Hello !
 
J'ai été recruté en tant que responsable informatique pour gérer l'informatique au niveau d'un siège social d'une très grosse multinationale considéré comme un joyaux du "Made in France".
 
En gros nous avons des milliers d'ordinateurs fixes et portables et c'est là que ça va se compliquer :
 
 
- Il n'y a pas de VLAN entre les serveurs et les stations de travail et les photocopieurs
- Le réseau wifi sans radius (obligé de faire des réservations sous un 2003 Serveur dans le service DHCP)
- Pas de licence pour prendre le contrôle à distance avec DameWar (strop chère voyons    refusé par la direction)
- Des pc's de merdes sous W7 encore....
- Une infra complétement externalisée chez un prestataire qui ne maitrise pas CITRIX.
- Aucune solution de gestion de flotte de smartphone (fournisseur à 2 balles, indigne d'un groupe proche de l'Etat)
- Pas d'antivirus sur certains postes ou base virale entièrement dépassé
- Téléphone fixe encore en analogique avec un son dégueulasse (sonnerie bi-ton, 15 ans ou plus...., écran noir et blanc)
- Des licences et des logiciels pirates sur les postes
- Pas de GPO : les gens font ce qu'ils veulent
- Citrix : Un PC de bureau ordinaire et l'environnement pro. à distance (imaginez quand tu fais un Word en local pour le passer sous Citrix...)
- Des serveurs en 2008, en 2003, en 2012 dont 1 qui fait tous les rôles
- Les sites internet bloqués pour les administrateurs (pour chercher de l'aide en ligne c'est : FUCK OFF)
 
- Pas de redondance des switchs, des liens saturés à 90%.
- Des mauvais équilibrages de charges, aucune configs...
- Je passe mon temps à faire des putain de tickets    
 
 
- Si tu télécharges : tu coupes la production, tu satures les liens    
 
- Aucune communication lors d'un incidents. La plateforme coupe n'importe quand avec des pertes de documents.
 
- Les réunion de groupes avec le son qui coupe, des plateforme de visioconférence infect et instables.
 
 
Il n'y a aucun investissement de la part de la direction, que le groupe est déjà dans le mur, on n'y va pas, on est déjà dedans    
 
Le chômage technique pour tous : c'est bientôt !
 
La clef sous la porte un de ces quatre !
 
 
 
 
Et avec tous ça, la direction refuse de signer des améliorations ou alors des choses à l'arrrache (low cost).
 
 
Je peux faire quoi ? sans compter le petit prestaire qui nous livre des PC's avec des images Windows 10 non adaptés avec des outils tiers pour simplifier la configuration....par GPO plus rien ne passe effectivement  

C'est à se demander comment on en est arrivé à ce point-là
 
Que faisait-il ton prédécesseur    
 
Que faire :
 
Un audit détaillé et les conséquences juridiques et économiques en cas de problème grave  
et tu t'arrange d'avoir un accusé de réception  
 
Dans ce genre de boite, ils sont capable d'accuser le responsable informatique qui n'a pas fait son travail correctement.  
 
 
J'ai plus ou moins connu cette situation...  
 
Une ancienne boite où j'ai travaillé, le gérant ne voulait pas mettre à jour son SI (NT4 en 2003, un logiciel de devis, facturation sous dos, des vieux pc...). 2 ans plus tard, il a vendu sa boite et les nouveaux dirigeants m'ont accusé de ne pas avoir fait évoluer le système. Ba j'aurais aimé, mais l'ancien gérant ne voulait pas...  (il disait : on touche à rien, tant que ca fonctionne !!!)Bien sur je n'avais aucun preuve..  Enfin bref j'ai fini par démissionner

 
 
Je suis le responsable et le DSI est au dessus
 
J'envoie un AUDIT perso à la direction + tous le siège en copie    ???
 
C'est très grave. On frôle la fermeture si ça continue  
 
 
Faut que je trouve un plan pour le foutre à la porte, je souhaite récupérer son poste  

Le DSI n'a aucune réaction devant ce merdier    
 
Il a des compétences en informatique... Il a juste été nommé à ce poste grâce à ses relations.  
 
