Donc pour toi, ce procédé augmente la sécurité du réseau de l'entreprise ?
Ce n'est pas exactement ce que j'ai écrit (ou voulu écrire)...
J'ai indiqué que l'entreprise faisait cela dans le but d'augmenter sa sécurité mais je ne me suis pas prononcé sur l'efficacité de la méthode !
D'un côté, je comprends l'objectif : déchiffrer le flux permet de filtrer le contenu pour détecter d'éventuels virus (mais les postes de travail on aussi des anti-virus normalement à jour) ou pour interdire l'accès à certains sites (jeux, pornographie, ...)
Mais ce qui me dérange, au moins dans les cas que je connais bien (c'est à dire là où je bosse), ce sont les "effets secondaires" et la façon dont tout cela est géré.
La maintenance des listes blanches est laissée au prestataire externe (genre énorme boîte aussi connue pour ses anti-virus) et il semble difficile de paramétrer quoi que ce soit la dessus (ou alors nos administrateurs et exploitants manquent de maîtrise de la solution). Je n'ai jamais réussi à avoir cette liste (qui en plus doit bouger régulièrement).
Le plus grave, à mon avis, c'est que, en tant qu'utilisateur, je n'ai plus aucune maîtrise sur les certificats que j'accepte ou pas. Afin d'éviter d'avoir de trop nombreuses réclamations, le proxy a été paramétré pour accepter TOUS les certificats, quels que soient leur état, l'AC signataire ou le sujet. Comme en interne on ne voit que le certificat signé par l'AC interne, tout est toujours valide pour peu que l'on ait accepté cette AC interne (lorsque mes collègues se connectent à mon serveur auto-hébergé avec un certificat auto-signé, ils n'ont jamais d'alerte !)
On voit donc que rien n'est parfait et que tout est une question d'équilibre. Pour ma part, j'avoue que j'aurais préféré que ce type de choses ne soient pas mises en place et que l'on investisse plutôt sur la formation des collaborateurs à la sécurité. Mais je suis un peu naïf : je suis dans une grosse boîte dans le domaine de l'IT et pourtant je dois bien avouer que les plus grosses failles de sécurité viennent du comportement des utilisateurs, y compris lorsqu'ils occupent des postes techniques (développeurs, voire même administrateurs/exploitants). On peut donc comprendre que les entreprises choisissent d'encadrer et de restreindre (contraindre ?) plutôt que de former et responsabiliser : c'est plus simple et (faussement) plus sécurisant (faire confiance aux gens ? quelle idée absurde !)
[^] # Re: Déchiffrement SSL
Posté par JJD . En réponse au message Certificats et autorités de certification proxy d'entreprise. Évalué à 2.
Ce n'est pas exactement ce que j'ai écrit (ou voulu écrire)...
J'ai indiqué que l'entreprise faisait cela dans le but d'augmenter sa sécurité mais je ne me suis pas prononcé sur l'efficacité de la méthode !
D'un côté, je comprends l'objectif : déchiffrer le flux permet de filtrer le contenu pour détecter d'éventuels virus (mais les postes de travail on aussi des anti-virus normalement à jour) ou pour interdire l'accès à certains sites (jeux, pornographie, ...)
Mais ce qui me dérange, au moins dans les cas que je connais bien (c'est à dire là où je bosse), ce sont les "effets secondaires" et la façon dont tout cela est géré.
La maintenance des listes blanches est laissée au prestataire externe (genre énorme boîte aussi connue pour ses anti-virus) et il semble difficile de paramétrer quoi que ce soit la dessus (ou alors nos administrateurs et exploitants manquent de maîtrise de la solution). Je n'ai jamais réussi à avoir cette liste (qui en plus doit bouger régulièrement).
Le plus grave, à mon avis, c'est que, en tant qu'utilisateur, je n'ai plus aucune maîtrise sur les certificats que j'accepte ou pas. Afin d'éviter d'avoir de trop nombreuses réclamations, le proxy a été paramétré pour accepter TOUS les certificats, quels que soient leur état, l'AC signataire ou le sujet. Comme en interne on ne voit que le certificat signé par l'AC interne, tout est toujours valide pour peu que l'on ait accepté cette AC interne (lorsque mes collègues se connectent à mon serveur auto-hébergé avec un certificat auto-signé, ils n'ont jamais d'alerte !)
On voit donc que rien n'est parfait et que tout est une question d'équilibre. Pour ma part, j'avoue que j'aurais préféré que ce type de choses ne soient pas mises en place et que l'on investisse plutôt sur la formation des collaborateurs à la sécurité. Mais je suis un peu naïf : je suis dans une grosse boîte dans le domaine de l'IT et pourtant je dois bien avouer que les plus grosses failles de sécurité viennent du comportement des utilisateurs, y compris lorsqu'ils occupent des postes techniques (développeurs, voire même administrateurs/exploitants). On peut donc comprendre que les entreprises choisissent d'encadrer et de restreindre (contraindre ?) plutôt que de former et responsabiliser : c'est plus simple et (faussement) plus sécurisant (faire confiance aux gens ? quelle idée absurde !)