Je filtre, tu interdis, il bloque, nous fliquons, vous contrôlez, ils râlent…
Alors là, on est en plein dedans, la Direction Informatique n'en fait qu'à sa tête, elle nous interdit tout un tas de choses au nom de la sacro-sainte sécurité du Système d'Information...
Ce à quoi rétorque le DSI : Alors oui...mais non...pas du tout...je ne fais qu'appliquer les règles de l'art en matière de sécurité et selon les directives de la Direction Générale !
Et vous, vous faites quoi dans vos entreprises ?
Pour ma part, oui il y a un nombre certain de restrictions que ce soit dans l'usage des matériels, des logiciels, de la messagerie, de l'accès à l'internet et de la gestion des mots de passe.
La grande majorité des utilisateurs ne peuvent pas utiliser les ports USB d'une machine, ces derniers sont verrouillés, voire déconnectés dans certains cas pour ne pas qu'ils servent de bornes de rechargement de portables... Malheureusement, le portable fait aussi des << dégâts >> au sein de la production et il n'est pas rare de voir un salarié conduire une << machine >> le portable à la main...ce qui est bien évidement proscrit pour des raisons évidentes de sécurité.
La plupart des utilisateurs ne sont pas << administrateur >> de leurs machines, de ce fait et, même s'ils ont un accès Internet, ils ne peuvent pas installer quoique ce soit sur leur poste de travail... Je déplore néanmoins que certaines solutions (clients lourds) ne puissent tourner sur un poste de travail que si l'utilisateur possède les droits << administrateur >>, ce qui est souvent le cas des solutions RH ou << Finances >>...
Côté mail, pas de boîtes aux lettres << anonymes >>, tout utilisateur qui possède un compte de messagerie est authentifié et identifié par son << vrai >> nom. Les problèmes de partage de mails sont résolus par des listes de distribution ou via des partages de dossiers de messagerie. Dans d'autres cas , le service clientèle (sav/support client) par exemple, les << from >> sont réécrits directement par le serveur de messagerie afin que le destinataire ne puisse pas connaître l'adresse mail d'un collaborateur et afin qu'il utilise uniquement l'adresse générique (ex. [email protected])...
D'une manière générale, on proscrit toute authentification à base d'un username << anonyme >> ou << générique >> mais j'avoue que ce n'est pas simple dans tous les cas...
Côté internet, au début il n'y avait pas beaucoup de restrictions mais, au fil des usages, la Direction Générale m'a fait part de quelques abus (comme quoi cela se voit...) et il y a désormais 4 profils d'accès, gérés directement par le proxy et qui se répartissent comme suit :
1 - accès uniquement à une liste blanche de sites nécessaires au métier de l'entreprise
2 - accès internet << standard >> mais bien restreint quand même ....puisque on y interdit : les sites érotiques, pornographiques, ou faisant l'apologie de la haine, du racisme, de la violence, du piratage informatique...etc...et selon le bon vouloir de l'éditeur qui tient à jour cette liste...ainsi que les messageries << grand public >> telles que Yahoo, Gmail, Aol, Free etc.... Sont aussi bloqués pour cette catégorie les sites de jeux, de vidéos en ligne, de voyages/tourisme, de petites annonces, de commerce en ligne, les blogs et les réseaux sociaux, les sites bancaires...
3 - accès internet << avancé >>, idem ci-dessus mais les sites dits << commerciaux >>, bancaires et de << voyages/tourisme >> sont autorisés...
4- accès internet << VIP >>, tout sauf les sites érotiques, pornographiques, ou faisant l'apologie de la haine, du racisme, de la violence, du piratage informatique...etc...
Une fois par semaine, je consulte un rapport qui me donne un << état >> de la consommation internet, profil par profil et utilisateur par utilisateur (si le besoin s'en fait sentir)... Oh, je ne suis pas forcément << friand >> de ce genre de << flicage >> mais quand on est << responsable >> il faut quand même y jeter un oeil de temps en temps... et qu'est ce qui se passe lorsque je constate un dérapage ? Je me suis fixé une conduite mais, est-ce la bonne ? Je n'en sais rien...toujours est-il que lorsque qu'il s'agit d'un agent de maîtrise ou d'un cadre (ce sont eux qui ont les accès les moins restreints en général...) je prends mon téléphone et je leur indique tout simplement que nos outils de supervision ont détecté une << consommation internet >> anormale et, c'est tout... En général ils comprennent...et je garde bien évidement ces informations pour moi...
Allez, histoire d'égailler ce billet, je ne peux pas m'empêcher de vous donner le TOP 3 des sites les plus visités par nos << VIP >>... :
1 - << Facebook >>...qui l'aurait crû ?
2 - << L'équipe >>...ah...le ballon... !!!
3 - << Le Monde >>...Ben faut bien s'intéresser un peu au business non ?
