Le 25/04/2018 à 10:05, Benjamin BILLON a écrit : >> Mais c'est également ma crainte, d'avoir un gars qui supprime tout, backup y >> compris, le jour ou il est licencié... > Et c'est la responsabilité du ... responsable IT d'avoir des backup séparés > et pas accessibles par les mêmes personnes que celles de la prod, ou des > copies impossibles à effacer (des bandes ? haha), ou autre chose qui fait > l'affaire. > Ouais faut y penser avant, et mais dans certains cas ça devrait même faire > partie du PRA.
Mouais, enfin, dans de nombreaux cas, le responsable IT, c'est AUSSI un salarié. On tourne en rond. Et dans nos métiers, beaucoup de monde fait office de responsable IT pour telle ou telle partie du S.I. interne ou de celui d'un certain nombre de clients. Une idée que l'on vient de mettre en place (et donc non testée par définition) : des Yubikey qui servent : 1) A disposer d'une clé SSH dérivée de l'identité gnupg stockée dans la yubikey, elle même signée (pour un an) par une authorité de certificat SSH stockée sur deux clés USB elles mêmes stockées dans deux coffres forts différents avec les passphrase permettant de re-signer les clés. Le tout dans un enveloppe scellée avec un autocollant sur lequel deux responsables de la boite ont signé. Impossible d'ouvrir l'enveloppe sans que cela se sache. Et n'importe qui dans la boite peut se tuer en avion sans que l'on risque de devoir reprendre le processus à zéro. 2) Une base de données keepass stockée dans un cloud à nous (aka nos serveurs), synchronisée avec tous ceux qui en ont besoin et qui ne s'ouvre qu'avec un pass + yubikey. La yubikey ne pouvant, par design, être copiée, il suffit que l'on demande au salarié sa yubikey pour qu'il perde instantanément tous ses accès. Ca attend le premier départ pour être testé ;-) Julien
<<attachment: julien_escario.vcf>>
signature.asc
Description: OpenPGP digital signature
