Comment recherchez-vous les backdoors de la personne précédente informatique?

Nous savons tous que cela se produit. Un vieil homme informatique amer laisse une porte dérobée dans le système et le réseau afin de s’amuser avec les nouveaux employés et de montrer à la société à quel point les choses vont mal sans lui.

Je n'ai jamais personnellement vécu cela. Le plus que j'ai connu est quelqu'un qui a cassé et volé des choses juste avant de partir. Je suis sûr que cela arrive, cependant.

Ainsi, lors de la prise en charge d'un réseau sur lequel on ne peut pas vraiment faire confiance, quelles mesures faut-il prendre pour s'assurer que tout est sécurisé et sécurisé?

C'est vraiment, vraiment, vraiment difficile. Cela nécessite un audit très complet. Si vous êtes certain que la personne âgée laissera derrière elle quelque chose qui va exploser ou nécessitera sa réembauche car elle est la seule à pouvoir éteindre un incendie, il est temps de supposer que vous êtes enraciné fête hostile. Traitez-le comme si un groupe de pirates entraient et volaient des objets, et vous deviez nettoyer après leurs dégâts. Parce que c'est ce que c'est.

• Auditez chaque compte sur chaque système pour vous assurer qu'il est associé à une entité spécifique.
  • Il faut se méfier des comptes qui semblent associés à des systèmes mais que personne ne peut comptabiliser.
  • Les comptes qui ne sont associés à rien doivent être purgés (ceci doit être fait de toute façon, mais c'est particulièrement important dans ce cas)
• Changez tous les mots de passe avec lesquels ils pourraient éventuellement avoir été en contact.
  • Cela peut être un réel problème pour les comptes utilitaires, car ces mots de passe ont tendance à être codés en dur.
  • S'il s'agit d'un type de service d'assistance répondant aux appels des utilisateurs finaux, supposez qu'ils ont le mot de passe de toute personne qu'ils ont assistée.
  • S'ils ont eu l'administrateur d'entreprise ou l'administrateur de domaine dans Active Directory, supposons qu'ils ont récupéré une copie des hachages de mots de passe avant de partir. Celles-ci peuvent être craquées si rapidement maintenant qu'un changement de mot de passe à l'échelle de l'entreprise devra être forcé dans quelques jours.
  • S'ils ont un accès root à toutes les boîtes * nix, supposons qu'ils sont partis avec les mots de passe hachés.
  • Examinez l'utilisation de toutes les clés SSH de clés publiques pour vous assurer que leurs clés sont purgées et vérifiez si des clés privées ont été exposées pendant que vous y êtes.
  • S'ils avaient accès à un équipement de télécommunication, modifiez les mots de passe routeur / commutateur / passerelle / PBX. Cela peut être une douleur vraiment royale car cela peut impliquer des pannes importantes.
• Auditez pleinement les dispositions de sécurité de votre périmètre.
  • Assurez-vous que tous les trous du pare-feu sont reliés aux périphériques et ports autorisés connus.
  • Assurez-vous qu'aucune authentification supplémentaire n'est ajoutée à toutes les méthodes d'accès à distance (VPN, SSH, BlackBerry, ActiveSync, Citrix, SMTP, IMAP, WebMail, etc.) et testez-les complètement pour les méthodes d'accès non autorisées.
  • Assurez-vous que les liens WAN distants sont bien liés aux personnes pleinement employées et le vérifier. Surtout les connexions sans fil. Vous ne voulez pas qu'ils partent avec un modem cellulaire ou un téléphone intelligent payé par l'entreprise. Contactez tous ces utilisateurs pour vous assurer qu'ils disposent du bon périphérique.
• Auditer pleinement les accords internes d’accès privilégié. Ce sont des choses comme l'accès SSH / VNC / RDP / DRAC / iLO / IMPI aux serveurs que les utilisateurs généraux n'ont pas, ou tout accès à des systèmes sensibles comme la paie.
• Travaillez avec tous les fournisseurs et prestataires de services externes pour vous assurer que les contacts sont corrects.
  • Assurez-vous qu'ils sont éliminés de toutes les listes de contacts et de services. Cela devrait être fait de toute façon après tout départ, mais c'est extrêmement important maintenant.
  • Valider tous les contacts sont légitimes et ont des informations de contact correctes, ceci est pour trouver des fantômes qui peuvent être imités.
• Commencez à chercher des bombes logiques.
  • Vérifiez toute l’automatisation (planificateurs de tâches, tâches Cron, listes d’appel UPS ou tout ce qui se déroule selon un calendrier ou qui est déclenchée par un événement) à la recherche de signes de mal. Par "Tous" je veux dire tous. Vérifiez chaque crontab. Vérifiez chaque action automatisée de votre système de surveillance, y compris les sondes elles-mêmes. Vérifiez chaque planificateur de tâches Windows; même les postes de travail. Si vous ne travaillez pas pour le gouvernement dans un domaine extrêmement sensible, vous ne pourrez pas vous permettre "tout", faites-en autant que vous le pouvez.
  • Validez les fichiers binaires système clés sur chaque serveur pour vous assurer qu'ils correspondent à ce qu'ils devraient être. C'est délicat, en particulier sous Windows, et il est presque impossible de le faire rétroactivement sur des systèmes ponctuels.
  • Commencez à chercher des rootkits. Par définition, ils sont difficiles à trouver, mais il existe des scanners pour cela.

