Forum |  HardWare.fr | News | Articles | PC | Prix | S'identifier | S'inscrire | Aide | Shop Recherche
1847 connectés 

  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Sécurité

  Stratégie de sécurité pour une PME

 



 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Stratégie de sécurité pour une PME

n°171489
koesys
Posté le 14-10-2020 à 11:34:22  profilanswer
 

Bonjour à toutes et à tous.
Je viens vous demander conseil en matière de sécurité informatique.
 
Un des clients de mon entreprise (PME de dev de 25 employés) vient d’exiger que nous renforcions notre système de sécurité pour pouvoir continuer à travailler avec lui (c’est un gros client).
Nous n’avons pas d’expert en sécurité dans l’équipe, par conséquent, on m’a demandé de faire des recherches pour établir une stratégie de sécurité.
 
Etant donné que je suis un néophyte en la matière, je vous serais hyper reconnaissant si vous pouviez me donner votre avis sur le résultat de mes recherches !  :)  
 
Notre « parc » informatique :
- 30 ordinateurs sous windows principalement, quelques macs
- Des smartphones (ios/android)
- Des serveurs
- On va probablement passer à Azure
 
Les éléments de sécurité requis ainsi que les solutions trouvées :
 
- Faire régulièrement/automatiser des penetration testing : Metasploit
- Gestion centralisée des ports USB (approbations)  : Intune
- Gérer/centraliser les clés de chiffrement des disques durs : Intune (gère aussi Filevault)
- Retirer les services, comptes utilisateurs et logiciels inutiles : Intune
- Gestion des passwords par défaut : Intune ?
- Gestion centralisée des niveaux d’administrations des comptes utilisateurs et leurs nom : Intune ?
- Désactiver, fermer ou retirer les port réseaux non nécessaire : Intune
- Faire des scans de vulnérabilité (interne et externe) : f-secure Radar ou SolarWinds MSP Risk Intelligence ?
- NIDS (network intrusion detection system) SolarWinds SEM (managé avec Intune)
- Ou Host End Point Solution : Microsoft Defender ATP ou F-secure (managé avec Intune)
- Lier les deux derniers points à un monitoring central :  Intune
- HIDS : SolarWinds  SEM (managé avec Intune)
- Monitor host activity : Intune
- Antivirus : F-secure managé avec Intune
 
Pour Mac : jamf (possible de le manager via Intune)
 
Voilà. Donc globalement, la sécurité serait assurée et managée par F-Secure, SolarWinds et Microsoft Intune.
 
Que pensez-vous de ces choix ?
Dois-je me méfier de certains problèmes de compatibilité ou de conflits ?
Y’a-t-il une incompréhension ou un oubli critique d’une notion qui m’aurait échappé ?
Que pensez-vous du niveau de compétence requis pour utiliser / entretenir ce système de sécurité ?
Connaissez-vous de meilleures solutions, moins couteuses ou plus facile à prendre en main ?
 
Merci beaucoup pour vos retour  :)  


Message édité par koesys le 14-10-2020 à 11:36:07
mood
Publicité
Posté le 14-10-2020 à 11:34:22  profilanswer
 

n°171498
QOTSA76
Posté le 15-10-2020 à 09:36:09  profilanswer
 

Bonjour,  
 
Tu peux aussi demander à ton client quelles sont ses exigences.
 
- Connexion sur son infra via VPN SSL , IPSEC ...
- Compte AD pour chaque intervenant  
- Utilisation d'une VM d'admin  
- Etablissement et validation d'une charte informatique / contrat qui définit vos droits, responsabilités, interaction sur le si ...  
 
Bref, avant de parler technique (metasploit, ...) , il y a beaucoup de théorie et de blabla ...
 
 

n°171499
QOTSA76
Posté le 15-10-2020 à 09:42:54  profilanswer
 

Pour le compte AD, un même utilisateur peut (doit !) en avoir plusieurs :  
- un compte utilisateur pour se connecter sur la vm d'amin
- un compte utilisateur pour faire des modifs sur l'AD  
...
 
Le but étant de donner des droits minimum et permettant l'execution des tâches définies.
 
--> Ne pas donner des droits d'admin du domaine à un utilisateur dont la seule fonction est de vérifier la supervision et les backups ...
 
Je pense que tu pourras trouver des bonnes lectures sur le site de l'ANSSI, genre guide d'hygiène de la sécurité informatique.
 
Et tu pourrais voir avec ta boîte si elle est motivé pour obtenir l'ISO27001,  ... ça sera un plus au niveau commercial

n°171503
koesys
Posté le 15-10-2020 à 11:12:22  profilanswer
 

Merci QOTSA pour ta réponse.
 
Nous nous connectons chez notre client via VPN.
Nous avons effectivement une charte qui, effectivement, nous permettrait probablement de nous passer de répondre à certaines exigences par des logiciels.
 
Toutes les exigences client dont je dois m'occuper sont décrites dans mon post sous "Les éléments de sécurité requis..."
 
Je vais aller faire un tour du coté de l'ANSSI et me renseigner sur l'ISO27001, merci du conseil :)
 
Sinon, que penses tu des solutions logiciels que je propose ?

n°171514
QOTSA76
Posté le 15-10-2020 à 12:49:34  profilanswer
 

Un autre point à ne pas négliger : ne pas prendre le dossier seul et faire la démarche en se répartissant les tâches avec ton équipe / collègues.
 
Si tu souhaites évoluer dans la sécu, c'est une opportunité à saisir mais sinon tu auras vite fait d'avoir l'étiquette : RSSI, DPO ...
 
