Reprise du message précédent :
J'ai demandé à Chatgpt

 
A+,

²
Le prochain ARTAS en windev. Les vrais comprendront

Tu as fait ma soirée  

 
 Seulement 5 chiffres ? Depuis quand c’est devenu bon marché 0r@ ?  

 
Ça veut dire que la modif leur coûte rien, genre  
 
- FEATURE_ENABLED = 0
+ FEATURE_ENABLED = 1
 
et on recompile

 
surtout, si l'éditeur reconnaît avoir cassé l'outil, go éplucher le contrat avec un avocat spécialisé et faire jouer la responsabilité civile pour les dommages.

Tu penses pouvoir niquer Oracle ? Les contrats sont ultra blindé là dessus…

Euh, non non. Pour 5 chiffres avec Oracle, c'est juste une valeur dans un fichier de conf, si t'as à recompiler, faut douiller plus

 
Je ne veux niquer personne
 
Mais un contrat de service informatique a un objet et il doit être rempli. On n'est pas obligé de signer le contrat que l'éditeur nous tend sans en discuter les termes, quand bien même c'est Oracle en face.
 
Sur les fournisseurs SaaS/cloud, il faut toujours exiger une obligation de résultat avec SLA/pénalités/engagement de la responsabilité civile en cas de défaillance ou négligence, surtout qu'ils sont assurés pour ça.
 
Un contrat sur deux se finit dans la douleur pour l'une ou l'autre partie. Alors évidemment, c'est facile de dire ça après coup mais c'est toujours mieux d'avoir anticipé et géré la situation en amont (ou sinon d'avoir signé en connaissance de cause).
 
Après, si le client a accepté n'importe quoi sous prétexte qu'en face c'était Oracle, on peut parler de se faire niquer

Le client a accepté n'importe quoi d'une part parce que le fournisseur est en position de monopole (ou assimilé), d'autre part parce que le responsable qui signe côté client n'en a absolument rien à foutre que dans plusieurs années le contrat signé pose problème, vu qu'à ce moment là il sera parti bosser à la cogip d'à côté depuis longtemps

Tout à fait. Tu peux ajouter à ça que nous sommes un pays plus d'ingénieurs que de juristes et de commerciaux. Avec des gens qui travaillent en plus dans un domaine technique, ça ne leur vient même à l'esprit de négocier les termes. Enfin passé un certain niveau, on peut aussi parler d'amateurisme.

 
Alors c'est pas du tout ce que je vis dans mes négociations.  
Déjà, c'est quasi 100% du temps des opérationnels qui négocient et posent le paquet tout chaud devant l'acheteur et des négos qui remontent au juridique des éditeurs que je vends, jusque parfois la corp aux US, j'en ai eu 3 rien que l'année dernière (sur un volume qui est loin d'être celui de SCC ou Orange).

Oui c'est beau sur le papier mais:
La plupart des clauses de pénalités ne dépassent pas le montant de la prestation et il faudra prouver la faute de Oracle...
Suffit de regarder les GTA / GTR des contrat fibres...

Je parlais avec un commercial Eaton qui me disait que les contrats avec les gros acheteurs comme MS , Oracle etc ... (Pas OVH )
Sont lu et relu par les services juridique car ils font tout pour te faire bosser gratuitement et te planter pour ne pas te payer dès que tu auras 0.5 minute de retard

Article LesEchos (paywall) sur le mal-être de toute une profession https://www.lesechos.fr/tech-medias [...] ut-1933733
 

Yep. Je pensais peut-être faire ça d'ici cinq ans mais je vais sûrement réfléchir à un autre plan.

Oui on sait facilement comment on y arrive là

(En Burnout sur ce métier)

Je reste convaincu que c'est un métier qui évolue dans le bons sens (en terme de responsabilité, prise au sérieux, etc) mais on part de tellement loin

"Tous les chemins mènent à l'informatique mais l'informatique ne mène à rien".  
 
Sauf au burnout peut être
 
(Vieil adage toujours d'actu manifestement)

C’est un domaine qui me botterai bien, mais plus je gratte plus je pense à la citation d’einstein :
 
Plus j'apprends, plus je réalise que je ne sais pas.

J'aime bien l'allégorie du Mont Stupid  

 
 
Ce qui me paraît dingue dans cette histoire c’est le « on a basculé vers le cloud ça fonctionne plus lol » mais il n’y a pas de recette utilisateur et des tests de non régressions ?  

