Re, >> Alors en fait, ne laisser passer que quelques sites (whitelist), >> c'est ce que font un grand nombre de banques, d'organismes et >> services publiques et de boîtes du CAC40... c'est loin d'être rare. > > Cela présente des avantages : ça rend la DSI incontournable (pas le > droit de se fâcher avec eux, si on veut qu'ils acceptent d'ouvrir vers > le site dont on a besoin), ça rend les utilisateurs autonomes (ils > prennent l'habitude de tout faire avec Gmail et un abonnement Orange, > sans passer par l'infra de la boite), etc.
C'est tellement ca... ca a commencé avec les modems et ADSL "pirates" (y compris sur des infras critiques (au sens vies humaines) "parce qu'ils m'ont bloqué les repos pour les MAJ debian")... et maintenant c'est la grosse fête avec les routeurs 3G/4G et bientôt 5G ;). Perso, ma préférence pour gérer l'accès d'une grosse boîte c'est une blacklist des "trucs un peu chauds" qui affiche une page web pour demander la levée de la restriction avec garantie de réponse dans les 24h... c'est ce qui passe le mieux comme tradeoff "security vs UX". D'un autre côté, sur des accès non-filtrés j'ai déjà connu des enquêtes pédo, DDoS, etc... et c'est chaud quand même (surtout si tu gardes pas assez les logs), donc t'apprends vite à ne plus faire confiance aux users internes, quelle que soit la taille de la boîte. 🤷♂️ Cordialement, -- Philippe Bourcier web : http://sysctl.org/ blog : https://www.linkedin.com/today/author/philippebourcier --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
