits et considérée comme arme de guerre , rappel)…







une source ? <img data-src=" />


votre avatar







matroska a écrit :



1 - Se laver les mains avant d’utiliser clavier et souris.

2 - …



<img data-src=" />





ce sont surtout les portables qui sont porteurs de germes.

j’avais lu qu’ils étaient plus sales que des sièges de toilettes.


votre avatar







melchizedech a écrit :



Je sais pas trop…



Je n’avais encore pas regardé le doc de l’ANSSI, bien vu. ;)


votre avatar

Jusqu’en 1996, c’était arme de deuxième catégorie (avec les transports et véhicules de guerre, quoi).

Mais depuis l’eau a coulé sous les ponts, et maintenant c’est libre dans la plupart de l’Europe



fr.wikipedia.org Wikipedia

votre avatar

Oui c’est exactement ça, plus sales que les toilettes publiques ! Mais ça concerne les claviers/souris aussi.



<img data-src=" />

votre avatar







tpeg5stan a écrit :



Jusqu’en 1996, c’était arme de deuxième catégorie (avec les transports et véhicules de guerre, quoi).

Mais depuis l’eau a coulé sous les ponts, et maintenant c’est libre dans la plupart de l’Europe



fr.wikipedia.org WikipediaIl y a plus de 20 ans quoi <img data-src=" />



votre avatar







Juju251 a écrit :



42, c’est volontaire comme nombre de recommandations, ou bien ? ^^





Les connaissant… oui&nbsp;<img data-src=" />


votre avatar







matroska a écrit :



Oui c’est exactement ça, plus sales que les toilettes publiques ! Mais ça concerne les claviers/souris aussi.



<img data-src=" />





en gros il faut se laver les mains chaque fois qu’on tripote des bits.


votre avatar

bullshit, y’a pas de limite à la longueur de la clé.

tu dois confondre avec la DGSI ou la DGSE: le rôle de l’ANSSI n’est absolument pas le cassage de moyens de chiffrements.

votre avatar







Cashiderme a écrit :



une source ? <img data-src=" />





Effectivement, sa source c’est la moquette, assez souvent.

Merci pour cet émoji que j’avais oublié <img data-src=" />







hellmut a écrit :



bullshit, y’a pas de limite à la longueur de la clé.

tu dois confondre avec la DGSI ou la DGSE: le rôle de l’ANSSI n’est absolument pas le cassage de moyens de chiffrements.





<img data-src=" />



A une époque en France quelqu’un qui faisait une thèse en cryptographie était contacté par la DST (parce que c’était sensible), c’était ce que m’avait dit un docteur ès cette matière ; depuis que ça a été libéralisé, je doute que ce soit encore le cas, et la recherche en cryptographie (les tentatives et succès des attaques) a l’air assez publique, comme pour la mise au point de l’AES. Cela n’empêche pas d’imaginer que NSA/DGSI/autres bossent dans leur coin pour attaquer les algorithmes, mais bon courage.


votre avatar

C’est bon les germes, ça renforce les défenses immunitaires à terme. Je passe un temps fou sur des ordis et ma dernière maladie remonte à il y a presque 20 ans ! Bon, je fais un minimum attention. Faut se laver les mains quand on sort des toilettes hein, je sais bien qu’on risque de se faire kick de de Battlefield mais ce n’est pas une raison ;)

votre avatar







cassoulet a écrit :



On peut salir un clavier avec quelque chose de stérile.

&nbsp;

Pare exemple l’urine&nbsp; <img data-src=" />





Trump dit que ce n’est pas sale.


votre avatar







ledufakademy a écrit :



il existe , IL existeeee : société d-wave , réveil, réveil : 15 Millions de $ … ben oui c’est un faux !



il faut s’instruire … un peu.





T’es gentil à tout le temps expliquer ici que toi t’es instruit ou renseigné ou je ne sais quoi. En fait t’es loin d’être le commentateur le plus instruit et le plus pertinent, on te le fait assez souvent remarquer.



Ensuite, tu n’as pas répondu sur le fond à ce que je disais sur la mise au point d’un ordinateur quantique utilisable sur un problème complexe comme le décryptage. Moi aussi je sais lire le communiqué de presse d’une société hi-tech en recherche de notoriété et de financement. <img data-src=" /> .

