C’est avant tout une question de responsabilité légale.

Ta DSI est tenue de pouvoir identifier un certains nombre de choses en cas d’usage illicite de sa connexion. Par exemple, et c’est malheureusement pas aussi rare qu’on le voudrait, si un employé a des penchants pédophiles. Si l’entreprise n’est pas capable d’identifier qui a fait les requêtes, et n’est pas capable de démontrer qu’elle a fait son possible pour les empêcher, les responsables (DG, DSI…) sont pénalement condamnables.

Crois-moi, ils s’en passeraient bien.



Ensuite, il y a une question de sécurité.

Certains sites, bien que très pratiques et ayant des tas d’utilisations légitimes, sont aussi utilisés pour diffuser du ransomware (tous les stockages cloud par exemple, dropbox, gdrive, etc…). La PJ du mail ne contient généralement qu’un downloader, et la charge malveillante est récupérée sur un de ces sites.

Une DSI bien organisée aura une procédure de demande d’exception pour les usages légitimes

La encore, ils se passeraient bien d’avoir à lutter en permanence contre les divers malwares en circulation.



Après, certains bloquent en plus des sites inoffensifs, mais ‘non professionnels’ (jeux vidéos, facebook…). Là c’est effectivement du flicage infantilisant, sans intérêt à mon sens, pour les raisons que tu cites (d’autant qu’un usage perso occasionnel d’internet est généralement autorisé par ces mêmes chartes informatiques).



Éventuellement, une limitation des sites de vidéos peut se défendre pour des questions de bande passante, bien que là aussi il y ait pas mal d’usages légitimes qui seront bloqués. J’ai connu une entreprise qui ne voulait pas les bloquer, mais qui avait des problèmes de BP à cause des nombreuses personnes qui écoutaient de la musique sur youtube en travaillant… au point de gêner d’autres activités.



Le surf sur ton smartphone ne concerne pas ton entreprise, ni d’un point de vue légal, ni SSI. Il ne pose un problème que dans l’hypothèse du filtrage infantilisant.

Le tunnel SSH, sauf erreur de ma part, ‘dédouane’ ton entreprise pour tout ce qui est aspects légaux (puisque ce sera l’arrivée de ton tunnel qui sera ‘flashée’ le cas échéant), mais pose les mêmes problèmes de sécurité que zéro filtrage.



La charte informatique n’est pas seulement un truc théorique que la hiérarchie pond pour se couvrir. C’est aussi un document qui fixe un cadre dans lequel les employés ne seront pas inquiétés. Même s’il n’est pas d’accord avec le fond, au moins, il sait à quoi s’en tenir.



Je serais curieux de savoir de que la DSI que tu cites trouvait inepte : le remplissage du minimum pour lui éviter d’aller en prison, ou la consigne de bloquer facebook qu’elle avait peut-être reçue de ses chefs.

OlivierJ a écrit :



Je suppose que tu me répondais.





Anéfé







OlivierJ a écrit :



L’identification ne demande pas à avoir un PALC (c’est à dire un proxy qui bloque plus ou moins absurdement une liste de site), mais d’avoir juste un proxy transparent avec des logs.





Citation partielle. J’ai aussi écrit et démonter qu’ils ont fait ce qu’ils pouvaient pour l’empêcher. Ce qui implique qu’ils doivent bloquer ce qui est manifestement illégal.







OlivierJ a écrit :



Je parie qu’un PALC ne joue quasiment pas sur cette question.





Rien n’est parfait, les ‘bons’ malwares passent à travers, mais si, ça aide.







OlivierJ a écrit :



A vrai dire, le tunnel SSH ne me sert pas à visiter des sites illégaux ni du Q, juste parfois des sites inexplicablement bloqués, le cas le plus délirant que j’ai étant une caisse de retraite qui bloquait même des sites liés à la santé et à la Croix Rouge, où se trouvait une spécification de format d’échange que je devais implémenter. Tout ce qui était estampillé blog était bloqué aussi, je crois.

A la direction générale de Impôts, j’ai eu concrètement le cas de sites bloqués alors qu’ils étaient dans les résultats de la requête Google que j’avais effectuée, en cherchant des recommandations de bonne pratique sur JavaScript…





Il y a ALC et ALC. C’est sûr que plus on filtre, plus on bloque des choses légitimes. Surtout quand on essaie de séparer ce qui est professionnel ou glande.

