Reprise du message précédent :
J'ai une question probablement stupide mais j'ai jamais travaillé dans un environnement Linux desktop, windows full admin de son poste c'est pire que linux full admin de son poste ?  
 

ça dépend qui est l'utilisateur je dirai, mais pour des non-tech, oui clairement. Il est tellement plus facile d'installer une merde sous Windows, alors que pour Fedora bah ils passent par « Logiciels » dans Gnome (ou encore mieux ils demandent à l'IT car ils ont peur de péter un truc sur un système qu'ils connaissent pas ). Comme le shadow IT est plus dur sur un desktop Linux, ça limite les risques (en gros). C'est même pas une histoire de Linux vs Windows, mais plutôt de comment Windows est tellement courant que c'est forcément le point d'entrée le plus facile.

C'est marrant de te lire de l'autre côté du miroir, j'étais persuadé vu le niveau technique que finalement personne ne demandait quoi que ce soit à l'IT pour l'ordi pro Mais juste pour les outils internes sur lesquels ils n'ont pas la main

 
Ya plein de gens qui sont pas tech, c'est juste que tu le croises pas forcément

 
De base tu n'as pas besoin d'être admin.
Tu as ton compte user. Et si ton poste en a besoin, tu as ton compte System .
 
Mais on ne travaille pas de base avec un compt admin sur son poste user.
 

Dis ça a un dev

 
C’est quoi le projet ? Nous convaincre que les devs sont les poisons de l’informatique ?    
 
Non mais juste pour dire que c’est pas la peine, ça fait consensus ici  

Tu lui donnes une machine de dev, séparée de sa machine bureautique.

Lol

Tu peux développer ta réponse? (Au passage )

Vachement pratique de doubler la dotation à tous les devs (qui font 50% de la boite, grand minimum). Surtout que la bureautique chez nous (en gros tout ce qui est pas dev), c'est 100% dans un navigateur.

Autant tu pourrai imaginer filer des chrome book aux non-dev, mais faire chier un dev sur son poste c'est la garantie qu'il reste pas chez toi. J'ai déjà débauché 3 ou 4 personnes de grosses boîtes pour qui un des critère de se casser de COGIP c'était pas les droits sur leur PC de taff. La course à faire des tunnel SSH et autres conneries en shadow IT parce que pas le choix pour bosser.

Donc clairement, ya une part aussi d'intelligence collective à avoir pour trouver des solutions équilibrée, je pense qu'être dogmatique c'est dangereux au final

Et bosser sur des VM distantes?

Ouin ouin mon copier/coller ça marchera pas.

Mais j'avoue que c'est compliqué. Après si ton vlan bureautique ne permet pas de flinguer le reste, ça se tente aussi mais c'est pas simple.

Quel serait l'intérêt ?

Déjà c'est impossible d'avoir une VM aussi performante qu'une machine moderne avec un bon CPU, beaucoup de bande passante mémoire et SSD.
Pour s'y approcher ça coûte assez cher.

Les boîtes qui font ça à grande échelle ont toute une infrastructure qui va avec (monorepo, système de build distribué, IDE, LLM interne...)
Va voir le prix de GitHub Codespaces pour rigoler.

Et au final pour éviter quoi?
Si je flingue mon OS... bah je réinstalle ma machine, j'en ai pour 30 minutes.

Bizarrement une fois que tu as bouffé un ransomware et/ou qu'un dev lambda vient d'exfiltrer les données confidentielles de la boîte à un concurrent, le dogmatisme devient vachement plus séduisant    
Si mettre en place quelques règles (dont certaines sont imposées par la loi) et industrialiser l'usage des endpoints au bénéfice de tout le monde est une purge, peut-être que le problème est entre la chaise et le clavier.
S'ils sont capables de ne pas chier sur la table de la cantine en public ou de ne pas rouler à contresens sur l'autoroute, ils vont bien survivre à l'absence des droits admins ou la présence d'un MFA. J'ai l'impression qu'on parle d'enfants en bas âge, pas d'adultes...
 
On est en 2025, il y a 30 ans de recul sur la gestion des environnements utilisateur, c'est dommage de ne pas capitaliser dessus.

Pouvoir repartir sur une machine "propre" facile, tester divers environnements... et avoir une machine pas trop puissante obligera le dev a optimiser au lieu de coder avec le cul  

Mais dans ton exemple, je vois pas trop ce qu'avoir les droits d'admins ou non sur ton poste change. Le dev qui a accès à trop d'infos, le fait qu'il soit admin ou non changera rien aux autorisations qu'ils a sur le NAS partagé ou ses droits de lecture sur le XWiki/Confluence de la boite.
 
En outre Plam est encore dans un cas de boite relativement petite, ça me parfait obvious que pour toute mesure tu fais une balance risque/"cout" de la mesure. Cette balance est pas tout à fait la même quand t'as 50 devs motivés ou 50000 dont la moitié sont en "rest and vest".

Vous comprenez qu'on est pas des secrétaires hein? Un ransomware va s'attaquer à quoi exactement, mes dépôts git historisés/backupés/distribués?
 

Fameusement impossible sans droits d'admin.
 

