Je ne pense pas qu'il s'agisse d'un point de vue utilisateur à adopter là mais bien le point de vue de l'entreprise : quel est la criticité du niveau de sécurité nécessaire à l'entreprise ?
Toute entreprise a besoin d'un niveau de sécurité par rapport à ses informations ou de ses ressources. Mais toute les entreprises n'ont pas besoin du même niveau de sécurité. Donc, selon moi, en fonction d'un "seuil de sécurité", c'est à l'utilisateur de "subir" des contraintes.
Ensuite, tout dépend des ressources auxquelles tu accèdes et des moyens pour y accéder. Parfois, un simple certificat peut suffire, sans qu'il y ai besoin de VPN (https, rdp, ...)
J'ai volontairement orienté la question de façon provocante.
Le sujet est à la fois simple et complexe. Dans notre société, pour assurer la sécurité de nos services et données internes, nous avons en place un VPN et aucun service directement accessible par internet. (ça change un peu depuis qu'on est sous Google Apps)
Le Virtual Private Network, pour ceux qui ne connaissent pas, c'est mettre en place un lien direct et sécurisé entre l'infrastructure de l'entreprise et un poste distant pour que ce dernier se comporte comme s'il était dans l'entreprise, sur place.
C'est ce qui est le plus robuste en terme de sécurité à mon sens, mais aussi, à mon sens, ce qui est le plus lourd.
Mes collaborateurs travaillent tous sur un format un PC (+ un smartphone parfois) égal un salarié (et inversement). Du coup, chacun configure son poste une fois en entrant dans l'entreprise et active le VPN dès qu'il est connecté en externe.
Dans mon cas, j'utilise le PC de l'entreprise, mon PC fixe, mon petit ordinateur portable, mon smartphone et deux tablettes (oui, je suis très connecté ^^). Et en plus, globalement, je change mon matériel plus souvent que mes collègues.
Résultat, le VPN est très lourd pour moi : il faut le reconfigurer à chaque fois, et en plus quand il est activé, il ralentit mon accès internet pour tout et pas seulement pour les services de mon entreprise.
Ma question est donc : suis-je vraiment un cas extrême, ou est ce que de plus en plus de travailleurs vont ressembler à mon profil ? Et donc doit-on privilégier la sécurité ou la facilité d'usage ?
A vos claviers, vous avez 2 heures !
5
3
7 réponses
Pas simple de répondre, car la sécurité informatique est souvent sous-estimée, mal connue et faisant preuve d'un déficit important de compétences (il ne suffit pas de poussé des logiciels et des appliances pour sécurisé un SI). A cette problématique je pense qu'une DSI doit expliquer, être pédagogue, écouter et trouver des solutions. Mais il faut qu'elle en ait les moyens...
Autres points importants à prendre en compte, il ne faut pas oublier que tous les utilisateurs ne sont pas égaux devant les outils qu'on peut mettre à disposition, et ce qui sera simple pour un ne le sera pas forcément pour tout le monde.
Tu évoques la facilité (ou la complexité du VPN) d'utilisation. Je pars du postulat suivant: Quel que soit le moyen de connexion, dès tu te connectes à plusieurs systèmes d'information, tu crées de la complexité et de la spécificité.
Qu'est-ce que permet un VPN pour l'entreprise ? En gros une "maitrise globale" de la sécurité pour répondre à un enjeu majeur, un suivi des connexions par utilisateur et une facilité de déploiement. Le VPN est également très pratique dans le cas ou tu te branches sur un réseau dont tu n'as pas la maitrise, mais il permet aussi d'être un facteur de simplification d'accès au SI, et dans ce cas la un facilitateur :) .
D'un autre côté, un monde sans VPN signifie une exposition globale et totale des parties du système d'information que tu souhaites rendre accessible, et souvent des problématiques d'identifications (et donc pour le coup cela peut rendre l'ensemble plus complexe d'un point d'entrée unique tu as une multitude de points d'entrée).
Entre les deux il a des facilitateurs et des choix d'expositions. Tu peux intégrer des certificats, intégrer des technos de type direct access ( l'authentification se fait automatiquement ) exposer certaines applications, basculer des applis en SAS, intégrer des proxys inversés, etc.
