Reprise du message précédent :
Une remarque en passant, les challenges du type "vous avez 15 jours pour casser le système et récuppérer le mot de passe crypté et vous gagnez 10 000$ si vous y arrivez" ne permettent en aucun cas de conclure, si personne n'y arrive, que le système est sûr... et malheureusement c'est ce qu'en concluent les éditeurs. En effet cela permet uniquement de conclure que les personnes ayant essayé n'ont pas réussi ou pas souhaité révéler leur réussite car envisageant de plus gros gains en conservant le secret...

oui ca c'est sur!

En ce qui me concerne les acces distants ce font via RTC et connection PPP sur un modem.
L'authentification ce fait via carte secure ID.
 
C'est lent mais c'est sur.

 
Tout a fait d'accord  
 
D'ailleurs si tu veux je te fais une machine inviolable, j'offrirais pas 10 000$ parce que je les ai pas, mais je suis pret à lancer tout les défi que tu veux.
 
La plupart des entreprises qui propose se type de service (pour leur pub) te mettes une machine avec rien dedans ou tellement peut qu'il n'y a aucun interet.  Truc connu et déja utilisé en marketing.  
 
D'ailleurs y a eu un charlot du genre sur HFR y a pas longtemps.
 
Les leurres c'est rigolo pour celui qui le lance.
 
Par contre si quelqu'un veux vraiment tester il faut prendre le site,le vrai,  celui de Poutine sa c'est un vrai defi.
 
Avec les ex du KGB en face    pour l'instant il resiste dur    
 
   
 

j'l'ai cracké trois fois en faisant un nuke  

 
 
le site de poutine    
 
 
ou le guignole
 

laisse c'était une blague minable

 
 
 
 
 
bon ben je m'en vais cracké l'ordi de ma fille parce que la musique de télétubbies depuis 2h sa me chauffe
 
Bonne nuit
 

 
merci toi aussi!
 
bonnes fêtes

 
Le maillon le + faible reste et restera toujours l'utilisateur, on parle souvent des exploits d'un guru en C ayant provoqué un buffer overflow grâce au 14ème paramètre d'une obscure commande de configuration ... on oublie tous les cas où c'est le facteur humain qui aura été déterminant
 
un exemple tout con : après 15 notes de services et 3 réunions sur le comportement souhaitable de l'utilisateur, le commercial sympa qui ramène son portable chez lui tous les soirs continue à pourir son PC de sharewares et autres nids à troyens en tous genres, et il reviendra tous les matins brancher son PC sur le réseau avec sa bécane vérolée de toutes parts ...
 

 
+10 000, c'est du vécu, me prb, c'est quand le commercial installe des trucs de culs, et que la direction ne veut rien savoir, du fait que le DG va matter les trucs de cul sur le portable du commercial.
 
C'est 100 % vrai ce que je vous dis, dans une grosse boite industrielle (103 personnes, 148 Mf de CA)...

Deux Accès Internet Indépendants, une réservée exclusivement à de l'hébergement sans accès depuis l'entreprise (hors poste d'administration)
1) Checkpoint complété de divers modules + passerelle antivirus, sécurité maxi d'autentification et de cryptage, minimum de port, pas de route en entrée ou sortie non identifiée.
 
2) Checkpoint + modules + mailsweeper avec divers plugins dont antivirus et (analyse de contenu plutôt orienté limité download ou surf 'vidéo hard par exp' pour limiter les abus tout en laissant une certaine liberté tant que celle-çi ne remet pas 'trop' en cause le travail mais surtout la sécurité.
 
