Hello,

Ce qu'il faut pas oublier c'est que Vincent et Jean-luc peuvent avoir l'accès sur leur post vue qu'ils ont la compétence pour s'en sortir sans de tels outils ^^.

Pour le soucis vis à vis de  R ou de LaTeX, il suffit d'installer la distribution complète, et d'avoir un user système qui lance la tache de mise a jour en temps utile ce qui reste compatible avec le reste du système.

Le vrais frein aux solutions de durcissement logiciel reste le fait qu'il faille une bonne équipe de qualif pour mener le projet à bien sans que ça pète partout sur les postes des users.

alexis

Le 17 juin 2015 10:07, CROCQUEVIEILLE Bruno <Bruno.Crocquevieille@socgen.com> a écrit :
Bonjour,

En effet Applocker peut être une solution mais sa mise en place serait pénible chez nous car nous avons pas mal de spécifique (et je peux mettre un nom sur chacun des profils que tu as cité :)).

Ma boite a décidé de passer de Sophos à Symantec et j'ai utilisé Sophos pendant des années... J'ai souvent pesté notamment sur les MaJs qui sont en échec sur les postes et c'est chiant à débugger avec Sophos.

Mais Symantec est à mon avis moins flexible que Sophos, mais, à ma grande surprise, pas si mal que ça à l'usage. Saufs les rapports qui sont merdiques et qui nous ont forcé à taper directement dans la base pour extraire nous-mêmes les données et les présenter.

Cordialement,

Bruno

-----Message d'origine-----
De : Stephane Martin [mailto:stephane.martin@vesperal.eu]
Envoyé : mardi 16 juin 2015 22:27
À : Pierre Schweitzer
Cc : CROCQUEVIEILLE Bruno ResgGtsRetDsoFrv; frsag@frsag.org
Objet : Re: [FRsAG] ClamWin + ClamSentinel

Clairement, Applocker est trop méconnu, ça flingue 95% des malwares.

Sur un poste Applocké, le malware d'Evgeny pourra toujours se brosser
pour exécuter sa charge après avoir p0wné Adobe Reader.

Le Cryptolocker de Boris va aussi avoir beaucoup de mal.

Ca ne risque pas de gêner Josiane dans ses tâches de secrétariat (MS
Office fonctionnera sans problème).

Par contre Jean-Luc le libriste revendicatif va s'énerver quand il ne
pourra plus exécuter son Firefox portable sur clef USB (Jean-Luc n'a pas
confiance dans Mordac le security officer et méprise le navigateur
d'entreprise).

Plus gênant, Amandine la data-scientist ne pourra plus gérer sa distrib
R ou Scipy toute seule. La DSI a intérêt à carburer pour télédéployer
tout ce dont elle a besoin à la volée (Hint: SCCM ça marche bien, Novell
Zenworks euhhhh).

Sans parler de Vincent le dev agile et les 429862968 outils qu'il
cherche à tester chaque jour.

Exemples basés sur des cas réels ;) Le profil d'activités des
utilisateurs est à regarder de près avant de déployer. Il faut aussi, de
mémoire, un AD pas trop vieux (2008R2) et des licences Windows >=
Enterprise (en Pro, pas d'Applocker, bienvenu dans le monde merveilleux
de SRP).

Sinon, Clamwin, ça ne sert pas à grand chose. L'efficacité d'un
antivirus ça ne tient pas tant à la qualité de son code, qu'à la
capacité de l'entreprise qui l'édite à proposer des mises à jour
fréquentes et à bâtir des heuristiques pertinentes. Il faut une grosse
R&D et un gros support pour ça. Ca n'est guère le champ du logiciel libre.

J'ai une affection particulière et subjective pour les produits Sophos
(parce que ça pète jamais en prod). L'AV Trend par contre, juste une
lonnnnngue et pénible expérience de malwares non détectés.


Cordialement,
Stéphane





Pierre Schweitzer a écrit :
> Pour protéger l'utilisateur de lui-même dans ce genre de situation,
> sous Windows, il existe des solutions Microsoft telles que :
> - AppLocker : https://technet.microsoft.com/fr-fr/library/dd759117.aspx
> - EMET : https://support.microsoft.com/en-us/kb/2458544
>
> Pour avoir eu des feedbacks d'entreprises l'ayant en production, c'est
> radical (et efficace). Et ça évite que l'utilisateur qui lance
> n'importe quoi sans réfléchir puisse compromettre son poste.
>
> On 06/15/2015 04:06 PM, CROCQUEVIEILLE Bruno wrote:
>> Oui mais les utilisateurs sont des... utilisateurs :'(
>
>> Cordialement,
>
>
>
>
>> Bruno
>
>> CSSI -----Message d'origine----- De : FRsAG
>> [mailto:frsag-bounces@frsag.org] De la part de Dominique Rousseau
>> Envoyé : lundi 15 juin 2015 16:05 À : frsag@frsag.org Objet : Re:
>> [FRsAG] ClamWin + ClamSentinel
>
>> Le Mon, Jun 15, 2015 at 01:23:41PM +0000, CROCQUEVIEILLE Bruno
>> [Bruno.Crocquevieille@socgen.com] a écrit: [...]
>>> Je vais revenir donc sur ce pb en quelques lignes :
>>>
>>> Cela commence par la réception d'un mail prétextant une facture
>>> ou un autre document placé en pièce jointe. Il s'agit d'un .DOC
>>> ou .DOCX.
>> Ça devrait s'arreter là. Si tes utilisateurs ouvrent un document
>> qui prétend être une facture provenant de quelqu'un qu'ils ne
>> connaissent pas (nom, adresse email, objet), ils ne devraient même
>> pas envisager de l'ouvrir.
>
>> (oui, je sais, je vis au pays des bisounours)
>
>
>
>
> _______________________________________________
> Liste de diffusion du FRsAG
> http://www.frsag.org/
>
_______________________________________________
Liste de diffusion du FRsAG
http://www.frsag.org/