Bonjour Jérôme,
J'espère que tu vas bien. :)
Ma question ne porte pas sur l'existence de logiciels obsolètes donc sur la
gestion du risque qu'ils induisent, mais sur le risque induit par la publicité qui
en est faite, à plus ou moins bon escient.
Des vieuseries plus ou moins cachées dans les coins, il y en a partout, et des
ingénieur-es de qualité qui font du mieux possible pour concilier des objectifs
antagonistes de gestion de production et de gestion du risque il y en a aussi
(mais pas partout..). Tu en donnes la preuve en annonçant à la fois une réponse
opérationnelle (protection périmétrique) et une réponse de gestion de la sécurité
(feuille de route), ce qui est considéré comme une bonne réponse dans le cadre
d'un cycle d'amélioration continue (Plan-Do-Control-Act dans ISO27001 par exemple).
Là où je m'interroge, c'est sur la pratique du partage d'information
communautaire, sans laquelle Internet n'aurait jamais existé, dans un monde où les
professions du numérique sont devenues des professions encadrées juridiquement (il
y a même aujourd'hui un Code de la Cybersécurité publié aux éditions Dialloz [1]).
Comment demander de l'aide, rapporter un bug ou annoncer l'ouverture d'un poste
sans se mettre hors-la-loi (et accessoirement risquer de violer l'intimité de
personnes concernées innocentes qui nous font toute confiance à nous, numéristes
combattant-es) ?
[1] : <https://www.boutique-dalloz.fr/code-de-la-cybersecurite-p.html>, publié le
mois dernier, cf
<https://actu.dalloz-etudiant.fr/index.php?id=11&no_cache=1&tx_ttnews[tt_news]=39606>
Bien cordialement,
-- Maxime
Le 11/07/2022 à 19:56, Jérôme Nicolle a écrit :
Maxime,
Sur un de mes projets en cours, je dois gérer des machines qui ont entre 12 et
19 ans d'uptime.
Globalement, elles ont toutes l'âge de boire.
J'assure la fonction de RSSI néanmoins, pour deux raisons :
- Elles sont correctement firewallées et avec du SNORT bien vener en frontal
- On a une roadmap pour toutes les reconstruire d'ici un an (170 machines…)
Le 11/07/2022 à 18:49, Maxime DERCHE a écrit :
Bonjour,
Le 04/07/2022 à 17:54, Pierre DOLIDON a écrit :
Bonjour a tous
a tout hasard, quelqu'un aurait cloné le repo Sury pour les versions PHP de
Debian 9 ? Comme elle est passée EOL, les dépots de sury semblent avoir été
purgés également.
Par avance, merci !
Question un peu bête mais je termine à peine mon vendredi :
Vos RSSI vous autorisent encore à avouer publiquement que vous faites tourner
des OS obsolètes ?
(Je précise que j'adresse la question à l'assemblée non seulement à la personne
ayant ouvert le sujet, je ne cherche pas à pointer des coupables mais juste à
sonder l'opinion.)
frsag est une liste publique, archivée par des moteurs de recherche web,
n'importe quel agent de la CNIL pourrait tomber dessus soit fortuitement (et
ajouter le nom de la boîte à sa liste) soit lors d'un audit, par exemple suite
à déclaration d'une fuite de données personnelles. Le ou la DPO aurait alors du
mal à démentir ou à justifier. :)
Notez que j'ai la même question pour les offres d'emploi où le référentiel
technique est décrit avec les noms voire les versions des logiciels utilisés,
cela fait une excellente source ouverte de renseignement (OSINT blah blah blah).
Z'en pensez quoi ?
Bien cordialement,
--
Maxime DERCHE
OpenPGP public key ID : 0xAE5264B5
OpenPGP public key fingerprint : 7221 4C4F D57C 456F 8E40 3257 47F7 29A6 AE52
64B5
<https://www.mouet-mouet.net/maxime/blog/>
_______________________________________________
Liste de diffusion du %(real_name)s
http://www.frsag.org/
