web-dev-qa-db-fra.com

Est-il acceptable qu'un site RH interne fonctionne sur HTTP?

Notre site RH interne - qui contient nos informations personnelles, fiches de paie, détails de vacances, etc. fonctionne entièrement à partir d'un site http de base. Le site est uniquement accessible au sein du réseau de l'entreprise et n'est pas accessible, par exemple par les employés à domicile (sauf via un VPN). Il peut être accessible via notre réseau Wifi interne.

Je sais que https n'est pas la clé de voûte de la sécurité réseau, mais est-ce que cela est toujours "OK"?

Ce n'est pas une petite entreprise - c'est une grande entreprise britannique cotée en bourse employant des dizaines de milliers de personnes. Je n'avais rien dit, car ils devaient remplacer l'ensemble du système au premier trimestre de cette année, mais cela a maintenant été repoussé à 2018.

Désireux de comprendre

  1. S'il y a un risque important de cette configuration
  2. S'il y a une possible violation des lois du Royaume-Uni/de l'UE (par exemple, la loi britannique sur la protection des données) associée à ce
  3. S'il y a des étapes spécifiques, je peux, en tant qu'individu, minimiser mon exposition (autre que de ne pas utiliser le site!) À être intercepté.

Le réseau est un mélange de câblé et sans fil. Le site n'est accessible qu'en interne ou via VPN.

37
aldredd

La principale motivation de HTTPS est d'empêcher un attaquant de lire et de manipuler votre communication avec un site Web. La décision de le déployer sur des sites internes dépend donc de la possibilité que quelqu'un trafique votre trafic à l'intérieur du réseau de l'entreprise.

Si le site RH interne sert uniquement du contenu statique qui est déjà accessible à quiconque dans l'intranet de l'entreprise, alors on pourrait affirmer que HTTPS n'ajoute aucune sécurité car l'interception du trafic vers cette page dans le réseau interne serait inutile.

Cependant, si le site utilise un système de connexion et que les employés ne sont pas dignes de confiance pour ne pas interférer avec le réseau interne ou que les invités sont autorisés à y accéder - le site doit toujours être accessible via une connexion sécurisée.

c'est un site auquel nous nous connectons (en utilisant un mot de passe, nous sommes obligés de ne conserver que 8 caractères en minuscules uniquement), où nous pouvons afficher les bulletins de salaire, l'adresse personnelle/les coordonnées, etc.

C'est inquiétant. Non seulement la limite de longueur de mot de passe artificielle est vraiment faible et la restriction en minuscules uniquement douteuse. Si le site utilise du HTTP simple, un collègue voyou (ou un logiciel malveillant sur sa machine) pourrait intercepter votre connexion à la page, renifler votre mot de passe et enregistrer vos interactions avec ce site. Puisque vous dites que c'est une grande entreprise, tout le monde n'y accédant peut pas être entièrement fiable et donc ils devraient envisager de déployer HTTPS.

43
Arminius

Non, ce n'est pas sûr. Vous avez dit que ce n'était pas une petite entreprise, ce qui signifie qu'il y a probablement des gens que tout le monde ne fait pas entièrement confiance (ce qui est assez impossible pour> 10 employés) et signifie même probablement qu'il y a des postes occupés par différentes personnes qui entrent dans l'entreprise et la quittent tout à fait fréquemment. Probablement même quelques semaines pour une expérience de travail, un emploi d'été ou quelque chose de similaire.

On ne peut pas faire confiance à ces personnes pour ne pas manipuler les systèmes informatiques auxquels elles ont accès. Lors de l'envoi de données non chiffrées via Ethernet, toutes les personnes intermédiaires peuvent les lire.

Vous n'utilisez même pas l'authentification défi-réponse mais un mot de passe. Cela signifie aucune attaque élaborée impliquant la manipulation de trafic en direct ou l'interception de paquets et leur envoi après les avoir manipulés ou en espérant que les mêmes paquets par ailleurs peuvent être envoyés à nouveau après les avoir manipulés lorsqu'ils ont été envoyés au serveur auparavant (donc la personne utilisant le site ne le fait pas '' t remarquer car ils obtiennent la réponse du serveur). Au lieu de cela, on peut simplement enregistrer le trafic, l'analyser plus tard, obtenir le mot de passe et avoir accès au site des RH jusqu'à ce que le mot de passe soit modifié et ils doivent à nouveau enregistrer le trafic.

Si une manipulation à partir de l'intranet est possible, tôt ou tard quelqu'un le fera. Les gens font même des annonces officielles lorsqu'ils peuvent:

Dans cette affaire, l'employé avait modifié la page d'accueil intranet de la société avec le message suivant: "500 emplois seront supprimés à l'usine de Waterford avant la fin du premier trimestre 2008".

