background preloader

Guide sécurité avancé : la méthode de gestion des risques

Guide sécurité avancé : la méthode de gestion des risques

Surveillance, trace, profil .” M. Foucault « Big Brother is watching you ». Aussi importe-t-il moins de savoir si on peut tout surveiller (oui, on peut !) Trace Les nouvelles technologies de l’information et de la communication enregistrent une multitude de traces : ondes, émissions, sans parler des dispositifs destinés à faciliter le repérage des mouvements d’un individu (tel le bracelet qui permet de suivre les prisonniers en permission ou à domicile). Une nouvelle notion est apparue pour rendre compte de tous ces phénomènes : la trace .. Si tout trajet fait trace, personne ne court plus vite que son passé. La technologie multiplie les mémoires et les interconnecte . Bien qu’elle puisse être un indice pour une éventuelle police de la pensée, la trace informatique concerne chacun d’entre nous, surtout en tant que consommateur individualisable soumis à des stratégies commerciales . Profil Qui dit profil dit profit. C’est aussi une technique d’espionnage stricto sensu. Signature Contrôler ses traces. Traquer, traiter

Methode EBIOS Un article de Wikipédia, l'encyclopédie libre. Schéma synthétique de la méthode La méthode EBIOS est une méthode d'évaluation des risques en informatique, développée par l'Agence nationale de la sécurité des systèmes d'information (ANSSI). Elle permet d'apprécier les risques Sécurité des systèmes d'information (entités et vulnérabilités, méthodes d’attaques et éléments menaçants, éléments essentiels et besoins de sécurité...), de contribuer à leur traitement en spécifiant les exigences de sécurité à mettre en place, de préparer l'ensemble du dossier de sécurité nécessaire à l'acceptation des risques et de fournir les éléments utiles à la communication relative aux risques. Elle est compatible avec les normes ISO 13335 (GMITS), ISO 15408 (critères communs) et ISO 17799. Utilisateurs[modifier | modifier le code] Étapes de la démarche[modifier | modifier le code] Étude du contexte[modifier | modifier le code] L'étape se divise en trois activités: L'étape se divise en deux activités :

Identité numérique, quels enjeux pour l'école ? Alors qu'Internet est en passe de devenir le loisir préféré des jeunes devant la télévision [1], les rapports sur la cybercriminalité mettant en garde contre les dangers du web 2.0 et l'utilisation frauduleuse des données personnelles se multiplient. Ce double constat amène à penser qu'il est plus que jamais nécessaire d'éduquer les jeunes à Internet et d’aborder avec eux la question de l'identité numérique - ce qui n’est pas chose aisée. En effet, cette question nous renvoie à nos pratiques, nos jugements, nos positionnements intellectuels et moraux (voire juridiques) qui sont généralement différents de ceux des élèves. Pour schématiser : d'un côté, l'adulte enseignant qui, interloqué, se demande comment « ils » peuvent s'afficher ainsi sur Internet, comment « ils » peuvent ne pas se rendre compte des dangers qui les guettent, de l'autre, des adolescents qui pensent que, s'ils ne s'affichent pas, ils n'existent pas et que demain est un autre jour ...

10 conseils pour la sécurité de votre système d’information 1. Adopter une politique de mot de passe rigoureuse L’accès à un poste de travail informatique ou à un fichier par identifiant et mot de passe est la première des protections. 2. L’accès aux postes de travail et aux applications doit s’effectuer à l’aide de comptes utilisateurs nominatifs, et non « génériques » (compta1, compta2…), afin de pouvoir éventuellement être capables de tracer les actions faites sur un fichier et, ainsi, de responsabiliser l’ensemble des intervenants. 3. Les postes des agents doivent être paramétrés afin qu’ils se verrouillent automatiquement au-delà d’une période d’inactivité (10 minutes maximum) ; les utilisateurs doivent également être incités à verrouiller systématiquement leur poste dès qu’ils s’absentent de leur bureau. 4. L’accès aux données personnelles traitées dans un fichier doit être limité aux seules personnes qui peuvent légitimement y avoir accès pour l’exécution des missions qui leur sont confiées. 5. 6. 7. 8. 9. 10.

Données privées : le piratage de Target encore plus grave qu’annoncé ? La semaine dernière, l’enseigne de grande distribution américaine Target annonçait avoir été victime d’une grave intrusion au cours de laquelle des pirates informatiques ont dérobé les coordonnées de cartes bancaires de plus de 40 millions de ses clients. Les faits se sont déroulés entre le 27 novembre et le 15 décembre, au beau milieu de la période de Thanksgiving. Target a communiqué officiellement le 19 décembre. Une affaire des plus embarrassantes d’autant que l’on vient d’apprendre que les codes PIN chiffrés de ces cartes bancaires auraient également été détournés. C’est ce qu’affirme Reuters qui cite un représentant de l’une des principales banques américaines qui dit craindre que les pirates parviennent à décrypter ces données pour pouvoir effectuer des retraits. « Nous continuons à n’avoir aucune raison de penser que des données PIN, chiffrées ou non, ont été compromises.

Related: