Aller au contenu
Fini la pub... bienvenue à la cagnotte ! ×
AIR-DEFENSE.NET

Groupe Dassault Aviation, fil sur l'avionneur/industriel


Philippe Top-Force

Messages recommandés

Ce que je trouve effarant c'est qu'il y ait encore des clées USB dans des entreprises aussi sensibles.

Je pensais que ça faisait longtemps que dans toutes les industries (a fortiori sensibles) les clés USB étaient complètement bannies et que tous les documents étaient uniquement sur le réseau (normalement rien d'enregistré en local sur le PC). Et si des documents sont vraiment sensibles ils sont sur site sur un PC déconnecté du réseau et dans une pièce fermée à clé.

Soit on est connecté physiquement au réseau d'entreprise, soit (pour le travail à distance) c'est connection aux serveurs via VPN et chiffrement par lecteur de badge (à puce) combiné à un code personnel.

L'inconvénient de cette approche c'est que si un pirate arrive à rentrer dans le réseau il a quasiment accès à tout. Mais une intrusion ça se détecte et on peut limiter la casse. Un support physique qui a été volé, les pirates ont tous le temps nécessaire pour essayer de craquer la clée.

Modifié par Alzoc
  • Merci (+1) 1
  • Upvote (+1) 1
Lien vers le commentaire
Partager sur d’autres sites

Il y a 2 heures, mgtstrategy a dit :

oui c'est tellement triste et courant. Je reçois les notes de la DGSI et ya pas une semaine sans qu'il se passe des vols, ingérences etc. Le pire, c'est qu'on se reveille en 2024, alors que ça fait 20 ans qu'on se fait piller.

Moi ça me rend fou, je me demande quels pouvoirs publics, SI et autres sécurité on a pour mériter des tels anes batés.

Franchement ça fait peur... 

Ça fait 10 000 ans 

Qu'est ce qui change ? 

Lien vers le commentaire
Partager sur d’autres sites

il y a une heure, Alzoc a dit :

Ce que je trouve effarant c'est qu'il y ait encore des clées USB dans des entreprises aussi sensibles.

C'était peut être des dickpic pour sa maîtresse 

Il est surtout urgent d'attendre quand on ne sait rien 

Lien vers le commentaire
Partager sur d’autres sites

5 hours ago, Teenytoon said:

C'est quoi le rapport ? Il s'agit d'un employé de Dassault. 

Les services etatiques qui sont completement à l'ouest, dans la formation, la prévention, l'utilisation des sécurités.

Ma tirade intiale incluaient les entreprises privées ET les services publics

  • Upvote (+1) 1
Lien vers le commentaire
Partager sur d’autres sites

Il y a 12 heures, FATac a dit :

Le problème est rarement dans la gestion technique de la sécurité. Les solutions sont, souvent, proposées, déployées, mises en place.

Le problème est dans la culture de la sécurité et dans l'opposition (apparente) entre sécurité vécue, comme un frein, et objectifs ou exigences perçus de performance et de rapidité de circulation de l'information.

Ca pousse à prendre des "raccourcis dangereux". La désactivation des ports USB conduit généralement à tenter des évasions de données par cloud/box. Le blocage des accès réseaux finit par se reporter sur des impressions de documents, rescannés de la maison. La mise à disposition de clés USB avec conteneurs chiffrés finit toujours par entrer en concurrence avec des clés personnelles ou le transfert de fichiers via le smartphone. Au prétexte de transmettre plus vite, ou bien de travailler "plus" (de la maison, dans le train (sans filtre de confidentialité qui gène pour bien voir l'écran), ...), ils savent parfaitement ce qu'ils font comme en témoignent les "prises de conscience" post-incident... mais ils le font quand même.

J'avais une image que je donnais à mes stagiaires pour illustrer le danger des écarts à la politique de sécurité des SI : le travail qui vous est confié, c'est une route à virage. Pour aller au bout, vous allez être tenté de couper dans les virages... ne le faite pas, car dans les virages, il y a toujours le risque qu'il y ait un poteau. Restez en sécurité : ne quittez pas la route balisée - elle, on a la garantie qu'elle est sans obstacle susceptible de vous planter.

Mouais.

Les "solutions" sont souvent bancales, mal foutues, difficiles à maintenir, onéreuses.
Souder les ports USB c'est bien gentil, mais souvent ils resteront utiles pour brancher une caméra, un casque-micro, un lecteur de carte à puce,, un dongle déverrouillant un logiciel, que sais-je !