Je lui enverrai l'audit détaillé au DSI qui normalement doit le transmettre à la direction générale

 
Chacun est sur son site géographique    et chacun se démerde avec les moyens qu'il peut  
 
Nous fabriquons des pièces à très forte valeur ajoutée.
 
Aucun serveur sur site quasiment.

Le DSI chapote tous les sites géographiques ?
 
enfin : si les hauts dirigeants ne veulent pas comprendre l'informatique est devenu primordiale dans une entreprise.
 
un conseil : fuis    
 
Sinon, tu te prendras plein la gueule au moindre problème

 
Je ne souhaite pas fuir pour le moment mais c'est un choix à moyen terme.

Je comprends pas bien ton post.
 
Tu ne connaissais pas l'état du bousin en arrivant ?
 
Quand au fait que la société soit dans le mur, elle n'y est pas, elle peut même embaucher du monde.
Son informatique a TOUJOURS (ou en tout cas depuis plusieurs années) été dans cet état.
Et les soucis que tu listes sont quand même relativement peu urgents pour la production (il y a que le réseau vraiment).
 
Certaines boites se contrefichent de l'outil informatique et n'y dépense pas un rond. Alors oui elle ne sont pas efficientes, elle ont des arrêts de productions, etc...
Ton soucis c'est que cette mentalité (pas informatique) va être TRES difficile à faire changer.
 
Partant de là si tu as accepté le poste c'est que tu as une stratégie non ?
Parce que sinon sans budget ba tu feras rien (à part du ticket).
 
Bien sûr, tout bien traiter par mail pour garder des traces écrites de ce que tu préconises.

Mais vous n'avez pas d'audit ou quoi que ce soit de la part de vos clients ?
 
Si ce que tu dis est vrai, c'est encore pire qu'une PME là. Vous vous choppez un ramsomware, la boîte met la clé sous la porte. Essaie de jouer là-dessus, çà fera peut-être bouger la direction, car de grosses boîtes ont pris très cher récemment avec ce genre d'attaques. Si ça ne suffit pas change de boîte. J'ai du mal à croire que tu es RSI avec 0 budget dans une multinationale perso.

Bonjour

ben la pas le choix, il faut faire un rapport complet de ton audit avec etat/risques/solutions/finance pour chacun des points que tu as enoncé dans ton premier post.

Ensuite tu envoi cela par mail avec AR à tous les decisionnaires.

Sur ce que je vois, il y a effectivement des points critiques et d'autres qui le sont beaucoup moins.
 
Ton boulot, c'est de faire un audit de la situation, d'expliquer ce qui doit être modifié de manière urgent, décrire le risque pour l'entreprise, les gains de productivité et proposer des solutions chiffrées et des actions à entreprendre pour améliorer la situation. Idealement quand c'est possible, montrer que ce que tu proposes peut permettre de gagner ou d'économiser de l'argent par rapport a la situation actuelle.
 
N'hésite pas à solliciter une réunion avec ton N+1, et si il te suit dans tes préconisations, essaye de voir pour en provoquer une avec le N+2 qui peut débloquer des budgets.
 
 
L'idée, c'est surtout de rester le plus rationnel et le plus professionnel possible, si tu te pointes en disant que tout est merdique et que vous allez dans le mur,  tu vas simplement passer pour quelqu'un de negatif, et c'est toujours mal percu en entreprise, particulièrement par la direction.
 
 
ps : des windows 7 en entreprise, sans vouloir être méchant, y a pas drame
L'OS est assez solide si il est patché régulierement et MS fournit toujours des patchs de sécurité.  
Je suis plus inquiet quand je vois des Windows XP lol

Quand je vois la description qu'il nous fait. C'est que cela a été mal managé
 
- Licences piratés
- Des postes sans antivirus
- Des serveurs 2003 en activé (support MS est fermé)
- Des utilisateurs libres d'administrer leur poste (pas de restriction...)
-  Pas de redondance des switchs
...
 
C’est à se demander que faisait le DSI et les administrateurs. A c'est sûr, un wannacry et ils comprendraient leur douleur    
 
Je lui souhaite bonne courage pour faire changer les choses

https://forum.hardware.fr/hfr/syste [...] 9057_1.htm

 
Oui enfin c'est commun les entreprises avec du 2003, des licences pirates et du manque en antivirus, des users admin de leur poste.
Ca n'en fait pas une boite dans le mur.
 
