Bah quitte à ranger ça dans "bonnes pratiques", autant mettre tout ce qui va avec...
Parce qu'à la place de l'admin rés... non attends... EN TANT qu'administrateur système et réseaux, je ne parlerais pas seulement de l'aspect technique (simple) ou légal (simple) mais aussi et SURTOUT de l'aspect éthique du MITM sur un réseau.
Parce qu'on peut faire de la sécurité en respectant la confidentialité des utilisateurs. Ça demande, au premier chef, d'impliquer ceux-ci dans la compréhension de la politique de sécurité de l'entreprise, et pas seulement dire "on se charge de votre sécurité, faites ça comme ça et c'est tout". Le fait est que tu renforces la sécurité de ton réseau lorsque tu introduis la sécurité entre le clavier et la chaise.
Je ne pense pas qu'il faille obligatoirement se foutre de la confidentialité des utilisateurs pour faire de la sécurité. Et il est illusoire de penser qu'un réseau d'entreprise est utilisé uniquement pour le boulot. Le fait est que la Loi elle-même reconnaît l'usage des moyens de l'entreprise pour son usage personnel lorsque cet usage est limité et ne nuit pas à l'entreprise.
Or il ne suffit pas de "faire confiance" à son admin. Celui-ci, disposant d'un grand pouvoir, doit pouvoir être contrôlé et justifié. Combien de politiques de sécurité des entreprises intègrent la suppression efficace et sécurisée des données de l'entreprise sur un support ? Combien de ces mêmes politiques incluent la suppression efficace et sécurisée des données de ses employés qu'elle aura collecté ?
Alors oui, pour voir s'il n'y a pas une fuite, il faut pouvoir déchiffrer un flux. Mais les données déchiffrées puis rechiffrées doivent être détruites avec le même soin que si c'étaient des données critiques de l'entreprise. Or combien gardent, en clair, ces données sur un disque pendant 1, 3, 6 mois "au cas où" ? Je peux en citer quelques unes (enfin, en fait, non, je pourrais en citer mais je ne le ferais pas parce que je veux pas de problème ^^ mais ça existe, et c'est pas aussi rare que ce que vous pensez).
Et ça, ce n'est pas tolérable. Et il ne s'agit pas que d'une simple histoire de "confiance" en son admin.
Les bonnes pratiques autour du MITM sur son réseau concernent essentiellement l'aspect éthique et de contre-pouvoir de l'administrateur, beaucoup moins l'aspect technique ou légal. Mais ça, Orange n'en traite pas.
Parce que dans la "charte d'utilisation d'Internet", il y a en général tous les points concernant les obligations du salarié, généralement rien sur ce à quoi s'engagent les administrateurs.