Idem mais je pense que cette remarque est valable dans tous les domaines et que l'humilité reste une qualité professionnelle nécessaire pour s'améliorer.

J'ai du mal à me projeter par exemple en tant que rssi sans avoir fait de blue team.

Step by step, day by day.

RSSI c'est hyper large hein, la blue team est que un petit aspect du sujet.

les profils RSSI ont plus souvent un background GRC qu'un background technique offensif/défensif

Il est même DPO dans certaines structures  

ce qui est autant une connerie qu'avoir le RSSI sous la responsabilité du CFO

Réception de 50 PC Dell autopilot mastérisés en Win 10 d'usine au lieu de 11 ...
 
Quelle solution existe ?
 
Les PC autopilote sont prévus pour être simplement autoprovisionnés puis envoyés tels quels donc sans connexion à une session et donc sans possibilité de forcer un Windows update
 
Je pourrai les renvoyer mais j'ai déjà galérer pour les avoir
 
Pas de master ici (vu que justement tout est déployé via autopilot ...)
 
La seule solution serait de se connecter à une session, attendre que "update feature ring" fasse la maj Win 11 (complètement aléatoire ça peut prendre des jours) ou la forcer manuellement ... puis faire un reset autopilot (sachant que c'est pas toujours fiable)  ... une vraie galère
Reset obligatoire car sinon l'utilisateur n'aura pas le VPN de configurer en preauth et ne pourra pas ouvrir sa session (les postes sont joint au domaine donc en hybrid .. du coup la 1ere ouverture d'une session doit se faire en étant connecté au VPN ... et ensuite la connexion pre auth saute toute seule via un profil Intune)

Je sais bien. Je préfère accumuler un peu d'exp avant d'aller là dessus.

Et le sujet m'intéresse.

bah de toute façon des RSSI (des vrais hein, pas des gens avec un titre et qui servent à rien) avec quelques années d'XP ça n'existe pas

J'ai du mal à voir comment on peut être bon sur ce poste avec peu d'expérience dans le domaine. Sans pour autant nécessité une expertise technique sur tous les sujets mais la SSI me paraît déjà tellement vaste que pour être légitime, une bonne expérience associée à une bonne analyse est indispensable.

Fun fact, y a quelques années (et je suis jeune ), j'ai été contacté pour un poste de RSSI dans la filiale d'un "gros" groupe.
J'avais aucune personne en gestion, aucun budget en gestion et aucun pouvoir décisionnel    
 
Pour le titre sur le CV ça aurait pu valoir le coup mais j'ai fait finalement d'autres choix.

 
 
le poste de qualité...

Pour la partie budget dans l'article.
« Avec l'argent prévu dans les budgets, les entreprises françaises ne peuvent assurer que 50 % du travail par rapport aux standards internationaux requis », indique Gérôme Billois, associé chez Wavestone et spécialiste du sujet.  [On note que] de 6 %, le budget cyber passe environ à 15 % du budget de l'entreprise l'année après une attaque.
 
Donc le RSSI a des rêves troublants: "Cyniquement, certains RSSI se mettent à espérer une crise « pour montrer à quoi ils servent et négocier du budget »."

la base. Et d'ailleurs c'est une logique qui n'est pas spécifique aux RSSI. Penser à tous les serveurs et matériels hors d'âge ou aux protocoles de PRA/PCA jamais testés parce que "pas les moyens".

 
La même aujourd'hui chez un autre client qui a déménagé y'a plus de 3 ans (et résilié dans la foulée une fibre SFR, qui n'a d'ailleurs jamais fonctionné correctement pour la petite histoire    ), ils ne réclament le matériel que maintenant        .
 
C'est leur nouveau business sérieux ?  

Y'a eu une ouverture de poste dans un secteur publique connu sur Br€st suite à une attaque.
Comme par hasard

ils ont peut-être changé de prestataire pour en prendre un encore moins cher.

 
Alors, oui, sans aucun doute, les entreprises manquent de budget pour la sécurité informatique.  
 
Néanmoins, il faudrait peut être penser à arrêter de dépenser le budget n'importe comment. Parce que bon, les Splunk and co qui coutent deux bras, sans personne pour gérer derrière c'est un gaspillage sans nom.