Pas facile du tout, pas même à distance. Justifier la dépense de tout cela peut être très difficile sans preuve définitive que l'administrateur maintenant ex-ex était en fait mauvais. La totalité de ce qui précède n’est même pas réalisable avec les actifs de la société, ce qui nécessitera l’embauche de consultants en sécurité pour effectuer une partie de ce travail.

Si le mal réel est détecté, en particulier si le mal réside dans une sorte de logiciel, les professionnels de la sécurité formés sont les meilleurs pour déterminer l'ampleur du problème. C'est aussi le moment où une affaire pénale peut commencer à être construite, et vous voulez vraiment que des personnes formées à la gestion des preuves procèdent à cette analyse.

Mais vraiment, jusqu'où devez-vous aller? C’est là que la gestion des risques entre en jeu. De manière simpliste, il s’agit de la méthode permettant d’équilibrer le risque attendu contre la perte. Les administrateurs système le font lorsque nous décidons quel emplacement hors site nous voulons mettre en place des sauvegardes; un coffre-fort bancaire par rapport à un centre de données hors région. Déterminer à quel point cette liste doit être suivie est un exercice de gestion des risques.

Dans ce cas, l’évaluation commencera par quelques points:

• Le niveau de compétence attendu du défunt
• L'accès des défunts
• L'attente que le mal soit fait
• Les dommages potentiels de tout mal
• Exigences réglementaires en matière de signalement du mal perpétré ou du mal retrouvé par anticipation En règle générale, vous devez signaler l'ancien, mais pas le dernier.

La décision de plonger dans le lapin ci-dessus dépendra des réponses à ces questions. Pour les départs de routine d'administrateurs où l'attente du mal est très faible, le cirque complet n'est pas requis; changer les mots de passe de niveau administrateur et ressaisir tout hôte SSH externe est probablement suffisant. Encore une fois, la posture de sécurité de la gestion des risques de l'entreprise en est la cause.

Pour les administrateurs qui ont été congédiés pour un motif valable, ou le mal surgi après leur départ, qui est normalement normal, le cirque devient plus nécessaire. Le pire des scénarios est un type de BOFH paranoïaque qui a été averti que son poste serait licencié dans deux semaines, ce qui lui laisse suffisamment de temps pour se préparer. Dans de telles circonstances, l'idée de Kyle d'une généreuse indemnité de départ peut atténuer toutes sortes de problèmes. Même les paranoïaques peuvent pardonner beaucoup de péchés après qu’un chèque contenant 4 mois de salaire est arrivé. Ce contrôle coûtera probablement moins que le coût des consultants en sécurité nécessaires pour dénicher leur mal.

Mais en fin de compte, cela revient à déterminer si le mal a été fait par rapport au coût potentiel de tout mal réellement fait.

Je dirais que c'est un équilibre entre votre inquiétude et l'argent que vous êtes prêt à payer.

Très préoccupé:
si vous êtes très préoccupé, vous pouvez faire appel à un consultant en sécurité externe pour procéder à une analyse complète de tout, du point de vue externe et interne. Si cette personne était particulièrement intelligente, vous pourriez avoir des problèmes, elle pourrait avoir quelque chose qui sera en sommeil pendant un certain temps. L'autre option consiste à tout reconstruire. Cela peut sembler excessif, mais vous apprendrez bien l’environnement et vous ferez également un projet de reprise après sinistre.

