background preloader

Raphaestla

Facebook Twitter

Risque sécurité hacking. Le Hacknowledge-Contest bénéficie d'une large couverture de presse.

risque sécurité hacking

Contact presse : Damien BANCAL - ZATAZ - hnc@damienbancal.fr / 0756908090 Damien Bancal TvLux Reportage par TvLux sur le challenge Belgique qui s'est déroulé au Wex les 26 et 27 avril 2014 Jounal l'Avenir Julien Bil. Affaire Snowden : comment contrôler les droits d'administration. Edward Snowden, auteur des révélations faites sur les programmes d'espionnage de la NSA, avait pu accéder simplement aux informations critiques de l'agence grâce à ses droits administrateurs.

Affaire Snowden : comment contrôler les droits d'administration

Si les administrateurs des systèmes d'informations se doivent de posséder un accès étendu aux machines, leurs droits d'entrée doivent être impérativement contrôlés et régulés. Une leçon mise en évidence par l'affaire Snowden. L'affaire Snowden est pleine de leçons pour les responsables de la sécurité des systèmes d'information. 20% des organisations ne connaissent pas le nombre de compte administrateurs ouverts La firme a ainsi approché 340 participants de la conférence FOCUS 13 de McAfee pour en apprendre un peu plus sur la question. 4 conseils pour éviter une affaire Snowden dans votre entreprise - Les Echos. Social Pénibilité : Manuel Valls prêt à tout changer Mardi un rapport sur la mise en œuvre du compte pénibilité est remis à Manuel Valls.

4 conseils pour éviter une affaire Snowden dans votre entreprise - Les Echos

La plupart des critères de pénibilité seront forfaitisés en fonction... Tourisme - Transport Un vol d'Air France Paris-New York escorté après une menace L’appareil a été escorté par des avions de chasse environ « une heure avant son arrivée, après des menaces venant d’un appel téléphonique passé... Collectivités locales Paris : vers une vitesse limitée à 30 km/h dans le centre et l’est.

Keylogger : des dispositifs de cybersurveillance particulièrement intrusifs. Les " keyloggers " sont des dispositifs de surveillance, parfois téléchargeables gratuitement depuis le web, qui se lancent automatiquement à chaque démarrage de la session de l'utilisateur, à son insu.

Keylogger : des dispositifs de cybersurveillance particulièrement intrusifs

Une fois lancés, ils permettent, selon les versions, d'enregistrer toutes les actions effectuées par les salariés sur leur poste informatique sans que ceux-ci s'en aperçoivent. Toute frappe saisie sur le clavier ou tout écran consulté est enregistré avec un horodatage. Des alertes peuvent être automatiquement envoyées à la personne ayant installé le dispositif lorsque le salarié ainsi surveillé saisit sur son clavier un mot prédéterminé.

Selon son paramétrage, le dispositif permet également de générer des rapports, récapitulant l'ensemble des actions faites à partir d'un poste informatique, qui sont directement envoyés sur le poste informatique de celui qui aura installé le logiciel espion. Swisslife renforce la gestion des comptes à privilège. Pour renforcer sa politique de sécurité, Swisslife s'est équipé d'une solution de gestion des comptes à privilège.

Swisslife renforce la gestion des comptes à privilège

PublicitéAvec plus de 110 ans d'existence en France, Swiss Life, 3,8 Md€ de chiffre d'affaires en 2013, est un des acteurs majeurs sur les marchés de l'assurance patrimoniale en vie et retraite et de l'assurance santé et prévoyance. Pour faire tourner son système d'information, le groupe s'appuie une DSI composée de 300 personnes dont 200 en interne. Entièrement virtualisée, son infrastructure repose sur un millier de serveurs.

Dans le cadre d'une refonte de ses systèmes de sécurité, la DSI a notamment lancé en 2012 une audit sur la gestion des comptes à privilège. L'obligation de l'employeur d'assurer la sécurité des données. Bien souvent, les entreprises associent – et à tort limitent – leurs obligations résultant de la Loi du janvier 1978 à des obligations déclaratives.

L'obligation de l'employeur d'assurer la sécurité des données

Le fait est que la protection des données à caractère personnel, notamment dans le cadre des entreprises, ne se résume pas à une succession de déclarations de traitements de données. Il appartient également – et de manière tout aussi importante – au responsable d’un traitement de données à caractère personnel de prendre les mesures nécessaires pour sécuriser ses données. L’article 34 de la Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, dans sa rédaction actuelle, dispose en effet : « Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. »

Affaire Snowden : comment contrôler les droits d'administration. Un administrateur condamné pour abus de privilèges AVRIL 2014. Depuis un arrêt célèbre (Arrêt Nikon du 2 octobre 2001) les tribunaux reconnaissent au salarié un droit d’usage personnel de l’outil informatique mis à sa disposition par son employeur.

Un administrateur condamné pour abus de privilèges AVRIL 2014

Ce droit est encadré de différentes manières et peut schématiquement se résumer ainsi : Tous les messages adressés ou reçus par le salarié dans sa boite aux lettres électronique sont présumés professionnels, sauf s’ils sont identifiés comme personnels. L’employeur ne peut pas avoir accès aux messages personnels, mais le salarié ne doit pas abuser du droit qui lui est reconnu, notamment en apposant systématiquement la mention « personnel » sur tous les messages qu’il émet. L’administrateur du système (c’est-à-dire l’informaticien chargé d’assurer son bon fonctionnement), peut prendre connaissance librement de tous les messages, mais ne peut en révéler le contenu à l’employeur, lorsqu’ils présentent un caractère personnel. La Cour de Paris confirme ce jugement. Faille de sécurité et responsabilité de l'entreprise. On voit mal comment une entreprise peut aujourd’hui travailler sans faire appel à l’informatique.

Faille de sécurité et responsabilité de l'entreprise

Or dans l’univers informatique les données peuvent être endommagées, détruites, perdues. L’administrateur réseau a le pouvoir de lire les messages personnels. La Cour de Cassation, dans un arrêt du 17 juin 2009 rappelle qu’un administrateur de réseau, qui est tenu par une clause de confidentialité, a la possibilité d’accéder aux messages personnels des salariés dans le cadre de sa mission de sécurité du réseau informatique.

L’administrateur réseau a le pouvoir de lire les messages personnels

La jurisprudence a eu l’occasion de rappeler à plusieurs reprises que la protection de la vie privée des salariés interdit aux employeurs d’ouvrir les messages qualifiés de personnel sauf risque ou événement particulier (Cf. Cass. Soc. 2 oct. 2001, Bull. civ. V, n° 291). Il appartient en effet au salarié d’identifier les messages personnels par une mention explicite car à défaut d’une telle mention, ceux-ci seront présumés professionnels et pourront être librement consultés par l’employeur. La Haute Cour vient préciser ici une distinction à opérer entre les pouvoirs de l’employeur dans ce domaine et ceux de l’administrateur réseau. S’appuyant sur l’article L.2313-2 du Code du travail qui dispose que :