Ne sois pas naïf.



( ^ cette dernière phrase pour te retourner une de tes répliques habituelles et totalement inutile )







hellmut a écrit :



juste pour comprendre où se situe ma naïveté. <img data-src=" />





<img data-src=" />


votre avatar

ta mauvaise foi est énorme.



Au-delà des polémiques, la jeune pousse voit dans son dernier système une porte ouverte aux usages dans le domaine du machine learning, l’échantillonnage ou la cybersécurité. Pour le démontrer, D-Wave annonce un premier contrat avec la société spécialisée en sécurité Temporal Defense System (TDS). Le système 2000Q va servir à plusieurs choses, mais en particulier à « identifier, authentifier et autoriser les terminaux à travers le réseau », précise James Burrell, responsable technologique de TDS. Il ajoute que « l’arrivée d’algorithme de chiffrement quantique et la capacité à résoudre des problèmes de calcul complexe par des plateformes quantiques, vont améliorer la sécurité des réseaux en perpétuels évolutions ».



L’histoire ne dit pas si TDS a payé le ticket d’entrée de 15 millions de dollars pour obtenir le 2000Q. D-Wave précise que sa solution est également accessible en ligne avec abonnement. La start-up a déjà converti plusieurs grands noms comme Google, la NASA ou Lockheed Martin.



… c’est moi qui suit naïf .. et puis tu sais les militaires ont du attendre qu’une jeune pousse le crée cette ordinateur à base de qubits, pour péter le chiffre ennemi …

Mais, au fait , sait tu ce qu’est un qubit ?

votre avatar







ledufakademy a écrit :



James Burrell, responsable technologique de TDS. Il ajoute que « l’arrivée d’algorithme de chiffrement quantique et la capacité à résoudre des problèmes de calcul complexe par des plateformes quantiques, vont améliorer la sécurité des réseaux en perpétuels évolutions ».





Ah, donc quand ça t’arrange, tu crois un type sur parole ?

Il y a de fortes probabilités que cette “arrivée” soit assez lointaine.

Que des grosses boîtes comme Google ou la NASA veuillent faire joujou avec cet ordinateur, c’est compréhensible ; on verra ce qu’ils arrivent à en faire.







ledufakademy a écrit :



Mais, au fait , sait tu ce qu’est un qubit ?





Non pas du tout, tu sais moi je ne m’intéresse à rien, je ne lis rien du tout, jamais, même pas NXI c’est dire <img data-src=" /> .


votre avatar

le profil d’un mec du parti socialiste : rassures moi tu es socialiste ?

<img data-src=" />

votre avatar

Bah non car personne n’ose poser ses fesses directement sans essuyer un minimum ! Tu le fais toi ? Genre une grande gare ou une station-service d’autoroute ? Je suis persuadé que non !



<img data-src=" /> <img data-src=" />



<img data-src=" />

votre avatar
votre avatar

En plus du fait de n’avoir aucun rapport avec mon commentaire, ni de répondre à quoi que ce soit dans mon commentaire, tu n’en as pas marre de raconter des inepties ?

votre avatar







OlivierJ a écrit :



Ah, donc quand ça t’arrange, tu crois un type sur parole ?

Il y a de fortes probabilités que cette “arrivée” soit assez lointaine.

Que des grosses boîtes comme Google ou la NASA veuillent faire joujou avec cet ordinateur, c’est compréhensible ; on verra ce qu’ils arrivent à en faire.







Au passage, si on peut faire du déchiffrement quantique, cela implique que l’on pourra faire du chiffrement quantique.



Donc, match nul, la balle au centre.


votre avatar







matroska a écrit :



Bah non car personne n’ose poser ses fesses directement sans essuyer un minimum ! Tu le fais toi ? Genre une grande gare ou une station-service d’autoroute ? Je suis persuadé que non !





Je pense que ça dépend de la propreté du lieu. Si la lunette est sale, je vais passer une feuille de PQ vite fait, c’est plus pour ne pas avoir un résidu de saleté (ou urine) sur la cuisse, mais je ne crains pas “d’attraper une maladie”.







matroska a écrit :



Pendant ce temps à Vera Cruz…





T’es carrément en retard, leduf a déjà sévi avec sa marotte et ce lien.


votre avatar







Commentaire_supprime a écrit :



Au passage, si on peut faire du déchiffrement quantique, cela implique que l’on pourra faire du chiffrement quantique.





