background preloader

D5- Sécurité des SI et cybersurveillance

Facebook Twitter

La moitié des DSI accepte les compromissions de sécurité liées au BYOD. Selon une étude du cabinet Vanson Bourne commandée par VMware, la pression des salariés suffit pour que la moitié des DSI enfreigne leur propre politique sécurité.

La moitié des DSI accepte les compromissions de sécurité liées au BYOD

PublicitéLa moitié (52%) des responsables informatiques français admettent qu'ils sont prêts à prendre des risques sur la sécurité des données de leur entreprise sur la pression de leurs utilisateurs pour gagner en mobilité. Pour presque la même proportion (51%), le gain en productivité associé est supérieur au risque pris. C'est l'enseignement essentiel d'une récente étude menée par le cabinet d'études Vanson Bourne sur la commande de VMware.Les responsables informatiques ne sont pas les seuls à être imprudents. Ils sont peut-être simplement conscients que des règles rigides seraient contournées.

L’utilisation croissante des logiciels d’espionnage par les employeurs. L’utilisation des logiciels d’espionnage est de plus en plus courante en milieu professionnel.

L’utilisation croissante des logiciels d’espionnage par les employeurs

Installé sur les ordinateurs de bureau des salariés, celui-ci répond à des impératifs de sécurité des affaires. Ces procédés très utilisés pour de suivi des travaux restent toutefois de portée limitée ou il est plus question de contrôle que d’espionnage.L’étendue du contrôle des employés par ces logiciels Les salariés sont de plus en plus surveillés. La CNIL demande à Apple d'arrêter la vidéosurveillance de ses employés.

Paris: Elle se voit morte dans un magasin de pompes-funèbres. Afin d'être publiée, votre note : - Doit se conformer à la législation en vigueur.

Paris: Elle se voit morte dans un magasin de pompes-funèbres

En particulier et de manière non exhaustive sont proscrits : l'incitation à la haine raciale et à la discrimination, l'appel à la violence ; la diffamation, l'injure, l'insulte et la calomnie ; l'incitation au suicide, à l'anorexie, l'incitation à commettre des faits contraires à la loi ; les collages de textes soumis au droit d'auteur ou au copyright ; les sous-entendus racistes, homophobes, sexistes ainsi que les blagues stigmatisantes. - De plus, votre message doit respecter les règles de bienséance : être respectueux des internautes comme des journalistes de 20Minutes, ne pas être hors-sujet et ne pas tomber dans la vulgarité. - D'autre part, les messages publicitaires, postés en plusieurs exemplaires, rédigés en majuscules, contenant des liens vers des sites autres que 20Minutes ou trop longs seront supprimés.

Mails privés au travail: l'employeur a le droit de surveiller ses salariés. Attention, l’abus de messages personnels au bureau est une faute. On peut être licencié pour un usage personnel « abusif » de la messagerie électronique du bureau.

Attention, l’abus de messages personnels au bureau est une faute

Cependant, tout en admettant ce principe, la Cour de cassation ne définit pas l’abus. Elle exige en revanche que le système de surveillance mis en place par l’entreprise, pour être admis comme preuve, soit déclaré à la Commission nationale Informatique et Libertés (CNIL). Les éléments de preuve obtenus à l’aide d’un système de traitement automatisé d’informations personnelles avant qu’il ne soit déclaré à la CNIL est un moyen de preuve illicite, dit la Cour. Il en est ainsi même si l’interception ou le contrôle du courrier électronique ne donne pas accès à son contenu mais seulement à l’adresse du correspondant et au titre du message, ont admis les juges.

Que les salariés et leurs représentants aient été préalablement informés du contrôle mis en place et d’éventuelles sanctions ne permet pas de remédier à l’absence de déclaration à la CNIL. La protection des données personnelles : enjeux et perspectives.  STIC : l’Etat condamné pour atteinte à la vie privée   L'utilisation des réseaux sociaux par les salariés. Par Aymeric François, Avocat.

L’utilisation d’internet à des fins personnelles par un salarié peut, dans certains cas, aboutir au prononcé d’une mesure disciplinaire allant jusqu’au licenciement pour faute grave.Les réseaux sociaux, caractérisés notamment par leur forte addiction, doivent dès lors être utilisés par le salarié avec une grande précaution.

L'utilisation des réseaux sociaux par les salariés. Par Aymeric François, Avocat.

Petit tour d’horizon du droit applicable en la matière. 1. Mon employeur peut-il bloquer mon accès aux réseaux sociaux ? Votre employeur est parfaitement en droit de limiter vos connexions Internet à partir du matériel mis à votre disposition puisque ces connexions sont présumées avoir un caractère professionnel. Detention de fichiers pornographiques par le salarie: la position de la cour de cassation. La cour de cassation a pu affirmer sa jurisprudence sur l'usage de fichiers pornographiques sur le poste de travail du salarié.

Detention de fichiers pornographiques par le salarie: la position de la cour de cassation.

