Bonjour à toutes et à tous.
Je viens vous demander conseil en matière de sécurité informatique.
 
Un des clients de mon entreprise (PME de dev de 25 employés) vient d’exiger que nous renforcions notre système de sécurité pour pouvoir continuer à travailler avec lui (c’est un gros client).
Nous n’avons pas d’expert en sécurité dans l’équipe, par conséquent, on m’a demandé de faire des recherches pour établir une stratégie de sécurité.
 
Etant donné que je suis un néophyte en la matière, je vous serais hyper reconnaissant si vous pouviez me donner votre avis sur le résultat de mes recherches !    
 
Notre « parc » informatique :
- 30 ordinateurs sous windows principalement, quelques macs
- Des smartphones (ios/android)
- Des serveurs
- On va probablement passer à Azure
 
Les éléments de sécurité requis ainsi que les solutions trouvées :
 
- Faire régulièrement/automatiser des penetration testing : Metasploit
- Gestion centralisée des ports USB (approbations)  : Intune
- Gérer/centraliser les clés de chiffrement des disques durs : Intune (gère aussi Filevault)
- Retirer les services, comptes utilisateurs et logiciels inutiles : Intune
- Gestion des passwords par défaut : Intune ?
- Gestion centralisée des niveaux d’administrations des comptes utilisateurs et leurs nom : Intune ?
- Désactiver, fermer ou retirer les port réseaux non nécessaire : Intune
- Faire des scans de vulnérabilité (interne et externe) : f-secure Radar ou SolarWinds MSP Risk Intelligence ?
- NIDS (network intrusion detection system) SolarWinds SEM (managé avec Intune)
- Ou Host End Point Solution : Microsoft Defender ATP ou F-secure (managé avec Intune)
- Lier les deux derniers points à un monitoring central :  Intune
- HIDS : SolarWinds  SEM (managé avec Intune)
- Monitor host activity : Intune
- Antivirus : F-secure managé avec Intune
 
Pour Mac : jamf (possible de le manager via Intune)
 
Voilà. Donc globalement, la sécurité serait assurée et managée par F-Secure, SolarWinds et Microsoft Intune.
 
Que pensez-vous de ces choix ?
Dois-je me méfier de certains problèmes de compatibilité ou de conflits ?
Y’a-t-il une incompréhension ou un oubli critique d’une notion qui m’aurait échappé ?
Que pensez-vous du niveau de compétence requis pour utiliser / entretenir ce système de sécurité ?
Connaissez-vous de meilleures solutions, moins couteuses ou plus facile à prendre en main ?
 
Merci beaucoup pour vos retour    

Bonjour,  
 
Tu peux aussi demander à ton client quelles sont ses exigences.
 
- Connexion sur son infra via VPN SSL , IPSEC ...
- Compte AD pour chaque intervenant  
- Utilisation d'une VM d'admin  
- Etablissement et validation d'une charte informatique / contrat qui définit vos droits, responsabilités, interaction sur le si ...  
 
Bref, avant de parler technique (metasploit, ...) , il y a beaucoup de théorie et de blabla ...
 
 

Pour le compte AD, un même utilisateur peut (doit !) en avoir plusieurs :  
- un compte utilisateur pour se connecter sur la vm d'amin
- un compte utilisateur pour faire des modifs sur l'AD  
...
 
Le but étant de donner des droits minimum et permettant l'execution des tâches définies.
 
--> Ne pas donner des droits d'admin du domaine à un utilisateur dont la seule fonction est de vérifier la supervision et les backups ...
 
Je pense que tu pourras trouver des bonnes lectures sur le site de l'ANSSI, genre guide d'hygiène de la sécurité informatique.
 
Et tu pourrais voir avec ta boîte si elle est motivé pour obtenir l'ISO27001,  ... ça sera un plus au niveau commercial

Merci QOTSA pour ta réponse.
 
Nous nous connectons chez notre client via VPN.
Nous avons effectivement une charte qui, effectivement, nous permettrait probablement de nous passer de répondre à certaines exigences par des logiciels.
 
