Compte-rendu 4 Mai à Aix-en-Provence : les sujets de discussion

Document created by Leif Kremkow Employee on May 10, 2017Last modified by Leif Kremkow Employee on May 11, 2017
Version 5Show Document
  • View in full screen mode

Ce midi nous avons accueilli quelques clients autour d'un repas. Nous avons eu le plaisir de répondre aux questions autour de la plate-forme Qualys, échangé de bonnes pratiques, et identifié quelque bonnes pratiques dans l'industrie. Voici en quelques lignes le résumé de nos échanges.

 

Le sujet à la mode actuellement étant le GDPR, nous avons bien évidemment posé la question de "comment faites-vous"? Réponse étonnante: "… et bien cela ne nous concerne pas trop". Venant d'un grand groupe cela peut surprendre. Mais, il faut comprendre qu’une grande partie des obligations issues de la GDPR sont aussi dans d’autres régulations (financières ou pas) auxquelles le groupe est déjà assujetti et se conforme dans d’autres parties du globe.

 

Conseil d'utilisation: les équipes de production valident à chaque mise en place d'une configuration SSL si le certificat et le chiffrement sont mis en place de manière sécurisée. Pour cela ils font appel, manuellement, à SSL Labs. La note et les conseils d'SSL Labs permettent d'éviter des problèmes de sécurité et de la mauvaise presse.

 

 

Tant bien qu’une approche par l'utilisation manuelle de SSLLabs permet une surveillance informelle et ponctuel, tant mal ceci ne permet pas une évolution à grande échelle.

 

Un client lance des scan sur l'ensemble de son périmètre externe sans même respecter les plages de maintenance! Ceci afin de disposer d'une vue exhaustif de la configuration du chiffrement SSL et TLS des services proposées sur Internet. La raison pour laquelle cela passe? C'est bel et bien un scan de vulnérabilité Qualys, mais avec un Option Profile qui fait que seulement receuillir des informations sur le chiffrement de la connexion et le certificat X.509. Le risque d'effets de bord est réduit à un tel point que le scan Qualys tombe en dessous du seuil qui nécessiterait un passage en fenêtre de maintenance ou changement programmé. Mais Qualys SSL View est alimenté en informations brut pour chasser les clefs trop faible ou les algorithm défaillants. Voir Comment se concentrer sur uniquement SSL et TLS.

 

 

Une des problématiques pour laquelle une solution n'est pas immédiatement identifiable est celle du recrutement. Il n'y a pas assez de personnes compétentes sur le marché pour répondre à l'ensemble des besoins des entreprises.

 

De cette discussion autour des compétences requises dans la sécurité ressort ce constat: "impossible d'être RSSI de nos jours sans connaître le Cloud".

 

Ce déjeuner s'inscrit dans une série de rencontres entre utilisateurs, organisé par Qualys, afin de faciliter l'échange sur et autour du sujet "Qualys". Voir l'agenda de 2017 pour davantage d'informations.

Attachments

    Outcomes