L’expert en sécurité Chris Snyder recommande le cryptage (une méthode pour garder les données intactes et confidentielles jusqu’à leur point de destination) dans la mesure du possible.
Pourquoi crypter ? Si votre serveur Web envoie des données non cryptées (c’est-à-dire en
texte clair), celles-ci peuvent être espionnées, voire altérées, avant de parvenir à destination. Cet avatar peut se produire en de nombreux endroits : dans votre LAN d’entreprise (que ce soit par des employés ou par un logiciel espion), sur Internet, ou par un signal sans fil dans un café Internet.
Le cryptage s’impose particulièrement quand on envoie des informations sensibles du genre mots de passe, détails de cartes de crédit, et autres données personnelles ou confidentielles. La méthode de cryptage la plus courante est SSL/TLS (Secure Sockets Layer/Transport Layer Security), qui crypte les données entre le serveur d’applications et le navigateur d’un utilisateur, afin qu’une oreille indiscrète sur les paquets HTTP circulants ne puisse pas les décoder.
Sachez toutefois que SSL/TLS n’empêche en rien un utilisateur final de voir des données transmises par le serveur, y compris celles qui pourraient être codées en champs sous la forme HTML « cachée ». En effet, tout utilisateur peut afficher ce contenu par la commande View Source d’un navigateur. Si vous voulez préserver des variables internes sûres, utilisez la gestion de session côté serveur plutôt que les champs HTML cachés. System i permet le cryptage SSL/TLS.
Et les utilisateurs verront le préfixe « https:// » familier sur les URL. Vous trouverez des instructions pour la mise en place de SSL/TLS sur l’i5/OS InfoCenter online d’IBM.
L'évolution du paysage des menaces et les conséquences sur votre infrastructure, vos outils de contrôles de sécurité IT existants. EPP, XDR, EDR, IA, découvrez la synthèse des conseils et recommandations à appliquer dans votre organisation.