( http://www.cpaireland.ie/docs/default-source/media-and-publications/accountancy-plus/it/email-and-internet-use-by-employees.pdf?sfvrsn=2 )

Il existe de nombreux rapports (comme http://www.askamanager.org/2014/02/ive-been-breaking-into-my-companys-computer-network.html ) sur Internet où les gens admettent qu'ils ont enfreint de faibles mesures de sécurité. Cela n'a même pas besoin d'être malveillant. Cela peut résulter de l'ennui, de la curiosité (Dans le cas de votre entreprise: M. Smith fait-il vraiment tellement qu'il est en mesure de s'offrir ces 3 belles voitures?) , plus même pour augmenter la productivité en détruisant les barrières de sécurité.

Il existe de nombreuses recommandations similaires à celle-ci:

Chaque employeur doit avoir une politique détaillée concernant l'utilisation des ordinateurs de l'entreprise et des ressources accessibles avec des ordinateurs, tels que le courrier électronique, Internet et l'intranet de l'entreprise, le cas échéant.

( http://www.twc.state.tx.us/news/efte/monitoring_computers_internet.html )

Bien sûr, cela vaut très peu si la conformité n'est pas appliquée. Et votre connexion est à peu près aussi ouverte que possible au sein de l'entreprise car aucun cryptage de transport n'est utilisé et même les mots de passe sont transmis en texte brut. La meilleure façon de faire respecter une politique est de rendre impossible son ignorance. Bien sûr, ce n'est pas toujours possible, et parfois il existe de meilleures façons, mais il semble très bien que c'est à la fois la manière la plus simple, la meilleure et la plus fiable de procéder dans ce cas.

Cet avertissement est très proche de ce à quoi votre entreprise est confrontée:

En plus de s'assurer qu'elles ne respectent pas les réglementations HIPAA, les entreprises doivent se concentrer sur un autre problème de sécurité intranet critique: les violations internes. L'expert en sécurité Internet Norbert Kubilus, membre de Tatum CIO Partners, a déclaré que dans la plupart des cas, les "pirates" intranet sont des employés mécontents qui cherchent à gêner l'entreprise ou à obtenir un avantage personnel.

"La plupart de ce que j'ai entendu et observé est de la violence interne", a déclaré Kubilus. "Vous pouvez obtenir un employé mécontent qui pénètre dans l'intranet et fait des ravages en modifiant les horaires de vacances ou les fiches de présence. Si vous n'avez pas les bonnes protections en place, ou la bonne éducation et le bon processus en place, vous vous exposez à un employé mécontent. "

( http://www.techrepublic.com/article/intranet-data-requires-a-good-security-review/ )

Lorsque l'on considère que les données à risque sont assez importantes, il est clair qu'il s'agit d'un risque inacceptable. Selon l'emplacement de votre entreprise, il peut également être illégal d'exploiter le site de cette manière, par ex. car il contient des données personnelles insuffisamment sécurisées.

Dire à la direction que c'est illégal (si c'est le cas) a probablement plus de chances que la sécurité soit améliorée que de lui dire que le système n'est pas sécurisé.

Je ne connais pas le droit britannique, mais je pense que vous ne pouvez certainement pas avoir un tel système en vertu du droit de l'UE et donc pas en vertu du droit britannique.

Après une recherche rapide, j'ai trouvé ce règlement de l'UE . Une citation de l'article 32 qui pourrait vous donner l'espoir que c'est illégal:

Compte tenu de l'état de la technique, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que du risque de probabilité et de gravité variables pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en œuvre mesures techniques et organisationnelles appropriées pour assurer un niveau de sécurité adapté au risque, y compris, le cas échéant, notamment:

[...]

(b) la capacité d'assurer la confidentialité, l'intégrité, la disponibilité et la résilience continues des systèmes et services de traitement;

Vous ne pouvez pas garantir la confidentialité ni l'intégrité si tout le monde dans l'entreprise peut accéder au site RH après avoir regardé une vidéo YouTube de 10 minutes sur la façon de connecter les câbles Ethernet afin que leur ordinateur portable soit entre le serveur et un ordinateur RH et une vidéo YouTube de 5 minutes sur la façon de d'utiliser Wireshark pour obtenir un mot de passe qui a été envoyé sur le réseau. Bien sûr, pratiquement toute personne ayant déjà joué avec Wireshark pourrait le faire sans perdre 15 minutes à regarder des vidéos YouTube en premier. ;-)

11
UTF-8

L'absence de HTTPS permet à un attaquant du même réseau d'écouter les connexions à ce serveur et de modifier les requêtes et les réponses. Cela peut être utilisé pour renifler les mots de passe que les personnes RH utilisent, par exemple.