Pour les portables, les besoins personnels ayant le dessus sur l'éducation et la prévention, accès au réseau en interne et externe par métaframe, désactivation des drives locaux. ban du client serveur   radical pour les irréductibles.
 

c'est quoi un accès par metaframe?

 
nous z ont pas le droit d installer quoique ce soit les commerciaux ... ont leurs fournit un outil de travail complet !
en ayant etudier les besoins de chacun !
une fois ceci fais fo qu ils repassent au siege pr avoir de nouveaux soft !
au moins on a pas de merde avec eux !
par contre c plutot les sites distant qui font chier pr le moment !!! dernierement ils nous ont file bugbear via le vpn L HALU ! a cause d un poste qui avait acces a internet !!!  
 

 
ha les failles dans un réseau c'est toujours comme sa.
 
je connais aussi ce probleme  
 
 

Abus de language, via Métaframe (citrix) et client ICA
Métaframe améliore le mode terminal serveur de W2K.
L'interet est multiple.
Seul le client ICA est nécessaire sur le poste, l'utilisateur ne peut rien modifier, les seules applis qu'il peut utiliser sont celles mis à sa dispo et cela quelque soit l'état du pc ou le pc utilisé.
En cas de besoin, la totalité du client et sa configuration peut se faire via une carte d'accès
Un seul port est utilisé pour l'ensemble des accès distant et applis, idéal pour la sécurité
Choix de laisser communiquer les unités locales (HD, CD, FD) et  
les unités distantes ou de désactiver totalement les locales.
Ajout d'applications si besoin en un point unique et local pour l'ensemble des utilisateurs distants, aucun besoin pour ceux ci de ramener leurs portables, etc..
 
Bref, le surplus du coût d'une config W2k terminal serveur + métaframe (même en load balancing) est amorti en quelques mois,  
et surtout, oublier toutes les prises de tête du à des installations sauvages.  
 

merci pour les infos

Yop,  
Pour info, j'ai quelques postes qui ont un client ICA pour se connecter sur une appli propriétaire centralisée ... ca a l'air de bien marcher, pas trop de bugs, ca ramouille un poil suivant la charge du rzo ... normal koi
 
Par contre, pour la gestion des impressions sur les imprimantes rzo c'est un peu la merde ... mais c pit etre du a notre application  

j'apporte ma pierre de ma maigre experience de stagiaire
 
Maison d'édition  
Parc utilisateur 600 machine 1/4 mac, 1/4 laptop
Parc server 80 server (administration, production, web, messagerie)
Connexion ADSL je sais plus laquelle
au niveau sécurité:
mise en place d'une DMZ pour l'ensemble des serveurs
pour le serveur de mess un AV  
utilisation d'un PRoxy et de deux firewall (Nokia)
utilisation d'une ligne spécialiser pour certains services

j'ai une question à poser, on a parler de sécuritée au niveau des intrusions externes, mais pour ce qui est de la politique interne?
- sécurité physique
- politique de mot de pass
- stratégie d'administration...etc
- sensibilisation des utilisateurs
 
comment vous gerez cela?

Ca, c'est la vrai question. (Cf le comercial qui ouvre le réseau malgrès des protection de l'exterieur).

 
secu physique : po de lien physique d'interco .. meme les modems de telemaintenance ne sont connectés que si besoin.
 
mdt > 8 caracts .... mais par experience, ca empeche pas d'avoir des mdt bidons ( patrick01 )
 
statégie d'admin, centralisé +ou- par l'ekip secu, le correspondant local figniole a ces gouts ( & ces competences    )
 
sensibisation reguliere, recemment plus que d'habitude, avec des questionnaires/concours etc ... Apres, dire que cela a un vrai impact, qd je vois certains boulayz d'utilisateurs, c po gagné  

C'est vraie que l'utilisateur est le plus gros frein et le maillon faible (sans mauvais jeux de mots)
Je me rappel l'admin qui était obliger laisser le ftp de la boite en anonyme parceque les commerciaux étaient pas fichus de rentrer un logine et un pass

les problèmes ne vienennt pas de l'extérieur mais de l'intéreir!!! 80% des attaques sont des actes de malveillances interne à la société qu'ils soient volontaires ou involontaires.
1ere chose sensibilser els employés à cette donnée du problème ça sert à rien de sécuriser à fond si de l'autre côté ce sont les employés qui ouvrent les portes avec du p2p ou server FTP.
De cde point de vu la le SSH c'est pas le + important

La sécurité ca va du boss a l'utilisateur lambda du rézo... login pr tous, ainsi que pour les éléments du rézo (routeurs, switch etc), strict minimum syndical.
 