Pour te donner un exemple, j'ai une centaine d'utilisateurs très itinérants (pas un public très jeune je te l'accorde) , mais il faut en gros 5 secondes pour se connecter et avoir un accès complet au SI, par un bureau publié. Je ne trouve pas cela très compliqué pour l'utilisateur (en tout cas je n’ai pas eu de remontée ou de demande en ce sens à ce jour).
Le tout est d'expliquer quels sont les enjeux de sécurités tout en étant à l'écoute des besoins pour ne pas passer à côté d'une adaptation nécessaire du SI (vaste programme).
Donc entre trop jeune ou trop vieux, je te répondrais trop geek!
Autres points importants à prendre en compte, il ne faut pas oublier que tous les utilisateurs ne sont pas égaux devant les outils qu'on peut mettre à disposition, et ce qui sera simple pour un ne le sera pas forcément pour tout le monde.
Tu évoques la facilité (ou la complexité du VPN) d'utilisation. Je pars du postulat suivant: Quel que soit le moyen de connexion, dès tu te connectes à plusieurs systèmes d'information, tu crées de la complexité et de la spécificité.
Qu'est-ce que permet un VPN pour l'entreprise ? En gros une "maitrise globale" de la sécurité pour répondre à un enjeu majeur, un suivi des connexions par utilisateur et une facilité de déploiement. Le VPN est également très pratique dans le cas ou tu te branches sur un réseau dont tu n'as pas la maitrise, mais il permet aussi d'être un facteur de simplification d'accès au SI, et dans ce cas la un facilitateur :) .
D'un autre côté, un monde sans VPN signifie une exposition globale et totale des parties du système d'information que tu souhaites rendre accessible, et souvent des problématiques d'identifications (et donc pour le coup cela peut rendre l'ensemble plus complexe d'un point d'entrée unique tu as une multitude de points d'entrée).
Entre les deux il a des facilitateurs et des choix d'expositions. Tu peux intégrer des certificats, intégrer des technos de type direct access ( l'authentification se fait automatiquement ) exposer certaines applications, basculer des applis en SAS, intégrer des proxys inversés, etc.
Pour te donner un exemple, j'ai une centaine d'utilisateurs très itinérants (pas un public très jeune je te l'accorde) , mais il faut en gros 5 secondes pour se connecter et avoir un accès complet au SI, par un bureau publié. Je ne trouve pas cela très compliqué pour l'utilisateur (en tout cas je n’ai pas eu de remontée ou de demande en ce sens à ce jour).
Le tout est d'expliquer quels sont les enjeux de sécurités tout en étant à l'écoute des besoins pour ne pas passer à côté d'une adaptation nécessaire du SI (vaste programme).
Donc entre trop jeune ou trop vieux, je te répondrais trop geek!
Bonjour
Je vais compléter les 2 réponses de Stephane31 et de gmaison avec un détail :le type de ta connexion et celle de ton entreprise.
Souvent c'est le débit "montant" des entreprises qui brident les performances. L'ajout de couche pour sécuriser n'arrange rien c'est vrai mais souvent c'est juste une histoire de tuyau...
Pour autant le soucis que tu soulèves, je le rencontre souvent et depuis un moment déjà: la sécurité pénalise les utilisateurs, surtout les plus connectés.
Je fais toujours même parallèle: la sécurité informatique ou domestique c'est la même chose. Ca ne sert à rien de vouloir une super porte blindée avec serrure inviolable si tout le monde laisse la porte ouverte.
La sécurité doit être adaptée à ce qu'on souhaite protéger et être proportionnée au risque.
Si te faire pirater tes accès ou si la perte (ou le vol) de l'un de tes terminaux ne fait courir aucun risque à l'entreprise, effectivement le VPN est sans doute trop contraignant. Mais j'en doute...
Maintenant pour limiter les risques et gagner en confort des solutions existent mais elles ont un coup.
Tu peux tout à fait faire du NAT sur du RDP, Xenapp ou OSGD vers une machine de rebond pour accéder aux ressources de l'entreprise (du moins à celles dans une dans une DMZ avec une stratégie de sécurité solide) mais c'est déplacer la charge et la responsabilité vers les administrateurs.