Légèrement préoccupé:
Si vous êtes seulement légèrement inquiet, vous voudrez peut-être simplement faire:

• Un scan de port de l'extérieur.
• Virus / Spyware Scan. Analyse des rootkits pour les machines Linux.
• Examinez la configuration du pare-feu pour tout ce que vous ne comprenez pas.
• Modifiez tous les mots de passe et recherchez les comptes inconnus (assurez-vous qu'ils n'ont pas activé quelqu'un qui n'est plus avec la société afin qu'ils puissent l'utiliser, etc.).
• Cela pourrait également être un bon moment pour envisager l’installation d’un système de détection d’intrusion (IDS).
• Surveillez les journaux de plus près que d'habitude.

Pour l'avenir: à partir du
moment où un administrateur le quittera, organisez-lui une belle fête, puis une fois qu'il est saoul, proposez-lui de la ramener chez lui - puis jetez-le dans la rivière, le marais ou le lac le plus proche. Plus sérieusement, c’est l’une des bonnes raisons de donner aux administrateurs une généreuse indemnité de départ. Vous voulez qu'ils se sentent d'accord pour quitter autant que possible. Même s'ils ne doivent pas se sentir bien, qui s'en soucie?, Absorbez-les et rendez-les heureux. Imaginez que c'est de votre faute et non de la leur. Le coût d'une augmentation des coûts de l'assurance-chômage et de l'indemnité de licenciement ne se compare pas aux dommages qu'ils pourraient causer. Il s’agit de la voie de la moindre résistance et de la création du moins de drame possible.

N'oubliez pas les goûts de Teamviewer, LogmeIn, etc. Je sais que cela a déjà été mentionné, mais un audit de logiciel (de nombreuses applications existantes) de chaque serveur / poste de travail ne serait pas préjudiciable, y compris les analyses de sous-réseau avec nmap. Scripts NSE.

Tout d'abord, commencez par obtenir une sauvegarde de tout ce qui se trouve sur un stockage hors site (par exemple, une bande ou un disque dur que vous avez déconnecté et mis en stockage). De cette façon, si quelque chose de malicieux se produit, vous pourrez peut-être en récupérer un peu.

Ensuite, parcourez les règles de votre pare-feu. Tous les ports ouverts suspects doivent être fermés. S'il y a une porte arrière, alors en empêcher l'accès serait une bonne chose.

Comptes d'utilisateurs - recherchez votre utilisateur mécontent et assurez-vous que son accès est supprimé dès que possible. S'il existe des clés SSH ou des fichiers / etc / passwd, ou des entrées LDAP, même des fichiers .htaccess, elles doivent toutes être analysées.

Sur vos serveurs importants, recherchez des applications et des ports d'écoute actifs. Assurez-vous que les processus en cours qui y sont attachés semblent raisonnables.

En fin de compte, un employé mécontent déterminé peut tout faire. Après tout, il connaît tous les systèmes internes. On espère qu’ils ont l’intégrité de ne pas prendre de mesures négatives.

Une infrastructure bien gérée va disposer des outils, de la surveillance et des contrôles pour empêcher cela dans une large mesure. Ceux-ci inclus:

• Segmentation de réseau et pare-feu appropriés
• IDS basé sur l'hôte
• IDS en réseau
• Enregistrement centralisé
• Contrôle d'accès
• Le contrôle des changements

Si ces outils sont en place correctement, vous aurez une piste d'audit. Sinon, vous devrez effectuer un test de pénétration complet .

La première étape consisterait à vérifier tous les accès et à modifier tous les mots de passe. Concentrez-vous sur l'accès externe et les points d'entrée potentiels - c'est l'endroit où votre temps est le mieux utilisé. Si l'empreinte externe n'est pas justifiée, éliminez-la ou réduisez-la. Cela vous laissera du temps pour vous concentrer sur plus de détails en interne. Tenez également compte de tout le trafic sortant, car les solutions programmatiques pourraient transférer des données restreintes en externe.

En fin de compte, être administrateur de systèmes et de réseau permettra un accès complet à la plupart sinon à toutes les choses. Avec cela, vient un haut degré de responsabilité. Embaucher avec ce niveau de responsabilité ne doit pas être pris à la légère et des mesures doivent être prises pour minimiser les risques dès le début. Si un professionnel est embauché, même en partant dans de mauvaises conditions, il ne prendrait aucune mesure qui ne soit ni professionnelle ni illégale.