Le vrai point critique immédiat c'est vraiment les switchs, ensuite AV, ensuite restrictions des droits. Le reste c'est à traiter mais sans urgence évidente.

Si tu penses que la gestion de mises à jour de sécurité n'est pas urgente tu as raté l'actualité des six derniers mois.

A côté de la production qui s'arrête parce qu'un pequin télécharge oui.

Conseil, laisse des traces écrites des problèmes avec les solutions et le chiffrage que tu préconise.
Si un jour gros crach que l’ont ne balance pas une insuffisance professionnelle pour reporter la faute sur toi.

Ca dépend comment tu calcules ton risque.
 
Pour le téléchargement, tu as un workaround connu, rapide et facile à mettre en place.
Pour l'autre, pas de workaround du tout. Et plus de production - définitivement.

Impossible de conclure sans savoir comment le tout est backupé.

Perso j'ai repris le service info dans la boite ou je suis depuis décembre, j'ai accepté de prendre le poste car j'ai eu la promesse d'avoir des budgets pour changer les choses (ce que j'ai eu).
 
Sinon au bout d'un moment, je pense qu'il ne faut pas hésiter à dire non à un poste. Car la sans changement tu vas droit dans le mur, et tu vas y laisser ta santé.

bonjour,
C'est toujours comme cela quand on prend un poste.
tu n'es pas responsable si tu n'as pas les moyens.
Pour argumenter et faire remonter les problémes à ta direction regarde du coté l'ansii
Agence nationale de la sécurité des systèmes d'information
https://www.ssi.gouv.fr/uploads/201 [...] _anssi.pdf
Tu peux aussi mettre des coupures de presse d'entreprise bloquaient pour cause que leur OS non a jour (exemple en angleterre et les hopitaux avec du Windows XP)

Si tu as besoin d'un exemple de société détruite à cause d'un virus ... j'ai un truc pour toi lol

 
Bonjour,
 
Sans vouloir t’offenser, tu demandes à un forum comment faire ton travail ?
Quand tu arrives dans une entreprises : tu observes et tu fais les urgences qui n'impactent pas ni le chiffre d'affaire, ni la structure, ni les équipes.
 
Même si tout est important je te met les priorités :  
 
Il n'y a pas de VLAN entre les serveurs et les stations de travail et les photocopieurs (FAIBLE)
Le réseau wifi sans radius (obligé de faire des réservations sous un 2003 Serveur dans le service DHCP) (FAIBLE)
Pas de licence pour prendre le contrôle à distance avec DameWar (strop chère voyons    refusé par la direction) (tu as des outils gratuit pour t'en sortir... au début... stabilise et monte ton dossier d'investissement (ou intègre le produit dans un projet plus large)
- Des pc's de merdes sous W7 encore... et ?????? Windows 7 n'est toujours pas mort... beaucoup d'entreprises et la mienne sont toujours sous windows 7. Ce n'est pas prioritaire !
- Une infra complétement externalisée chez un prestataire qui ne maitrise pas CITRIX. (met en concurrence dans ce cas ... si tu payes moins cher avec un autre prestataire ta direction ne refusera pas...)
- Aucune solution de gestion de flotte de smartphone (fournisseur à 2 balles, indigne d'un groupe proche de l'Etat) pas prioritaire
- Pas d'antivirus sur certains postes ou base virale entièrement dépassé (URGENCE pas besoin de moyen ici, on retrousse les manches et go)
- Téléphone fixe encore en analogique avec un son dégueulasse (sonnerie bi-ton, 15 ans ou plus...., écran noir et blanc) Cela fait son job  ? non ? La téléphonie est elle un point centrale de l'activité de l entreprise ou non ? Si non PAS PRIORITAIRE ! Écrit le cahier des charges pour remplacement
- Des licences et des logiciels pirates sur les postes... (INFORMATION A LA DIRECTION OBLIGATOIRE pour te couvrir un minimum, faire l'inventaire et trouver les solutions... long à éradiquer...)
- Pas de GPO : les gens font ce qu'ils veulent (PRORITAIRE !!! ne nécessitant pas de moyen mise à part la matière grise)
- Citrix : Un PC de bureau ordinaire et l'environnement pro. à distance (imaginez quand tu fais un Word en local pour le passer sous Citrix...)
- Des serveurs en 2008, en 2003, en 2012 dont 1 qui fait tous les rôles ....(et donc ? oui tu as certainement des logiciels qui ne peuvent pas être migré comme ça... un ERP par exemple... un logiciel EDI, ... )
- Les sites internet bloqués pour les administrateurs (pour chercher de l'aide en ligne c'est : FUCK OFF) < tu es responsable ??? débloque
- Pas de redondance des switchs, quels switchs ? le CORE ? Si oui, dans ce cas, mise en budget et faire le ROI.
des liens saturés à 90% < Quand le matin ? ou tout le temps ?
 
