Sécurité et contrôle dans un monde Web 2.0 – Introduction
Ces dernières années, l’Internet s’est transformé d’une approche statique de consultation de contenu vers une plateforme dynamique, d’échange bidirectionnel. Les technologies web ont rendu possible l’apparition d’une nouvelle manière de travailler, combinant l’ultra mobilité avec des terminaux variés (BlackBerry, iPhones, PC Portables, Netbooks), des outils web dynamiques (webmail, réseaux sociaux), et une multiplication des lieux de connexion.
Le périmètre traditionnel de l’entreprise, avec ses frontières clairement établies, est donc devenu poreux. A sa place, un réseau aux frontières infinies est en train d’apparaitre, reliant entreprises, clients, partenaires et permettent l’accès aux informations de n’importe où, au travers des technologies Web.
Malheureusement, cette transformation de l’usage des ressources Internet s’accompagne d’une mutation et d’une explosion des menaces, tant en volume qu’en complexité. Les criminels exploitent les vulnérabilités de cet environnement Web dynamique et ouvert pour distribuer leur malware, soit en construisant leurs propres sites web, soit, de plus en plus, en utilisant des sites connus et qui ont été compromis. Ces nouvelles techniques d’infection remettent en cause l’approche traditionnelle de contrôle des flux web (telles que le filtrage d’url et l’anti-virus) et nécessitent de redéfinir l’approche de la sécurité internet.
Au delà de la problématique prégnante des menaces, l’explosion des frontières de l’entreprise et les technologies Web 2.0 posent des enjeux de contrôle de l’usage qui est fait des ressources Internet. Un directeur financier qui consulte ses prévisions depuis son iPhones sur une application telle que Salesforce.com ? Cette transaction ne passe par aucun équipement de sécurité déployé par l’entreprise, puisque la connexion se fait directement sur Internet. Comment distinguer un usage business de youtube d’un usage inapproprié ? Comment catégoriser un site web qui construit son contenu à la volée tel que iGoogle? Comment contrôler l’usage de la messagerie instantanée et des réseaux sociaux ? La notion de protection doit être revue dans un monde Web 2.0, mais l’implémentation d’une politique d’usage acceptable nécessite également une nouvelle approche.
Tags:1 commentaires
Bonjour Christophe,
A Propos du périmètre de l’entreprise et les serveurs applicatifs, le cloud/saas facilite la découverte de machines à valeur importante. Tout un tas d’entreprise font pointer leur adresse DNS vers une ou quelques adresses IP du provider saas.
L’art de compromettre une rimbabelle d’entreprise en attaquant une seul adresse IP … au secours !
Francois