Le 25 juillet 2017 à 23:33, Jérôme Nicolle <jer...@ceriz.fr> a écrit :
> > Le 25/07/2017 à 12:09, Florent Cottey a écrit : > > - gestion de votre Active Directory > > Essayer de faire certifier une boite noire sous gouvernance hostile, > c'est se mettre la tête bien profond dans le sable (si ce n'est ailleurs). > > Pas de sécurité sans transparence, pas de souveraineté sans expliciter > des allégeances compatibles. > C'est constructif cette théorie du complot ? Octave a d'ailleurs eu d'autres problèmes à gérer avec les licences Ubuntu. C'est sûr qu'on est ici (FRNOG) dans le monde du réseau, mais dans une entreprise qui a un SI bureautique, AD est incontournable. Je ne parle pas de "certification", loin de moi l'idée, je n'ai même pas effleuré cette idée... mais Active Directory est un environnement tellement complexe déjà à maîtriser et ensuite à gérer dans le temps qu'il y a des tonnes de points de contrôle à faire. Et ce n'est d'ailleurs pas Microsoft qui sera le meilleur dans ce domaine pour vous aider. Puisqu'on était sur le sujet de l'audit, l'idée était de faire exprimer un peu plus le besoin. Chaque société d'audit essaie de développer une spécialité et Active Directory en est une. J'ai rencontré Cogicéo sur le sujet et ils ont investi beaucoup de R&D pour apporter une vraie valeur ajoutée. La société ALSID (des anciens de l'ANSSI) a développé un outil d'audit AD en continu. Vincent Le Toux, adjoint RSSI chez Engie a un parc d'AD énorme à surveiller et s'est lancé aussi dans la création d'un outil que je recommande (https://www.pingcastle.com/). Ce n'est pas forcément évident de connaître le milieu pour bien cibler et optimiser un audit, c'est pourquoi je comprends qu'on puisse venir sur une mailing list poser la question, mais demander un audit sans le moindre détail, c'est que le besoin n'est pas très poussé et n'importe quelle société d'audit sera à même de le réaliser. C'est justement pour ça que des boîtes peuvent vendre de la "bouse" parce que le client ne sait pas ce qu'il veut... Le pire c'est que le client sera satisfait car il aura fait son audit de l'année (conforme ISO27001). Par contre les corrections ne se mettront pas en place toutes seules... Florent --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