Je ne sais pas mais si on t'embauche c'est pour remettre tout ça dans l'ordre ... Oui avec 0 moyen non justifier !
 
Si je peux te donner un dernier conseil : présente bien tes projets. une entreprise doit gagner de l'argent, et l'informatique (d'un point de vue d'un patron) ça lui fait perdre de l'argent...

200% d'accord avec PsYKrO_Fred
Exactement la meme analyse

Exactement, j'ai pas compris le principe du post.

Pareil

Si demain je suis RSI, c'est justement pour auditer, analyser, et mettre en place un plan de transformation.

Soit je traite par le risque, soit par l'invest', mais aller se plaindre sur un forum, en laissant transparaitre des indices sur la boite, l'infra, les méthodes et les failles potentielles, bah...

non.

Sincèrement non.

C'est du pain béni pour un mec qui chercherait une cible pour balancer une merde ou un crypto.
On est limite faute professionnelle.

 
C'est grâce à des réflexions de ce type, d'un autre temps, qu'on voit des entreprises de toute taille se faire cryptolocker.
 

?

 
 
? (dois je rire ?) belle réponse avec beaucoup d'arguments.
 
Si je dois comprendre votre remarque trés pertinente et je suppose que vous ne réagissez pas par rapport à la ligne URGENCE. Sinon je ne comprends vraiment pas.....
Si c'est par rapport aux VLANS que je dis FAIBLE... oui je maintiens, c'est FAIBLE par rapport à tout ce qu'il a à faire si vous avez un minimum lu son topic... mais je suppose que vous êtes un Responsable IT, DSI, décideur IT, RSSI et vous avez l'expérience pour nous montrer une autre réflexion et nous l'a faire partager...

 
Autant que moi quand je lis votre réponse condescendante.  
Comme vous l'avez dit, effectivement, pour une direction l'IT coûte de l'argent. Par contre, si l'IT s'arrête, ça ne dérange pas ?    
Le rôle des décideurs IT, c'est de faire comprendre à leur direction que sur le sujet de la sécurité, il faut mettre des moyens autrement plus importants qu'il y a 5 ou 10 ans.
 
D'un coté, on a des PC sans antivirus ou avec une base virale dépassée.  
Ca ressemble plus à un manque de budget pour acquérir de nouvelles licences et renouveler celles en place.
Par ailleurs, il ne suffit pas d'installer.  Il y a l'audit de tous les PC à faire car certains sont peut-être déjà vérolés.  
 
Concernant le cloisonnement réseau entre les serveurs et ces PC, comment dire, l'ANSSI en parle depuis .... 2004...
Après effectivement, modifier la conf des switchs en prod peut-être délicat.  
Toutefois une appliance (2~4K€) entre les PC utilisateurs et les serveurs pourra faire l'affaire dans un premier temps.
 
Pour reconnaître ce type d'environnement, trop commun en PME, c'est souvent accompagné d'autres mauvaises pratiques côté système.

Je ne comprends toujours pas la réponse... et son but par rapport à mes conseils et la demande initiale du post.
 
On peut sortir toutes les normes qu'on veut (ISO 27000...) aussi... Nous sommes une trés grosse boite et pour autant nous n'avons pas des VLANs partout... manque de ressources, de temps... et priorisation des projets... les VLANs est un plus mais n'est pas un moyen pour sécuriser son réseau alors quand on me parle de cryptolocker et de vlans...
 