Quant à moi, je suis filtré comme les autres...mais je me suis quand même octroyé le statut de << VIP >>...néanmoins j'aime pas le foot et encore moins Facebook...
Ce billet ne serait pas complet (euh il ne l'est pas d'ailleurs...voir la conclusion plus bas...) si je n'abordai pas : la ô combien problématique gestion des mots de passe forts...vous savez, un mot de passe qui doit comporter au moins une ou plusieurs majuscules, une ou plusieurs minuscules, un ou plusieurs chiffres et au moins un caractère spécial...et qui doit être changé au moins une fois par mois... J'avoue que le simple fait de songer à mettre en place cette << stratégie >> me donnait des
cauchemars... Le support allait-il exploser ? J'ai reculé l'échéance tant que j'ai pu (c'est pas bien... !) et j'ai du me conformer à des directives issues de certaines qualifications (ISO...etc...) que possède mon entreprise... Et alors ... ?
A ma grande surprise, cela s'est plutôt bien passé..., certes le nombre de demandes de support à été multiplié par deux lors de la mise en place mais on avait quand même bien préparé les choses...par une mise en place progressive, groupe d'utilisateurs par groupe d'utilisateurs et par une communication très explicite via le portail intranet de l'entreprise ...
Pour finir ce billet, vous noterez que je n'ai pas parlé du filtrage côté << firewall >>, ni du filtrage côté mail car là aussi il y en a...Ce sera peut-être l'objet d'un autre billet... La sécurité, au sens large du terme, doit être une préoccupation majeure du DSI même si j'avoue que ce n'est pas le sujet qui m'éclate le plus !
Mais au fait..., vous..., vous faites quoi ?
Encore un super article.
Pour réponde a la question final:De mon cote, c’est sensiblement pareil:
Pour internet, filtrage par proxy (squid est MON ami, pas celui de utilisateurs!), avec rapport journalier,semestriel et mensuel.
4 groupes:
– no acces users: pas d’accès a internet (juste mail).
– restricted users: acces a internet (sauf site blacklist ) que pendant les heures de pause du midi (au début j’avais donnée accès après les heures de travail mais je me suis vite rendu compte que certain « petit malin » ce faisais payer des heures supplémentaires « facebook »!!!)
– normal user : accès a internet (sauf blacklist) de 6h a 19h, avec verrouillage de site dis « semi black » que pendant les heures de pause midi (facebook, messagerie instantané en ligne (badoo et companie))
– Direction (VIP) : acces a tout tout le temp (sauf blacklist), j’ai la chance d’avoir des patron d’un certain age qui ne sont « vraiment pas » de la génération réseau sociaux, donc pas de soucie a ce niveau la 🙂
la blacklist comprend tous les site porno, les site dis « wares », les site de telechargement (streeming et telechargement type pirate bay), youtube, dailymotion et compagnie.
Avec une limite au telechargement pour tous: maximum a 50Mo par fichier…, si le fichier a télécharger est plus gros: message d’erreur avec possibilité d’envoyer un mail a l’admin (donc moi!) pour qui le telecharge (si vraiment c’est pour le boulot!)
Pour la petite histoire (c’est du vecu!!!), les sites « semi black » sont accessible de 12h a 12h45 (heure de pause), et le nombre de connexion vers facebook a EXACTEMENT 12h00m01s est hallucinante, les utilisateurs vont jusqu’a ouvrir leur explorateur internet a 11h58, aller sur la page de connexion facebook, avoir le message d’erreur comme quoi le site est verrouillé (normal a 11h58!), et bombarder leur touche F5 jusqu’a ce que la page magique apparaisse, c’est a celui qui se connectera en premier!!! ( chez certain utilisateurs, On ne vois même plus le signe « F5 » sur la touche :/ )
Il me reste un souci au niveau des messagerie instantané, même si skype et autre logiciel de messagerie de tout type sont facile a verrouiller par le proxy (ou même par GPO), google et sont « google chat » de gmail fais de la résistance, ne pouvant pas « blacklister » google pour des raison de pratique, je n’est (pas encore) trouvé le moyen de donner acces a gmail mais pas a son chat intégré.
Après, Pour les mails, toute boite externe est chargée sur serveur mail interne (fetchmail sur postfix, passage au scan clamav, filtrage des pourriel et redirection sur boite utilisateurs si tout est ok), ce qui evite d’ouvrir les port sur le firewall, squid ne gérant pas les protocole POP/IMAP ou SMTP, et de télécharger 15 fois le même mail par 15 utilisateurs différent, le serveur telecharge et après tout ce passant en local (économie de bande passante)
Voila pour moi…
A vous
Salut ITPPA
si c’est possible de me donner l’astuce que tu as utilisé en squid pour bloquer l’accès a facebook,youtube,… (en générale les sites https)
autre question : pour les accessibilité des sites selon l’horaire je crois que tu as utilié squidguard ,n’est ce pas ?
Merci