C'est pas le sujet. Si je dois ouvrir 150 tickets pour installer les outils dont j'ai besoin, y a des chances que je sois pas super motivé.
 

Qui n'a strictement aucun rapport avec les droits d'admin.
 

 
Prenons Microsoft au hasard. 100k devs sous Windows, linux ou macOS, avec les droits d'admin. Mais j'imagine qu'ils connaissent pas trop comment gérer leur IT.

Chez VMware on était TOUS admins de nos PC Windows, bon le seul ransomware qu'on a chopé c'est Broadcom

Ah mais les devs sont bien plus intéressants que des secrétaires pour des attaquants Accès à des github, comptes d'admin, comptes de service, code source, outils de dev, packages, avec une sensibilisation de la sécurité IT souvent proche de zéro, c'est Tahiti.
 

L'hygiène de l'environnement utilisateur ne s'arrête pas aux droits admin
 

N'importe quelle boîte avec une gestion des postes de travail digne de ce nom dispose d'un Store en libre service où tous les softs bureautique/métier sont à dispo. Bienvenu dans les années 2000.
 

Mais qui a quelque peu rapport avec la sécurité d'un environnement utilisateur.
 

Ils ont mis en place les outils pour, c'est dingue non ? Même que leurs devs utilisent ces mêmes outils, encore plus dingue

 
Mais admin du PC ou avec un compte admin que tu utilises à la demande ?
 
Enfin même pour les devs, c’est bien une élévation pour les besoins d’installation ?  
 
Rassurez moi svp  

Donc en gros t'as aucune idée de comment on travaille, et aucun argument à part des tangentes et des sophismes, ok.

Bah sur toutes les années la bas j’ai jamais eu un prompt ou autre me demandant des credentials. Je suis pas expert AD mais je me dis si en plusieurs années j’ai pu « tout » faire j’ai supposé qu’on était vraiment admin Surtout qu’on avait aussi un admin local que le support nous donnait.

Yes de la lecture  

Je veux bosser avec DDT
Dommage qu'il soit suisse

Dans ma précédente boite, tout les devs n'était pas admin de leur poste et bossaient sur leur VM dédié pour assurer la rupture protocolaire  
 
Après le niveau de sécurité requis n'est pas forcément le même partout mais dans les boites à fort enjeu ou la sécurité n'est prise à la légère, tu peux te retrouver avec une dizaine de compte avec des droits séparés pour compartimenter les ressoures de manière nazie

Donc t'es pas admin mais t'as pleins de credentials sympa à leaker ?

Content de voir que j'ai lancé un débat
 
Faut aussi comprendre qu'on a pas un SI de COGIP des années 90. On est à 100% de soft d'entreprise accessible depuis un navigateur. On a pas de brevet, on fait que du pur Open Source (donc pour l'exfiltration de code alors qu'on fait des PR sur Github, euh… )
 
Pour moi, le risque majeur vient des postes Windows de gens qui veulent justement installer tout et n'importe quoi sans le savoir. Pour les protéger d'eux-même et de la charge IT que ça représente.

oui en échange de quelques bitcoins, ma boite à MP est grande ouverte pour les intéressés

 
Vous étiez une petite boîte, c'est pour ça

Un artisan du closed source

 
Et ta gestion de l’entreprise elle est où, Finances, RH, etc ?  
Il se passe quoi si j’ai les accès au web pour cette solution ?

Non mais si ton SI crash entièrement  parce qu'un poste utilisateur ( même dev avec les droits admin ) est corrompu il faut pas taper sur le user et mais plutôt se poser de bonnes questions  

chez nous : dev sur poste local = POC unitaire perso pour tester des trucs  

 
SSO avec 2FA

 
oui c'est jamais arrivé dans l'histoire  
On est très fort en sécu maintenant c'est du passé on est klaoude agentless zero treuste  
 
Gérard a pas du tout fait tomber la prod en installant vlcgratuit.exe qu'il a téléchargé sur vlc-tout-gratuit[.]eu[.]fr  
Et puis Michel il a téléchargé putty, c'était juste pas le bon site. mais il en a besoin pour le ssh.  
ah un ransomware ? bizarre.  
 

 
c'est exactement ce que je dis  :  dans la société de plam    (ou la mienne à une autre echelle ) qui sont justement "klaoude agentless zero treuste"  si tout plante à cause d'un client ssh corrompu t'as un probleme de fond bien plus grave que Michel  
 

Le problème, c'est encore et toujours la faute du réseau

Donc, Cisco ?

 
Je parlais pas d'un point de vue sécu mais plus entreprise.
 
Ta phrase au-dessus laissait penser qu'en cas de piratage, y'a aucun souci pour ta boîte car elle était pas des années 2000
 
Enfin c'est pas comme ci on avait vu des fleurons de la sécurité informatique se faire ouvrir en 2 y'a pas si longtemps ...

C'était pas mon propos, sinon je m'en foutrais d'avoir des Windows admin de partout, et c'est justement pas le cas Je veux limiter les probabilités d'avoir des devices infectés sans limiter l'utilisabilité (et cette notion est différente entre un dev et un vendeur par ex).

Bien sûr qu'on peut se faire ouvrir, d'ailleurs on va commander un pentest (notre premier ) dans quelques mois pour voir où ça pêche le plus.