Ensuite une concertation avec les responsbales concernant la politique de sécu et les moyens financiers pr mettre en oeuvre des stratégies adaptées ... y'a pas que l'admin qui est responsable
 
[hs] personne n'a du taff ? Cf signature   [/hs]

au niveau légal si l'admin est responsable en cas de merde il en prend plein la gueule !!!

 
et s'il a pas les budgets  

et puis quoi encore tu vas pas plaindre les admins   il a pas besoin de budjet pour verrouiller les PC ou expliquer au gens ce qu'il faut faire et ne pas faire, la plupart du temps les admins sont des chiers finis   qui veulent tout contrôler et ça fini mal car ils informent rarement qu'ils peuvent avoir accès à des données personnel.
Combien de boite mettent ça en automatique dans les mails    
****************************************************************************************
Le contenu de cet e-mail et de ses pièces jointes est destiné à l'usage exclusif du  
(des) destinataire(s) expressément désigné(s) comme tel(s).
En cas de réception de cet e-mail par erreur, le signaler à son expéditeur et ne pas
en  
divulguer le contenu.
L'absence de virus a été vérifiée à l'émission du message. Il convient néanmoins de  
vérifier l'absence de corruption à sa réception.
 
The content of this e-mail and attachments is intended for the named recipients only.
If you have received this e-mail by error, please notify the sender and do not
disclose,  
in any case, its content.
This mail was scanned for virus content when emitted, anyhow please check for any  
corruption upon reception.
****************************************************************************************
 
trop peu de boite et après les admins se retrouvent au tribnal pour violation de la vie privé.

 
   
 
Va verrouiller des pc si t'as un vieux parc en w98 par exemple    
 
Sinon j'vois pas le problème si l'admin a accès a des infos personnelles... il doit etre garant de la confidentialité, après c'est à lui de ne pas divulguer les info importantes, ca se choisit pas à la légère un admin  

 
cf. l'avenant de la CNIL sur la confidentialité dans les entreprises et les droits/obligations d'un admin

 
chuis dans le vrai ou pas ?
 
Tu aurais un lien stp ?  

Alors le liens je suis en train de le chercher je sais que c'est un avenant à la loie qui est sortie courant mars, et qui permet au admin réseau de travailler sans subir les attaques des syndic.
 
En gros je me rappel que grâce à celui-ci l'admin réseau peus faire des stats et récolter des infos, uniquement dans le but de son exploitation et que s'il a accés à des données persos il est dans le secret pro, sachant que comme avant, il lui est interdis d'espionner les utilisateurs (lecture des mails etc...)

 
C'est le responsable ou le représentant de la société ou la société le responsable, pas l'admin, c'est trop facile sinon.

Pour info, les données perso n'ont pas de place dans l'entreprise, seule les données de la société ont leur place, c'est tout.
 
Et puis si les utilisateurs ne sont pas content, rien ne les empèches d'aller travailler dans une autre boite.

les données perso sont tolérées c'est une pratique courante dans le but de ne pas pourri une ambiance de travail. Interdit tout à tout le monde et tu vas voir ta productivité, à vouloir jouer au chefaillon tu vas couller la boîte.

Ah oui, ben, quand tu as des personnes qui passe plus de temps à écouter leur MPEG3 qu'a faire leur boulot...
 
De plus, un mec qui à la bonne idée de sauvegarder tout ses MPEG-3 sur un serveur, j'aime pas trop.
 
Document perso, je leur laisse leur disquette, car, je ne veux pas que un jour l'on vienne me voir (la direction) et me demander de trouver un truc sur tel ou tel personne.
 
Je leur dit comme cela, rien de perso sur vos postes et vos comptes utilisateur sur les serveurs.

houlalala
 
le post dérape du FireWall en passant par la legislation pour finir sur ce que l'on autorise ou pas dans l'entreprise.
 
1) En droit c'est clair, c'est le dirigeant de l'entreprise qui est responsable pas l'admin qui lui n'est responsable qu'au yeux de son superieur.
 
