De nouvelles règles d’hygiène informatique pour les administrations

Le 10 Septembre 2012 à 14:53

Info PC INpact. La France veut dépoussiérer ses mesures d’hygiène informatique. Paris a notifié à Bruxelles son projet d’arrêté approuvant la nouvelle version du référentiel général de sécurité (RGS). Le document précise également les modalités de mise en œuvre de la procédure de validation des certificats électroniques.

« En matière de protection des systèmes d’information, la dissymétrie entre le glaive et le bouclier est flagrante : le défenseur doit veiller à verrouiller toutes les portes alors qu’il suffit aux attaquants de pénétrer à travers la cloison la plus fragile » annonce ce RGS remanié (le document Word notifié aux autorités européennes).

Le RGS 2.0 a été élaboré par l’Agence nationale de la sécurité des systèmes d’information (ANSSI) en liaison avec la Direction interministérielle des systèmes d’information et de communication et la Direction générale de la modernisation de l’État (DGME). Depuis la loi du 9 décembre 2004, le gouvernement peut en effet prendre par ordonnance « les mesures nécessaires pour assurer la sécurité des informations échangées par voie électronique » entre les citoyens et les administrations, même indépendantes (comme la Hadopi). Ce nouveau RGS vient ainsi abroger la version de mai 2010. Il s’appuie sur le retour d’expérience et les nombreux guides publiés par l’Agence depuis lors.

Le document est ambitieux puisqu’il fixe les règles que les administrations doivent respecter lorsqu’elles recourent à des produits de sécurité et à des prestataires de services de confiance. Autant dire un document fondamental. L’objectif « est d’augmenter le niveau de sécurité des échanges électroniques des autorités administratives lorsqu’elles traitent de données sensibles, notamment les données personnelles des usagers ». La mise à jour de ce référentiel général, ajoute le document, « permettra de continuer d’harmoniser les niveaux de sécurité des autorités administratives et facilitera ainsi les échanges sécurisés entre ces autorités. De plus, un tel référentiel contribuera à faire émerger une offre de produits de sécurité et de services de confiance. »

Patrimoine informationnel des administrations

Ce RGS veut avant tout protéger le patrimoine informationnel des administrations en dressant les mesures d’hygiène informatique à suivre au regard d’un contexte international mouvant. Depuis la première version du RGS, les administrations doivent faire face à de nouveaux risques d'espionnage à des fins politiques ou économiques, des malwares comme Stuxnet ou Conficker, mais aussi des mouvements comme l’hacktivisme (Wikileaks, Anonymous, LulzSec).

Les détails des mesures se retrouvent dans les annexes qui traitent techniquement des certificats électroniques, de la question des algorithmes cryptographiques, des exigences de base ou encore les règles et recommandations concernant la gestion des clés utilisées dans les mécanismes cryptographiques. Le RGS 2.0 propose à cette fin une « refonte des annexes (…) relatives aux prestataires de services de certification électronique et aux prestataires de services d’horodatage électronique ». S'ajoute notamment « une annexe relative aux prestataires d’audit de la sécurité des systèmes d’information » tout en introduisant notamment « de nouveaux concepts de défense et de sécurité des SI. »

Alors que des failles ont été confirmées voilà peu dans plusieurs sites gouvernementaux, les auteurs de ce RGS 2.0 répètent que la sécurité absolue n’existe pas. « La règle dite du « 80-19-1 » peut être mise en avant » indiquent-t-ils, « 80% des attaques sont arrêtées par les mesures de sécurité préventives, 19% par des mesures de détection et de surveillance … et 1% des attaques passeront quelles que soient les lignes de défense. »

Commentaires (52)

Anonyme

Le 10/09/2012 à 15h03

Ouch, avant de penser à se défendre des attaques venant de l’extérieur, il faudrait qu’ils finissent par admettre que le dépoussiérage devrait se faire à “l’intérieur”… " />

ngcubeur

Ca montre quand même que des gens compétents sont payés pour faire un boulot INtelligent… Mais j’ai moins d’espoir quant au fait que leurs travaux seront suivis " />

Le 10/09/2012 à 15h16

ngcubeur a écrit :

Ca montre quand même que des gens compétents sont payés pour faire un boulot INtelligent… Mais j’ai moins d’espoir quant au fait que leurs travaux seront suivis " />

Le problème c’est que c’est par là (en gras) que ça pèche la plupart du temps surtout quand on connait le système des promotions transversales ou des bonds hiérarchiques par copinage politique… " />

kamuisuki

Le 10/09/2012 à 15h19

Le titre m’a mise en erreur.. je pensai que les informaticiens seraient désormais chargés de la propreté de leur clavier et de la souris . .. " />

(ce qui serait d’ailleur bien, quand je vois l’état de certains clavier surtout chez les garçons berk…)

tAran

De nouvelles règles d’hygiène informatique pour les administrations

A un moment, j’ai cru qu’on voulait interdire la barbe aux vieux administrateurs Unix " />

corsebou

arobase40 a écrit :

Ouch, avant de penser à se défendre des attaques venant de l’extérieur, il faudrait qu’ils finissent par admettre que le dépoussiérage devrait se faire à “l’intérieur”… " />

" /> Ils sont blindés….

