ca me fait penser aux procédure de signature dnssec https://www.cloudflare.com/dns/dnssec/root-signing-ceremony/
si vous voulez vous marrer ! Le 25 avril 2018 à 10:29, Sabri Boukari <sabriic...@gmail.com> a écrit : > @Julien, Super!!!!! ton idée... je prend note ça pourrait servir donc merci > beaucoup pour le partage > > 2018-04-25 10:21 GMT+02:00 Julien Escario <julien.esca...@altinea.fr>: > > > Le 25/04/2018 à 10:05, Benjamin BILLON a écrit : > > >> Mais c'est également ma crainte, d'avoir un gars qui supprime tout, > > backup y compris, le jour ou il est licencié... > > > Et c'est la responsabilité du ... responsable IT d'avoir des backup > > séparés et pas accessibles par les mêmes personnes que celles de la prod, > > ou des copies impossibles à effacer (des bandes ? haha), ou autre chose > qui > > fait l'affaire. > > > Ouais faut y penser avant, et mais dans certains cas ça devrait même > > faire partie du PRA. > > > > Mouais, enfin, dans de nombreaux cas, le responsable IT, c'est AUSSI un > > salarié. > > On tourne en rond. > > > > Et dans nos métiers, beaucoup de monde fait office de responsable IT pour > > telle > > ou telle partie du S.I. interne ou de celui d'un certain nombre de > clients. > > > > Une idée que l'on vient de mettre en place (et donc non testée par > > définition) : > > des Yubikey qui servent : > > 1) A disposer d'une clé SSH dérivée de l'identité gnupg stockée dans la > > yubikey, > > elle même signée (pour un an) par une authorité de certificat SSH stockée > > sur > > deux clés USB elles mêmes stockées dans deux coffres forts différents > avec > > les > > passphrase permettant de re-signer les clés. Le tout dans un enveloppe > > scellée > > avec un autocollant sur lequel deux responsables de la boite ont signé. > > Impossible d'ouvrir l'enveloppe sans que cela se sache. > > Et n'importe qui dans la boite peut se tuer en avion sans que l'on risque > > de > > devoir reprendre le processus à zéro. > > > > 2) Une base de données keepass stockée dans un cloud à nous (aka nos > > serveurs), > > synchronisée avec tous ceux qui en ont besoin et qui ne s'ouvre qu'avec > un > > pass > > + yubikey. > > > > La yubikey ne pouvant, par design, être copiée, il suffit que l'on > demande > > au > > salarié sa yubikey pour qu'il perde instantanément tous ses accès. > > > > Ca attend le premier départ pour être testé ;-) > > > > Julien > > > > > > -- > Boukari Sabri > > Cloud DevOps Specialist > *Failure is the Great Teacher* > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