Server Fault contient de nombreux articles détaillés traitant de l'audit système correct pour des raisons de sécurité ainsi que des mesures à prendre en cas de résiliation. Cette situation n'est pas unique parmi celles-ci.

Un BOFH intelligent pourrait effectuer l’une des tâches suivantes:

1. Programme périodique qui initie une connexion sortante Netcat sur un port bien connu pour prendre des commandes. Par exemple, le port 80. Si bien fait, le trafic en va-et-vient aurait l'apparence du trafic pour ce port. Donc, si sur le port 80, il aurait des en-têtes HTTP et les données utiles seraient des morceaux incorporés dans des images.

2. Commande apériodique qui recherche dans des emplacements spécifiques les fichiers à exécuter. Les emplacements peuvent être situés sur des ordinateurs d'utilisateurs, des ordinateurs de réseau, des tables supplémentaires dans des bases de données, des répertoires de fichiers spool temporaires.

3. Programmes qui vérifient si un ou plusieurs des autres portes dérobées sont toujours en place. Si ce n'est pas le cas, une variante est installée et les détails sont envoyés par courrier électronique à BOFH.

4. Étant donné que les sauvegardes sont en grande partie effectuées avec le disque, modifiez-les pour qu'elles contiennent au moins une partie de vos root kits.

Façons de vous protéger de ce genre de chose:

1. Lorsqu'un employé de la classe BOFH quitte son poste, installez une nouvelle boîte dans la zone démilitarisée. Il reçoit une copie de tout le trafic passant par le pare-feu. Rechercher des anomalies dans ce trafic. Ce dernier point n’est pas anodin, en particulier si le BOFH imite bien les modèles de trafic normaux.

2. Refaites vos serveurs afin que les fichiers binaires critiques soient stockés sur un support en lecture seule. Autrement dit, si vous souhaitez modifier / bin / ps, vous devez accéder à la machine, déplacer physiquement un commutateur de RO à RW, redémarrer un utilisateur unique, remonter cette partition rw, installer votre nouvelle copie de ps, synchroniser, redémarrer, etc. interrupteur à bascule. Un système réalisé de cette manière a au moins quelques programmes approuvés et un noyau approuvé pour continuer le travail.

Bien sûr, si vous utilisez Windows, vous êtes fatigué.

3. Compartimentez votre infrastructure. Pas raisonnable avec les petites et moyennes entreprises.

Moyens d'éviter ce genre de chose.

1. Vet candidats avec soin.

2. Déterminez si ces personnes sont mécontentes et résolvez les problèmes de personnel à l’avance.

3. Lorsque vous renvoyez un administrateur doté de ces pouvoirs, vous adoucissez la tarte:

   une. Son salaire, ou une fraction de son salaire, est maintenu pendant un certain temps ou jusqu'à ce que le comportement du système, inexpliqué par le personnel informatique, change considérablement. Cela pourrait être sur une décroissance exponentielle. Par exemple , il reçoit un salaire complet pendant 6 mois, 80% de 6 mois, 80 pour cent de ce que pour les 6 prochains mois.

   b. Une partie de son salaire prend la forme d’options d’achat d’actions qui ne prennent effet que pendant un à cinq ans après son départ. Ces options ne sont pas supprimées lors de son départ. Il est incité à s'assurer que la société fonctionnera bien dans 5 ans.

Il me semble que le problème existe même avant le départ de l'administrateur. C'est juste que l'on remarque le problème plus à ce moment-là.

-> Il faut un processus pour vérifier chaque changement, et une partie du processus est que les changements ne sont appliqués qu’au travers de celui-ci.

Assurez-vous de le dire à tous les membres de l'entreprise une fois qu'ils sont partis. Cela éliminera le vecteur d'attaque d'ingénierie sociale. Si l'entreprise est grande, assurez-vous que les personnes qui ont besoin de savoir, savent.

Si l'administrateur était également responsable du code écrit (site Web d'entreprise, etc.), vous devrez également procéder à un audit du code.

Il y en a un grand que tout le monde a laissé de côté.

Rappelez-vous qu'il n'y a pas que des systèmes.