Leur Pare-Feu open office est activé a block.

sniff nostalgie…

C’est sur que c’est amusant de voir ces dindons recevoir de nouvelles instructions… Encore faudrait-il qu’ils puissent/veuillent les comprendrent…

Tiens ca me rappele la conseillère du pôle emploi qui allait me chercher un job avec compétences majeures: lynux….

Vive l’administration francaise, vive leur domination sans partage! " />

jmanici

Le 10/09/2012 à 15h20

est ce qu’ils vont rendre obligatoire l’application des maj de sécurité (dans un délai raisonnable) sous peine de sanction?

il y a quelques années c’était vraiment pas beau à voir (un grand nombre d’administrations n’appliquaient que les patchs nécessaires pour se protéger d’une attaque précise genre la faille RPC qu’exploitait Sasser). Les éventuels serveurs *nix n’étant eux jamais patchés.

XalG

Le 10/09/2012 à 15h23

kamuisuki a écrit :

Le titre m’a mise en erreur.. je pensai que les informaticiens seraient désormais chargés de la propreté de leur clavier et de la souris . .. " />

(ce qui serait d’ailleur bien, quand je vois l’état de certains clavier surtout chez les garçons berk…)

Bah faut juste en prendre soin de son clavier " />

Aloyse57

Tant qu’on pourra échanger un clavier sur un terminal/PC sans que ça gueule de partout, la sécurité : bof (keygrabber).

Arcy Abonné

Le 10/09/2012 à 15h34

#10

De nouvelles règles d’hygiènes ? J’approuve carrément, certains ne savent pas les dangers qu’encours les ordinateurs !

Le 10/09/2012 à 15h39

#11

Arcy a écrit :

De nouvelles règles d’hygiènes ? J’approuve carrément, certains ne savent pas les dangers qu’encours les ordinateurs !

" />

Cette personne devrait travailler pour le gouvernement, elle a toutes les capacitées!!!

(d’ailleurs les dindons de l’histoire sont aussi ce qui n’ont pas prévenu l’équipe de nettoyage que le matériel a changé, donc doit avoir de nouvelles procédures).

C’est pour cela que les managers sont payés pour utiliser les bonnes ressources (humaines) et les encadrer….

Rokin

Le 10/09/2012 à 15h54

#12

http://thumb.kweeper.net/10/11/19/20ebfb093fcb36d9b943393073a69a07_h.jpg

LeJediGris

Le 10/09/2012 à 15h56

#13

Rokin a écrit :

http://thumb.kweeper.net/10/11/19/20ebfb093fcb36d9b943393073a69a07_h.jpg]mon clavier et propre

Tu as du te planter grave…" />

Le 10/09/2012 à 16h11

#14

corsebou a écrit :

" /> Ils sont blindés….

Leur Pare-Feu open office est activé a block.

Tu ne crois pas si bien dire. Il y a une grosse collectivité territoriale qui se targue d’avoir un SI archi sécurisé et un intranet impénétrable, sauf par l’intermédiaire de clé électronique matérielle avec code d’accès unique….

Déjà tu as des gars qui considèrent que les antivirus sont inutiles du fait de leurs pare-feux “activé à bloc”.

Un autre gars, venant de la “voie publique” promu à un poste à responsabilités a rapidement installé, sans autorisation, grâce à une aide extérieure, un client serveur Teamviewer lui permettant d’accéder à son poste de travail depuis chez lui à toute heure de la journée ou de la nuit, et par la même occasion à l’ensemble du réseau de cette administration (un beau gruyère (ou emmenthal peu importe) du coup).

Quand il a été pris la main dans le sac, il a été “sanctionné” (sic) en étant muté dans un autre service encore plus sensible puisque en lien avec les finances de cette administration. A croire qu’ils avaient trouvé en lui la taupe idéale pour accéder à certaines informations… ^^ " />

C’est sur, c’est beau l’administration française… Elle donne le parfait exemple… pour ériger des règles qu’elle sera incapable de faire respecter…

sirius35

#15

ou là " />

CryoGen

Le 10/09/2012 à 16h16

#16

arobase40 a écrit :

Tu ne crois pas si bien dire. Il y a une grosse collectivité territoriale qui se targue d’avoir un SI archi sécurisé et un intranet impénétrable, sauf par l’intermédiaire de clé électronique matérielle avec code d’accès unique….

Déjà tu as des gars qui considèrent que les antivirus sont inutiles du fait de leurs pare-feux “activé à bloc”.

Un autre gars, venant de la “voie publique” promu à un poste à responsabilités a rapidement installé, sans autorisation, grâce à une aide extérieure, un client serveur Teamviewer lui permettant d’accéder à son poste de travail depuis chez lui à toute heure de la journée ou de la nuit, et par la même occasion à l’ensemble du réseau de cette administration (un beau gruyère (ou emmenthal peu importe) du coup).

