Donc oui c'est relativement secure, mais oui ca pose un pb à certains car les données sortent du périmétre de surveillance de l'entreprise en 'passant' par un autre pays si on est en France .... Un autre probléme (moindre) se pose aussi pour pouvoir identifier/logger la nature et les traces des acces au travers de la session ouverte entre la gateway et BB/UK....
Ces exposés d'infrastructures (y compris celui de rejoc) sont très intéressants. Mais ils reflètent toujours la même chose à savoir tout cela est bien compliqué alors que la sécurité appelle, justement, de la simplicité. Outre les pb d'interception officielle se pose véritablement la question des standards et du périmètre. Ils révèlent également une autre tendance : la toujours plus importante dissémination des éléments de sécurité et par conséquence l'appel à des solutions qui ne sont plus du ressort de la technique mais de celui du juridique et de la contractualisation des rapports.
Adopter RIM c'est bien, c'est dans l'air du temps. Mais à une époque où la sécurité des SI est observée avec intérêt comment ce type de système << extérieur >> et non-standard peut-il (et doit-il) être pris en compte dans un cadre de SI global ?
Il y a un aspect similaire (selon mon axe de réflexion) lorsque l'on parle de boîtier de sécurité (antispam par exemple) qui, soi-disant, récupèrent des signatures depuis un serveur et parfois expédient des signatures vers l'extérieur afin de venir grossir une banque de données pour le plus grand bien de la base clientèle. Qui me garantit que ce qui est transmis par ce canal (chiffré en général) ne contient pas de données confidentielles ? Techniquement personne ! Et contractuellement ? Bien peu de contrats en parlent !
Pour en revenir à RIM, bien entendu il y a le ROI à prendre en compte et le fait de déléguer une partie de la gestion du parc y est pour beaucoup dans la réduction de ce coût. Mais au final quel est le coût de la non-sécurité ou, plutôt, de la délégation de sécurité ? Qui me garantit que la passerelle RIM est secure ? RIM ? Ce couple machine/logiciel a-t-il été seulement audité par un lab indépendant ?
Au final, je préfère largement adopter (ou faire adopter) un système à base de PDA sur lesquels je placerai un client IPSEC ou SSL. Ca au moins ce sont des standards et les produits côté gateway prolifèrent et sont davantage susceptibles d'avoir obtenu une certification quelconque.
Mes 2 centimes de réflexion,
db
--
Courriel : usenet blas net
[...]
Donc oui c'est relativement secure, mais oui ca pose un pb à certains car
les données sortent du périmétre de surveillance de l'entreprise en
'passant' par un autre pays si on est en France .... Un autre probléme
(moindre) se pose aussi pour pouvoir identifier/logger la nature et les
traces des acces au travers de la session ouverte entre la gateway et
BB/UK....
Ces exposés d'infrastructures (y compris celui de rejoc) sont très
intéressants.
Mais ils reflètent toujours la même chose à savoir tout cela est bien
compliqué alors que la sécurité appelle, justement, de la simplicité.
Outre les pb d'interception officielle se pose véritablement la question
des standards et du périmètre.
Ils révèlent également une autre tendance : la toujours plus importante
dissémination des éléments de sécurité et par conséquence l'appel à des
solutions qui ne sont plus du ressort de la technique mais de celui du
juridique et de la contractualisation des rapports.
Adopter RIM c'est bien, c'est dans l'air du temps. Mais à une époque où
la sécurité des SI est observée avec intérêt comment ce type de système
<< extérieur >> et non-standard peut-il (et doit-il) être pris en compte
dans un cadre de SI global ?
Il y a un aspect similaire (selon mon axe de réflexion) lorsque l'on
parle de boîtier de sécurité (antispam par exemple) qui, soi-disant,
récupèrent des signatures depuis un serveur et parfois expédient des
signatures vers l'extérieur afin de venir grossir une banque de données
pour le plus grand bien de la base clientèle.
Qui me garantit que ce qui est transmis par ce canal (chiffré en
général) ne contient pas de données confidentielles ?
Techniquement personne ! Et contractuellement ? Bien peu de contrats en
parlent !
