Bonjour,
 
J'aurais aimer savoir quel était votre politique vis à vis des accès "directs" en télémaintenance (Teamviewer, Logmein ...) pour des prestataires "annexes".
 
Exemple -aujourd'hui même- mais ce n'est pas la première fois :
Sans que j'en sois informé, un prestataire de "caisse" (nouveau) se pointe sur un réseau que je gère pour remplacer une caisse classique (non connectée au réseau) par une caisse informatisée sous Windows 10.
 
Le gars -pas inquiet- a trouver un port réseau sur un switch, s'y est branché à fait ses configs et a seulement pris l'idée de m'appeler quand il a été bloqué alors qu’il voulait accéder à un partage réseau ...    
 
Sa justification pour ne pas m'avoir prévenu était que ce poste est "totalement indépendant" du reste du réseau ... c'est vrai qu'il n'accède "qu'à" Internet, à des imprimantes réseaux et à besoin d'un partage réseau sur le serveur ...    
Par dessus le marché il a mis en place un accès Teamviewer à ce poste et m'indique que cet accès est "indispensable" pour l'assistance utilisateur et la télémaintenance.
 
Visiblement le gars n'y connais pas grand chose (même pas certain de l'OS sur la machine qu'il a installée) et je ne vais probablement avoir que peu de maitrise sur ce PC (AV, MàJ, droits utilisateurs ...). Cette machine est donc pour moi un risque majeur.
 
Pour le reste, je vais en parler avec les responsables (réunion demain) mais pour Teamviewer j'ai bien envie d'être strict et de dire que télémaintenance n'est envisageable qu'en passant pour une solution VPN dédiée, sécurisée et loguée.
 
Des avis ?
 
Merci.
 
PS : Vous allez peut-être me dire que ça fait longtemps que j'aurais du filtrer ce type d'accès ...

ici c'est 802.1x sur les ports switchs donc seules les machines de la boîte ont accès au réseau interne, les autres ont accès uniquement à internet
+ teamviewer et autre bloqués
et effectivement, VPN IPSec pour les besoins justifiés et bien définis.

eusebius : donnes tu la possibilité a des artisans ou autre pour qu'ils viennent sans te prévenir chez toi dans ta maison ?
un réseau informatique c'est la même chose. Tu dois pouvoir tracer les accés externe et choisir l'outil de sécurité.
eusebius, je me serai clairement énervé avec ce prestataire. Heureusement apres plusieurs clash, je ne vois de moins en moins ce genre de chose.
dans ce cas là. je cloisonne car on ne peut pas gerer a 100% tous les os. Par exemple dans mon cas des Dispositif médicaux. j'ai des vlan par niveau de sécurité. "Je gére" ou "je gére pas" et criticité, domaine d'activité (logistique, administration, production etc...)
 
nous c'est vpn ssl, teamviever ou autre c'est bloqué.
plus on a une charte d'accés distant et charte fournisseur.

Merci à vous 2 pour vos réponses,
 

 
Actuellement ce n'est pas possible vue l'infra (switchs non managés et routeur basique) mais c'est amené à évoluer (autre sujet de la réunion de demain).
Pour préciser les choses : c'est une petite structure para-publique qui souffre d'un gros sous-investissement chronique dans pas mal de domaine (dont le SI) et dont la chaine de décision est très vaque (responsable de la structure, responsable(s) de la commune, élus ...).
 
 

 
Ne t'en fais pas : je me suis énervé !  
Je pensais d'ailleurs ce genre de problème derrière moi suite à d'autres clashs sur des problèmes similaires. J'avais bêtement l'impression "qu'ils" avaient compris mais ce n'est visiblement pas le cas ...
La "charte fournisseur" est une chose à laquelle je n'avais pas forcément pensé, est-ce que tu aurais par hasard un modèle -même basique- à me faire passer ?
 
Merci.
 

Logmein et Teamviewer sont sécurisés.
Il est possible de consulter les logs de connexion en cas de doute.

 
 
 
Teamviewer est sécurisé.  
 
C'est techniquement bien plus sécurisé pour donner accès à un presta que lui filer un accès VPN.
Quand tu lui files un accès VPN, ça veut dire que tu permets à la machine du presta, que tu ne connais ni d'ève ni d'adam, avec ses virus, malwares potentiels etc de rentrer sur ton réseau. Et selon la config, à n'importe quel moment.
Teamviewer lui, ne permet que de partager l'écran, sans faire rentrer une machine d'un coté ou de l'autre dans le réseau de l'autre.
 