Quand il a été pris la main dans le sac, il a été “sanctionné” (sic) en étant muté dans un autre service encore plus sensible puisque en lien avec les finances de cette administration. A croire qu’ils avaient trouvé en lui la taupe idéale pour accéder à certaines informations… ^^ " />

C’est sur, c’est beau l’administration française… Elle donne le parfait exemple… pour ériger des règles qu’elle sera incapable de faire respecter…

Ah bah bravo " />

WereWindle

#17

kamuisuki a écrit :

Le titre m’a mise en erreur.. je pensai que les informaticiens seraient désormais chargés de la propreté de leur clavier et de la souris . .. " />

(ce qui serait d’ailleur bien, quand je vois l’état de certains clavier surtout chez les garçons berk…)

dans un souci de parité, Mademoiselle (ou Madame, rayer la mention inutile) je me dois de relater ci-présentement une aventure dont je fus le protagoniste la semaine passée.

(Appel en urgence d’un secrétaire un peu stressée)

Were ? tu pourrais passer ? mon clavier déconne, certaine touche ne marchent plus, je peux plus bosser et j’ai un rapport à rendre dans 2H

Ok, je passe tout de suite te réparer cela.

Je change donc le clavier de la demoiselle après avoir vérifié que les branchements n’étaient pas en cause et emporte la défunte interface homme(enfin femme en l’occurrence)-machine pour autopsie.

Branchement sur un autre poste, test des touches : seules dix sont touchée (de ERT à CVB + barre espace), limite impossibles à enfoncer

Débranchement et dissection du sujet (insérer ici une musique genre les Experts)

Résultat : du vernis transparent + ce qui semble avoir été du café + des miettes + des trucs dont je n’ose imaginer la provenance et, dans l’ensemble du clavier, de quoi nourrir un petit pays du tiers-monde. Le clavier a été salement torturé avant de rendre son dernier clic.

True Story™

Tout cela pour dire que nous n’avons pas le monopole de la craditude, Mademoiselle, nous ne l’avons pas ! " />

jmanici a écrit :

est ce qu’ils vont rendre obligatoire l’application des maj de sécurité (dans un délai raisonnable) sous peine de sanction?

il y a quelques années c’était vraiment pas beau à voir (un grand nombre d’administrations n’appliquaient que les patchs nécessaires pour se protéger d’une attaque précise genre la faille RPC qu’exploitait Sasser). Les éventuels serveurs *nix n’étant eux jamais patchés.

C’est malheureusement le cas dans de nombreuse structures et n’est pas l’apanage des administrations " />

Le 10/09/2012 à 16h25

#18

arobase40 a écrit :

Un autre gars, venant de la “voie publique” promu à un poste à responsabilités a rapidement installé, sans autorisation, grâce à une aide extérieure, un client serveur Teamviewer lui permettant d’accéder à son poste de travail depuis chez lui à toute heure de la journée ou de la nuit, et par la même occasion à l’ensemble du réseau de cette administration (un beau gruyère (ou emmenthal peu importe) du coup).

le QuickSupport Teamviewer a l’inconvénient de son avantage… ultra simple à utiliser, ne nécessite pas de droit admin et permet à quiconque ayant l’id et le mot de passe (4 chiffres par défaut…) de s’y connecter. Idéal pour dépanner un proche à distance mais l’équivalent de la Porte des Étoiles au début du film…

Le 10/09/2012 à 16h44

#19

WereWindle a écrit :

le QuickSupport Teamviewer a l’inconvénient de son avantage… ultra simple à utiliser, ne nécessite pas de droit admin et permet à quiconque ayant l’id et le mot de passe (4 chiffres par défaut…) de s’y connecter. Idéal pour dépanner un proche à distance mais l’équivalent de la Porte des Étoiles au début du film…

Oui mais tu te rends compte que cet outil arrive à bypasser tous les pare-feux ???

Et quand tous les responsables (ben ouais, ce serait trop simple s’il n’y en avait qu’un seul) ont été mis au courant, ils n’ont rien fait pour le faire désinstaller et ils n’ont même pris aucune mesure pour le faire bloquer puisque le gars a continué à l’utiliser depuis chez lui lors de sa mise à pied temporaire et jusqu’à son changement de service… ^^^" />

Ces mêmes responsables ont bien vu (ou peut-être pas en fait " /> ) que le gars envoyait toujours des mails depuis chez lui sur l’intranet pour donner des instructions en motivant “son absence de son poste de travail”… " />" />

Le 10/09/2012 à 16h48

#20

WereWindle a écrit :

Tout cela pour dire que nous n’avons pas le monopole de la craditude, Mademoiselle, nous ne l’avons pas ! " />

Exception qui confirme la rêgle " />

Le 10/09/2012 à 17h01

#21

Ah et après ça, les “puissances étrangères” et les cyber-terroristes ont bon dos pour justifier le niveau d’incompétence dans l’administration française… " />

Nota bene : ceci n’est naturellement que de la fiction… ^^ " />

Le 10/09/2012 à 17h07

#22

arobase40 a écrit :

Oui mais tu te rends compte que cet outil arrive à bypasser tous les pare-feux ???

