Affaire Snowden : comment contrôler les droits d'administration Edward Snowden, auteur des révélations faites sur les programmes d'espionnage de la NSA, avait pu accéder simplement aux informations critiques de l'agence grâce à ses droits administrateurs. Si les administrateurs des systèmes d'informations se doivent de posséder un accès étendu aux machines, leurs droits d'entrée doivent être impérativement contrôlés et régulés. Une leçon mise en évidence par l'affaire Snowden. L'affaire Snowden est pleine de leçons pour les responsables de la sécurité des systèmes d'information. 20% des organisations ne connaissent pas le nombre de compte administrateurs ouverts La firme a ainsi approché 340 participants de la conférence FOCUS 13 de McAfee pour en apprendre un peu plus sur la question. La solution réside donc peut-être dans une approche repensée de l'attribution des droits étendus.
Données de santé : ce que change la loi du 26 janvier 2016 La loi de modernisation de notre système de santé n°2016-41 vient d’être promulguée le 26 janvier 2016 et publiée au journal officiel le 27 janvier 2016. Rappelons que la procédure d’agrément des hébergeurs de données de santé à caractère personnel a été instaurée par la loi n°2002-303 du 4 mars 2002, dite "loi Kouchner". Elle vise à assurer la sécurité, la confidentialité et la disponibilité des données de santé à caractère personnel, lorsque leur hébergement est externalisé. de l'Hébergement de données de santé à caractère personnel Pilotée par l’ASIP Santé, elle s’impose dans les conditions suivantes : "Les professionnels de santé ou les établissements de santé ou la personne concernée peuvent déposer des données de santé à caractère personnel, recueillies ou produites à l'occasion des activités de prévention, de diagnostic ou de soins, auprès de personnes physiques ou morales agréées à cet effet. Selon l’interprétation pragmatique de l’ASIP Santé, la réglementation (art.
Justice : un sysadmin ne peut pas se muer en justicier En raison de ses droits d’accès étendus, un administrateur réseau peut-il se muer en lanceur d’alertes ? Et si, oui comment ? A cette question, le tribunal correctionnel d’Annecy apporte un début de réponse dans une affaire opposant la société Téfal à un de ses anciens salariés et à une inspectrice du travail, à qui cet admin avait transmis des documents relatifs aux pratiques de son entreprise. L’affaire remonte à 2013 quand le sysadmin de Tefal, basé à Rumilly, en conflit avec son employeur sur le paiement d’heures supplémentaires, découvre que ce dernier envisagerait de le licencier par des moyens illégaux. Selon lui, c’est un document trouvé à l’imprimante qui lui met la puce à l’oreille. A noter que, selon l’enquête, l’ex-employé de Tefal, qui avait un niveau d’administrateur d’infrastructure pour la France, se serait aussi introduit dans le système de messagerie, pour copier des éléments échangés par la direction des ressources humaines de son employeur. A lire aussi :
L’administrateur réseau a le pouvoir de lire les messages personnels La Cour de Cassation, dans un arrêt du 17 juin 2009 rappelle qu’un administrateur de réseau, qui est tenu par une clause de confidentialité, a la possibilité d’accéder aux messages personnels des salariés dans le cadre de sa mission de sécurité du réseau informatique. La jurisprudence a eu l’occasion de rappeler à plusieurs reprises que la protection de la vie privée des salariés interdit aux employeurs d’ouvrir les messages qualifiés de personnel sauf risque ou événement particulier (Cf. Cass. Soc. 2 oct. 2001, Bull. civ. Il appartient en effet au salarié d’identifier les messages personnels par une mention explicite car à défaut d’une telle mention, ceux-ci seront présumés professionnels et pourront être librement consultés par l’employeur. La Haute Cour vient préciser ici une distinction à opérer entre les pouvoirs de l’employeur dans ce domaine et ceux de l’administrateur réseau. S’appuyant sur l’article L.2313-2 du Code du travail qui dispose que : Ce second point est important.
Jurisprudences | Tribunal de grande instance de Vannes Jugement du 29 avril 2004 jeudi 29 avril 2004 Tribunal de grande instance de Vannes Jugement du 29 avril 2004 Ministère public, syndicats professionnels, sociétés de l’édition vidéo, sociétés de production et autres / Claude L.C. et autres recel - droit d’auteur - reproduction - contrefaçon - mise à disposition - telechargement - pénal - peer to peer * Ministère public, * Les syndicats professionnels : La Fédération nationale des distributeurs de films (Fndf), Le syndicat de l’édition vidéo (SEV) * Les sociétés d’édition vidéo : Twentieth Century Fox Home Entertainment France, Buena Vista Home Entertainment, Gaumont Columbia Tristar Home Video, Paramount Home Entertainment France, Universal Pictures Video, Warner Bros France * Les sociétés de production : Twentieth Century Fox Film Corporation, Columbia Pictures Industries, Disney Enterprises, Dreamworks, MGM Entertainment, Paramount Pictures Corporation, Tristar Pictures, Universal City Studios, Warner Bros, * Autres Sacem, Sdrm Et prévenus de : Sur l’action publique . . .