Deux arrêts à cet effet sont intéressants. En effet, ils résument à eux seul l'état de la Jurisprudence. Il convient de relever qu'en principe la conservation par le salarié de fichiers à caractère pornographique sur son ordinateur de travail ne constitue pas en elle même un usage abusif affectant son travail et justifiant son licenciement, Soc 8 décembre 2009 (I) Cependant une sanction est envisageable ( licenciement pour faute grave) si une charte informatique intégrée dans le règlement général le prévoit, Soc 15 décembre 2010, (II) Présentons ces deux arrêts: I- Soc, 8 décembre 2009 : L'usage non abusif d'images pornographiques qui n’affectent pas le travail du salarié est autorisé.

Soc 8 décembre 2009 Sergio G. / Peugeot Citroën automobiles Statuant sur le pourvoi formé par M. Vu la communication faite au procureur général ; Sur le premier moyen Par ces motifs : . . Www.olfeo.com/sites/olfeo/files/pdf/guide-charte-informatique-olfeo.pdf. Charte informatique. En quelques années la charte informatique ou Internet, s’est imposée comme un élément fondamental afin de maîtriser les risques liés à l’utilisation du système d’information par les salariés, les visiteurs, les stagiaires, les prestataires de service....

Charte informatique

Recommandée par la CNIL, la charte Internet est également reconnue comme faisant partie du règlement intérieur en cas de litige, si elle a été déployée légalement. On observe d'ailleurs de plus en plus de cas de jurisprudences, faisant référence au non respect de la charte informatique. Dès lors, se posent souvent une multitude de questions quant à la démarche de charte, son contenu ainsi que son plan de déploiement afin qu'elle soit juridiquement oppposable aux salariés. Afin d'accompagner ses clients et futurs clients, Olfeo édite un guide de charte, qui aborde ces différents sujets de manière pédagogique et donne les bonnes pratiques à mettre en place lors de la rédaction et le déploiement d'une charte.

10 conseils pour la sécurité de votre système d’information. 1.

10 conseils pour la sécurité de votre système d’information

Adopter une politique de mot de passe rigoureuse L’accès à un poste de travail informatique ou à un fichier par identifiant et mot de passe est la première des protections. Le mot de passe doit être individuel, difficile à deviner et rester secret. L'arrêt NIKON : messagerie électronique et vie privée du salarié. Mots-clés : Arrêt Nikon, vie privé du salarié, utilisation de la messagerie électronique Date : La chambre sociale de la Cour de cassation s'est prononcée le 2 octobre 2001 sur la délicate question de l'utilisation des outils informatiques, et notamment du courrier électronique, par les salariés à des fins non professionnelles.

L'arrêt NIKON : messagerie électronique et vie privée du salarié

La Cour de cassation a, dans un attendu de principe particulièrement ferme, jugé que " le salarié a droit, même au temps et au lieu de travail, au respect de l'intimité de sa vie privée " laquelle " implique en particulier le secret des correspondances ", et en a déduit que " l'employeur ne peut dès lors sans violation de cette liberté fondamentale prendre connaissance des messages personnels émis par le salarié et reçus par lui grâce à un outil informatique mis à sa disposition pour son travail, et ceci même au cas où l'employeur aurait interdit une utilisation non professionnelle de l'ordinateur ".

Son intérêt est capital. CNIL. Le Tombeau de la Liberté. Lois NTIC : le grand chambardement. Une véritable lame de fond : la première moitié de l'année a été particulièrement riche en transformations concernant le cadre juridique applicable aux secteurs des télécoms et de l'Internet.

Lois NTIC : le grand chambardement

Après une longue période de gestation, marquée par des reports de séance, des affrontements de lobbies et des dépôts d'amendements, les principales lois NTIC, avec en tête la LEN et le "paquet télécoms", ont finalement été votées par le Parlement en rafale. Et d'autres textes sont encore à suivre. Ces différentes lois transposent en droit national la plupart des directives européennes liées aux NTIC et sur lesquelles la France avait pris du retard. Le cryptoanarchiste allemand et l'ancien cadre du CAC 40 alliés contre la NSA. Le projet « Pretty Easy Privacy » veut faire des communications chiffrées un standard utilisable par M. et Mme Tout-le-Monde, aussi bien dans l'entreprise que dans le cadre privé. Le Monde.fr | • Mis à jour le | Par Damien Leloup Volker Birk est anarchiste. Militant de longue date au Chaos Computer Club, l'organisation autogérée qui défend les libertés numériques et le droit de tous de « bidouiller ». Travail. CYBERSURVEILLANCE DES SALARIES.

En France une entreprise a-t-elle le droit de contrôler le contenu des courriers (entrants et/ou sortants) destinés à ses collaborateurs ? - Si oui dans quelles conditions ? Et qui "lit" réellement les courriers ? Après quel tri ou quelles précautions juridiques éventuelles ? n9155bta.pdf. Savoir sécuriser le système d'information - Actualités Humour. Affaire Orange/CNIL : sous-traiter ne minimise pas la responsabilité du commanditaire - Actualités Juridique.