Et quand tous les responsables (ben ouais, ce serait trop simple s’il n’y en avait qu’un seul) ont été mis au courant, ils n’ont rien fait pour le faire désinstaller et ils n’ont même pris aucune mesure pour le faire bloquer puisque le gars a continué à l’utiliser depuis chez lui lors de sa mise à pied temporaire et jusqu’à son changement de service… ^^^" />

Ces mêmes responsables ont bien vu (ou peut-être pas en fait " /> ) que le gars envoyait toujours des mails depuis chez lui sur l’intranet pour donner des instructions en motivant “son absence de son poste de travail”… " />" />

port 80 par défaut semble-t-il " />

Une petite structure comme celle où je bosse a un OCS qui informe de quels logiciels sont installés et où… ton exemple montre effectivement un laxisme assez violent (quant à la “sanction” du gars…. " />)

Commentaire_supprime

Le 10/09/2012 à 17h15

#23

Dire que je m’y connais plus en informatique que le service qui s’en occupe…

Et truc bizarre à mon boulot : les navigateurs basés sur autre chose que Trident et Webkit rament lamentablement : Firefox (Gecko) et Opera (Presto) sont purement et simplement inutilisables, pas IE (Trident) et Iron (Webkit), cherchez l’erreur…

Winderly Abonné

Le 10/09/2012 à 18h08

#24

sirius35 a écrit :

ou là " />

" /> quel grand malade

dualboot

Le 10/09/2012 à 18h20

#25

Le RGS précise-t-il de former et sensibiliser tous les employés ? Parce que le problème est bien là.

Histoire véridique : une même informaticienne s’est faite avoir plusieurs fois par du fishing.

Je pense pas que ce soit un cas isolé.

Le 10/09/2012 à 18h23

#26

sirius35 a écrit :

ou là " />

" />

anonyme_464d0c3f80816b3b25235c0b4ea3d7f5

Le 10/09/2012 à 19h21

#27

dualboot a écrit :

Le RGS précise-t-il de former et sensibiliser tous les employés ? Parce que le problème est bien là.

…

Et pas que là.

Qui contrôle son application, avec quels moyens et quels pouvoirs de sanction ?

Je me posais ces questions en lisant ce commentaire d’Arobase40, où le défaut de sécurité n’est qu’une conséquence (parmi d’autres) du népotisme caractérisant le fonctionnement de certaines administrations/collectivités locales…

Quiproquo Abonné

Le 10/09/2012 à 19h26

#28

Un INpactien dont l’expertise en sécurité informatique égale celle de l’ANSSI pourrait-il m’expliquer l’intéret de soumettre ce document au format Word plutot que PDF ?

2show7

Le 10/09/2012 à 19h36

#29

C’est toujours la faute du manque de ddram (je le sais parce que j’avais un ami, gars, guru en méditation, jamais eu de problème, lent peut-être, mais fidèle, mais désastre en périphériques, incompatibilité parallèle d’humour, scusi, euh pardon !

" /> " />" />" />

Le 10/09/2012 à 19h41

#30

2show7 a écrit :

C’est toujours la faute du manque de ddram (je le sais parce que j’avais un ami, gars, guru en méditation, jamais eu de problème, lent peut-être, mais fidèle, mais désastre en périphériques, incompatibilité parallèle d’humour, scusi, euh pardon !

" /> " />" />" />

Tu as bouffé un Almanach Vermot ?

Le 10/09/2012 à 19h46

#31

2show7 a écrit :

C’est toujours la faute du manque de ddram (je le sais parce que j’avais un ami, gars, guru en méditation, jamais eu de problème, lent peut-être, mais fidèle, mais désastre en périphériques, incompatibilité parallèle d’humour, scusi, euh pardon !

" /> " />" />" />

Guru ou pas, tant que tu gardes à l’esprit que tu finances bon gré mal gré le culte officiel, l’ouvrir sur le sujet est un droit. " />

spock

Le 10/09/2012 à 20h20

#32

Le RGS est un formidable document plein de bonnes intentions :

“il faut chiffrer les communications”, “les pirates c’est pas bien”…

Ce sont des recommandations de politique de sécurité, à savoir qui les appliquent vraiment, ou qui a lu ce pavé (en tout cas, pas les directions gouvernementales qui n’ont jamais entendu parlu de ce truc)…

ludo0851

Le 10/09/2012 à 21h47

#33

Un peu HS, mais rigolo

Question sécurité, l’Etat est blindé.

Sur mon pc du boulot, je ne peux pas :

changer l’heure

changer la résolution (qd je suis arrivé ts les écrans étaient en “sous-résolution” car les pc sont configurés à l’atelier sur 15” mais on a des 17” " />)

Obligé de mailer le service info à l’autre bout de la ville, pour qu’il prenne la main sur le PC pour régler les paramètres

Le 10/09/2012 à 23h19

#34

_fefe_ a écrit :

Et pas que là.

Qui contrôle son application, avec quels moyens et quels pouvoirs de sanction ?