Toutes les exigences client dont je dois m'occuper sont décrites dans mon post sous "Les éléments de sécurité requis..."
 
Je vais aller faire un tour du coté de l'ANSSI et me renseigner sur l'ISO27001, merci du conseil
 
Sinon, que penses tu des solutions logiciels que je propose ?

Un autre point à ne pas négliger : ne pas prendre le dossier seul et faire la démarche en se répartissant les tâches avec ton équipe / collègues.
 
Si tu souhaites évoluer dans la sécu, c'est une opportunité à saisir mais sinon tu auras vite fait d'avoir l'étiquette : RSSI, DPO ...
 
Et pour moi un RSSI , c'est un fusible    
 
En cas de gros problème de sécu / RGPD :  "oui, M le client notre RSSI n'avait pas mis en place les bonnes pratiques, nous avons pris les mesures qui vont bien ..."
 
 
Pour info, tu évolues dans quel milieu ?  car un pentest régulier, NIDS, HIDS ... c'est un peu "too much" !!! et je connais des boites dont la sécu est la spécialité (sur le papier) qui n'ont pas tous ça    

Si tu es un néophyte, fais-toi aider. Mettre n place des solutions techniques, c'est bien, mais la sécu c'est bien plus que ça. Tu ne mentionnes même pas la partie backup/PRA.

Merci pour vos réponses.
 

C'est ce que je fais en demandant à des experts de Hardware  la partie backup/PRA ? Késako ?
 

Nous sommes surtout des développeurs qui développons...  
Mais effectivement, nous pouvons traiter des infos sensibles de clients, notamment celui qui nous "oblige" à mettre en place ces procédures (sous peine de plus être notre client).
 
Nous sommes deux à nous partager la tâche. (L'autre s'occupe plus du coté active directory et infra réseau)
Du coup, f-secure, solarwinds, intune, ou encore stormshield, Microsoft End Point Manager,  Microsoft Defender atp, openVAS ou wireshark, OSSEC... c'est pas facile de s'y retrouver dans tout ce fourbi   Des conseils ?

Backup : sauvegarde avec idéalement la règle 3-2-1  
 
PRA : plan de reprise d'activité - Plan qui définit la (les) réponses -actions à mettre en place en cas de crash.
ex : Dans le cas d'une attaque crypto : quel est le plan pour refaire repartir la prod. (Après avoir fait une rapide étude d'impact, un dépôt de plainte, ... et un joli mail à TOUS ses clients pour les prévenir que des données les concernant sont potentiellement dans la nature >> RGPD )
 
Tous ce fourbi, comme tu dis, à mettre en place ça se fait plus ou moins sans mal ... --> En mode maçon (qui sait lire une doc quand même) : tu empiles les briques !!    
 
Il faut surtout se poser les questions de l'après déploiement :  
- Qui assure la maintenance , l'exploitation quotidienne de ces outils ?  
- Qui fait quoi en cas d'alerte ?
-...
 
Perso je me rapprocherais d'une boîte qui fournit un service managé , et idéalement certifiée iso27001, ça pourra rassurer ton client.

 
Ca ne fonctionne pas comme ça dans la vraie vie. Si tu veux faire ça sérieusement, tu ne passes pas par un forum, tu passes par un prestataire dédié à ça. Parce que lui aura les compétences/l'expérience/la connaissance de votre existant/etc. pour proposer des solutions qui vont répondre à vos besoins.
Si tu n'as même pas de notion de backup/PRA tu vas droit dans le mur.
 
Et accessoirement parce que sur ce forum on prodigue des conseils, mais on ne fait pas non plus de prestations gratuites...

 
Oui effectivement, ça parait bête mais je n'en suis pas sûr et je n'ai pas pensé à poser la question. Je vais clarifier ça immédiatement, merci de m'avoir rappeler l'évidence ^^
 
Du coup je vais essayer d'installer certains logiciels en mode "maçon" comme tu le suggères. Je pense qu'il faut que je mette les mains dans le camboui.
 
Et effectivement, il semble plus sage de faire appel à un prestataire pour certaines choses comme les penetration testing par exemple.