• Les vendeurs savent-ils que cette personne ne fait pas partie du personnel et ne devrait pas être autorisée à y accéder (colo, telco)
• Existe-t-il des services hébergés externes pouvant avoir des mots de passe distincts (Exchange, Crm)?
• Pourraient-ils avoir du chantage sur les choses de toute façon (bon ça commence à atteindre un peu ...)

À moins que vous ne soyez vraiment paranoïaque, ma suggestion serait simplement d'exécuter plusieurs outils d'analyse TCP / IP (tcpview, wirehark, etc.) pour voir s'il y a quelque chose de suspect qui tente de contacter le monde extérieur.

Changez les mots de passe de l'administrateur et assurez-vous qu'il n'y a pas de compte d'administrateur 'supplémentaire' qui ne doit pas nécessairement s'y trouver.

N'oubliez pas non plus de modifier les mots de passe d'accès sans fil et de vérifier les paramètres de votre logiciel de sécurité (notamment les pare-feu et pare-feu).

Consultez les journaux sur vos serveurs (et les ordinateurs sur lesquels ils travaillent directement). Recherchez non seulement leur compte, mais aussi les comptes qui ne sont pas des administrateurs connus. Rechercher des trous dans vos journaux. Si un journal des événements a été récemment effacé sur un serveur, cela est suspect.

Vérifiez la date de modification sur les fichiers de vos serveurs Web. Exécutez un script rapide pour répertorier tous les fichiers récemment modifiés et les examiner.

Vérifiez la dernière date de mise à jour de tous vos objets de stratégie de groupe et d'utilisateur dans AD.

Vérifiez que toutes vos sauvegardes fonctionnent et que les sauvegardes existantes existent toujours.

Vérifiez les serveurs sur lesquels vous exécutez les services de cliché instantané de volumes pour vous assurer que l'historique précédent est absent.

Je vois déjà beaucoup de bonnes choses énumérées et je voulais juste ajouter ces autres choses que vous pouvez vérifier rapidement. Il serait utile de faire un examen complet de tout. Mais commençons par les lieux avec les modifications les plus récentes. Certaines de ces choses peuvent être rapidement vérifiées et peuvent vous faire prendre conscience des premiers signes avant-coureurs.

Fondamentalement, je dirais que si vous êtes un BOFH compétent, vous êtes condamné ... Il existe de nombreuses façons d'installer des bombes qui seraient inaperçues. Et si votre société a l'habitude d'expulser les "manu-militaires" de ceux qui sont licenciés, assurez-vous que la bombe sera posée bien avant la mise à pied !!!

Le meilleur moyen est de minimiser les risques d'avoir un administrateur en colère ... Évitez la "réduction des coûts de mise à pied" (s'il est un BOFH compétent et vicieux, les pertes que vous pourriez subir seront probablement bien plus importantes que ce que vous obtiendrez le licenciement) ... S'il commet une erreur inacceptable, il est préférable de le réparer (impayé) au lieu de le licencier ... Il sera plus prudent la prochaine fois pour ne pas répéter l'erreur (ce qui sera une augmentation dans sa valeur) ... Mais assurez-vous de frapper la bonne cible (il est fréquent que des personnes peu compétentes avec un bon charisme rejettent leur propre faute à une personne compétente mais moins sociale).

Et si vous faites face à une véritable BOFH dans le pire sens du terme (et que ce comportement est la raison de la mise à pied), vous feriez mieux de vous préparer à réinstaller à partir de zéro tout le système avec lequel il a été en contact (ce qui signifiera probablement chaque ordinateur).

N'oubliez pas qu'un seul changement peut bouleverser tout le système ... (bit setuid, Sauter si Carry to Jump si non Carry, ...) et que même les outils de compilation ont pu être compromis.

Bonne chance s'il sait vraiment quoi que ce soit et qu'il prépare quoi que ce soit d'avance. Même un interrupteur peut appeler / envoyer un e-mail / faxer la compagnie de téléphone déconnectée ou même leur demander d'exécuter des tests complets sur les circuits pendant la journée.

Sérieusement, en montrant un peu d'amour et quelques grands au départ diminue vraiment le risque.

Oh oui, au cas où ils appellent pour "obtenir un mot de passe ou quelque chose", rappelez-leur votre tarif 1099 et les frais de déplacement d'une heure et de 100 minutes par appel, que vous soyez n'importe où ...

Hé, c'est pareil que mes bagages! 1,2,3,4!