Si une partie du travail se fait dans un réseau "secret" (ça doit bien être en partie le cas chez Dassault), il n'est pas censé être raccordé à Internet ; et là, galère ! Comment mettre à jour et récupérer les logiciels, les documents de ou vers l'extérieur ? Il faut redéployer en interne tous les "dépôts" ou outils que la majeure partie des sociétés et particuliers utilisent sur Internet sans presque s'en apercevoir. Il y a bien certaines passerelles qui existent pour organiser la circulation des données dans ce cadre, mais sont-elles "homologuées ANSSI" ? Pas toutes, non, loin de là, beaucoup viennent des US, d'Israël... on leur fait confiance ?

Au final, vraiment, ça n'est pas trivial. Et de ce fait souvent peu pratique.

Lien vers le commentaire
Partager sur d’autres sites

Il y a 13 heures, Alzoc a dit :

L'inconvénient de cette approche c'est que si un pirate arrive à rentrer dans le réseau il a quasiment accès à tout. Mais une intrusion ça se détecte et on peut limiter la casse.

Il est facile de limiter les droits de manière assez restrictive, c'est souvent vécu comme une contrainte voir une punition, mais normalement une politique de droits d’accès, permissions et autres ACL, permet d’empêcher l'intrusion d’accéder à autre chose que quelques dossiers en cours, avec que les systèmes de tripwire s'affolent - consultation d'archive hors horaire de travail etc. etc. -

  • Haha (+1) 1
Lien vers le commentaire
Partager sur d’autres sites

il y a 21 minutes, Boule75 a dit :

Les "solutions" sont souvent bancales, mal foutues, difficiles à maintenir, onéreuses.
Souder les ports USB c'est bien gentil, mais souvent ils resteront utiles pour brancher une caméra, un casque-micro, un lecteur de carte à puce,, un dongle déverrouillant un logiciel, que sais-je !

Normalement la machine qui te sert au visio conférence depuis l’hôtel ... n'est pas la même qui te permet à accéder à du contenu vraiment sensible ... c'est comme pour les téléphones ... tu ne laisses pas tes employer installer des "apps" sur le téléphone de travail. Combien de commerciaux se sont fait tracer par un concurrent qui voulait leur portefeuille client comme ça ...

Lien vers le commentaire
Partager sur d’autres sites

Il y a 20 heures, g4lly a dit :

Il est facile de limiter les droits de manière assez restrictive, c'est souvent vécu comme une contrainte voir une punition, mais normalement une politique de droits d’accès, permissions et autres ACL, permet d’empêcher l'intrusion d’accéder à autre chose que quelques dossiers en cours, avec que les systèmes de tripwire s'affolent - consultation d'archive hors horaire de travail etc. etc. -

Là tu parles clairement de choses dont tu ne sais rien.

Non, ça n'est pas du tout facile. C'est surtout facile de faire de la merde.

Lien vers le commentaire
Partager sur d’autres sites

Il y a 22 heures, g4lly a dit :

Normalement la machine qui te sert au visio conférence depuis l’hôtel ... n'est pas la même qui te permet à accéder à du contenu vraiment sensible ... c'est comme pour les téléphones ... tu ne laisses pas tes employer installer des "apps" sur le téléphone de travail. Combien de commerciaux se sont fait tracer par un concurrent qui voulait leur portefeuille client comme ça ...

Les deux machines ne sont peut-être pas au même niveau de classification, on n'a pas le droit de traiter du "secret" sur la moins dure. Pour autant - c'était le sens de ma remarque d'avant - tu peux avoir besoin de faire de la visio sur une machine classifiée secret, et si elle n'est pas dotée de base avec une caméra et un micro corrects, te voilà avec un besoin de ports USB dessus.

"Eh merde, en quelque sorte", se dit le resp. sécu.
Le service informatique se rue sur des solutions de contrôle des périphériques USB sur les postes de travail, ça vient souvent avec des solutions d'anti-virus qui sont globalement des merdes infâmes impactant (négativement) les systèmes en profondeur (et pour cause). Et voilà ses techs qui font du clic-clic dans des consoles pour tenter de suivre que M. Schmoll a bien une caméra, qu'il en a le droit donné par M. Dugenou à telle date (papelard), que la caméra est de tel modèle, qu'elle a tel n° de série, voire telle adresse hardware, et que la bonne caméra du bon M. Schmoll peut être active sur tous les ports USB de l'une de ses machines (laquelle ?) (ouf !). Et si M. Schmoll change de poste, de PC ou perd sa caméra, ou la prête, patatras ! il faut revenir sur la saisie.

