Bonjour,
Il y a beaucoup de cas où ce sont les clients qui bloquent pour des raisons obscures les mises à jour ou les remplacements en reportant indéfiniment.
On a beau mettre les recommandations en avant, insister ça ne passe pas, par contre quand c'est franchement abusé et que l'on arrive plus à intervenir dessus (version openssl qui empêche de se connecter à la moitié des sites de la planète avec LE, ssh trop obsolète qui oblige de réduire la sécurité des algos pour se connecter dessus, ...) là on impose la migration et s'ils ne veulent toujours pas on arrête ces dossiers et là ils acceptent ou partent.
Bonjour Jérôme,
J'espère que tu vas bien. :)
Ma question ne porte pas sur l'existence de logiciels obsolètes donc sur la gestion du risque qu'ils induisent, mais sur le risque induit par la publicité qui en est faite, à plus ou moins bon escient.
Des vieuseries plus ou moins cachées dans les coins, il y en a partout, et des ingénieur-es de qualité qui font du mieux possible pour concilier des objectifs antagonistes de gestion de production et de gestion du risque il y en a aussi (mais pas partout..). Tu en donnes la preuve en annonçant à la fois une réponse opérationnelle (protection périmétrique) et une réponse de gestion de la sécurité (feuille de route), ce qui est considéré comme une bonne réponse dans le cadre d'un cycle d'amélioration continue (Plan-Do-Control-Act dans ISO27001 par exemple).
Là où je m'interroge, c'est sur la pratique du partage d'information communautaire, sans laquelle Internet n'aurait jamais existé, dans un monde où les professions du numérique sont devenues des professions encadrées juridiquement (il y a même aujourd'hui un Code de la Cybersécurité publié aux éditions Dialloz [1]). Comment demander de l'aide, rapporter un bug ou annoncer l'ouverture d'un poste sans se mettre hors-la-loi (et accessoirement risquer de violer l'intimité de personnes concernées innocentes qui nous font toute confiance à nous, numéristes combattant-es) ?
[1] : <https://www.boutique-dalloz.fr/code-de-la-cybersecurite-p.html>, publié le mois dernier, cf <https://actu.dalloz-etudiant.fr/index.php?id=11&no_cache=1&tx_ttnews[tt_news]=39606>
Bien cordialement,
-- Maxime
Le 11/07/2022 à 19:56, Jérôme Nicolle a écrit :
Maxime,
Sur un de mes projets en cours, je dois gérer des machines qui ont entre 12 et 19 ans d'uptime.
Globalement, elles ont toutes l'âge de boire.
J'assure la fonction de RSSI néanmoins, pour deux raisons :
- Elles sont correctement firewallées et avec du SNORT bien vener en frontal
- On a une roadmap pour toutes les reconstruire d'ici un an (170 machines…)
Le 11/07/2022 à 18:49, Maxime DERCHE a écrit :
Bonjour,
Le 04/07/2022 à 17:54, Pierre DOLIDON a écrit :
Bonjour a tous
a tout hasard, quelqu'un aurait cloné le repo Sury pour les versions PHP de Debian 9 ? Comme elle est passée EOL, les dépots de sury semblent avoir été purgés également.
Par avance, merci !
Question un peu bête mais je termine à peine mon vendredi :
Vos RSSI vous autorisent encore à avouer publiquement que vous faites tourner des OS obsolètes ?
(Je précise que j'adresse la question à l'assemblée non seulement à la personne ayant ouvert le sujet, je ne cherche pas à pointer des coupables mais juste à sonder l'opinion.)
frsag est une liste publique, archivée par des moteurs de recherche web, n'importe quel agent de la CNIL pourrait tomber dessus soit fortuitement (et ajouter le nom de la boîte à sa liste) soit lors d'un audit, par exemple suite à déclaration d'une fuite de données personnelles. Le ou la DPO aurait alors du mal à démentir ou à justifier. :)
Notez que j'ai la même question pour les offres d'emploi où le référentiel technique est décrit avec les noms voire les versions des logiciels utilisés, cela fait une excellente source ouverte de renseignement (OSINT blah blah blah).
Z'en pensez quoi ?
Bien cordialement,