Donc je rejoins l'avis de mes 2 confrères (je pense d'ailleurs que Stéphane et moi avons eu le même employeur en 2010).
Je vais compléter les 2 réponses de Stephane31 et de gmaison avec un détail :le type de ta connexion et celle de ton entreprise.
Souvent c'est le débit "montant" des entreprises qui brident les performances. L'ajout de couche pour sécuriser n'arrange rien c'est vrai mais souvent c'est juste une histoire de tuyau...
Pour autant le soucis que tu soulèves, je le rencontre souvent et depuis un moment déjà: la sécurité pénalise les utilisateurs, surtout les plus connectés.
Je fais toujours même parallèle: la sécurité informatique ou domestique c'est la même chose. Ca ne sert à rien de vouloir une super porte blindée avec serrure inviolable si tout le monde laisse la porte ouverte.
La sécurité doit être adaptée à ce qu'on souhaite protéger et être proportionnée au risque.
Si te faire pirater tes accès ou si la perte (ou le vol) de l'un de tes terminaux ne fait courir aucun risque à l'entreprise, effectivement le VPN est sans doute trop contraignant. Mais j'en doute...
Maintenant pour limiter les risques et gagner en confort des solutions existent mais elles ont un coup.
Tu peux tout à fait faire du NAT sur du RDP, Xenapp ou OSGD vers une machine de rebond pour accéder aux ressources de l'entreprise (du moins à celles dans une dans une DMZ avec une stratégie de sécurité solide) mais c'est déplacer la charge et la responsabilité vers les administrateurs.
Donc je rejoins l'avis de mes 2 confrères (je pense d'ailleurs que Stéphane et moi avons eu le même employeur en 2010).
Oui PascalW c'est bien moi :) et je suis encore très régulièrement en contact avec StephaneR, d'autres collègues et d'anciens clients (mais que tu n'as pas du connaitre ) !
je ne vois pas en quoi l'utilisation d'un VPN complique la chose en ce qui concerne l'usage. Il suffit d'un script pour le lancer automatiquement, et son activation devient transparente pour l'utilisateur. En ce qui concerne la bande passante, voir le service provider. certains VPNs garantissant les débits parce qu'ils sont installés dans un centre avec des connexions très haut débit. D'autres acteurs plus modestes souffrent régulièrement de problèmes de vitesse, dus soit à la bande passante entrant/sortant dont ils disposent, soit à la capacité de traitement de requêtes de leuirs serveurs. En bref, à mon sens, pas de soucis pour l'adoption d'un VPN, juste vérifier qu'il est dimensionné pour vos usages.
Bon globalement le conclusion de Stéphane est celle qu'on le refait : je suis trop geek xD
Bon pour une fois je vais m'adapter :)
Bon pour une fois je vais m'adapter :)
Soyons pragmatique : avant de parler "solution" ou "outil" peut-être faut il réaliser un inventaire de l'information et de son importance/valeur ... tout n'est pas à protéger ... et, dans ce qui est à protéger, tout n'a pas la même importance/valeur ... De plus il ne faut pas oublier la notion de durée : une information peut être importante au point d'être très protégée (une information stratégique par exemple) mais jusqu'à une certaine date (c'est le cas des lancements de nouveaux produits par exemple) une fois cette date passée, pourquoi continuer à protéger l'information ?
Donc, conclusion toute provisoire, je vous prescrit de faire cet inventaire ... puis de choisir des moyens (outils) de protections adapté aux différents niveaux de sécurité qui découleront de cet inventaire ...
De plus, vous gagnerez également en efficacité en mettant en place des habilitations pour les accès ! seuls sont qui en ont l'utilité peuvent accéder à l'information qui leur est utile ! cela limite les risques de "fuite" !
en effet, une information qui ne vous sert à rien n'a pas de valeur et donc elle n'est plus protégé ...
ce constat me conduit à une seconde prescription : former / sensibilisez vos équipes au pourquoi et au comment de cette sécurité qui n'est une contrainte que parce qu'elle protège la pérennité des emplois de ceux qui le trouve "lourde" ...
bref, un sujet à part entière qui ne peut être traité sans s'interroger sur le cycle de l'information, mais c'est pas la question ... pourtant !