Cadre juridique des administrateurs réseaux Les administrateurs réseaux assurent le fonctionnement normal et la sécurité du système informatique de leur employeur. Ils sont susceptibles d’avoir accès, dans l’exercice de cette mission, à des informations personnelles relatives aux utilisateurs (messageries, logs de connexion, etc.). L’accès par les administrateurs aux données enregistrées par les salariés dans le système d’information est justifié par le bon fonctionnement dudit système, dès lors qu’aucun autre moyen moins intrusif ne peut être mis en place. Ils doivent dès lors s’abstenir de toute divulgation d’informations qu’ils auraient été amenés à connaître dans le cadre de l’exercice de leur mission, et en particulier les informations relevant de la vie privée des employés ou couvertes par le secret des correspondances, dès lors qu’elles ne remettent pas en cause le fonctionnement technique ou la sécurité des applications, ou encore l’intérêt de l’employeur.
Tour des menaces informatiques en 2016 et à l’horizon 2020 Ransomwares, attaques sur les objets connectés, cyberespionnage…, le nouveau rapport McAfee Labs d’Intel Security intitulé « McAfee Labs Threat Predictions Report » prédit les principales tendances à anticiper en 2016 en matière de menaces informatiques. Il fournit également un aperçu prédictif de ce paysage jusqu’à l’horizon 2020 et livre les potentielles réponses de l’industrie de la sécurité informatique face à l’évolution des cyber-menaces. Les menaces à venir en 2016 L’éventail des risques à anticiper en 2016 s’étend des probables attaques de ransomwares aux risques d’attaques contre les véhicules connectés, en passant par des attaques contre des infrastructures, ou encore la vente de données volées, etc. -Matérielle. -Ransomware. -Ciblées sur les accessoires connectés. -Par des OS des salariés. -Services Cloud. -Voitures. -Stockage de données volées. -Contre l’intégrité de système. -Partage de renseignements sur les menaces. Les prévisions à l’horizon 2020 -Attaques sous l’OS.
Les députés concluent un accord avec le Conseil sur les toutes premières règles européennes relatives à la cybersécurité Les entreprises de transport et d'énergie devront veiller à ce que l'infrastructure numérique qu'elles utilisent pour fournir des services essentiels, comme le contrôle du trafic ou la gestion des réseaux d'électricité, soit suffisamment solide pour résister aux cyberattaques, conformément aux nouvelles règles conclues lundi de manière provisoire entre les députés de la commission du marché intérieur et la présidence luxembourgeoise du Conseil des ministres de l'UE. Les marchés en ligne comme eBay ou Amazon, les moteurs de recherche et les nuages informatiques (clouds) seront aussi tenus de garantir une infrastructure sûre. "Aujourd'hui, nous avons franchi une étape: nous nous sommes mis d'accord sur les toutes premières règles européennes relatives à la cybersécurité, que le Parlement demande depuis des années", a affirmé le rapporteur Andreas Schwab (PPE, DE) après la conclusion de l'accord. "De plus, cette directive marque le début d'une réglementation des plateformes.
Jurisprudences | Cour de cassation Chambre sociale Arrêt du 17 juin 2009 mercredi 17 juin 2009 Cour de cassation Chambre sociale Arrêt du 17 juin 2009 Sanofi / Joseph G.et Jean-Louis P. vie privée Attendu, selon l’arrêt attaqué (Aix-en-Provence, 20 novembre 2007), qu’en janvier 2006, des lettres anonymes ont été adressées à des responsables de la société Sanofi chimie comportant des renseignements démontrant que leur auteur avait eu accès à des courriers confidentiels et verrouillés de l’entreprise classée Seveso ; que la direction a demandé en conséquence à l’administrateur chargé du contrôle du service informatique de contrôler les postes informatiques de dix-sept salariés susceptibles d’avoir eu accès auxdites informations afin de rechercher l’auteur des courriers anonymes ; que MM. Sur le premier moyen : Et sur le second moyen : Par ces motifs : . . . Moyens produits par la SCP Gatineau et Fattaccini, avocat aux Conseils pour la société Sanofi chimie. Premier moyen de cassation Il est fait grief à l’arrêt attaqué d’avoir déclaré l’appel recevable ; 1. 2. 3.