Hello !
 
Les DevOps de ma boîte ont reçu un Dynatrace UFO (https://www.dynatrace.com/news/blog/using-dynatrace-devops-pipeline-state-ufo/), et veulent le connecter sur le réseau corpo.
 
Niveau sécurité, je me demandais quel était le niveau de risque auquel nous nous exposons si nous autorisons des "jouets" comme celui-ci sur le réseau.
 
En gros, c'est une lampe, qui possède un micro controlleur ESP32 (https://www.espressif.com/sites/default/files/documentation/esp32_datasheet_en.pdf), qui permet à la lampe de se connecter au wifi, et de communiquer avec l'appli dynatrace via une API.
 
Au point de vue du risque ce que je vois c'est:
 
- Que ce truc pourrait ne plus être soutenu par le fournisseur dans quelques mois ou années.
- Qu'il est connecté au net en permanence pour les mises à jour (tant qu'il y en a)
- Que ce ne sera pas géré par notre service IT, mais pas les devs eux-mêmes
- Que cela pourrait ouvrir une vulnérabilité supplémentaire sur notre réseau, et augmenter notre surface d'attaque.
 
Le truc c'est qu'ils semblent y tenir beaucoup, et qu'ils poussent fort pour que j'approuve.  Perso je suis pas chaud, en plus des arguments ci-dessus, je me demande vraiment quelle est l'utilité de ce truc par rapport aux écrans de monitoring que nous avons déjà, qui sont eux bien gérés par l'IT, c'est juste qu'ils sont un peu moins visuels quoi...
 
Suis-je trop parano ou bien j'ai de bonnes raisons de me méfier ?  

tu as l'air relou ouais

 
Ok, maizencore ?

ajouter des équipements sur un parc comporte toujours des risques. A toi ? (rssi?) de mettre le curseur ou il veut niveau sécu. Chaque boite à son propre curseur
 
Si vous êtes plutot en mode sécu à donf mais qu'il y a un impératif de brancher le bouzin sur le réseau, tu peux l'isolé dans une DMZ pour ce genre d'équipement qui à accès au stricte minimum.
 
 
 

 
Merci pour cette info ! C'est pas mal ça.
 
RSSI pas vraiment, juste gestion du risque et conformité (en mode ISO 27001). Mais on me demande mon avis sur plein de trucs du genre, puis quand je dis non ça râle.
 
Sinon y'a pas vraiment de niveau d'appétit de risque de défini ici... Juste un gros focus sur la disponibilité des systèmes et sur la GDPR, sinon pour le reste c'est un peu la foire.
 
Le problème est que je n'ai pas trop envie à long terme de me retrouver avec un million d'IoTs ou un parc énorme de shadow IT sur le réseau... Puis que ça me retombe sur la gueule quand y'aura un incident à cause d'un truc foireux qui aura été implémenté n'importe comment ... Puis leur dire non tout le temps ça m'emmerde aussi donc je préfèrerais leur dire "oui mais..." et venir avec une proposition de sécurité sérieuse, mais j'ai toujours un peu de mal à évaluer le vrai niveau de risque...