Probablement (le chiffrement quantique c’est pas tout à fait pareil, c’est plus facile en fait), mais en attendant, avec les milliards d’ordinateurs (fixes, portables, mobiles) en cours d’utilisation, on fera comment ?



PS : je suis allé cherché un peu d’information, alors d’une part le chiffrement quantique on sait déjà faire, pour communiquer une clé surtout :fr.wikipedia.org Wikipedia .

“En 2002, le record de distance pour la transmission quantique des clés cryptographiques était de 67 kilomètres, entre Genève et Lausanne. En 2014, ce record était de 307 kilomètres”



Juste après on y trouve ce paragraphe intéressant, qui risque de chagriner leduf :



“Les futurs ordinateurs quantiques seront théoriquement en mesure de décrypter toutes les clés de chiffrements : même augmenter la taille de la clef ne suffirait plus, l’information deviendrait vulnérable dans tous les cas. Cependant selon Philippe Grangier - concepteur d’une technologie de cryptographie quantique - des ordinateurs classiques suffisent pour mettre en œuvre la cryptographie quantique en codant la clef de sécurité dans des photons (particules de lumière) ou des impulsions lumineuses, qui ne sont rien d’autre que des “objets” quantiques.”



“Et par leur nature même, le simple fait de vouloir les mesurer pour tenter de lire les informations qu’ils transportent suffit à les perturber et à donner l’alerte. “Si l’espion essaye de lire quoi que ce soit, il sera toujours détecté”, assure Philippe Grangier, le système pouvant alors cesser toute transmission. Ordinateur classique ou quantique, “ça n’y changerait rien, on suppose même dans nos tests de sécurité que l’espion dispose d’un ordinateur quantique, même s’il est bien loin d’en avoir un”, conclut-il.”


votre avatar

Gemalto le fait déjà et une des propriété de la phy quantique c’est un de ses postulats :

si on regarde l’expérience alors le simple fait de la regarder modifie les résultats … donc pour le chiffrement c’est utile …



Si tu observes (prends connaissance) de l’information qui transit … tu la modifie .. désolé , perdu. ;-)



ensuite on peut parler intrication quantique mais c’est un autre sujet .. encore plus complexe.

votre avatar







jackjack2 a écrit :



C’est un guide aux entreprises, donc justement si en tant que particulier tu l’appliques c’est suspect



“- Hé Robert, le suspect il a téléchargé le rapport de l’ANSSI 2017, c’est pas un peu bizarre?




  • OMG il a quelque chose à cacher celui-là, allons le choper on a assez de preuves”

    <img data-src=" />





    Anssi soit-il


votre avatar







hellmut a écrit :



après que leurs recos soient mal vécues, oui évidemment, vu qu’ils obligent les OIV à dépenser des sioux en sécu. mais bon comme qui dirait, “c’est pour leur bien”. <img data-src=" />





Le nœud du problème n’est pas que les mesures soient bonnes ou mauvaise, c’est que l’ANSSI prescrit, mais que personne ne finance. C’est impossible pour le RSSI d’un petit EP d’aller convaincre sa direction qu’il vaut basculer quelques pourcents d’un budget en baisse dans la sécu informatique. Du coup ces lois ne font que le mettre pénalement en faute pour des choses sur lesquelles il n’a pas prise.

Si on voulait vraiment que ce soit appliqué, les mesures de sécurité devraient être financées spécifiquement (quitte à baisser le reste du budget de l’EP! mais au moins c’est plus au RSSI de faire apparaitre l’argent, mais à l’organisme de s’adapter à une réorientation forcée du budget).







ledufakademy a écrit :



tu as un train de retard , une fois de plus :

D-Wave a donné quelques précisions techniques sur son 2000Q. Il fonctionne à une température de moins de 15 millikelvins (donc près du zéro absolu), pour permettre à la puce de réaliser son traitement quantique. Chaque système peut comprendre jusqu’à 2048 qubits et 5 600 raccords pour chaque qubit. Le 2000Q consomme 25 kW en énergie.





La vrai question, une clé de quelle taille peux-tu casser avec ça? La réponse est zéro. D-Wave n’a pas produit un ordinateur quantique ‘general purpose’, celui nécessaire à l’exécution de l’algo de shore et des autres merveilleusetés dont on rêve depuis des décennies mais un ordinateur capable de résoudre des problèmes d’optimisation bien spécifiques quelques dizaines de milliers de fois plus vitre qu’un PC de bureau (sachant qu’il coûte quelques dizaines de milliers de fois plus cher).

C’est très bien pour certains besoins, mais c’est très très loin de remettre en cause les méthodes de chiffrement utilisés aujourd’hui, qui nécessitent des millions d’années de calcul à des millions de PC actuels.


votre avatar

ils génèrent déjà les clefs , ils ne seraient pas capable de les casser … ?



Le Safenet CN8000, nouveau boîtier d’encodage de Gemalto, s’appuie sur la mécanique quantique pour générer ses clés de chiffrement.



En savoir plus surhttp://www.silicon.fr/gemalto-introduit-physique-quantique-appliances-dencodage-…

votre avatar

Ça m’étonne pas, vu que j’emmène mon portable aux toilettes

votre avatar







picatrix a écrit :



en gros il faut se laver les mains chaque fois qu’on tripote des bits.





<img data-src=" /> Surtout si on ne sait pas où ils ont trainé avant…


votre avatar

Dans les produits certifiés ANSSI:



TrueCrypt Foundation TrueCrypt version 6.0a



Ils comptent pas certifier la 7.2?



En tout cas merci à eux, encore une fois!

votre avatar

ben ça prend du temps de certifier.

keepass est aussi certifié, mais c’est une ancienne version.

s’ils devaient certifier chaque logiciel à chaque update, ils passeraient leur temps à ça. ^^

mais ça donne une bonne indication à une date donnée.

ça vaut ce que ça vaut.

votre avatar

n’empêche heureusement qu’ils sont là, l’ANSSI, parce qu’avec les deux années qu’on vient de passer, qui sait ce qu’on a évité comme textes totalement foireux…

votre avatar

Ca vient d’une “étude” sponsorisée par un vendeur de gel hydroalcooliques. Ca en dit long sur la crédibilité de l’étude…

votre avatar

Des gens bien à l’ANSII, Ils ont de bonnes références !

votre avatar







hellmut a écrit :



ben ça prend du temps de certifier. keepass est aussi certifié, mais c’est une ancienne version. s’ils devaient certifier chaque logiciel à chaque update, ils passeraient leur temps à ça. ^^ mais ça donne une bonne indication à une date donnée. ça vaut ce que ça vaut.





Certes. Le problème c’est que ça décrédibilise un peu la démarche.

Quand tu bosses dans la sécurité, tu te retrouve souvent à faire la chasse aux gens qui ont la flemme de faire des MAJ de sécurité, et si après tu leur recommande un keepass un peu ancien, tu passes un peu pour un con (même s’il n’y a pas de faille majeure dans la version recommandée).

Sur certains outils (qui sont les plus importants, genre le pare-feux), ils ont tellement longtemps été tellement loin derrière l’état de l’art que c’était du masochisme de suivre leurs recommandations. IPtable, c’est bien gentil, mais c’est pas ce qui se fait de mieux… Je ne sais pas trop ce qu’il en est aujourd’hui, ils sont peut-être plus à jour.







hellmut a écrit :



n’empêche heureusement qu’ils sont là, l’ANSSI, parce qu’avec les deux années qu’on vient de passer, qui sait ce qu’on a évité comme textes totalement foireux…





Tu fais référence à quelque chose de précis? (le chiffrement?)

Parce que les textes qu’ils produisent ne sont pas toujours très bien vécus par ceux qui doivent les appliquer.


votre avatar







OlivierJ a écrit :



Effectivement, sa source c’est la moquette, assez souvent.

Merci pour cet émoji que j’avais oublié <img data-src=" />





<img data-src=" />



A une époque en France quelqu’un qui faisait une thèse en cryptographie était contacté par la DST (parce que c’était sensible), c’était ce que m’avait dit un docteur ès cette matière ; depuis que ça a été libéralisé, je doute que ce soit encore le cas, et la recherche en cryptographie (les tentatives et succès des attaques) a l’air assez publique, comme pour la mise au point de l’AES. Cela n’empêche pas d’imaginer que NSA/DGSI/autres bossent dans leur coin pour attaquer les algorithmes, mais bon courage.





Ce doit être toujours le cas j’imagine. Ce qu’il faut comprendre c’est que l’armée ne travaille pas du tout sur le même ordre de grandeur en terme de chiffrement que des solutions grand public. À mon avis le chiffrement est toujours considéré comme une arme, c’est juste que le chiffrement grand public est pour le chiffrement ce qu’est un pistolet à bille pour un fusil d’assaut.

Les révélations sur la NSA l’ont bien montré.


votre avatar







hellmut a écrit :



ben ça prend du temps de certifier.

keepass est aussi certifié, mais c’est une ancienne version.

s’ils devaient certifier chaque logiciel à chaque update, ils passeraient leur temps à ça. ^^

mais ça donne une bonne indication à une date donnée.

ça vaut ce que ça vaut.







Arf https://korben.info/truecrypt.html <img data-src=" />


votre avatar







ledufakademy a écrit :



un classique, les fondamentaux mais c’est bien de le rappeler …

je crois ne pas avoir lu de truc sur le filtrage et analyse des flux , la sécu. périmétrique c’est bien mais cela ne suffit pas.





Je pense justement que le but de ce guide c’est de rester dans les fondamentaux et éviter de pondre un guide de 300 pages qui lasserait beaucoup de responsables info d’entreprises moyennes.

Il y a d’autres guides de l’ANSSI qui sont beaucoup plus poussés et spécifiques à des situations, et surtout disponibles à tous.

&nbsp;


votre avatar

Téléchargé avant lecture.



Compte tenu du caractère quotidien de l’informatique, autant se tenir au courant des bases de la sécurité en la matière quand un doc pertinent sort sur le sujet.

votre avatar

Ah! M. Poupard!



&nbsp;Je rappelle son entrevue d’une touchante naïveté parue suite à Cash dans le Monde.



C’est étonnant, il devrait plus tenir compte des notes de ses services.

votre avatar

<img data-src=" />&nbsp;<img data-src=" />



C’est vous qui voyez !



<img data-src=" />

votre avatar







Zerdligham a écrit :



Tu fais référence à quelque chose de précis? (le chiffrement?)

Parce que les textes qu’ils produisent ne sont pas toujours très bien vécus par ceux qui doivent les appliquer.





non pas particulièrement. c’est juste que comme ils sont conseil sur toutes les lois qui touchent à la sécu informatique, j’imagine qu’ils ont eu une influence bénéfique, ou qu’ils ont limité la casse sur les projets de lois.

j’en sais rien du tout en fait. ^^

après que leurs recos soient mal vécues, oui évidemment, vu qu’ils obligent les OIV à dépenser des sioux en sécu. mais bon comme qui dirait, “c’est pour leur bien”. <img data-src=" />



edit: je dis pas qu’ils ont raison sur tout, je dis juste que sans eux, ça serait un beau bordel. et puis ils montent en puissance, tout ça ne se fait pas en quelques mois. ça recrute un max d’ailleurs à l’ANSSI il me semble.


votre avatar







patatebouillie a écrit :



Ah! M. Poupard!



&nbsp;Je rappelle son entrevue d’une touchante naïveté parue suite à Cash dans le Monde.



C’est étonnant, il devrait plus tenir compte des notes de ses services.





<img data-src=" />

&nbsp;

Bon, après l’ANSI a une position qui nécessite d’avoir la capacité de naviguer en eaux troubles et surtout le cul entre deux chaises, une administration, un état et toutes ses constituantes qui persistent dans l’achat de passoires et une institution censé colmater les passoires.



Là le monsieur est un peu dans l’obligation de tenir un discours de manière à pas trop

mouiller les autruches <img data-src=" />


L’ANSSI propose 42 mesures minimales d’hygiène informatique

  • Revisiter son informatique de fonds en combles

  •  Privilégier les produits qualifiés par l'ANSSI

Fermer