Archives de l’auteur : Janiko

Dérogation ou acceptation du risque ?

Dans le cadre des normes ISO 27001 et ISO 27005, les notions de dérogation et acceptation du risque sont liées mais distinctes. Il est bon de se rappeler des bases et des définitions exactes et leur application en sécurité des systèmes d’information. Un vocabulaire précis permet souvent un raisonnement précis.

En résumé, l’acceptation du risque est une notion issue de l’analyse de risque et relève donc de la gestion du risque. Elle peut être temporaire ou permanente. La dérogation est issue d’une non conformité (en général à la PSSI) et ne peut être que temporaire.

Continuer la lecture →

GPG ou PGP ?

Vous vous êtes sûrement demandé, comme moi, quelle était la différence entre les deux. Pour résumer, PGP est le précurseur, alors que GPG est l’implémentation open source (libre).

Continuer la lecture →

Colored Teams

On en voit souvent de toutes les couleurs en sécurité de l’information, mais il se trouve qu’on a également utilisé un code de couleur pour identifier des équipes intervenant dans des exercices de SSI ou pour désigner des équipes établies.

Continuer la lecture →

Lois acronymes

Soyons précis : il s’agit plutôt d’abréviations qui pullulent utilement dans notre paysage législatif.

Continuer la lecture →

VLAN

Un VLAN (Virtual Local Area Network) est un réseau local virtuel qui permet de regrouper un ensemble d’équipements au sein d’un même réseau local logique, même s’ils sont physiquement dispersés dans un réseau plus large. Un VLAN divise un réseau physique en plusieurs réseaux virtuels distincts, chacun avec ses propres segments, créant ainsi une séparation entre les groupes d’équipements.

Continuer la lecture →

La rap de la sécurité

Un bon point pour ChatGPT : il sait rapper 😋. Voici deux exemples…

Continuer la lecture →

Contrôles et sécurisation du cloud

Quelques liens d’information ou d’outillage pour la sécurisation du cloud, au sens (très) large.

Continuer la lecture →

Géolocalisation d’IP

Il peut être pratique de géolocaliser une adresse IP. Même si les outils ne sont pas toujours fiables à 100%, on peut facilement avoir une indication du pays ou de la région où l’adresse IP est connue, avec quelques trucs assez simples.

Continuer la lecture →

Loi FISA

Selon Wikipédia, le Foreign Intelligence Surveillance Act (FISA) est une loi du Congrès des États-Unis de 1978 décrivant les procédures des surveillances physiques et électronique, ainsi que la collecte d’information sur des puissances étrangères soit directement, soit par l’échange d’informations avec d’autres puissances étrangères

Continuer la lecture →

Evolutions

Web 3.0

Web3 : l’internet de 3ème génération, basé sur la blockchain et le métavers (lebigdata.fr)

L’autre Web 3.0

Quick Google (HTTP/3)
Evolutions de TLS, avec chiffrement total !

Nord, Sud, Est, Ouest

La géographie des réseaux est absconse, pour moi. J’ai demandé à mon ami le chat(GPT) des infos.

Continuer la lecture →

Modèle d’administration Active Directory

Selon l’ANSSI : Le modèle d’administration en niveaux se concentre sur la gestion de l’escalade non autorisée des privilèges dans un environnement Active Directory. Ce modèle, initialement proposé par Microsoft, définit trois niveaux d’administration qui sont les suivants :

Continuer la lecture →

Due care, due diligence

J’ai toujours eu du mal avec ces deux notions. D’origine juridique, elles s’appliquent également en sécurité informatique. En sécurité informatique, les concepts de « due care » et « due diligence » peuvent être appliqués de la manière suivante :

Continuer la lecture →

Datacenter

Une donnée informatique, ça brûle. Un Datacenter, ça se répare, ça se protège, ça se bichonne. Le « groupe de réflexion » Uptime Institute a été créé à l’initiative de plusieurs acteurs du secteur des centres de données (gérants, entreprise de conception, de construction de centre de données). Cette organisation est notamment connue pour avoir introduit le système de classification des centres de données en fonction de leur niveau de fiabilité (« Tiers I à IV »).

Continuer la lecture →

DORA

Explorons un peu DORA (facile). Ce règlement européen (DORA pour Digital Operational Resilience Act) vient d’être voté dans sa version définitive fin 2022, et il porte plus sur des sujets de sûreté que de sécurité, mais en informatique ces notions sont fortement liées.

Continuer la lecture →

KeePass : word ou oire ?

Mauvaise période pour les outils de sécurité : KeePass est à son tour sujet à un problème de sécurité (une vulnérabilité, dirons certains). On peut discuter longuement de la responsabilité du problème, mais il n’en reste pas moins qu’il est nécessaire de se sentir en confiance quand on utilise un gestionnaire de mots de passe, et force est de constater que la vulnérabilité en question prête… à questions.

Continuer la lecture →

Chiffrement ubiquitaire

Qu’est-ce que c’est encore que cette bestiole ? On n’arrête pas les nouveautés, qu’on souhaite pour le meilleur mais qui aboutissent en sécurité souvent sur le pire, comme SGX. Sans compter les nouveautés qui n’inventent rien, à part l’inculture de leurs promoteurs qui ne savent pas que la solution en question a déjà été inventée. Regardons donc.

Continuer la lecture →

Chiffrement cloud

RODC

Un RODC est un nouveau type de contrôleur de domaine qui héberge des partitions en lecture seule de la base de données Active Directory. À l’exception des mots de passe de compte, un RODC contient tous les objets et attributs Active Directory qu’un contrôleur de domaine accessible en écriture détient.

Vive les masques jetables !

Comme tout le monde, vous vous êtes toujours demandé comment lancer un missile nucléaire en toute sécurité, sans que les Russes, les Chinois ou les Américains ne viennent perturber vos communications en changeant les cibles à l’insu de votre plein gré ou en connaissant vos cibles à l’avance : impossible de (sur)vivre sans savoir cela. Plus sérieusement, vous vous êtes plus probablement demandé s’il existait un moyen de chiffrement infaillible et infalsifiable permettant la transmission d’un message de façon vraiment confidentielle ? La réponse est oui : le masque jetable est la meilleure des solutions, et c’est même la seule. Nous ne parlons pas ici de la covid mais du chiffre de Vernam. La suite sur… NextINpact !

secu.si

Site personnel de Jean GEBAROWSKI sur la sécurité des systèmes informatiques

Archives de l’auteur : Janiko

Dérogation ou acceptation du risque ?

GPG ou PGP ?

Colored Teams

Lois acronymes

VLAN

La rap de la sécurité

Contrôles et sécurisation du cloud

Géolocalisation d’IP

Loi FISA

Evolutions

Web 3.0

L’autre Web 3.0

Nord, Sud, Est, Ouest

Modèle d’administration Active Directory

Due care, due diligence

Datacenter

DORA

KeePass : word ou oire ?

Chiffrement ubiquitaire

Chiffrement cloud

RODC

Vive les masques jetables !