Publicité en cours de chargement...

Publicité en cours de chargement...

Quelques idées en vrac pour les RSSI désœuvrés

21 jan. 2020 - 10:17,
Tribune - Cédric Cartau
En général, que l’on soit RSSI technique (ce qui devrait d’ailleurs plutôt s’appeler CSSI) ou métier (que l’on devrait d’ailleurs plutôt appeler « Officier Sécurité SI » ou « Gestionnaire de risque SI »), on passe une bonne partie de son temps en projets divers et variés, à dépenser de l’argent que l’on n’a pas pour sécuriser des processus métiers qui existaient bien avant que l’on naisse, pour des MOA qui parfois ne savent pas qui on est. Bref, la routine.

De temps à autre, il arrive cependant de tomber sur une idée intéressante d’un confrère, une suggestion d’un collègue ou tout simplement un os (ou si vous préférez une mouche dans le lait) qui nous conduisent à mettre en place des vérifications périodiques d’éléments simples, le genre auquel personne ne pense, mais qui peut parfois éviter de gros, gros ennuis.

Par exemple, il peut être intéressant de googliser son PDG. Pas pour connaître la marque de sa voiture, mais juste pour voir si par hasard il n’y aurait pas trop d’informations qui traînent sur le Web le concernant, et qui seraient un marchepied rêvé pour un début d’arnaque au président. Une offre de services existe sur le marché, mais elle n’est pas spécialement pléthorique. Sinon, j’étais tombé une fois sur Maltego, un outil avec une version gratuite qui s’en charge. Une petite recherche de ce genre, une fois par an ou à chaque changement de Big Boss, paraît raisonnable.

Dans le même genre, un petit coup d’attaque en force brute sur les mots de passe AD de l’ensemble du board, juste histoire de vérifier si quelqu’un n’utiliserait pas, par le plus grand des hasards, le prénom du (de la) conjoint(e), la date de mariage ou celle de la communion du petit dernier. Rappelons en effet que sans OTP[1] en cas de MFA[2], le Webmail de la personne en question est accessible à travers ce simple mot de passe, et que tous deviennent potentiellement des cibles. À faire a minima tous les ans. La première année, prévenir tout de même, les suivantes, ne prévenir personne.

Toujours dans le registre de la veille, vous ne pouvez pas savoir la quantité de trucs que l’on trouve en tapant tout simplement dans son moteur de recherche préféré la chaîne de caractères suivante : « filetype:pdf nom_de_la_boite ». Certains CHU ont trouvé sur le Web des comptes rendus médicaux en PDF, des documents financiers, des programmes de financement de projets de recherche a priori confidentiels, tout en open bar. Souvent, ce sont des utilisateurs internes qui utilisent des plateformes d’échange de fichiers qui ne suppriment jamais rien. Fréquence : au moins deux fois par an, et penser à conseiller à ses utilisateurs une plateforme « RGPD responsable », à défaut d’en héberger une soi-même.

Pour la configuration de son serveur de messagerie, il existe pas mal d’outils bien sympathiques (et en plus gratuits) qui peuvent auditer la configuration de la passerelle externe, voire analyser toute la trame d’un message et pointer les problèmes potentiels. Par exemple https://www.mail-tester.com/, mais aussi https://zonemaster.net/domain_check ou https://mxtoolbox.com/. À faire a minima tous les ans, l’ingé infra en charge de la plateforme va vous haïr, surtout ne me remerciez pas, c’est tout naturel.

Last but not least, lancer un coup de PingCastle toutes les semaines, histoire de contrôler les comptes à privilèges : si vous en voyez apparaître qui ne sont pas passés par un processus formalisé d’approbation et de création, vous pouvez sortir le martinet. Dans sa dernière mouture, PingCastle offre une fonction qui permet de lister l’ensemble des partages de fichiers totalement accessibles en lecture-écriture sur votre réseau. Mon conseil : à lancer tous les mois, mais la première fois restez bien assis avant d’ouvrir le rapport : on signale des cas d’apoplexie de certains RSSI imprudents.

Bon, j’aurais pu aussi vous parler de vérification de typosquatting (les petits rigolos qui déposent des noms de domaine proche du vôtre pour du phishing, entre autres), du scan de surface périmétrique à l’aide d’outils tels IKare de ITrust, des scans Shodan pour vérifier si des IoT ne sont pas connectés en direct, des revues automatisées des habilitations des accès à votre réseau Wifi public ou à votre VPN fournisseurs : mais c’est inutile, vous le faites déjà.


[1] One-Time Password.
[2] Multi-Factor Authentication.

Avez-vous apprécié ce contenu ?

A lire également.

Illustration La cyber et les probabilités paresseuses

La cyber et les probabilités paresseuses

26 mai 2025 - 21:29,

Tribune

-
Cédric Cartau

Récemment, j’ai assisté à la conférence d’un entrepreneur qui propose des prestations de service relatives à des « calculs d’impact ». Oui, dit comme cela, c’est étrange, mais en fait pas autant qu’il y paraît : dans l’idée, si vous disposez d’un budget fixe, entre deux choix de projets cyber (par e...

Illustration Cybersécurité, simuler pour protéger : la force des formations immersives

Cybersécurité, simuler pour protéger : la force des formations immersives

19 mai 2025 - 23:41,

Tribune

-
Christine HEULIN

Dans un secteur aussi sensible que celui de la santé, la cybersécurité et la cyber résilience sont prioritaires. Les séquences immersives intégrées dans les formations à la cybersécurité jouent un rôle essentiel pour préparer les professionnels à faire face aux menaces. Ces approches pédagogiques re...

Illustration La cyber, les rillettes et les puces en 5 minutes

La cyber, les rillettes et les puces en 5 minutes

19 mai 2025 - 23:24,

Tribune

-
Cédric Cartau

C’est ce que je trouve bien dans la cyber : la discipline est au carrefour des possibles, et il ne faut pas bien longtemps pour tordre une nouvelle ou un article glanés çà ou là avant de les cyber-retourner, souvent avec la mauvaise foi qui me caractérise, j’en conviens. Exercice en live.

Illustration Cybersécurité hospitalière : le GHT Rhône Nord Beaujolais Dombes, premier lauréat du programme CaRE

Cybersécurité hospitalière : le GHT Rhône Nord Beaujolais Dombes, premier lauréat du programme CaRE

09 mai 2025 - 16:39,

Actualité

- DSIH

Le programme CaRE franchit une étape clé. Moins d’un an après le lancement de son premier appel à financement dédié à la sécurisation des annuaires techniques et de l’exposition sur Internet, la direction du programme annonce la validation du premier dossier ayant atteint l’ensemble des objectifs fi...

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.