Je me posais ces questions en lisant ce commentaire d’Arobase40, où le défaut de sécurité n’est qu’une conséquence (parmi d’autres) du népotisme caractérisant le fonctionnement de certaines administrations/collectivités locales…

Dans la série “ceci n’est qu’une fiction et toute ressemblance avec des faits ou des personnages ayant ou non existé ne serait que pure coïncidence. ^^”, il faut aussi comprendre certains comportements des agents de l’administration (mais probablement pas spécifiques à elle) : le Syndrome de Münchhausen qui consiste à saboter soi-même certains systèmes informatiques afin de ré intervenir pour se rendre indispensable et/ou pour maintenir ou augmenter les budgets alloués, mais aussi le fait que l’administration est l’instance est la plus politisée qu’il soit et tous les moyens sont bons pour atteindre l’autre parti et/ou un autre courant au sein d’un même parti… " />

Personne n’a cru un seul instant que l’administration est agnostique, si ??? " />

Le 10/09/2012 à 23h26

#35

ludo0851 a écrit :

Un peu HS, mais rigolo

Question sécurité, l’Etat est blindé.

Sur mon pc du boulot, je ne peux pas :

changer l’heure

changer la résolution (qd je suis arrivé ts les écrans étaient en “sous-résolution” car les pc sont configurés à l’atelier sur 15” mais on a des 17” " />)

Obligé de mailer le service info à l’autre bout de la ville, pour qu’il prenne la main sur le PC pour régler les paramètres

Je peux t’assurer que cette situation est quelque peu marginale et relève pour partie de l’effet Syndrome de Münchhausen décrit ci-dessus…

OlivierJ Abonné

Le 11/09/2012 à 02h16

#36

ludo0851 a écrit :

Un peu HS, mais rigolo

Question sécurité, l’Etat est blindé.

Sur mon pc du boulot, je ne peux pas :

changer l’heure

changer la résolution (qd je suis arrivé ts les écrans étaient en “sous-résolution” car les pc sont configurés à l’atelier sur 15” mais on a des 17” " />)

J’ai vu ça dans plusieurs boîtes privées, le coup de la résolution d’écran inadaptée au LCD (fixe ou portable), le plus hallucinant pour moi étant que la plupart des utilisateurs ne s’en rendaient même pas compte, alors que pour moi ça saute aux yeux quand un LCD (autant dire, tous les écrans, à l’heure actuelle) n’est pas utilisé à sa résolution native.

Skiz Ophraine Abonné

Le 11/09/2012 à 06h12

#37

arobase40 a écrit :

Oui mais tu te rends compte que cet outil arrive à bypasser tous les pare-feux ???

Et quand tous les responsables (ben ouais, ce serait trop simple s’il n’y en avait qu’un seul) ont été mis au courant, ils n’ont rien fait pour le faire désinstaller et ils n’ont même pris aucune mesure pour le faire bloquer puisque le gars a continué à l’utiliser depuis chez lui lors de sa mise à pied temporaire et jusqu’à son changement de service… ^^^" />

Ces mêmes responsables ont bien vu (ou peut-être pas en fait " /> ) que le gars envoyait toujours des mails depuis chez lui sur l’intranet pour donner des instructions en motivant “son absence de son poste de travail”… " />" />

T’en veux une drole? chez nous c’est carrément installé sur un serveur (teamviewer) quand j’en ai parlé a mes collegues et ma hierachie, ils ont dis bin et alors, c’est pratique, mon responsable de la sécurité etait blasé et ne comprend visiblement pas tout, et moi je continue d’halluciner.

J’ai quand même reussis à leur faire désactiver quand le prestataire externe n’intervient pas dessus, je vérifie quand même si mes collegues (non informaticien dans un service informatique…) n’ont pas oublié de le désactiver. Bref service publique quoi…..

Le 11/09/2012 à 06h56

#38

arobase40 a écrit :

Oui mais tu te rends compte que cet outil arrive à bypasser tous les pare-feux ???

Il ne passe pas un proxy bien configuré.

Comme l’a dit WereWindle, il existe des outils générant automatiquement un inventaire des programmes installés, de la config réseau…

Il n’est pas nécessaire de filer des droits d’administrateur à un utilisateur.

L’ANSI peut toujours définir un ensemble de procédures, d’outils, de bonnes pratiques…, sans pouvoir contraignant, ça restera un voeu pieux.

caesar

Le 11/09/2012 à 07h36

#39

kamuisuki a écrit :

Le titre m’a mise en erreur.. je pensai que les informaticiens seraient désormais chargés de la propreté de leur clavier et de la souris . .. " />

(ce qui serait d’ailleur bien, quand je vois l’état de certains clavier surtout chez les garçons berk…)

" /> cet avatar, quel appel au lynchage " />

Le 11/09/2012 à 07h56

#40

caesar a écrit :

" /> cet avatar, quel appel au lynchage " />

C’est pour rappeler un peu le passé d’Apple aux fanboy . " />

Le 11/09/2012 à 08h30

#41

un document… word? pas sérieux tout ça…

Le 11/09/2012 à 08h52

#42

kamuisuki a écrit :

C’est pour rappeler un peu le passé d’Apple aux fanboy . " />

Le pire, c’est que c’était mon navigateur sous Mac OS Classic, le seul qui ne plante pas.

