A la question :

« Est-ce qu'il y a des GED / whatever qui permettent réellement la gestion "du droit d'en connaitre" ? (Cad que les admins n'ont pas à avoir accès aux données et ils ne peuvent pas se donner aux même les droits). »

Pas a ma connaissance mais peut-être qu’un plug-in ou dev spécifique peuvent le faire.
En parlant de plug-in pour GED voir plus bas si ça intéresse.

Nous on a eu ce type de besoin pour la gestion de secret et les partager en entreprise.
Avec la possibilité de pouvoir gérer même ses secrets personnels sans que l’admin ne sache qu’il existe.
Le seul moyen pour lui serrait de voler les autres moyens de validation (hors périmètre de l’admin) pour pouvoir effectuer la modification.
Ce qui est sur ce que ce n’est pas une GED vu le nombre de fonctionnalité que propose une GED mais sa stocke quand même des PJ.
Sur les secrets partagés donc PRO on peut garder pour soi-même mais il appartient à l’entreprise et un super admin pourra si nécessaire l’affecter à un groupe de mot de passe partagé. Notamment après un départ brutal pour diverses raisons.

Les secrets PRO étant partagés via des groupes de secret ou l’on autorise des groupes utilisateurs ou d’utilisateurs directement.
On peut définir les droits avec une très forte granularité comme pouvoir retirer les droits des administrateurs du gestionnaire de secret.
On peut également déléguer la gestion via la nomination de Superviseur.
Le propriétaire est superviseur automatiquement mais on peut changer ses droits ou le propriétaire si nos autorisations le permettent.

On a fait cela suite a l’utilisation d’outil de partage de mot de passe qui ne nous ont pas convenu.
Notamment de l’administrateur pouvait tous faire et voir. Et sans parler des ergonomies inadaptées pour des non techs.
Certes gérer des secrets ce n’est pas facile de rendre ça simple et agréable de par le sujet lui-même et le besoin de sécurité pas bien simple en rapport du truc poser la et basta (le post-it :).

Bien entendu tous les accès sont stockés avec un niveau technique (on voit les types de requêtes lancé par exemple).
Mais aussi Mme Michu peut consulter qui est venu voir un secret précisément et auditer qui y a concrètement accès ou voit son existence.
Prochainement Mme Michu sera également avertie qu’on accéder à un secret si c’est un secret que l’on doit aller voir uniquement en cas d’urgence par exemple.

J’en profite pour voir ici si certains serait intéressés pour être des utilisateurs Bêta dans la version RC3 qui devrait arriver vers Juin-Juillet.
On est en production interne dessus pour notre contexte.
Càd des centaines de mots de passe a gérer pour nous en interne et pour le compte de clients. Sachant que selon le type de prestation, tout le monde n’a pas l’accès a tous les mots de passe d’un client.
La RC2 va être mise en production chez quelques clients progressivement dès le mois de Mai.
Pour ceux qui seront participatifs et constructif la version finale leur sera offerte selon des conditions à définir.
On va volontairement limiter le nombre de participants dans chaque catégorie d’entreprise ou de besoin.
Afin de pouvoir d’être réactif.
Info importante pour bon nombre ici : ce n’est pas de l’Open Source

Donc si certains veulent déjà se manifester (en MP svp) je le noterai dans nos tablettes.

Pour reprendre le besoin de GED qui aurait une granularité des droits un peu sioux, on va créer un plug-in à une GED déjà choisi mais on peut s’ouvrir à d’autres.
Elle viendra interroger notre gestionnaire de secret via Webservices pour autoriser ou non l’accès aux données chiffrées et tracer les accès.
Ainsi on profitera d’une GED très sympa avec un spectre de fonctionnalités énorme tout en conservant les exigences initiales et un grand niveau de réponse aux différents niveaux d’exigences nécessaire dans le contexte RGPD.

Très bonne Pâques à tous ceux qui ne sont pas déjà en plein vol !!

Xavier

 

De : bougie <bougie@appartland.eu>
Envoyé : samedi 20 avril 2019 18:29
À : frsag@frsag.org
Objet : Re: [FRsAG] Audit accès File Server (Windows)

 

On 20/04/2019 16:52, x.roca@sipleo.com wrote:

Bonjour,


Pour la gouvernance des données d’un FS il y a aussi

https://www.varonis.com/

Au-delà de l’accès aux données, il est capable de la classifier.

D’analyser le comportement des utilisateurs ce qui est peut-être un peu le besoin quand on commence a vouloir vérifier l’accès c’est que l’on peut avoir des doutes sur l’usage de certains…

 

Autre possibilités simple et efficace mettre une GED en place.

Les outils de reporting qui y sont généralement intégré sont capables de donné une visibilité accessible a Mr le DG/DSI et autres VIP

 

Xavier

 

De : SIMANCAS Hugo <hugo.simancas@data-expertise.com>
Envoyé : lundi 1 avril 2019 12:04
À : French SysAdmin Group <frsag@frsag.org>
Objet : [FRsAG] Audit accès File Server (Windows)

 

Bonjour,

 

Connaissez-vous des outils d’audit d’accès d’un file server Windows ?

L’idée est d’avoir de la traçabilité d’accès des documents du réseau, avec un outil simplifié autre que les logs brut du serveur.

 

Merci d’avance

 

Hugo

 

 



_______________________________________________
Liste de diffusion du FRsAG
http://www.frsag.org/

Est-ce qu'il y a des GED / whatever qui permettent reellement la gestion "du droit d'en connaitre" ? (Cad que les admins n'ont pas à avoir accès aux données et ils ne peuvent pas se donner aux même les droits).