Wiki, RSS : les outils grand public arrivent en entreprise, les risques également L'entreprise n'échappe pas aux outils en vogue sur Internet. Ni aux risques qu'ils représentent. Le format RSS, par exemple, s'expose déjà à diverses attaques. Éric Hazane* et Renaud Édouard-Baraud , 01 Informatique (n° 1848), le 01/03/2006 à 14h47 L'usage des systèmes d'information tend vers le tout collaboratif (Wiki) et instantané (RSS et messageries instantanées). Les entreprises sont ainsi de plus en plus nombreuses à mettre en oeuvre les flux RSS, que ce soit pour leur intranet/extranet ou pour faciliter l'échange automatique d'informations entre applications (comme les services Web). D'autant que le nombre de logiciels qui tiennent compte de ces fils ne cesse de croître, à l'instar de la prochaine version de l'outil collaboratif libre Open-Xchange Server 5, attendue pour le mois de mars. Mais à nouvelles techniques, nouvelles failles, et nouveaux défis organisationnels. Ces technologies participent à l'augmentation du volume des flux et à celle, vertigineuse, de la masse des données stockées. Sans compter que les risques d'atteinte au patrimoine informationnel de l'entreprise restent élevés. « L'usage avéré (failles des Wikis ou des navigateurs) ou potentiel (RSS, VoIP) des bogues applicatifs apparaît marginal, mais loin d'être virtuel », rappelle Jérémy Renard, consultant pour l'agence sécurité de Sogeti. Encadrer la créativité sans l'étouffer Le format RSS peut, en effet, être abusé : écrit en XML, pointant vers des contenus HTML, il « embarque » la description de ces derniers. Sa souplesse permet d'inclure de nombreux objets, comme les scripts, directement interprétés par le lecteur dédié ou le navigateur. Parmi les attaques potentielles, on trouve aussi celle, antédiluvienne, de type iframe (faille I.E. 6 SP1 : erreur au niveau de la gestion des tags), la redirection sur une page piégée, l'exécution de code dans les feuilles de style CSS, ou encore l'insertion de « Web bugs » (image de 1 pixel, invisible, qui enregistre le comportement d'un internaute sur une page donnée). Il est donc probable que les lecteurs RSS aient à faire face aux mêmes problèmes de sécurité que ceux rencontrés voilà quelques années par les messageries Internet (de type Hotmail). La généralisation de protocoles de cryptage comme SSL/TLS, de flux VPN, de serveurs de courriers sécurisés (IMAPS, SMTPS) ou d'annuaires sécurisés (LDAPS) doivent aider en principe à établir la disponibilité, l'intégrité et la confidentialité des données. En parallèle, clients et prestataires doivent rapidement faire évoluer la gestion opérationnelle des projets : la production documentaire et contractuelle (études, spécifications, livrables, comptes rendus, etc.) se décentralise. Sans étouffer les initiatives, les chefs de projet doivent éviter tous débordements. Car nul ne sait où peut mener l'expression complète de la « créativité » dans un projet sans garde-fous humains, ni dispositifs techniques sécurisés ? * consultant sécurité chez Sogeti Ludovic Dubost (PDG de xWiki) : « Skype me semble plus menaçant » « Les fils RSS peuvent, bien sûr, embarquer du code Javascript potentiellement dangereux. Mais ce danger s'applique déjà au Web en général, et depuis longtemps. L'usage des blogs et des Wikis impose de rendre leurs contenus conformes à la politique de l'entreprise. Et là, pas de solution technique : il existe des filtres en lecture, mais pas en écriture. Il faut que l'entreprise trouve une solution intermédiaire entre une totale liberté de communication de l'information et une sécurité sans failles. » Philippe Moreau (directeur associé de la SSII Altasys) : « Il faut faire attention à l'usurpation d'identité » « Blogs et Wikis ne m'inquiètent pas encore. » « La raison en est simple : les entreprises de mon secteur, la bancassurance et la finance, n'ont pas encore mis en place ces outils en interne. De toute façon, les contenus sur blogs ou Wikis doivent se conformer aux mêmes politiques que les informations échangées via la messagerie : pas de propos xénophobes, diffamatoires... » « Moins de risques que pour un intranet. » « Le volume d'informations à protéger n'est en effet pas énorme. La seule contrainte est de faire attention à l'usurpation d'identité, afin d'éviter la diffusion de fausses nouvelles. Reste l'éventuel aspect contre-productif de ces outils : les salariés peuvent passer leur temps à publier sur les blogs ou échanger sur les Wikis au lieu de travailler. Pour résumer, les enjeux de sécurité ne sont pas aujourd'hui bien identifiés

Tags: wiki on 01-21-2008 -Cached -About Shared by:yan thoinet

more from www.01net.com

Tags: wikis on 12-31-2007 -Cached -About Shared by:yan thoinet

more from wikiindex.org

Tags: wiki on 01-01-2008 -Cached -About Shared by:yan thoinet

more from www.placedesreseaux.com

Tags: entreprise2.0 wiki on 12-10-2007 -Cached -About Shared by:yan thoinet

more from webagency.cross-systems.ch

Tags: wiki on 12-08-2007 -Cached -About Shared by:yan thoinet

more from kesako.canalblog.com