J’ai eu aussi, vers la fin, Opera avec son zoom sur les images qui était vraiment un plus considérable, et iCab, qui plantait pas mal il faut dire. Mais IE pour Mac OS Classic est resté mon préféré, allez comprendre…

Le 11/09/2012 à 09h13

#43

OlivierJ a écrit :

J’ai vu ça dans plusieurs boîtes privées, le coup de la résolution d’écran inadaptée au LCD (fixe ou portable), le plus hallucinant pour moi étant que la plupart des utilisateurs ne s’en rendaient même pas compte, alors que pour moi ça saute aux yeux quand un LCD (autant dire, tous les écrans, à l’heure actuelle) n’est pas utilisé à sa résolution native.

Ce que tu ne comprends pas c’est que pour la majorité des utilisateurs, c’est pas qu’ils ne s’en rendent pas compte mais c’est parce que cela leurs convient très bien comme cela….

Si comme toi, je ne pourrais travailler qu’avec la plus haute résolution possible, pour le commun des mortels, l’affichage et la tailles des caractères est tout simplement trop petites. Donc, ils ont besoin d’avoir une résolution plus faible afin qu’ils puissent lire le texte à l’écran… " />

Skiz Ophraine a écrit :

T’en veux une drole? chez nous c’est carrément installé sur un serveur (teamviewer) quand j’en ai parlé a mes collegues et ma hierachie, ils ont dis bin et alors, c’est pratique, mon responsable de la sécurité etait blasé et ne comprend visiblement pas tout, et moi je continue d’halluciner.

J’ai quand même reussis à leur faire désactiver quand le prestataire externe n’intervient pas dessus, je vérifie quand même si mes collegues (non informaticien dans un service informatique…) n’ont pas oublié de le désactiver. Bref service publique quoi…..

C’est bien le problème, chaque administration définit ses propres règles en fonction non pas des règles édictées “en haut”, mais selon l’humeur des responsables et surtout en fonction de leur compétence… ^^

_fefe_ a écrit :

Il ne passe pas un proxy bien configuré.

Comme l’a dit WereWindle, il existe des outils générant automatiquement un inventaire des programmes installés, de la config réseau…

Il n’est pas nécessaire de filer des droits d’administrateur à un utilisateur.

L’ANSI peut toujours définir un ensemble de procédures, d’outils, de bonnes pratiques…, sans pouvoir contraignant, ça restera un voeu pieux.

J’ai l’impression que tu n’as pas bien lu mon tout premier post !!!

Là où j’étais en mission, c’est la plus grosse collectivité territoriale de France (… ^^), et ils se targuaient que tout était super bien blindé !

Les seuls à avoir accès à l’intranet, c’est l’ensemble des Elus et certains très hauts responsables et très grands cadres. Pour avoir droit à la clé électronique chiffrée, il fallait au minimum deux mois d’attente (validation et mise en place des droits, surtout que chaque clé coute un fortune.

Leur système d’inventaire devait manifestement être déficient, mais le plus grave c’est que je les ai officiellement prévenu du problème, d’autant que le gars en question avait des droits administrateur sur l’ensemble des postes locaux “d’un site” (désolé si je reste vague, mais je crois qu’au vue des éléments fournis, certains auront déjà compris de quelle collectivité locale il s’agit), mais également sur une partie de l’AD…

Ceci expliquait que dans un premier temps, on n’avait pas compris comment certains postes de travail avaient été piraté vers les 23 h, quand plus personne n’était supposé être en poste et ne pouvait avoir accès physiquement aux machines.

Je passe sur les autres énormités que ce gars a commis car pour peu que certaines personnes de cette administration lisent PCI, elles pourraient deviner qui je suis, même si je ne risque pas grand chose dans la pratique.

Même si pour certains responsables la tentation était grande de me sanctionner pour avoir dénoncer un Titulaire, de part mon statut, j’étais inattaquable et leurs seules possibilités c’est qu’il leurs a fallu attendre la fin de mon contrat pour ne pas le renouveler en remerciement du “service rendu”… " />

Comme je n’avais de toute façon aucun motivation ni volonté de faire carrière dans l’administration. Cela ne m’a fait ni chaud ni froid… " />

Mais bon, cela a été une bonne expérience de voir comment les administrations fonctionnent de l’intérieur mais ça craint de voir à qui sont confiés des taches hautement critiques et pour la préservation des données confidentielles des administrés, sinon de la “République”… " />

Le 11/09/2012 à 09h28

#44

Commentaire_supprime a écrit :

Le pire, c’est que c’était mon navigateur sous Mac OS Classic, le seul qui ne plante pas.

J’ai eu aussi, vers la fin, Opera avec son zoom sur les images qui était vraiment un plus considérable, et iCab, qui plantait pas mal il faut dire. Mais IE pour Mac OS Classic est resté mon préféré, allez comprendre…

Ben à l’époque IE était un bon navigateur , durant la guerre contre Netscape, c’est à partir de 2002 environ que c’est devenu assez mauvais (en même temps aucun évolution).

Le 11/09/2012 à 10h55

#45

arobase40 a écrit :

Ce que tu ne comprends pas c’est que pour la majorité des utilisateurs, c’est pas qu’ils ne s’en rendent pas compte mais c’est parce que cela leurs convient très bien comme cela….