Ta réaction est basée sur le fait que ce n'est pas ta solution. Ce n'est pas parceque tu maitrises ta solution de connexion à distance interne qu'elle est plus sécurisée que ce que peut proposer ton presta.
 
Après faut pas non plus que ce soit la fête du slip, il faut établir des règles claires avec ton presta, notamment le fait d'interdire l'accès unattended, et de ne lui permettre de prendre la main sur teamviewer uniquement lorsque tu lances la connexion de ton coté. Par exemple. et ça tu peux le retourner dans tous les sens, c'est plus sécure qu'un VPN où il fait ce qu'il veut une fois connecté, tu peux même monitorer en direct ce qu'il fait sur la machine.
 
Ne pas confondre le moyen et la finalité.
Eventuellement tu peux interdire teamviewer parceque ce n'est pas une solution interne, maitrisée par ton SI etc, mais l'argument de la sécurité fait un peu mauvaise foi.
 
 
 
Après je veux pas tirer sur l'ambulance mais :

 
S'il a pu accéder à tes switchs sans clé, badge d'accès ou autre, tu es plutôt mal placé pour t'indigner niveau sécurité.
enfin je dis ça je dis rien hein.  

 
Le niveau de "sécurité" de ces logiciels est presque secondaire dans ce questionnement (*).
 
Ces logiciels sont des "portes" d'entrée vers un réseau, savoir que la "serrure" est de qualité, c'est bien, mais pas suffisant.
Ce qui importe également c'est de savoir qui possède une "clef", qui s'en est servit et à quel moment.
 

 
Ces logs se trouvent où ? Sur la machine ou chez TeamViewer ? Ils sont consultables par qui ?
 
N'oublies pas que je n'aurais que très peu de maitrise sur la machine en question (utilisateur probablement admin ...), que je ne connais pas du tout cette entreprise (nouveau prestataire) et que rien ne me dit qu'ils n'utilisent pas un bête exe d'une version gratuite de TeamViewer posée sur le bureau (comme c'est souvent le cas avec ce genre de boite).
 
A+
 
 
(*) : Il me semble que Teamviewer a eu à faire face à quelque failles importantes. Il faut que je retrouve le nom du logiciel mais il me semble aussi qu'un concurrent de TV / LogMeIn a subit une grosse attaque (avec dégâts) il y a 1 an ou 2.

Voir mon post à propos de l'accès unattended.

Dans Teamviewer et logmein, tu as des logs au niveau de la console et sur le poste.
Les logs au niveau de la console, tu n'y auras pas accès comme c'est le Teamviewer du prestataire.
Les logs sur le poste sont consultables par tout le monde.

Tu peux regarder le teamviewer qui est installé.
Si tu vois qu'il affiche un ID et un mot de passe, sans association, c'est pas bon.
Si le compte est associé et que tu ne vois pas de code, c'est que seulement les membres de la société auront un accès au serveur.

Teamviewer avait eu des problèmes de failles.
Logmein n'a jamais été très clair sur ses piratages.
Beaucoup de gens recevaient du spam avec leur adresse de connexion et ils disaient que cela n'avait aucun rapport.
Mais ce n'était pas convaincant comme excuse.

 
Ce n'est à priori pas l'avis de la plupart des gens (auditeurs divers, autres presta ...) avec qui j'ai pu discuter ces dernières années.
De plus rien n'empêche de coupler VPN et filtrage très restrictif sur les machines connectées à ce VPN.
 

 
Le problème c'est justement que le "tu" ce n'est pas moi, mais bien une hôtesse d'accueil à temps partiel (ou un/une stagiaire) qui change littéralement tous les 6 mois ...
 

 
C'est un switch secondaire sous une banque d'accueil (accessible seulement au personnel).
A l'époque de son installation c'était soit ça, soit péter 10 mètres de carrelage tout neuf (+ divers travaux) pour passer des gaines car l'archi n'avais pas prévu que du réseau serait nécessaire dans ces locaux.
(J'avais seulement eu la place de tirer un câble réseau en remplacement d'un câble téléphonique inutilisé ...).
 
Néanmoins, tu n'as pas tort sur ce point (Idem 802.1x proposé par Ivy gu).
 
A+

 
Ou un TeamViewer utilisé en mode "gratuit" ... J'ai déjà vu ça plusieurs fois.
 

 
Ce que je vais faire dès demain.
 

 
C'est mieux que rien, certes, mais une fois de plus je ne sais rien de ce prestataire ... C'est pas comme si c'était une boite avec qui je travaillais depuis des années ...