Discussion :

[e-ric]

Ah non, surtout pas ! C'est déjà tellement affolant en terme de sécurité qu'il ne manquerait plus que ça. Des groupes malintentionnés auraient alors un angle d'attaque particulièrement aisé, sachant que l'open source afficherait toutes les vulnérabilités sans que personne n'ait le temps de les corriger.

je ne partage pas ton avis, ce ne sont pas forcément les logiciel Opensource qui sont les + bugués et quand le logiciel appartient à une communauté active, les correctifs arrivent en général assez vite. C'est pas le cas de toutes les solutions commerciales.
En outre, les failles des logiciels commerciaux sont souvent bien connues par les hackers black hats, il y a des sites qui les répertorient d'ailleurs, les éditeurs ne réagissent pas plus vite. Donc la non divulgation des sources est un argument léger dans ce sens.

Par rapport à l'APHP, merci de révéler ces informations au grand public, c'est pas très malin. S'ils ont déjà du mal en administration de leur système, il est inutile de les plomber encore plus. En ce qui concerne les clés USB, elles sont de moins en moins autorisées, cela m'ennuie dans mon travail mais j'en comprend la finalité (éviter les virus et le vol de données notamment)

L'aspect des personnalités des responsables dont tu parles est par contre vraiment navrant. Pas très pro...

[loufab]

Fagus ne parle pas de bug mais de capacité à rentrer dans le système pour obtenir des données sensibles.

C'est quand même plus simple de hacker un soft dont on a le source.

Quant à savoir lequel du libre ou non produit des correctifs le plus vite, j'attend de voir une vrai étude sans parti pris.

L'état de l'informatique dans l'Administration n'est pas un secret. Tous ceux qui ont un jour été faire un tour en Préfecture, à l'URSAFF ou encore à Pôle Emploi en sont convaincus. Système lent, incapacité à trouver l'information, système qui rend l'âme en plein process...

[Fagus]

je ne partage pas ton avis, ce ne sont pas forcément les logiciel Opensource qui sont les + bugués et quand le logiciel appartient à une communauté active

Oui, je ne lance pas un troll sur celui qui patche le plus vite. C'est juste que dans une grande administration, les lourdeurs organisationnelles sont telles que source ouverte ou fermée, de toutes façon c'est pas patché, ou avec un délai conséquent.
Le reste, c'est des exemples de vie réelle. Toute bonne volonté sera sans doute respectée, si elle passe par la procédure et les bonnes personnes quand elles auront le temps.

Bref, c'est pas exactement la jeune communauté active. D'ailleurs, c'est du gros travail : qui va installer un serveur PACS chez lui, gestionnaire médical des urgences, de la réa, de la médecine truc, et vérifier que tout ça s'interface bien avec les serveurs en code "obscur héritage" des différents autres services (biologie, bactério, etc.) qui ont chacun leur propre système ? C'est plus ambiance "ça marche, faut plus toucher" qu'autre chose. (C'est pour ça parait-il qu'il y a encore IE6, pour les problèmes des serveurs historiques en héritage).

Quant au reste, le social enginering de base, c'est pas nouveau. Il y a le même souci à ma (précédente) banque... Quant aux postes, malgré les AV, l'autre jour il y a eu une étrange loi des séries de comptes mails volés, que je me demande si certains n'ont pas des rootkits ou des crasses installées en interne par du personnel.

(Et je blague pas, un admin réseau a l'an dernier très sérieusement expliqué à une équipe médicale devant moi, comment il fallait faire avec la politique de renouvellement bi-mensuelle des mots de passe : mot court +2 chiffres et incrémenter régulièrement...)

[phili_b]

(Et je blague pas, un admin réseau a l'an dernier très sérieusement expliqué à une équipe médicale devant moi, comment il fallait faire avec la politique de renouvellement bi-mensuelle des mots de passe : mot court +2 chiffres et incrémenter régulièrement...)

De toute façon trop de sécurité tue la sécurité. Il vaut mieux ça que des mots de passe noté sur post-it car trop compliqués et/ou trop fréquemment changés (et donc impossible à retenir).
Bi-mensuel ? C'est énorme !