à votre disposition
Donc, conclusion toute provisoire, je vous prescrit de faire cet inventaire ... puis de choisir des moyens (outils) de protections adapté aux différents niveaux de sécurité qui découleront de cet inventaire ...
De plus, vous gagnerez également en efficacité en mettant en place des habilitations pour les accès ! seuls sont qui en ont l'utilité peuvent accéder à l'information qui leur est utile ! cela limite les risques de "fuite" !
en effet, une information qui ne vous sert à rien n'a pas de valeur et donc elle n'est plus protégé ...
ce constat me conduit à une seconde prescription : former / sensibilisez vos équipes au pourquoi et au comment de cette sécurité qui n'est une contrainte que parce qu'elle protège la pérennité des emplois de ceux qui le trouve "lourde" ...
bref, un sujet à part entière qui ne peut être traité sans s'interroger sur le cycle de l'information, mais c'est pas la question ... pourtant !
à votre disposition
Bonjour,
Soyons pratique (je diverge sur quelques points ) :
Une information qui n'a pas de valeur de production peut nécessiter d'être protégé et dans de nombreux cas : concurrence, obligation légale (on aime bien le papier qui ne sert à rien en france) etc... .
Nous sommes tous noyés par une information passée et inutile, mais que nous archivons. Vous connaissez la phrase : au cas ou... Mais dois-je pour autant ne plus la protéger ? Ce que j'interprète par : la rendre accessible voir publique ? Je ne pense pas et je trouve même cela dangereux. Mais j'interprète surement à tort, et dans ce cas-là je ne comprends pas la finalité de "ne plus protéger".
D'autre part, si vous agissez sur des informations qualifiées d'inutiles voir de peux utiles, elles deviennent alors couteuses (demandez à vos salariés de faire le trie dans leurs boites aux lettres, je pense que vous allez les occupés un moment pour pas grand-chose).
D'ailleurs pour éviter ces problématiques de qualification, il y a des "outils" comme le moteur de recherche, les systèmes d'archivages automatiques, qui doivent répondre à ce type de problématique.
Inventoriez et pour gérer les niveaux d'accès ? Bien sûr, mais il faut à mon avis favoriser au maximum des règles au niveau macro. Car plus on détaille et plus il est facile de tomber dans des usines à gaz qui au final ne pénaliseront que les utilisateurs qui ont besoin de l'information.
Soyons pratique (je diverge sur quelques points ) :
Une information qui n'a pas de valeur de production peut nécessiter d'être protégé et dans de nombreux cas : concurrence, obligation légale (on aime bien le papier qui ne sert à rien en france) etc... .
Nous sommes tous noyés par une information passée et inutile, mais que nous archivons. Vous connaissez la phrase : au cas ou... Mais dois-je pour autant ne plus la protéger ? Ce que j'interprète par : la rendre accessible voir publique ? Je ne pense pas et je trouve même cela dangereux. Mais j'interprète surement à tort, et dans ce cas-là je ne comprends pas la finalité de "ne plus protéger".
D'autre part, si vous agissez sur des informations qualifiées d'inutiles voir de peux utiles, elles deviennent alors couteuses (demandez à vos salariés de faire le trie dans leurs boites aux lettres, je pense que vous allez les occupés un moment pour pas grand-chose).
D'ailleurs pour éviter ces problématiques de qualification, il y a des "outils" comme le moteur de recherche, les systèmes d'archivages automatiques, qui doivent répondre à ce type de problématique.
Inventoriez et pour gérer les niveaux d'accès ? Bien sûr, mais il faut à mon avis favoriser au maximum des règles au niveau macro. Car plus on détaille et plus il est facile de tomber dans des usines à gaz qui au final ne pénaliseront que les utilisateurs qui ont besoin de l'information.