Le problème se pose moins quand on se contente de filtrer ce qui est manifestement illégal et couramment utilisé pour la diffusion de malwares. Dans mon entreprise sont aussi bloqués quelques sites ‘manifestement pas travail’, mais ça a été fait de façon suffisamment light pour qu’il y ait assez peu de faux positifs.

Comme tu dis, il faut rester raisonnable si on ne veut pas nuire à la société (d’autant qu’un mec qui veut glander, il y arrivera qu’il ait accès à NXI ou non!)







OlivierJ a écrit :



La DSI qui était proche de la retraite trouvait inepte les blocages, en particulier pour la jeune génération accro à son mobile que ça n’empêchait pas d’aller consulter les sites qu’ils voulaient quand ils voulaient





C’était donc bien que la tentative de régenter la navigation des gens qui était critiquée, pas l’existence même d’un proxy filtrant.

OlivierJ a écrit :



Je connais une chaîne de télé dont j’ai été le fournisseur de solution informatique et qui a un Wifi ouvert pour les visiteurs, c’est top y a rien à faire, ça marche direct ; je n’ai pas testé le filtrage mais je n’ai jamais été bloqué. A ma connaissance ils n’ont jamais eu de problème avec ça, alors que certains diraient “oh mon Dieu mais si un pédo passe par là” etc.





C’est comme la ceinture de sécurité. Ça ne sert presque jamais, certains s’en passent même toute leur vie sans soucis et traitent les autres de paranos. Chacun prend ses responsabilités.

tpeg5stan a écrit :



On est pas en Corée du Nord ici, le droit de se connecter à ce que tu veux sur Internet est la règle générale, l’interdiction de certains sites un cas particulier.





On n’est pas chez mémé non plus. Il est extrêmement clair dans la loi que ton employeur peut te brider autant qu’il le juge utile. Le débat portait plus sur les raisons et la pertinence du bridage que sur sa légalité.

Tu noteras que j’ai jamais encouragé à faire son despote sur les sites accédés (j’ai même indiqué que je jugeais que c’était contre-productif), mais de bloquer ce qui est connu comme étant illégal.







tpeg5stan a écrit :



C’est quoi ces menaces à peine dissimulées sur fond de gros FUD. On dirait un DSI de ma connaissance qui disait : attention si vous ne tracez pas les utilisateurs et ne bloquez pas la moitié du web, c’est vous qui devrez vous expliquer aux journalistes et aux familles des victimes.





Menace? je menace qui? de quoi? " /> J’essaie juste d’expliquer que la raison des proxys filtrants n’est pas que d’emmerder les employés.

La législation française impose des choses aux fournisseurs d’accès internet. Pour certaines choses (notamment les logs) il n’y a pas consensus ni à ma connaissance jurisprudence sur le fait que ça s’applique aux entreprises vis-à-vis de leurs employés ou non. L’arrêt tele2 est récent et va peut-être changer des choses. A ma connaissance, pour l’instant, la loi française n’a pas été modifiée.



Maintenant, tu es responsable de ça dans une entreprise. Est-ce que tu mets en place un proxy qui log (dans les limites de la CNIL) / filtre les trucs connus pour être illégaux, ou est-ce que tu décide qu’entre le flou de la loi et l’arrêt tele2, tu devrais t’en sortir quitte à passer 10 ans dans les tribunaux pour atteindre la CJUE qui te donnera raison?

Ton choix n’est peut-être pas celui que fait la majorité des DSI, mais je pense que ce choix majoritaire est assez compréhensible, à défaut d’être parfaitement satisfaisant pour tous.



Sans compter qu’indépendamment de la loi, un proxy c’est super-utile pour bloquer les URL de C&C ou de chargement de ransomwares, ou à défaut de savoir qui a été assez malin pour cliquer sur le lien si on n’a pas été assez rapide pour bloquer en amont.







OlivierJ a écrit :



Comparaison pas terrible, car la ceinture de sécurité permet de sauver une vie. Là on parle de logs de connexion HTTP, faut être sérieux.





Le raisonnement reste le même : se protéger contre un évènement qui a de bonnes chances de ne jamais survenir, mais qui fait suffisamment peur pour quand même être pris en compte.