Si comme toi, je ne pourrais travailler qu’avec la plus haute résolution possible, pour le commun des mortels, l’affichage et la tailles des caractères est tout simplement trop petites. Donc, ils ont besoin d’avoir une résolution plus faible afin qu’ils puissent lire le texte à l’écran… " />

Ce n’est pas parce que ça leur convient, je te garantis, ils ne s’en étaient pas rendu compte, et ça leur a fait plaisir d’avoir un écran plus net. Pour la taille des caractères, ils suffit d’agrandir les polices !

Sinon, c’est triste les boîte avec des firewall et des PALC (Proxy à la Con) qui bloquent tout, merci Microsoft et son Windows tout troué. Le coup de ne rien pouvoir faire sur son poste, même l’heure bloquée, c’est très énervant, surtout quand on est développeur et administrateur chevronné, et qu’on a besoin d’utilitaires en plus. Là où un VNC sur SSH était pratique, on est obligé d’inventer des trucs comme TeamViewer.

Le 11/09/2012 à 13h28

#46

kamuisuki a écrit :

C’est pour rappeler un peu le passé d’Apple aux fanboy . " />

" /> j’m en veux j’ai oublié le smiley qui va avec " />

Le 11/09/2012 à 22h46

#47

OlivierJ a écrit :

Ce n’est pas parce que ça leur convient, je te garantis, ils ne s’en étaient pas rendu compte, et ça leur a fait plaisir d’avoir un écran plus net. Pour la taille des caractères, ils suffit d’agrandir les polices !

Sinon, c’est triste les boîte avec des firewall et des PALC (Proxy à la Con) qui bloquent tout, merci Microsoft et son Windows tout troué. Le coup de ne rien pouvoir faire sur son poste, même l’heure bloquée, c’est très énervant, surtout quand on est développeur et administrateur chevronné, et qu’on a besoin d’utilitaires en plus. Là où un VNC sur SSH était pratique, on est obligé d’inventer des trucs comme TeamViewer.

Comprend pas trop ton problème ???

Si tu es un développeur et un administrateur chevronné, tu ne devrais pas être impacté par ces restrictions ?!?!?!?!

Au pire, “il te suffit” de savoir motiver ta demande et tes besoins “par écrit”, si tu n’arrives pas à les contourner… ^^

Le 12/09/2012 à 00h38

#48

arobase40 a écrit :

Comprend pas trop ton problème ???

Si tu es un développeur et un administrateur chevronné, tu ne devrais pas être impacté par ces restrictions ?!?!?!?!

Au pire, “il te suffit” de savoir motiver ta demande et tes besoins “par écrit”, si tu n’arrives pas à les contourner… ^^

Mon problème et celui de mes collègues, c’est d’une part d’être pris pour des enfants au lieu d’être pris pour des cadres responsables qui sont assez grand pour savoir quand il peuvent travailler et quand ils peuvent se détendre ou se changer les idées, sans parler de la frontière entre le travail et le boulot, pas toujours si nette dans notre métier ; d’autre part les limitations qui empêchent de bosser et qui sont parfois complètement idiotes et pas justifiées techniquement. Et crois-moi, les admins en chef de certaines boîtes n’en ont rien à faire, quelque soit la beauté et et le sérieux de la rédaction de ta motivation.

Heureusement toutes les boîtes ne sont pas comme ça, mais je constate que c’était mieux aaaaavant (les PALC en particulier, mais pas seulement).

Le 12/09/2012 à 01h31

#49

OlivierJ a écrit :

Mon problème et celui de mes collègues, c’est d’une part d’être pris pour des enfants au lieu d’être pris pour des cadres responsables qui sont assez grand pour savoir quand il peuvent travailler et quand ils peuvent se détendre ou se changer les idées, sans parler de la frontière entre le travail et le boulot, pas toujours si nette dans notre métier ; d’autre part les limitations qui empêchent de bosser et qui sont parfois complètement idiotes et pas justifiées techniquement. Et crois-moi, les admins en chef de certaines boîtes n’en ont rien à faire, quelque soit la beauté et et le sérieux de la rédaction de ta motivation.

Heureusement toutes les boîtes ne sont pas comme ça, mais je constate que c’était mieux aaaaavant (les PALC en particulier, mais pas seulement).

D’un certain côté, je comprends que tes responsables aient du mal à faire “la frontière entre le travail et le boulot”… " />

Le fait que tu te retrouves bloquer avec une certaine résolution ou autres choses dans la même veine n’a pas non plus de rapport avec les PALC, mais du fait de certaines outils permettant de verrouiller le profil des utilisateurs et qu’il est sans doute mal configuré au point de ne pas faire la distinction entre un utilisateur de base et un profil développeur et/ou administrateur : un comble tout de même…

Sinon, pour avoir travailler dans pas mal d’entreprises diverses et variées, j’ai eu à faire à pas mal de profils d’utilisateur/administrateur assez “cotonnés”… ^^

Certains gestionnaires de serveurs Web ou de bases de données voulaient absolument le mot de passe administrateur, du Domaine ou de l’AD, mais sans être capable d’assumer leur responsabilité.

