Bonjour,    
 
J'essaie d'instaurer un peu de sécurité à un nouveau réseau entreprise dont le service informatique interne m'est confié.
Rien n'est fait pour éviter que n'importe qui ne se connecte au réseau, le Wifi de l'entreprise n'est pas sur un Vlan séparé, la clé est affichée partout, les smartphones perso siphonnent la bande passante avec leurs vidéos youtube, etc.
 
Je pensais, dans un premier temps, essayer de restreindre l'accès au DHCP en n'autorisant que les PC du domaine à avoir une adresse attribuée --> NAP ?
 
En bonus, une zone de quarantaine qui permettrait de valider les exceptions qui se seraient faites refouler serait top, sinon on gérera autrement (avec une réservation par exemple ?).
 
Quelle sont vos recommandations ?    
 
 

 
on parle de combien de machines? Dans une moindre mesure, tu pourrais simplement faire un filtrage d'adresse MAC au niveau du serveur DHCP (ce qui veut dire, au préalable, faire l'inventaire de toutes les address MAC de l'entreprise). Mais attends toi à avoir beaucoup de plaintes les jours qui suivent...
 
Il y a surtout une bonne discussion à avoir avec la direction: qui peut avoir accès, pour quoi, quand,...  On risque de te reprocher vouloir flicquer les employés, surtout quand la politique de l'entreprise n'est pas claire. Et non, ce n'est pas à l'IT à prendre ces décisions!

Pour le probleme du wifi, il faut simplement mettre en place un portail captif (d'ailleurs c'est obligatoire dans le cadre d'une entreprise) comme cela tu peux savoir qui siphonne la BP et faire un rappel à l'ordre.
 
Et pour rappel un peu de lecture:
 
https://www.legifrance.gouv.fr/affi [...] rieLien=id
 
https://www.cnil.fr/fr/la-loi-informatique-et-libertes
 
En résumé, tu fourni un accés internet aux employés et autres personnes n'appartenant pas à l'entreprise, l'entreprise est dans ce cas responsable en cas de dérive concernant l'utilisation abusive de cet accès (terrorisme, piratage, partage de contenu illicite, etc....

Filtrage MAC et désactivation des fonctions de partage de connexion via GPO.

Le bricolage dans le DHCP ce n'est pas de la sécurité (il suffit de se mettre une IP fixe).
Le bricolage à base d'ACL d'adresses MAC ça ne passe pas à l'échelle.
 
La solution est 802.1X, c'est prévu exactement pour ce besoin.

Pour l'instant, techniquement, tu ne peux rien faire. Il faut te blinder juridiquement et avoir l'aval (et les budgets) de la direction et les communiquer/imposer au reste de l'entreprise avant de faire quoique ce soit.

+1

 
Un portail captif pour les employés, je n'ai jamais vu çà.

 
Oui enfin globalement la loi est inapplicable.
Tu connais une solution technique qui enregistre et garde l'intégralité des connexions par utilisateurs, par protocole et par action sur X années ?

Des solutions techniques pour enregistrer les connexions il en existe pas mal (ucopia, pare-feu matériels, proxy..)
 
Ce que je me pose comme question c'est plutôt: où en est-on concernant cette obligation de conservation des données de connexion par l'employeur ?  
 
https://www.laquadrature.net/2018/1 [...] francaise/
 
Cela fait un moment que je ne me suis pas penché sur la question, les loi ont probablement évolués.  
 
J'ai un peu de mal à trouver des informations fiables qui précisent si oui ou non l'employeur à l'obligation de conserver les données de navigation internet de ses employés et pour combien de temps.  
 
 
 
 

Des équipements qui génèrent du logs oui il y en a pleins.
Mais au niveau que le demande la loi ? Je ne crois pas.

 
Ben mes UTM watchguard garde ces traces sur 1 an (paramétré comme tel mais peut être sur une plus longue durée). C'est consultable via leur plateforme dimension installée sur un serveur local.
 
Si tu me demande qui s'est connecté sur telle ip ou telle url a telle heure et tel jour et avec quel protocole, oui je te sors l'info complète (utilisateur et identifiant machine inclus)
Si tu veux en plus savoir ce qu'il y a fait, là non je n'ai pas l'info.
 
Après, est ce que cela suffit en cas de commission rogatoire, ça je n'en sait rien car je n'ai jamais eu ce type de demande.

Merci pour tous vos retours.
Un peu trop de users pour le filtrage MAC, sinon j'aurais commencé par ça. Ce n'est certes que de la sécurité par l'obscure, mais de là à ce que les users paramètrent une IP fixe, qui plus est sur leur smartphone, ya de la marge de manœuvre et ça ferait un premier gros tri.
 
Je cherche quelque chose d'applicable à un peu plus grande échelle. 802.1x alors... je sens que j'ai un peu de lecture.

Autant le filtrage MAC c'est mauvais comme solution, autant j'avais encore jamais vu quelqu'un penser que ne pas attribuer d'IP était une feature de sécurité    
Go 802.1x, c'est la seule solution acceptable oui. Perds pas de temps à bricoler ...