Dans un environnement Windows, les GPO sont incontournables. GPO signifie Group Policy Object, soit en français objet de stratégie de groupe. C’est un composant central d’Active Directory dans les environnements Windows, utilisé pour gérer et appliquer des configurations sur les ordinateurs et les comptes utilisateurs d’un domaine.
Continuer la lectureArchives de catégorie : Concepts
Dérogation ou acceptation du risque ?
Dans le cadre des normes ISO 27001 et ISO 27005, les notions de dérogation et acceptation du risque sont liées mais distinctes. Il est bon de se rappeler des bases et des définitions exactes et leur application en sécurité des systèmes d’information. Un vocabulaire précis permet souvent un raisonnement précis.
En résumé, l’acceptation du risque est une notion issue de l’analyse de risque et relève donc de la gestion du risque. Elle peut être temporaire ou permanente. La dérogation est issue d’une non conformité (en général à la PSSI) et ne peut être que temporaire.
Continuer la lectureGPG ou PGP ?
Vous vous êtes sûrement demandé, comme moi, quelle était la différence entre les deux. Pour résumer, PGP est le précurseur, alors que GPG est l’implémentation open source (libre).
Continuer la lectureColored Teams
On en voit souvent de toutes les couleurs en sécurité de l’information, mais il se trouve qu’on a également utilisé un code de couleur pour identifier des équipes intervenant dans des exercices de SSI ou pour désigner des équipes établies.
Continuer la lectureVLAN
Un VLAN (Virtual Local Area Network) est un réseau local virtuel qui permet de regrouper un ensemble d’équipements au sein d’un même réseau local logique, même s’ils sont physiquement dispersés dans un réseau plus large. Un VLAN divise un réseau physique en plusieurs réseaux virtuels distincts, chacun avec ses propres segments, créant ainsi une séparation entre les groupes d’équipements.
Continuer la lectureContrôles et sécurisation du cloud
Quelques liens d’information ou d’outillage pour la sécurisation du cloud, au sens (très) large.
Continuer la lectureNord, Sud, Est, Ouest
La géographie des réseaux est absconse, pour moi. J’ai demandé à mon ami le chat(GPT) des infos.
Continuer la lectureModèle d’administration Active Directory
Selon l’ANSSI : Le modèle d’administration en niveaux se concentre sur la gestion de l’escalade non autorisée des privilèges dans un environnement Active Directory. Ce modèle, initialement proposé par Microsoft, définit trois niveaux d’administration qui sont les suivants :
Continuer la lectureDue care, due diligence
J’ai toujours eu du mal avec ces deux notions. D’origine juridique, elles s’appliquent également en sécurité informatique. En sécurité informatique, les concepts de « due care » et « due diligence » peuvent être appliqués de la manière suivante :
Continuer la lectureDatacenter
Une donnée informatique, ça brûle. Un Datacenter, ça se répare, ça se protège, ça se bichonne. Le « groupe de réflexion » Uptime Institute a été créé à l’initiative de plusieurs acteurs du secteur des centres de données (gérants, entreprise de conception, de construction de centre de données). Cette organisation est notamment connue pour avoir introduit le système de classification des centres de données en fonction de leur niveau de fiabilité (« Tiers I à IV »).
Continuer la lectureChiffrement ubiquitaire
Qu’est-ce que c’est encore que cette bestiole ? On n’arrête pas les nouveautés, qu’on souhaite pour le meilleur mais qui aboutissent en sécurité souvent sur le pire, comme SGX. Sans compter les nouveautés qui n’inventent rien, à part l’inculture de leurs promoteurs qui ne savent pas que la solution en question a déjà été inventée. Regardons donc.
Continuer la lectureRODC
Un RODC est un nouveau type de contrôleur de domaine qui héberge des partitions en lecture seule de la base de données Active Directory. À l’exception des mots de passe de compte, un RODC contient tous les objets et attributs Active Directory qu’un contrôleur de domaine accessible en écriture détient.
Matrice RACI
RACI est un l’acronyme en anglais de Responsible, Accountable, Consulted, Informed. Si l’on devait traduire la matrice RACI en français cela donnerait :
- Responsible pour Réalisateurs ;
- Accountable pour Autorité, Approbateur ou responsable (mais le terme est alors ambigu) ;
- Consulted pour Consultés ;
- Informed pour Informés.
Source : Matrice RACI : définition et exemples pour définir les rôles et responsabilités – Cadremploi
OpenID/OAuth 2.0
OpenID 1.0, OpenID 2.0, OpenID Connect.
Continuer la lectureSignal, WhatsApp, Telegram…
Ou olvid ? Quelle messagerie instantanée choisir pour espérer garder un semblant de vie privée et de confidentialité, à l’heure où WhatsApp change ses conditions d’utilisation (dans certains pays) pour partager plus de données avec Facebook ?
Continuer la lectureRansomware Task Force
Ça pète. Avec un nom pareil, les ransomwares n’ont qu’à bien se tenir. Trêve de plaisanterie, cette initiative est louable, et montre bien les préoccupations dans ces années 20 : autrefois on luttait joint contre les botnets, maintenant il faut ajouter une corde à l’arc de la SSI : la lutte contre le ransomware.
Continuer la lectureMot de passe Windows
Un développeur senior de Microsoft (Steve Syfuhs) tient un blog très intéressant (et forcément pertinent) sur la sécurité de Windows, en décrivant le fonctionnement de plusieurs fonctionnalités de sécurité, dont le mot de passe (sous Windows). Je vais tenter un résumé-traduction.
Continuer la lectureCI/CD
Continuous ceci, continuous cela… A quoi ça rime ? Ou plutôt à quoi ça rythme ? Car l’intégration continue et le déploiement continu sont une question de rythme, oserai-je dire.
Continuer la lectureTechnologie humaine
Facebook n’a pas aimé le documentaire de Netflix sur son réseau social (the Social Network), et le fait savoir. Les réseaux sociaux sont une plaie. Certes ils ont des vertus mais conduisent aussi à de trop nombreux vices, en particulier lorsqu’on les associe au politiquement correct, une plaie venue des universités américaines. Et pour mieux combattre son ennemi, il faut le connaître.
Continuer la lectureBonnes pratiques : les bases
Un article fourni (pour une fois) de ZDNet reprend un ensemble de bonnes pratiques, pour un usage personnel. Les outils proposés vont évoluer dans le temps (de nouveaux non cités vont apparaître, d’autres vont disparaître), mais les bases devraient rester stables, et cet article est donc instructif à ce titre.
Continuer la lecture