Pour en revenir à RIM, bien entendu il y a le ROI à prendre en compte et
le fait de déléguer une partie de la gestion du parc y est pour beaucoup
dans la réduction de ce coût.
Mais au final quel est le coût de la non-sécurité ou, plutôt, de la
délégation de sécurité ?
Qui me garantit que la passerelle RIM est secure ? RIM ? Ce couple
machine/logiciel a-t-il été seulement audité par un lab indépendant ?
Au final, je préfère largement adopter (ou faire adopter) un système à
base de PDA sur lesquels je placerai un client IPSEC ou SSL. Ca au moins
ce sont des standards et les produits côté gateway prolifèrent et sont
davantage susceptibles d'avoir obtenu une certification quelconque.
Donc oui c'est relativement secure, mais oui ca pose un pb à certains car les données sortent du périmétre de surveillance de l'entreprise en 'passant' par un autre pays si on est en France .... Un autre probléme (moindre) se pose aussi pour pouvoir identifier/logger la nature et les traces des acces au travers de la session ouverte entre la gateway et BB/UK....
Ces exposés d'infrastructures (y compris celui de rejoc) sont très intéressants. Mais ils reflètent toujours la même chose à savoir tout cela est bien compliqué alors que la sécurité appelle, justement, de la simplicité. Outre les pb d'interception officielle se pose véritablement la question des standards et du périmètre. Ils révèlent également une autre tendance : la toujours plus importante dissémination des éléments de sécurité et par conséquence l'appel à des solutions qui ne sont plus du ressort de la technique mais de celui du juridique et de la contractualisation des rapports.
Adopter RIM c'est bien, c'est dans l'air du temps. Mais à une époque où la sécurité des SI est observée avec intérêt comment ce type de système << extérieur >> et non-standard peut-il (et doit-il) être pris en compte dans un cadre de SI global ?
Il y a un aspect similaire (selon mon axe de réflexion) lorsque l'on parle de boîtier de sécurité (antispam par exemple) qui, soi-disant, récupèrent des signatures depuis un serveur et parfois expédient des signatures vers l'extérieur afin de venir grossir une banque de données pour le plus grand bien de la base clientèle. Qui me garantit que ce qui est transmis par ce canal (chiffré en général) ne contient pas de données confidentielles ? Techniquement personne ! Et contractuellement ? Bien peu de contrats en parlent !
Pour en revenir à RIM, bien entendu il y a le ROI à prendre en compte et le fait de déléguer une partie de la gestion du parc y est pour beaucoup dans la réduction de ce coût. Mais au final quel est le coût de la non-sécurité ou, plutôt, de la délégation de sécurité ? Qui me garantit que la passerelle RIM est secure ? RIM ? Ce couple machine/logiciel a-t-il été seulement audité par un lab indépendant ?
Au final, je préfère largement adopter (ou faire adopter) un système à base de PDA sur lesquels je placerai un client IPSEC ou SSL. Ca au moins ce sont des standards et les produits côté gateway prolifèrent et sont davantage susceptibles d'avoir obtenu une certification quelconque.
Mes 2 centimes de réflexion,
db
--
Courriel : usenet blas net
Alain Montfranc
Dominique Blas a couché sur son écran :
Dans le premier cas il y a usage d'une infrastructure inconnue tant au point de vue des logiciels que du matériel.
A priori les livres blancs de RIM documentent assez bien les protocoles. Il me semble avoir lu de plus que cela avait été "benché" par un cabinet indépendant.
Dominique Blas a couché sur son écran :
Dans le premier cas il y a usage d'une infrastructure inconnue tant au point
de vue des logiciels que du matériel.
A priori les livres blancs de RIM documentent assez bien les
protocoles. Il me semble avoir lu de plus que cela avait été "benché"
par un cabinet indépendant.
Dans le premier cas il y a usage d'une infrastructure inconnue tant au point de vue des logiciels que du matériel.
A priori les livres blancs de RIM documentent assez bien les protocoles. Il me semble avoir lu de plus que cela avait été "benché" par un cabinet indépendant.