Je vous suggère de commencer par le périmètre. Vérifiez les configurations de votre pare-feu et assurez-vous de ne pas avoir de points d'entrée inattendus sur le réseau. Assurez-vous que le réseau est physiquement sécurisé contre toute tentative de rentrée et d'accès à tout ordinateur.

Vérifiez que vous avez des sauvegardes entièrement fonctionnelles et restaurables. De bonnes sauvegardes vous empêcheront de perdre des données s'il fait quelque chose de destructeur.

Vérifiez tous les services autorisés à travers le périmètre et assurez-vous que l'accès lui a été refusé. Assurez-vous que ces systèmes disposent de bons mécanismes de journalisation en place.

Supprimer tout, recommencer;)

Brûlez-le… brûlez tout.

C'est le seul moyen d'être sûr.

Ensuite, gravez tous vos intérêts externes, bureaux d’enregistrement de domaine, fournisseurs de paiement par carte de crédit.

À bien y penser, il est peut-être plus facile de demander à un ami Bikie de convaincre la personne qu'il est en meilleure santé de ne pas vous déranger.

Vraisemblablement, un administrateur compétent quelque part en cours de route a effectué ce qu'on appelle une sauvegarde de la configuration du système de base. Il serait également prudent de supposer que des sauvegardes sont effectuées à un niveau de fréquence raisonnable, ce qui permet de restaurer une sauvegarde sécurisée connue.

Étant donné que certaines choses ne changent, il est une bonne idée de courir à partir de votre sauvegarde virtualisé , si possible , jusqu'à ce que vous pouvez assurer l'installation primaire ne soit pas compromise.

En supposant que le pire devienne évident, vous fusionnez ce que vous pouvez et entrez manuellement le reste.

Je suis choqué que personne n'ait mentionné l'utilisation d'une sauvegarde en toute sécurité avant moi. Est-ce que cela signifie que je devrais soumettre mon CV à vos départements RH?

Essayez de prendre son point de vue.

Vous connaissez votre système et ce qu'il fait. Vous pouvez donc essayer d'imaginer ce qui pourrait être inventé pour se connecter de l'extérieur, même lorsque vous n'êtes plus administrateur système ...

En fonction de l’infrastructure réseau et du fonctionnement de cette dernière, vous êtes la meilleure personne pour savoir quoi faire et où cela se trouve.

Mais comme vous semblez parler d'un bofh expérimenté , vous devez chercher un peu partout ...

Suivi de réseau

L'objectif principal étant de prendre le contrôle à distance de votre système, via votre connexion Internet, vous pouvez regarder (même remplacer parce que cela pourrait être corrompu aussi !!) le pare-feu et essayer d'identifier chaque connexion active.

Le remplacement du pare-feu n'assurera pas une protection complète mais veillera à ce que rien ne soit caché. Donc, si vous surveillez les paquets transmis par le pare-feu, vous devez tout voir, y compris le trafic indésirable.

Vous pouvez utiliser tcpdumppour tout suivre (comme le fait les États-Unis;) et parcourir le fichier de vidage avec un outil avancé comme wireshark. Prenez le temps de voir ce que cette commande (besoin de 100 Go d’espace libre sur le disque):

tcpdump -i eth0 -s 0 -C 100 -w tcpdump- -W 1000 >tcpdump.log 2>tcpdump.err </dev/null &

Ne pas faire confiance à tout

Même si vous trouvez quelque chose, vous ne saurez pas si vous avez trouvé des mauvaises choses!

Enfin, vous ne serez pas vraiment calme avant que vous ayez été réinstallée tout ( à partir de sources de confiance!)

Si vous ne pouvez pas refaire le serveur, la meilleure chose à faire est probablement de verrouiller autant que possible vos pare-feu. Suivez chaque connexion entrante possible et assurez-vous qu'elle est réduite au minimum absolu.

Changer tous les mots de passe.

Remplacez toutes les clés SSH.

Généralement c'est assez difficile ...

mais si c'est un site Web, regardez le code juste derrière le bouton de connexion.

Nous avons trouvé une chose de type "if username = 'admin'" une fois ...

Essentiellement, valoriser les connaissances des précédents informaticiens.

Changez tout ce que vous pouvez changer sans impact sur l’infrastructure informatique.

Changer ou diversifier les fournisseurs est une autre bonne pratique.