Passionnant pour les techs, comme tu l'imagines, un process simple, où l'on ne risque aucun problème de saisie, aucun oubli, où tous les cas de figure sont prévus ! (non)

  • Merci (+1) 1
Lien vers le commentaire
Partager sur d’autres sites

Il y a 7 heures, Boule75 a dit :

Les deux machines ne sont peut-être pas au même niveau de classification, on n'a pas le droit de traiter du "secret" sur la moins dure. Pour autant - c'était le sens de ma remarque d'avant - tu peux avoir besoin de faire de la visio sur une machine classifiée secret, et si elle n'est pas dotée de base avec une caméra et un micro corrects, te voilà avec un besoin de ports USB dessus.

Et c'est là qu'on se rend compte de l'inversion de valeurs entre exigences de l'utilisateur et exigences relatives à la sécurité de ce qu'il manipule (et qui le dépasse).

  1. Il peut avoir ce besoin.
  2. Mais il doit ne pas le faire. C'est la règle.
  3. Donc il ne peut pas, légitimement, exprimer ce besoin.

Point barre !

On a donc des "pions" qui mettent le "roi" en danger par leur initiative malheureuse et le droit qu'ils supposent avoir de changer les règles.

Ce n'est pas un problème technique, c'est un problème de gouvernance.

Et c'est partout, tout le temps - je parle de mon expérience passée avec un chercheur qui m'affirmait que sa recherche n'avait rien de secret, qu'il ne pouvait pas être une cible et que les mesures de sécurité prises sur son poste étaient excessives et gênantes ? Il a vu la lumière, d'un coup, quand je lui ai fait remarquer que, dans le cambriolage de son domicile pendant le week-end de Pâques, les voleurs ont embarqué son PC pro qui était dans le tiroir de son bureau, mais ont ignoré le PC perso de son épouse (plus bankable, pourtant) qui trônait sur la table basse du salon...

  • Upvote (+1) 1
Lien vers le commentaire
Partager sur d’autres sites

il y a 47 minutes, FATac a dit :

Et c'est là qu'on se rend compte de l'inversion de valeurs entre exigences de l'utilisateur et exigences relatives à la sécurité de ce qu'il manipule (et qui le dépasse).

  1. Il peut avoir ce besoin.
  2. Mais il doit ne pas le faire. C'est la règle.
  3. Donc il ne peut pas, légitimement, exprimer ce besoin.

Point barre !

On a donc des "pions" qui mettent le "roi" en danger par leur initiative malheureuse et le droit qu'ils supposent avoir de changer les règles.

Ce n'est pas un problème technique, c'est un problème de gouvernance.

Et c'est partout, tout le temps - je parle de mon expérience passée avec un chercheur qui m'affirmait que sa recherche n'avait rien de secret, qu'il ne pouvait pas être une cible et que les mesures de sécurité prises sur son poste étaient excessives et gênantes ? Il a vu la lumière, d'un coup, quand je lui ai fait remarquer que, dans le cambriolage de son domicile pendant le week-end de Pâques, les voleurs ont embarqué son PC pro qui était dans le tiroir de son bureau, mais ont ignoré le PC perso de son épouse (plus bankable, pourtant) qui trônait sur la table basse du salon...

Tout cela est absolument exact ! Mais il en manque encore des bouts :

  • il peut y avoir d'authentiques besoins conjugués de téléphonie classifiée et de mobilité avec impossibilité de demeurer sur un système de téléphonie "à la papa" pour basculer vers du téléphone logiciel, utilisé alors qu'on a en parallèle les mains sur le clavier, avec un casque (évite de diffuser la conversation dans l'open space...), Et plop ! usb (ou bluetooth ? :tongue: ).
  • il y a plein d'autres trucs qui se connectent en USB, et qui sont nécessaires dans certains cas (de niche ou pas) : des lecteurs de carte à puce, des dongles destinés au contrôle des licences de certains logiciels spécifiques, des écrans externes sur certains types de matériels, des trucs de sécurité aussi parfois !

Bref : souder les ports USB (y compris ceux sur cartes-mère ?), c'est une bonne idée de base, mais une ligne très compliquée à tenir. Et ça n'est qu'un exemple de compromis et de choix infligés aux décideurs en terme de sécurité, aux services informatiques, et à leurs clients.