@stephane31, plusieurs choses :
- ne plus protéger ne veux pas dire rendre public ou accessible ... simplement "ne plus protéger". par exemple, des informations classifiées "secret" parce que stratégique (donc à diffusion et accès restreint aux membres du CODIR par exemple, cryptées ou non numérisées ou mises dans un coffre ou protégée par tout autre moyen) une fois le plan réalisé et les résultats obtenus (ce qui ne veux pas dire objectif atteints), n'ont plus à être protégées ... elle seront donc soit archivées, détruites, décryptées, ... ce qui ne veux pas dire diffusées, ni rendues publiques, ... sauf bien sur si cela sert les intérêts des plans en cours ... mais c'est une autre histoire.
- Les solutions techniques pour hiérarchiser les accès ou contrôler la diffusion d'informations sont pléthores et n'alourdissent pas le travail ... pour autant que l'inventaire et le processus qualification/habilitation ait été correctement mené ... les réticences viennent souvent de la méconnaissance des risques liés à la perte d'informations et à un défaut de sensibilisation à la sécurité et à la protection ... également à l'ignorance de ce que l'on peux faire à partir d'informations apparemment sans valeur ... c'est donc une question à traiter par la formation et l'exemple.
- je ne comprends pas ce que veux dire "Une information qui n'a pas de valeur de production" ?
- je ne vois pas le rapport entre une démarche structurée de gestion (production, diffusion, protection) de l'information à forte valeur ajoutée et la gestion des boites de courriel ? Nous ne devons pas parler de la même chose ?
- ne plus protéger ne veux pas dire rendre public ou accessible ... simplement "ne plus protéger". par exemple, des informations classifiées "secret" parce que stratégique (donc à diffusion et accès restreint aux membres du CODIR par exemple, cryptées ou non numérisées ou mises dans un coffre ou protégée par tout autre moyen) une fois le plan réalisé et les résultats obtenus (ce qui ne veux pas dire objectif atteints), n'ont plus à être protégées ... elle seront donc soit archivées, détruites, décryptées, ... ce qui ne veux pas dire diffusées, ni rendues publiques, ... sauf bien sur si cela sert les intérêts des plans en cours ... mais c'est une autre histoire.
- Les solutions techniques pour hiérarchiser les accès ou contrôler la diffusion d'informations sont pléthores et n'alourdissent pas le travail ... pour autant que l'inventaire et le processus qualification/habilitation ait été correctement mené ... les réticences viennent souvent de la méconnaissance des risques liés à la perte d'informations et à un défaut de sensibilisation à la sécurité et à la protection ... également à l'ignorance de ce que l'on peux faire à partir d'informations apparemment sans valeur ... c'est donc une question à traiter par la formation et l'exemple.
- je ne comprends pas ce que veux dire "Une information qui n'a pas de valeur de production" ?
- je ne vois pas le rapport entre une démarche structurée de gestion (production, diffusion, protection) de l'information à forte valeur ajoutée et la gestion des boites de courriel ? Nous ne devons pas parler de la même chose ?
Rebonjour @olivierChaillot ,
Pour reprendre les quelques points soulevés :
- Pour moi, le fait de lever une habilitation, ou une classification (confidentiel) ou archiver une information, ne lève pas sa protection (ou son accessibilité) . Ca la modifie souvent, mais l’enlever je ne suis pas d’accord. Sauf dans le cas ou l’information est détruite. S’il s’agit de données informatiques, il y a toujours un niveau de protection sous-jacent dont le plus large est souvent nommé public, ou tout le monde. Et s’il s’agit de papier que l’on déplace d’un coffre à une armoire, ou dans la salle des archives, il y a toujours quelqu’un qui a la clé ou qui est habilité à rentrer dans le bureau.
- Ensuite je suis plutôt d’accord dans le principe, sauf que j’y mettrais quelques réserves.Faire un inventaire est nécessaire, mais il faut constamment l’adapter et le faire suivre aux usages et à l’évolution des besoins. C’est donc un inventaire permanent. D’autre part, je m’interroge sur l’information ambiguë ou changeante ? Et à mon avis c’est tout sauf neutre pour l’utilisateur et ceux quelques soient 'les outils'.