La définition exacte du "même réseau" dépend de la configuration de votre réseau et de la quantité de travail que l'attaquant est prêt à y consacrer. Il est très probable que vous puissiez exécuter une attaque depuis l'ordinateur de votre entreprise. Parfois, une attaque d'homme au milieu est possible depuis le parking en utilisant le WiFi de l'entreprise.

1
Sjoerd

Il y a différents problèmes avec HTTP vs HTTPS et être sur un réseau interne devrait en atténuer certains.

  • pas d'identification forte du serveur: peu important sur un réseau interne, il est peu probable qu'un faux serveur puisse exister dans le réseau interne. Normalement, une telle attaque MITM nécessiterait des privilèges administratifs, et dans une organisation d'entreprise, vous devez déjà faire confiance aux administrateurs car ils gèrent tous les équipements réseau et les machines clientes.
  • confidentialité des réponses aux demandes des employés autorisés: cela dépend si tous les accès autorisés proviennent tous du même bureau (seuls les administrateurs ou les collègues disposant d'autorisations d'accès équivalentes doivent pouvoir espionner (*)) ou si un gestionnaire peut faire des demandes. Dans ce dernier cas, les risques d'interception de données confidentielles sont importants mais l'attaquant (interne) ne peut pas savoir à l'avance quelles informations il obtiendra.
  • protection des informations d'identification: même si la procédure d'authentification utilise HTTP simple, le problème est beaucoup plus grave. Dans ce cas, un attaquant pourrait obtenir des informations d'identification et être en mesure d'émettre des demandes (y compris des modifications) au nom d'un utilisateur légitime: l'intégrité n'est plus garantie sans parler de confidentialité

Bien sûr, s'il s'agit d'un serveur en lecture seule, et si la confidentialité n'est pas vraiment un problème, HTTP peut être utilisé. Mais dès que l'on parle de RH, la confidentialité devrait immédiatement monter à un niveau moyen à élevé.


(*) dans les réseaux d'entreprise courants, l'utilisation de commutateurs et de proxys permet uniquement d'espionner les échanges sur le même sous-réseau, à l'exception des administrateurs réseau qui peuvent voir tout le trafic non chiffré de leur domaine.

1
Serge Ballesta

Non, ceci n'est absolument pas acceptable et selon votre juridiction peut être illégal au point de responsabilité pénale.

La plupart des pays ont des lois en place qui stipulent essentiellement que les données personnelles sensibles - et les dossiers d'emploi entrent presque toujours dans cette catégorie - doivent être protégés par des "moyens techniques adéquats".

Bien que la signification précise de ce terme soit volontairement sujette à interprétation, les tribunaux l'interprètent généralement comme une technologie facilement accessible et courante qui sert à protéger les données. En d'autres termes: vous n'avez pas besoin d'inventer quelque chose de nouveau en matière de sécurité, mais s'il existe une mesure de sécurité simple et standard que d'autres personnes utilisent et que vous ne faites pas, vous ne protégez pas les données de manière adéquate.

HTTPS est très, très courant et généralement utilisé à de telles fins. Ne pas l'utiliser est très probablement une négligence grossière. Des lois plus spécifiques dans votre juridiction pourraient pousser cela plus haut.

0
Tom

Étant donné que nous parlons des RH et que les RH gèrent généralement les avantages sociaux, il est probable qu'ils ne sont pas conformes à la HIPAA.

En d'autres termes, l'utilisation de SSL et TLS doit être conforme aux détails définis dans NIST 800-52. Cela implique que d'autres processus de cryptage, en particulier ceux plus faibles que ceux recommandés par cette publication, ne sont pas valides.

lien

0
John Wu

Ce n'est clairement pas une bonne idée, mais il y a beaucoup de si et de mais selon la configuration globale du réseau.

Il convient de noter qu'un administrateur malveillant pourrait installer un certificat de confiance sur toutes les machines et intercepter tout le trafic de toute façon. Il n'y a presque rien que vous puissiez faire pour arrêter un administrateur malveillant.

D'un point de vue juridique, l'entreprise doit prendre des mesures raisonnables pour sécuriser vos données. Si un stagiaire d'été peut intercepter les données en transit en branchant son propre ordinateur portable, il ne respecte pas sa responsabilité légale. Si un pentester qualifié a besoin d'un accès physique non supervisé, c'est probablement le cas.

0
ste-fu