Lien vers le commentaire
Partager sur d’autres sites

Ce que je tenais à souligner, surtout, c'est qu'il s'agit de choix de la part d'acteurs qui ne sont pas impliqués directement dans la sécurité et qui impactent pourtant fortement celle-ci. Pour le gestionnaire de ladite sécurité, il se retrouve pris entre deux feux, avec des injonctions contradictoires (ouvrir d'un côté, assurer la fermeture de l'autre). Il doit alors choisir entre son "confort immédiat" en satisfaisant des demandes parfois comminatoires et sa "tranquillité d'esprit" en assurant ce qui est, en réalité, le coeur de son métier. Il doit choisir entre le quotidien de ses collègues et l'avenir de sa structure. Personne ne devrait être confronté à ça hors du top-brass.

Par le passé, face à ce type de situation, j'ai temporisé, le temps d'une étude de risque minimale (certainement incomplète, mais ce n'était pas le but). J'ai présenté au demandeur une liste des risques, une liste des règles ou usages que sa demande transgressait, et la liste des cadres et dirigeants (nom ou poste) qui avaient mis en place ces règles, en lui demandant de me signer une décharge expliquant son besoin absolu. Dans une large majorité des cas, "pas de couilles, pas d'embrouilles", la demande est restée lettre morte - le besoin n'était pas si impératif que ça. Dans TOUS les autres cas, on a fini par avoir un incident. C'est allé du, juste, "pan sur les doigts" jusqu'à un désaveu personnel - et la mise au placard - pour les responsables, mais on m'a toujours soutenu dans la démarche.

  • J'aime (+1) 2
  • Upvote (+1) 1
Lien vers le commentaire
Partager sur d’autres sites

A côté de la sécurité informatique ... DA pourrait rajouter 2 projets pour remplacer ses anciens champions:

- Alphajet à remplacer  ?    A DA de se trouver un éventuel coopérant industriel de confiance

- Falcon 10 à remplacer ?  Là à titre privé pour compléter sa gamme par le bas

Lien vers le commentaire
Partager sur d’autres sites

il y a une heure, Bechar06 a dit :

A côté de la sécurité informatique ... DA pourrait rajouter 2 projets pour remplacer ses anciens champions:

- Alphajet à remplacer  ?    A DA de se trouver un éventuel coopérant industriel de confiance

- Falcon 10 à remplacer ?  Là à titre privé pour compléter sa gamme par le bas

Les deux projets pourraient même fusionner car le Falcon 10 se comportait comme un vrai petit chasseur !

Lien vers le commentaire
Partager sur d’autres sites

il y a 2 minutes, Picdelamirand-oil a dit :

Les deux projets pourraient même fusionner car le Falcon 10 se comportait comme un vrai petit chasseur !

Je l' ai pensé mais n'ai pas oser l'écrire    MERCI de me rejoindre   D'une belle pierre => 2 coups ! 

Lien vers le commentaire
Partager sur d’autres sites

il y a 1 minute, Coriace a dit :

Voilà donc notre coopérant. Même si cette PME a deux trois truc a revoir pour pouvoir s'imposer dans l'aéronautique 

Ce n'était pas le sens de mon propos. Je disais simplement que prendre Saab comme partenaire de confiance de DA pour faire en remplaçant de l'Alpha Jet pourrait être difficile étant donné qu'il sont déjà impliqué avec Boeing dans le programme T-7 Red Hawk. 

Lien vers le commentaire
Partager sur d’autres sites

à l’instant, FAFA a dit :

Ce n'était pas le sens de mon propos. Je disais simplement que prendre Saab comme partenaire de confiance de DA pour faire en remplaçant de l'Alpha Jet pourrait être difficile étant donné qu'il sont déjà impliqué avec Boeing dans le programme T-7 Red Hawk. 

Ho j'avais bien compris. Je profitais juste du propos pour tacler un peu le constructeur de Seattle

Lien vers le commentaire
Partager sur d’autres sites

Créer un compte ou se connecter pour commenter

Vous devez être membre afin de pouvoir déposer un commentaire

Créer un compte

Créez un compte sur notre communauté. C’est facile !

Créer un nouveau compte

Se connecter

Vous avez déjà un compte ? Connectez-vous ici.

Connectez-vous maintenant
  • Statistiques des membres

    6 005
    Total des membres
    1 749
    Maximum en ligne
    cilom
    Membre le plus récent
    cilom
    Inscription
  • Statistiques des forums

    21,6k
    Total des sujets
    1,7m
    Total des messages
  • Statistiques des blogs

    4
    Total des blogs
    3
    Total des billets
×
×
  • Créer...