10 Quick Wins pour RSSI – No Limit Secu

Bonjour à tous, une brève aujourd’hui, sur 10 astuces facile à mettre en place sur son SI qui sont terriblement efficaces et peu couteuse. Ça s’appelle « 10 Quick Wins pour RSSI » et c’est sortie en septembre dernier dans No Limit Secu.

Icône du site

Ça fait référence à cet article de Goupil, c’est de la bonne lecture pour le coup. Histoire de plagier un peu je vous remet les 10 titres ci-dessous :

  • Quick-Win 1 : Supervisez les antivirus
  • Quick-Win 2 : Migrez les administrateurs dans Protected Users
  • Quick-Win 3 : Scannez votre espace d’adresses IP
  • Quick-Win 4 : Développez la connaissance des applications et de leurs propriétaires
  • Quick-Win 5 : Activez le multi-facteur dans le cloud
  • Quick-Win 6 : Supprimez seDebugPrivilege
  • Quick-Win 7 : Identifiez les prestataires DFIR
  • Quick-Win 8 : Déployez un outil de gestion de mot de passe
  • Quick-Win 9 : Utilisez HaveIBeenPowned
  • Quick-Win 10 : Bloquez les IP suspectes sur les services exposés

Histoire de compléter avec ma touche perso, je rajouterai :

  • Faite confiance à vos experts sécu : vous les payez pour ça à prix d’or.
  • Accepter la prise de risque (d’interruption de service notamment) lorsque le gain en sécurité est substantiel ;
  • Superviser tout ce que vous pouvez, mais réfléchissez : il ne
Lire la suite

Rsyslog en duplication de log (sur Redhat)

Rsyslog en duplication de log

Bonjour à tous, aujourd’hui je vais vous montrer comment configurer un serveur Rsyslog en duplication de log, c’est une configuration qui est très très utile quand on bosse sur un SIEM. En effet, parfois les solutions (au hasard Broadcom SEP…) qui émettent du syslog ne permettent pas toujours d’envoyer les logs à plusieurs destinations. C’est gênant car en cas d’étude ou tout simplement changement de SIEM, on ne peut pas dupliquer les logs vers le nouveau système. Si c’est mal géré cela peut obliger à des bascules en mode big bang dans ce genre de situation, ce qui n’est pas pas idéal pour des reprises en douceur.

Mais ce problème peut être simplement adressé avec un petit serveur rsyslog devant le SIEM. En effet ce service possède nativement la fonctionnalité de reforwardé des logs. Du coup, un petit passage dans la doc de rsyslog et un nouveau serveur plus tard et pouf on a la procédure suivante :

Installer et configurer Rsyslog en duplication de log

yum install rsyslog

Puis configurer en éditant le fichier /etc/rsyslog.conf. Notez que vous avez un générateur de configuration automatique fourni directement sur le site du projet. Il faut admettre que la syntaxe n’est … Lire la suite

API REST pour Keepass en Powershell : Article MISC 108

API REST pour Keepass en Powershell

Hello à tous, l’année 2020 a été généreuse en articles MISC pour moi, et comme pour mes précédentes publications chez eux, j’ai repris la licence de « type B », Du coup aujourd’hui, je vous partage l’article de mars dernier sur le thème du développement d’une API REST pour Keepass en Powershell.

J’en profite pour préciser que l’article en question fera office de la fameuse documentation Kerberos que je vous promet maintenant depuis plusieurs années… voilà c’est fait comme ça, ce n’est plus dans ma todo 🙂 !

Voilà c’est tout : bonne lecture à tous et @+


KeeRest : mettez du DevOps dans votre KeePass

MISC 108 | mars 2020 | Étienne LADENT & Arnaud PETITJEAN

Nous avions vu dans MISC n°103 comment déployer une base KeePass en mode SaaS ciblant les particuliers ou de petits périmètres professionnels. Dans un autre monde, les pratiques DevOps se démocratisent et demandent d’augmenter l’agilité des développements tout en réduisant les délais de mise en production. Cet article est le fruit d’une collaboration entre un DevOps et un ingénieur SSI pour voir de quelle manière il est possible de tirer profit de KeePass dans ces environnements.

La gestion des mots de passe en entreprise … Lire la suite

Chiffrer une base MariaDB pour Gophish

Chiffrer une base MariaDB

Salut à tous, aujourd’hui on va regarder comment on peut protéger des tables de base de données et chiffrer une base MariaDB. En effet, dans ce précédent article sur Gophish, je vous ai montré quelques outils open source pour faire des campagnes de phishing. Ce que je n’ai pas pris le temps de vous dire, c’est que lorsqu’on fait du Phishing en entreprise (ou en presta), on récupère de la donnée personnelle, au sens RGPD, mais genre en masse.

Déjà, en amont de la campagne, votre « client » va devoir vous donner la liste des utilisateurs cibles et leur adresses e-mail. Et puis pendant la campagne, les « victimes » vont s’authentifier sur un portail laisser un nom d’utilisateur, potentiellement un mot de passe, un horaire, etc. Bref, autant je ne fais pas partie des ayatollahs qui considèrent qu’une adresse IP toute seule est une donnée personnelle, autant dans ce type de cas, il n’y a pas trop de débat.

Du coup, on a des obligations vis à vis de ces données : protection, information en cas de pépins, destruction, enregistrement dans un registre du traitement, etc. je ne vais pas vous refaire le RGPD ici. Mais dans ce … Lire la suite