Wiki, flux rss..gare aux failles des outils grand publics
Securité . L'entreprise n'échappe pas aux outils en vogue sur internet. Ni aux risques qu'ils représentent. Le format RSS, par exemple, s'expose déjà à diverses attaques
D'après, un avis de fournisseur : Les fils RSS peuvent, biensû r, embarquer du code Javascript potentiellement dangereux. Mais ce danger s'applique déjà au web en général, et depuis longtemps.
L'usage des blogs et des Wikis impose de rendre leurs contenus conformes à la politique de l'entreprise. Et là , pas de solution technique : il existe des filtres en lecture, mais pas en écriture. Il faut que l'entreprise trouve une solution intermédiaire entre une totale liberté de communication de l'information et une sécurité sans failles.
 Les risques encourus
L'usage des systèmes d'information tend vers le tout collaboratif (Wiki) et instantané (RSS et messageries instantanées). Les entreprises sont ainsi de plus en plus nombreuses à mettre en œuvre les flux RSS, que ce soit pour leur intranet/extranet ou pour faciliter l'échange automatique d'informations entre applications (comme les services web). D'autant que le nombre de logiciels qui tiennent compte de ces fils ne cesse de croître, à l'instar de la prochaine version de l'outil collaboratif libre OpenXchange Server 5, attendue pour le mois de mars.
Mais à nouvelles techniques, nouvelles failles, et nouveaux défis organisationnels. Ces technologies participent à l'augmentation du volume des flux et à celle, vertigineuse, de la masse des données stockées. Sans compter que les risques d'atteinte au patrimoine informationnel de l'entreprise restent élevés. « L'usage avéré (failles des Wikis ou des navigateurs) ou potentiel (RSS, VoIP) des bogues applicatifs apparaît marginal^ mais loin d'être virtuel », rappelle Jèrémy Renard, consultant pour l'agence sécurité de Sogeti
Les conditions pour
encadrer la créativité sans l'étouffer
L'emploi/métier s'exerce le plus souvent dans un institut de beauté, une parfumerie, un salon de coiffure, mais aussi dans un établissement de soins ou au domicile du client...L'activité s'effectue en contact direct avec le client, debout pour les soins d'esthétique, assis pour les soins de manucurie. Les horaires sont généralement réguliers.L'emploi/métier nécessite de respecter des règles d'hygiène strictes (produits à manipuler, entretien des matériels, port d'un vêtement professionnel).
Le format RSS peut, en effet, être abusé : écrit en XML, pointant vers des contenus HTML, il embarque la description de ces derniers. Sa souplesse permet d'inclure de nombreux objets, comme les scripts, directement interprétés par le lecteur dédié ou le navigateur. Parmi les attaques potentielles, on trouve aussi celle, antédiluvienne, de type iframe (faille LE. 6 SP1 : erreur au niveau de la gestion des tags), la redirection sur une page piégée, l'exécution de code dans les feuilles de style CSS, ou encore l'insertion de « web bugs » (image de 1 pixel, invisible, qui enregistre le comportement d'un internaute sur une page donnée). Il est donc probable que les lecteurs RSS aient à faire face aux mêmes problèmes de sécurité que ceux rencontrés voilà quelques années par les messageries internet (de type hotmail).
La généralisation de protocoles de cryptage comme SSI7TLS, de flux VPN, de serveurs de courriers sécurisés (IMAPS, SMTPS) ou d'annuaires sécurisés (LDAPS) doivent aider en principeàétablir la disponibilité, l'intégrité et la confidentialité des données.
En parallèle, clients et prestataires doivent rapidement faire évoluer la gestion opérationnelle des projets : la production documentaire et contractuelle (études, spécifications, livrables, comptes rendus, etc.) se décentralise. Sans étouffer les initiatives, les chefs de projet doivent éviter tous débordements. Car nul ne sait où peut mener l'expression complète de la « créativité » dans un projet sans garde-fous humains, ni dispositifs techniques sécurisés ?.......................Source 01informatique
|