- Effectivement j’ai bien mal écrit ma pensée. Ce que je voulais évoqué c’est l’information qui n’a pas de valeur pour le processus de production. Vous avez associé l’information à la notion de valeur. De mon point de vue la valeur d’une information peut être changeante, difficilement quantifiable souvent proche de 0 et peut être différente en fonction des acteurs et du temps. Comme je trouvais cela ambigu, je l’ai associé au processus de production qui définit normalement la raison d’être d’une structure.
- Enfin, l’email est souvent la finalité d’une information transmise ayant une valeur qui va diminuer dans le temps. Et pour lequel des niveaux de protections et d’habilitation dans les systèmes d’information sont définis à un instant donné et soumis la plupart du temps à des processus d’archivage. L’information contenue dans des boites aux lettres a pour 98% de temps une valeur proche de zéro. Il me semblait que cela démontrait l’inutilité de "ne plus protéger" une information n’ayant pas de valeur. Ceci dit par rapport au point 1, je comprends pourquoi on ne se comprend pas.
Pour reprendre les quelques points soulevés :
- Pour moi, le fait de lever une habilitation, ou une classification (confidentiel) ou archiver une information, ne lève pas sa protection (ou son accessibilité) . Ca la modifie souvent, mais l’enlever je ne suis pas d’accord. Sauf dans le cas ou l’information est détruite. S’il s’agit de données informatiques, il y a toujours un niveau de protection sous-jacent dont le plus large est souvent nommé public, ou tout le monde. Et s’il s’agit de papier que l’on déplace d’un coffre à une armoire, ou dans la salle des archives, il y a toujours quelqu’un qui a la clé ou qui est habilité à rentrer dans le bureau.
- Ensuite je suis plutôt d’accord dans le principe, sauf que j’y mettrais quelques réserves.Faire un inventaire est nécessaire, mais il faut constamment l’adapter et le faire suivre aux usages et à l’évolution des besoins. C’est donc un inventaire permanent. D’autre part, je m’interroge sur l’information ambiguë ou changeante ? Et à mon avis c’est tout sauf neutre pour l’utilisateur et ceux quelques soient 'les outils'.
- Effectivement j’ai bien mal écrit ma pensée. Ce que je voulais évoqué c’est l’information qui n’a pas de valeur pour le processus de production. Vous avez associé l’information à la notion de valeur. De mon point de vue la valeur d’une information peut être changeante, difficilement quantifiable souvent proche de 0 et peut être différente en fonction des acteurs et du temps. Comme je trouvais cela ambigu, je l’ai associé au processus de production qui définit normalement la raison d’être d’une structure.
- Enfin, l’email est souvent la finalité d’une information transmise ayant une valeur qui va diminuer dans le temps. Et pour lequel des niveaux de protections et d’habilitation dans les systèmes d’information sont définis à un instant donné et soumis la plupart du temps à des processus d’archivage. L’information contenue dans des boites aux lettres a pour 98% de temps une valeur proche de zéro. Il me semblait que cela démontrait l’inutilité de "ne plus protéger" une information n’ayant pas de valeur. Ceci dit par rapport au point 1, je comprends pourquoi on ne se comprend pas.
Tu es pile dans la cible de notre service Julien,
le but de notre entreprise est de fournir des services en ligne sécurisés à la dimension de TPE et indépendants. Nous croyons dur comme fer que l'innovation vient des petites entreprises, elles doivent donc être protégées du pillage par les grandes entreprises.
Mais souvent, il y a un problème de temps et de moyens à y consacrer. Et nous sommes là pour ça.
Je t'invite à regarder mycrypnet.io/fr En 4 clics c'est installé sur tes appareils et tu l'active/désactive comme tu veux. Il fonctionne sur les OS principaux (Windows, Mac, linux, Android, IOS). C'est une protection de niveau militaire (vois blog.limawi.io/fr/fonctionnement-technique-de-... ). Il coûte moins de 5 euros par mois par accès.
C'est absolument nécessaire pour la sécurité et la confidentialité des infos de ton entreprise que tu t'y mette. L'inconvénient c'est que l'entreprise doit prévoir de faire une passerelle entre MyCrypNet et son propre réseau ou elle peut faire son réseau (suivant sa taille) entièrement sur MyCrypNet.