Apple corrige la faille iCloud de vol des photos de stars. Vie privée : le guide pour rester anonyme sur Internet. Cloud computing : les 7 étapes clés pour garantir la confidentialité des données. Des recommandations pratiques permettant de définir le partage des responsabilités Avant tout engagement commercial, l'organisme souhaitant recourir à une prestation d'externalisation devra mener une réflexion spécifique afin : D'identifier clairement les données et les traitements qui passeront dans le cloud ;De définir ses propres exigences de sécurité technique et juridique ;De conduire une analyse de risques afin d'identifier les mesures de sécurité essentielles pour l'entreprise ;D'identifier le type de cloud pertinent pour le traitement envisagé ;De choisir un prestataire présentant des garanties suffisantes ;De revoir la politique de sécurité interne ;De surveiller les évolutions dans le temps.

Ces 7 étapes préalables permettent : Obligations en matière de protection des données personnelles. La création et le traitement de données personnelles (numéro d'identifiant, nom, adresse, numéro de téléphone...) sont soumis à des obligations destinées à protéger la vie privée des personnes fichées et les libertés individuelles. Elles varient selon la nature du fichier et la finalité des informations recueillies : déclaration normale ou simplifiée ou demande d'autorisation. Il existe aussi des obligations de sécurité, de confidentialité et d'information. Déclaration Tout fichier ou traitement automatisé contenant des informations à caractère personnel doit être déclaré avant sa création, en ligne ou par courrier adressé à la Commission nationale de l'informatique et des libertés (Cnil) sous forme d'une : Par exemple, les sites commerciaux de vente en ligne de biens ou de services, qui collectent des informations nominatives (nom, courriel) et constituent des fichiers de clients et de prospects, doivent effectuer une déclaration simplifiée.

Www.cnil.fr/fileadmin/documents/Guides_pratiques/CNIL-Guide_securite_avance_Mesures.pdf. Www2.ac-lyon.fr/enseigne/ecogestion/legt/IMG/pdf/SecuriteSI.pdf. L’intrusion dans un système informatique et ses conséquences juridiques. Il existe différents types de pirates informatiques : du hacker classique, qui s’introduit dans les systèmes par des moyens illégaux sans détruire les données ni utiliser les informations données, mais dans le seul but de faire savoir qu’il existe des failles de sécurité au cracher (casseur), appellation qui désigne le pirate le plus dangereux qui détruit dans un but précis ou pour le plaisir.

Or, aux yeux de la loi, chacun d’entre eux peut être poursuivi au regard des dispositions du Code pénal en matière de fraude informatique. L’intrusion peut s’effectuer par le biais d’un programme qui se cache lui-même dans un programme « net » (par exemple reçu dans la boite aux lettres ou téléchargé). L’un des plus connus est le Back Office qui permet d’administrer l’ordinateur à distance.

En outre, le piratage peut avoir comme cible les mots de passe du système. L'obligation de l'employeur d'assurer la sécurité des données. Après un piratage, Domino's Pizza fait l'objet d'une demande de rançon. 6 S.I et SECURITE. La clause de réversibilité en infogérance. 01net. le 08/12/00 à 00h00 La réversibilité de l'externalisation du système informatique permet au client de reprendre l'exploitation en interne ou de la confier à un nouvel infogérant.

Ce processus intervient à la fin du contrat. Et ce, quelle qu'en soit la cause : échéance normale, force majeure, convenance du client, manquement non réparé du fait du client ou de l'infogérant. La réussite de cette opération lourde, de plusieurs mois, se prépare très en amont, sur les plans juridique et organisationnel. L'entreprise doit disposer de garanties contractuelles.

Les principaux aspects contractuels à connaître. Video Système d'information BABOU. Leroy-Merlin gère un App-Store privé pour le BYOD - Actualités Projets. Les vidéos de CIO : Les Webcasts. Les vidéos de CIO : Les Webcasts. Les vidéos de CIO : Les Entretiens. Seuls 1% des fournisseurs Cloud prêts pour le règlement data européen. Après Target : un nouveau malware cible les lignes de caisses.

Sécurité de l'information: les entreprises dépensent toujours plus. Géolocalisation : la Cnil écrit les règles et fixe les limites. Www.entreprises-et-cultures-numeriques.org/publications/ebook-entreprise-numerique/chapitres/risques-numeriques.pdf. « Risques et sécurité numérique : un enjeu stratégique », Partenaire. Vidéo - Frank Mong, Vice-Président et General Manager des offres logicielles de Sécurité chez HP, dresse un constat sur les cyber-risques pour les entreprises, en France et à l’étranger - avec des risques informatiques et numériques en pleine évolution, dus aux nouvelles pratiques - et nous livre ses recommandations pour gérer et minimiser les différents risques existants. pour afficher les sous-titres en français, cliquer dans la video sur CC Nous allons parler d’un sujet clé, le cyber-risque.

Vous dirigez une société, vous êtes IT manager... Vous et votre équipe utilisez des accès Internet, BDD, services cloud, réseaux sociaux , multisupports… C’est bien, mais connaissez-vous le degré et les risques informatiques pour votre société de ces utilisations ? Nous allons parler de tout cela avec un spécialiste : Frank Mong, Vice-Président et General Manager des offres logicielles de sécurité chez HP, basé à San Francisco.

Aujourd’hui, les hackers sont très organisés.