From 9179066bfaf825839d7bea029eec098dffa00790 Mon Sep 17 00:00:00 2001 From: Admin MPCZ Date: Sat, 25 Apr 2026 03:16:06 +0200 Subject: [PATCH] =?UTF-8?q?docs(exceptions=5Fv3):=20#20=20POS-INF=20trop?= =?UTF-8?q?=20restrictif=20(5=20assets)=20-=20QQL=20console=20=C3=A0=20rev?= =?UTF-8?q?oir?= MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit --- docs/exceptions_v3.md | 1 + 1 file changed, 1 insertion(+) diff --git a/docs/exceptions_v3.md b/docs/exceptions_v3.md index bafe746..f1a3d3e 100644 --- a/docs/exceptions_v3.md +++ b/docs/exceptions_v3.md @@ -33,6 +33,7 @@ Suivi des cas où la règle V3 produit un résultat incorrect (faux positif/nég | 17 | 2026-04-24 | Toutes les ENV-* et POS-* | Toutes les rules QQL | Précédence opérateurs : `OR ... AND Server` sans parenthèses → seul le dernier OR est filtré par Server | Manque de parenthèses autour des grands `OR` dans les rules QQL | **Filtre Server inopérant** : les workstations passaient à travers les filtres ENV-*/POS-* (sauf le dernier item du OR) → KPI faussés | Ajout systématique de `( ... )` autour de tous les grands OR dans toutes les rules ENV-* et POS-* (5+6 = 11 règles) + `gen_xlsx.py` mis à jour | 🟢 | 2026-04-24 | | 18 | 2026-04-24 | `TAG-OBS` | OS obsolètes manquants | Liste TAG-OBS incomplète | Manquaient : Win Server 2008 R2, Win7 (sans espace, embedded), RHEL 7 (EOL juin 2024), Oracle Linux 5/6, SLES 11/12, Solaris 10, AIX 6.1 + typo "Server 5" double espace | **Audit obsolescence incomplet** : assets EOL non détectés → risque sécu non remonté | Liste étendue dans `gen_xlsx.py` + typo fixée (à appliquer en console Qualys) | 🟡 | (gen_xlsx fait, console à faire) | | 19 | 2026-04-24 | `POS-DMZ` vs `TAG-SED`/`TAG-SEI` | 7 assets en désaccord audit DMZ | 3 en POS-DMZ sans SED/SEI + 4 avec SED/SEI hors POS-DMZ | Tags STAT manuels non synchronisés à la création/modif d'assets DMZ | **Trou audit sécurité** : assets DMZ non classifiés en exposition directe/indirecte → mauvaise priorisation patch/scan | Rectification finale 2026-04-25 : 3 ajouts à SED/SEI (`vppintaweb1` SED, `vppintaweb2` SED, `vrameased1` SEI) + 1 retrait `vpdecasas4` (n'aurait pas dû être en SEI) + 3 confirmés légitimement hors DMZ (LAN exposé via NAT : `vpdsiawsus1` SED, `vppeaabst3` SEI, `vpvpnaems1` SED Ubuntu). Total cohérent : POS-DMZ=48, SED+SEI=48 | 🟢 | 2026-04-25 | +| 20 | 2026-04-25 | `POS-INF` trop restrictif | 5 assets seulement | API Qualys live confirme 5 (vpbipamod1, vpsimasvp1, vraptbjup1, vraiiavid1/2) — paraît très peu pour un périmètre Infrastructure | Après nettoyage des conflits `aii*`/`aiiat*` et `dsi*`/`dsiat*` (vs POS-GES) + retrait des `*echat*` (item 16), la QQL POS-INF ne couvre probablement plus assez de préfixes Infrastructure | **Périmètre Infrastructure sous-représenté dans le dashboard vuln** : DSI risque de sous-estimer la surface d'attaque côté infra → mauvaise priorité patch | Revoir QQL POS-INF dans console Qualys : lister les préfixes/patterns Infrastructure légitimes (DNS, AD, monitoring, backup, hyperviseur mgmt, etc.) et les ajouter | 🔴 | À fixer (QQL console) | ---