Et pour moi un RSSI , c'est un fusible  :D  
 
En cas de gros problème de sécu / RGPD :  "oui, M le client notre RSSI n'avait pas mis en place les bonnes pratiques, nous avons pris les mesures qui vont bien ..." :gun:
 
 
Pour info, tu évolues dans quel milieu ?  car un pentest régulier, NIDS, HIDS ... c'est un peu "too much" !!! et je connais des boites dont la sécu est la spécialité (sur le papier) qui n'ont pas tous ça  :sarcastic:  

n°171519
nebulios
Posté le 15-10-2020 à 14:06:26  profilanswer
 

Si tu es un néophyte, fais-toi aider. Mettre n place des solutions techniques, c'est bien, mais la sécu c'est bien plus que ça. Tu ne mentionnes même pas la partie backup/PRA.

n°171521
koesys
Posté le 15-10-2020 à 16:14:20  profilanswer
 

Merci pour vos réponses.
 

Citation :

Si tu es un néophyte, fais-toi aider. Mettre n place des solutions techniques, c'est bien, mais la sécu c'est bien plus que ça. Tu ne mentionnes même pas la partie backup/PRA


C'est ce que je fais en demandant à des experts de Hardware :jap:  la partie backup/PRA ? Késako ?
 

Citation :

Pour info, tu évolues dans quel milieu ?


Nous sommes surtout des développeurs qui développons... :D  
Mais effectivement, nous pouvons traiter des infos sensibles de clients, notamment celui qui nous "oblige" à mettre en place ces procédures (sous peine de plus être notre client).
 
Nous sommes deux à nous partager la tâche. (L'autre s'occupe plus du coté active directory et infra réseau)
Du coup, f-secure, solarwinds, intune, ou encore stormshield, Microsoft End Point Manager,  Microsoft Defender atp, openVAS ou wireshark, OSSEC... c'est pas facile de s'y retrouver dans tout ce fourbi  :heink: Des conseils ? :)


Message édité par koesys le 15-10-2020 à 16:14:58
n°171523
QOTSA76
Posté le 15-10-2020 à 17:07:33  profilanswer
 

Backup : sauvegarde avec idéalement la règle 3-2-1  
 
PRA : plan de reprise d'activité - Plan qui définit la (les) réponses -actions à mettre en place en cas de crash.
ex : Dans le cas d'une attaque crypto : quel est le plan pour refaire repartir la prod. (Après avoir fait une rapide étude d'impact, un dépôt de plainte, ... et un joli mail à TOUS ses clients pour les prévenir que des données les concernant sont potentiellement dans la nature >> RGPD :hello: )
 
Tous ce fourbi, comme tu dis, à mettre en place ça se fait plus ou moins sans mal ... --> En mode maçon (qui sait lire une doc quand même) : tu empiles les briques !!  :ange:  
 
Il faut surtout se poser les questions de l'après déploiement :  
- Qui assure la maintenance , l'exploitation quotidienne de ces outils ?  
- Qui fait quoi en cas d'alerte ?
-...
 
Perso je me rapprocherais d'une boîte qui fournit un service managé , et idéalement certifiée iso27001, ça pourra rassurer ton client.

n°171524
nebulios
Posté le 15-10-2020 à 17:17:07  profilanswer
 

Citation :


C'est ce que je fais en demandant à des experts de Hardware :jap:  la partie backup/PRA ? Késako ?


 
Ca ne fonctionne pas comme ça dans la vraie vie. Si tu veux faire ça sérieusement, tu ne passes pas par un forum, tu passes par un prestataire dédié à ça. Parce que lui aura les compétences/l'expérience/la connaissance de votre existant/etc. pour proposer des solutions qui vont répondre à vos besoins.
Si tu n'as même pas de notion de backup/PRA tu vas droit dans le mur.
 
Et accessoirement parce que sur ce forum on prodigue des conseils, mais on ne fait pas non plus de prestations gratuites...


Message édité par nebulios le 15-10-2020 à 17:17:35
n°171525
koesys
Posté le 15-10-2020 à 17:35:23  profilanswer
 

Citation :

Il faut surtout se poser les questions de l'après déploiement :  
- Qui assure la maintenance , l'exploitation quotidienne de ces outils ?  
- Qui fait quoi en cas d'alerte ?
-...


 
Oui effectivement, ça parait bête mais je n'en suis pas sûr et je n'ai pas pensé à poser la question. Je vais clarifier ça immédiatement, merci de m'avoir rappeler l'évidence ^^
 
Du coup je vais essayer d'installer certains logiciels en mode "maçon" comme tu le suggères. Je pense qu'il faut que je mette les mains dans le camboui.
 
Et effectivement, il semble plus sage de faire appel à un prestataire pour certaines choses comme les penetration testing par exemple.


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Sécurité

  Stratégie de sécurité pour une PME

 

Sujets relatifs
Passage VOIP PMEGroupe de sécurité AD ne s'applique pas
Switch 10Gb PMEMigration vers TOIP dans PME: vos avis sur Asterisk, 3CX, XiVO...
W2016 Editeur de Stratégie securité Local[RESOLU] Les objets stratégie de groupe n'ont pas été appliqués
[PME 50 personnes]Firewall qui fait tout ?Création Système Informatique petite PME
Client de messagerie pour PME 
Plus de sujets relatifs à : Stratégie de sécurité pour une PME


Copyright © 1997-2018 Hardware.fr SARL (Signaler un contenu illicite) / Groupe LDLC / Shop HFR