2) Roy, t'es un dictateur    (la il va me tuer) notre monde à prouvé que ce n'est pas en interdisant à outrance que l'on obtient le meilleur résultat. Tes arguments son louable mais trop restrictif à mon gout.
 
Bref, comme l'on dit beaucoup c'est aussi l'interieur qu'il faut surveillé, mais y a des moyen pour ça.
 
Un FW + 1 proxy te permette beaucoup d'interdiction de site par filtrage et pas que de l'exterieur. Cette solution agi aussi en interne sans avoir une kalasnikov dans les mains.
 
 
Moi je prefere me battre contre 2 ou 3 qui tenteront toujours de faire, plutot que de me battre contre toute la taule qui cherche des accès interdit.
 
 
 
 

j'ai pas un seul MP3 au taf par cintre des mpeg de pub comme on en reçoit plein par mail ou autre conneries j'en ai plein ma messagerie mais vbon c'est ma messagerie donc interdit d'accès à l'admin le mail c'est privé la loi l'a déjà rappelé !!!

L'admin, c'est pas le méchant dans la société, mais, juste pour te dire, que si un jour ton employeur ou ta direction à décidé que tu coûte trop cher et qu'il faut te virer, la direction va essayer TOUT les moyens, correct ou non, légaux ou non pour te trouver une faute, ou alors, t'inventé une faute, histoire de te virrer pour le moins cher possible, car, les employeurs, quand ils licencient du personnel, leur seule et unique priorité, c'est de le faire pour le moins cher possible.
 
Enfin, bon, je vous parle d'expérience perso (quand ton directeur te convoque un matin pour te dire qu'il veut ta dem. pour dans 2 mois ou sinon, il invente une faute, tu comprendra pourquoi je suis comme cela), à vous de voir, mes en tant qu' admin, je ne laisse pas des données perso sur l'informatique de société ou j'ai travaillé.
Même si la loi me protège.
 
PS : j'ai déjà vu dans une SSII ou j'ai travaillé il y en 2000/2001 mon directeur info (toujours le même con que plus haut) faire sauter les mots de passe de fichier des salaires du personnel, il n'a pas le droit, je sais, de plus, il venait juste d'arriver, j'étais plus vieux que lui dans la boite, mais, il la très bien fait... donc, la loi informatique en entreprise...

Je n'ai pas lu toutes les réactions de ce topic, donc au risque de paraphraser un admin :
 
La sécurité est TOUJOURS une affaire de compromis, il ne faut pas se leurrer, le fait de TOUT BLINDER ne nous met pas pour autant à l'abris d'une intrusion, ou plus courant, d'une attaque de l'intéreur (car c'est là que le bas blesse, souvent )
 
Il ne sert à RIEN de dépenser des fortunes en sécu (proportionnellement au budget info global) et de torturer ses utilisateurs car le REJET de la politique de sécurité est pire que la sécu elle-même. Il faut avant tout que TOUT le monde se sente concerné par cette sécurité et soit concsient des risques que chacun fait prendre à l'entreprise en appliquant pas les consignes données par les ingés'sécu.
 
Dans la pratique, ça passe par une EDUCATION des utilisateurs, ce qui permet, au bout d'efforts importants, de leur faire accepter des changements de mot de passe réguliers, par exemple...
 
Pour moi, j'en suis encore à l'éducation... le CHU de Nantes n'est pas franchement simple à gérer "humainement" car on y trouve tous les profils d'utilisateurs, depuis les réfractaires de la souris aux médecins "J'ai tout fait, je connais tout et je vous en apprend tous les jours)
 
Donc : politique de sécu équilibrée mais pas paranoïaque au niveau infrastructure réseau et interco WAN, mais surtout CHARTE D'UTILISATION DE CHAQUE SERVICE, Réunion d'information etc etc etc ...

parce qu'aucun employé n'a des notions de droit ils se font entuber comme pas possible, sors à un patron qu'une affaire similaire a donné lieu à une condamnation du patron et que cela a fais jurisprudence déjà le patron sais que le combat va être un peu plus difficile et que s'il a pas de vaseline ça va faire mal