 
"Toutefois une appliance (2~4K€) entre les PC utilisateurs et les serveurs pourra faire l'affaire dans un premier temps.
 "
Avec de l'argent, on peut tout faire dans un premier temps...  
 
Enfin, je ne connais pas beaucoup de boite qui arrive à respecter toutes les préconisations de l'ANSSI et des autres normes...
 
 

il est responsable informatique.
Son rôle est d'alerter sa direction sur la situation et préconiser des évolutions.  
vu la description de son infra, je lui conseille de travailler prioritairement sur la protection de ses serveurs, puis sur les postes et sur le reste.  
 
Si sa direction ne veut rien faire après, s'il n'y a pas de budget ou si d'autres priorités lui sont imposées, c'est un autre problème qu'elle devra assumer en cas de souci (type Saint Gobain)
 
 
 
 
 
 
 

ok donc on a pas les mêmes priorités.
Es tu responsable informatique ou DSI ?

 
danseur étoile  

Il ne faut pas oublier que toutes les directions, même avec un projet bien ficelé et en alertant etc... quelles sont toutes prêtes à dépenser du temps et de l'argent.
 
Ça reste malheureusement pas vu comme un investissement mais juste une dépense. Le soucis c'est que même quand la direction refuse .... bas tu dois te démerder pour que ça fonctionne.
 

exactement.

 
On est d'accord. Mais il reste des choses à blinder en priorité, ne demandant pas forcément beaucoup de temps / argent (enfin, pour le temps...c'est relatif).  
Mais si rien n'est à jour, que les sauvegardes sont un trucs qu'on regarde une fois l'an sans jamais les tester...c'est danser sur un fil suspendu à 200m sans parachute. Des bonnes sauvegardes, c'est essentiel dans ce genre de cas (enfin, c'est toujours essentiel.) On perd la donnée, et c'est la merde. Alors qu'elle soit sur un vieux serveur pas à jour, un filer, un nas, etc, si on peut la restaurer, on est déjà un peu plus serein quand on a une infra dans un état de délabrement avancé comme là.  
Dans son cas, les postes de travail n'ont de travail que le nom. Ils peuvent tout autant être des nids à virus lui faisant tomber la bande passante que des zombi à Spam, que des machines saines (idem pour les serveurs, me direz vous). Le poste user chez nous, c'est le point d'entrée des merdes. Donc difficile à dire quoi prioriser sans être sur place et pouvoir analyser la chose dans son ensemble (en tous cas, je ne serais pas catégorique entre le "ça doit être fait comme ça parce que ce sont les best practice", et le "fais plutôt ça parce qu'en pratique, c'est là que ça pêche" ).
 Un serveur à jour, ça n'empêchera pas un poste vérolé de crypter un DD réseau (c'est juste que le serveur ne le propagera pas, contrairement à si il n'était pas à jour) Des postes à jour, ça n'empêchera pas d'autres types d'attaques d'atteindre des serveurs avec faille. Dans un sens pratique, je dirais presque que SI les serveurs actuels, bien que foireux, sont sauvegardés correctement, je commencerais au moins par les mettre un minimum à jour sur les failles de sécu (ça coute pas grand chose), puis attaquer les postes, puis revoir le réseau qui semble juste être des trucs reliés entre eux sans rien d'autre.
Là, tout est à faire. Mais aucun de nous n'a la bonne réponse. D'autant qu'on ne sait pas si il a avancé sur le truc, ou jeté l'éponge.

Si c'est facile à priorisé... et tu viens de le dire...  
Le plus grosse faille dans l'entreprise, c'est l'humain.
La deuxieme c'est le poste de travail.
Donc la priorité elle est ici. (petite nuance aussi pour la sauvegarde, je suis bien d'accord)...
 
Une fois et une fois qu'on trouve un réseau stable.  
On réfléchis au VLAN, à changer le firewall, à upgrader un windows etc...
 
Je ne suis pas d'accord quand tu dis, on n'a pas la bonne réponse... mais si on l'a. Ca s'appelle le Management par la gestion des risques.
 
Tu fais ce tableau que tout RSI, DSI connaisse et ça te donne les priorités.