Dès qu’il y avait un problème, au lieu de chercher de résoudre le problème par eux-même, ils s’empressaient de lancer un “au secours” pour que je répare leurs conneries…

Cela avait tellement dégénéré qu’il a fallu que je fasse un mail officiel à l’attention de la Direction, de mon responsable et des demandeurs en indiquant que si je devais lâcher le mot de passe administrateur, dans ce cas je ne pourrais pas être tenu responsable des dégâts occasionnés… ^^

Il leurs a fallu plusieurs semaines de débats avant qu’ils ne décident de faire une expérimentation pour au final revenir au statut-quo car comme prévu cela avait généré un sacré bordel. " /> " />

Le 12/09/2012 à 13h07

#50

arobase40 a écrit :

D’un certain côté, je comprends que tes responsables aient du mal à faire “la frontière entre le travail et le boulot”… " />

Le fait que tu te retrouves bloquer avec une certaine résolution ou autres choses dans la même veine n’a pas non plus de rapport avec les PALC

Bien sûr, pour ta 2e phrase.

Pour la première phrase, tu vois sûrement ce que je veux dire, dans le cadre de mes différents postes occupés, il m’est arrivé plus d’une fois de tomber sur des informations intéressantes pour le boulot alors qu’au départ c’était plus un moment de sérendipité. En plus, je ne suis pas payé à l’heure, c’est à moi de m’organiser pour que le boulot soit fait, indépendamment des pauses que je ferais.

J’ai aussi été administrateur système dans une petite société, il n’y avait aucun PALC ni aucun blocage d’aucune sorte, en sortie du moins (aucun blocage de port TCP). Imagine ma frustration quand j’ai travaillé ensuite dans une moyenne/grande SSII qui bloquait le port SSH en sortie ! Pour se connecter chez le client, il fallait se débrancher (physiquement) du réseau d’entreprise et passer par une sorte de sous-réseau dédié.

À propos du terme PALC, je l’avais trouvé dans ces articles plutôt tranchés mais non sans pertinence :

« Pour la fin des P.A.L.C. (Proxys à la con) »http://blog.ronez.net/?p=708

« Le proxy à la con (PALC) »http://padawan.info/fr/2007/09/le-proxy-a-la-con.html

Le 12/09/2012 à 20h21

#51

_fefe_ a écrit :

Et pas que là.

Qui contrôle son application, avec quels moyens et quels pouvoirs de sanction ?

Je me posais ces questions en lisant ce commentaire d’Arobase40, où le défaut de sécurité n’est qu’une conséquence (parmi d’autres) du népotisme caractérisant le fonctionnement de certaines administrations/collectivités locales…

J’avais pas vu le commentaire de Arobase40, et effectivement c’est bien vrai " />

Le 12/09/2012 à 22h08

#52

OlivierJ a écrit :

Bien sûr, pour ta 2e phrase.

Pour la première phrase, tu vois sûrement ce que je veux dire, dans le cadre de mes différents postes occupés, il m’est arrivé plus d’une fois de tomber sur des informations intéressantes pour le boulot alors qu’au départ c’était plus un moment de sérendipité. En plus, je ne suis pas payé à l’heure, c’est à moi de m’organiser pour que le boulot soit fait, indépendamment des pauses que je ferais.

J’ai aussi été administrateur système dans une petite société, il n’y avait aucun PALC ni aucun blocage d’aucune sorte, en sortie du moins (aucun blocage de port TCP). Imagine ma frustration quand j’ai travaillé ensuite dans une moyenne/grande SSII qui bloquait le port SSH en sortie ! Pour se connecter chez le client, il fallait se débrancher (physiquement) du réseau d’entreprise et passer par une sorte de sous-réseau dédié.

À propos du terme PALC, je l’avais trouvé dans ces articles plutôt tranchés mais non sans pertinence :

« Pour la fin des P.A.L.C. (Proxys à la con) »http://blog.ronez.net/?p=708

« Le proxy à la con (PALC) »http://padawan.info/fr/2007/09/le-proxy-a-la-con.html

Ah donc en fait tu travailles aussi dans une SSII et non pas dans une des tentacules de l’administration… ^^ Salut à toi collègue. " />

Ils ne connaissent pas les DMZ dans ta boite ??? " />

Catégories

Nous suivre

À propos

De nouvelles règles d’hygiène informatique pour les administrations

Patrimoine informationnel des administrations

Sommaire de l'article

Introduction

Patrimoine informationnel des administrations

#Flock vous dit adieu

Plantage des Core i9 (13e et 14e gen) : réactions et recommandations officielles d’Intel

La vidéosurveillance dans les chambres des EHPAD réservée aux suspicions de maltraitance

Face à des résultats mitigés, Apple agite 110 milliards de dollars

Les écrans, du temps perdu pour les enfants ?

L’e-commerce européen pâtit de la concurrence de la fast fashion chinoise et du commerce social

App Store et sideloading : Apple revoit sa copie sur les commissions

Play2 : Sunology passe à 450 watts (jusqu’à 585 watts en bi-face) pour son kit solaire

55 ans d’AMD : des clones Intel au succès de Zen

Vidéosurveillance algorithmique : la Quadrature du Net dépose plainte devant la CNIL

Commentaires (52)