Le 22 janv. 2013 à 16:38, Radu-Adrian Feurdean <fr...@radu-adrian.feurdean.net> a écrit :
> On Tue, Jan 22, 2013, at 15:51, Alain Richard wrote: >> ou autrement dit, la sécurité globale d'un site repose sur la sécurité de >> l'ensemble des périphériques utilisant le réseau. > > Apart le fait d'etre ingerable dans la plupart des cas, c'est pas une > mauvaise idee.... > heu désolé, mais je crois que tu n'as pas compris que ma remarque était ironique : c'est effectivement assez inepte de penser que la securité peut être maitrisée sur les feuilles. >> A l'époque du BYOD, on n'est donc pas prêt de voir les responsables >> sécurité faire confiance à tous les machins IP (PC, Macs, imprimantes, >> photocopieurs, tablettes, téléphones, machines à café, ...) !!! > > Your device, your security. Dans un cotexte BYOD c'est meme pas mal > comme concept. Mais ca reste ingerable/difficilement gerable. > Je sais pas toi, mais moi je n'accepte pas qu'on deploie de politiques > de securite a la con sur *mon* *device* (ma propriete perso). Ils > veulent de la secu, ils me filent leur device. > Ouais, la réalité aujourd'hui en entreprise est qu'un nombre important de personnes ont des iBidule ou autres AndroMachin, et qu'ils se connectent au réseau via généralement le wifi. C'est une réalité aujourd'hui en entreprises, poussée au départ par les utilisateurs, et parfois même par l'entreprise elle-même pour ses utilisateurs non sédentaires. Je ne parle même pas des imprimantes et photocopieurs qui désormais se payent le luxe d'ouvrir des ports en UPNP et de se mettre à jour automatiquement sur internet. Donc le problème n'est pas de savoir si on veut ou pas du BYOD, et si oui d'uniformiser celui-ci sur un seul modèle de périphérique. Le BYOD existe déjà, et par nature, va continuer à croitre dans la plus parfaite hétérogénéité. >> Donc le déploiement d'un firewall en entreprise n'est pas une option, c'est >> obligatoire. > > Un firewall pour proteger entre eux des devices sur le meme subnet > "on-link" ?!?!?!?!?!?!?!?! > Le premier travail d'un firewall est d'empêcher les sessions entrant ou sortante non souhaitée entre internet et les LANs. Ensuite dans une entreprise avec un firewall, il est rare que toutes les machines soit sur le même LAN, donc il y a un possible passage par le firewall entre LANs. Enfin au sein d'un même LAN, il existe des technologies de limitation également en on-link (Wifi Guest avec isolation des postes entre eux, appliance de contrôe Wifi, ou technologies NAC 802.1X). Je n'ai donc jamais dis qu'il ne fallait pas gérer de la sécurité au niveau du device, mais qu'il en faut au niveau de l'accès internet (firewall) + politique de sécurité au niveau des devices, compléter par une éventuelle politique de sécurité plus poussée (802.1X, VLAN wifi isolé, DMZ, ...). Mon propos est juste de dire que se basé uniquement sur une politique de sécurité au niveau device me semble une inepsie. Le minimum étant plutôt au niveau firewall + device. >> >> Ensuite, si les box à la maison n'implémentent pas une sécurité minimum, >> je vous dis pas la joie du BYOD lorsque l'utilisateur retourne dans >> l'entreprise... > > T'a pas du voir l'etat dans lequel se trouvent pas mal de machines de > non-techniques. > > Tu decris exactement le raison pour lequel la securite *par* *device* a > un sens. Dommage que c'est aussi difficilement gerable (le cas ou je ne > l'ai pas dit sufisamment de fois). > Ingérable, on est d'accord, donc une politique de sécurité basée sur ce principe est également ingérable, ce qui n'est pas loin de signifier inexistante... Cordialement, -- Alain RICHARD <mailto:alain.rich...@equation.fr> EQUATION SA <http://www.equation.fr/> Tel : +33 477 79 48 00 Fax : +33 477 79 48 01 E-Liance, Opérateur des entreprises et collectivités, Liaisons Fibre optique, SDSL et ADSL <http://www.e-liance.fr> --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
