Le 16 juil. 2021 à 23:15, Francois Marot <francoi...@gmail.com> a écrit :
Hello les Casts, hello les codeur.euse.s,
--
Vous recevez ce message, car vous êtes abonné au groupe Google Groupes "lescastcodeurs".
Pour vous désabonner de ce groupe et ne plus recevoir d'e-mails le concernant, envoyez un e-mail à l'adresse lescastcodeur...@googlegroups.com.
Cette discussion peut être lue sur le Web à l'adresse https://groups.google.com/d/msgid/lescastcodeurs/9ebe5ff4-c7cf-4dcd-aa4b-059d675b65f7n%40googlegroups.com.
Bonjour,
1/ Évitons de décrire les dispositifs de sécurité de nos employeurs, clients.
2/ Faisons le quand -même de manière très vague sur des généralités :
A peu près personne n'a de droits d'administration sur son poste ni le droit d'installer un outil ayant des droits root (wsl2, docker, etc.) sauf par manque de moyens internes.
En général, ton dev n'est pas confidentiel et tu peux dev en local, par contre, ton intégration dans des services ayant les droits root (docker) se fait a distance (serveur de build ou de tests).
Si ton dev est confidentiel, j'imagine que tu peux bosser, en
présentiel, directement sur un poste hors réseau. J'espère que ce
poste ne sera pas dans une salle serveur, trop de ventilos,
Doliprane garanti ;-).
Toutes les boites subissent des cyber attaques. Si ta boite
n'implémente pas ces contraintes, les impacts d'une attaque
réussie feront probablement plus mal.
Il y a probablement des contres exemples a ces généralités :
1/ Je suppose que si elle acceptent des devs avec des droits
d'admin, leurs postes seront surveillés de près ET les dev seront
particulièrement sensibilisés, non ?
2/ [... censuré par le RSSI de *ta* boite ...]
Orienté non tech :
https://www.cybermalveillance.gouv.fr/tous-nos-contenus/bonnes-pratiques/securisation-du-teletravail
<= point 1
Orienté IT :
https://www.ssi.gouv.fr/entreprise/precautions-elementaires/dix-regles-de-base/
<= points 2 et 6.