background preloader

Les 10 technologies que les responsables de sécurité IT doivent connaître - La Revue du Digital

Les 10 technologies que les responsables de sécurité IT doivent connaître - La Revue du Digital
La sécurité informatique de nouvelle génération passe par le Big Data, l’internet des objets, la virtualisation, le confinement, les passerelles Cloud, … Au total dix technologies qui ont de quoi donner des maux de tête à tout responsable de la sécurité IT. Mais ils n’auront pas le choix selon le cabinet Gartner. La sécurité informatique a toujours été complexe et c’est une nouvelle étape qui est en train d’être franchie avec le Cloud, les réseaux sociaux, les mobiles et l’internet des objets. Dix technologies à maîtriser Le cabinet Gartner liste les dix technologies que les responsables sécurité vont devoir maîtriser cette année. Elles font appel à du Big Data, de la simulation, du confinement, une connaissance pointue des flux de données et des outils capables de les analyser. En tête de liste, dans ces dix techniques on trouve la mise en place de « courtiers d’accès au Cloud ». Prendre en compte le contexte d’un accès Deuxième technique, le contrôle adaptatif des accès.

http://www.larevuedudigital.com/2014/06/informatique/les-responsables-securite-it-doivent-passer-a-la-vitesse-superieure/

Faille de sécurité et responsabilité de l'entreprise On voit mal comment une entreprise peut aujourd’hui travailler sans faire appel à l’informatique. Or dans l’univers informatique les données peuvent être endommagées, détruites, perdues. C’est pourquoi tout professionnel doit procéder a minima à des mesures de sauvegarde et de sécurité de ses données. Il s’agit de mesures de gestion saine et d’anticipation des risques auxquelles tout dirigeant se doit de se conformer. L’intrusion dans un système informatique et ses conséquences juridiques. Il existe différents types de pirates informatiques : du hacker classique, qui s’introduit dans les systèmes par des moyens illégaux sans détruire les données ni utiliser les informations données, mais dans le seul but de faire savoir qu’il existe des failles de sécurité au cracher (casseur), appellation qui désigne le pirate le plus dangereux qui détruit dans un but précis ou pour le plaisir. Or, aux yeux de la loi, chacun d’entre eux peut être poursuivi au regard des dispositions du Code pénal en matière de fraude informatique. L’intrusion peut s’effectuer par le biais d’un programme qui se cache lui-même dans un programme « net » (par exemple reçu dans la boite aux lettres ou téléchargé). L’un des plus connus est le Back Office qui permet d’administrer l’ordinateur à distance. En outre, le piratage peut avoir comme cible les mots de passe du système. I.

Un administrateur condamné pour abus de privilèges AVRIL 2014 Depuis un arrêt célèbre (Arrêt Nikon du 2 octobre 2001) les tribunaux reconnaissent au salarié un droit d’usage personnel de l’outil informatique mis à sa disposition par son employeur. Ce droit est encadré de différentes manières et peut schématiquement se résumer ainsi : Tous les messages adressés ou reçus par le salarié dans sa boite aux lettres électronique sont présumés professionnels, sauf s’ils sont identifiés comme personnels. L’employeur ne peut pas avoir accès aux messages personnels, mais le salarié ne doit pas abuser du droit qui lui est reconnu, notamment en apposant systématiquement la mention « personnel » sur tous les messages qu’il émet. L’administrateur du système (c’est-à-dire l’informaticien chargé d’assurer son bon fonctionnement), peut prendre connaissance librement de tous les messages, mais ne peut en révéler le contenu à l’employeur, lorsqu’ils présentent un caractère personnel.

Un ingénieur réseau poursuivi pour sabotage risque 10 ans de prison Aujourd'hui en charge de la sécurité IT chez The Home Depot, Ricky Joe Mitchell encourt une peine de 10 ans de prison pour sabotage. Crédit D.R. Quand il a appris que son employeur EnerVest était sur le point de le licencier, l'ingénieur réseau Ricky Joe Mitchell a supprimé les comptes téléphoniques et certaines données de sauvegarde de l'entreprise. Il a admis les faits et risque jusqu'à 10 ans de prison. L'obligation de l'employeur d'assurer la sécurité des données Bien souvent, les entreprises associent – et à tort limitent – leurs obligations résultant de la Loi du janvier 1978 à des obligations déclaratives. Le fait est que la protection des données à caractère personnel, notamment dans le cadre des entreprises, ne se résume pas à une succession de déclarations de traitements de données. Il appartient également – et de manière tout aussi importante – au responsable d’un traitement de données à caractère personnel de prendre les mesures nécessaires pour sécuriser ses données. L’article 34 de la Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, dans sa rédaction actuelle, dispose en effet : « Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. »

Administrateur réseaux Présentation L’administrateur systèmes et réseaux a pour mission d’offrir un réseau informatique de qualité à l’entreprise. Pour conduire des projets informatiques, administrer le réseau et apporter un support aux utilisateurs, il doit : Cadre juridique des administrateurs réseaux Les administrateurs réseaux assurent le fonctionnement normal et la sécurité du système informatique de leur employeur. Ils sont susceptibles d’avoir accès, dans l’exercice de cette mission, à des informations personnelles relatives aux utilisateurs (messageries, logs de connexion, etc.). L’accès par les administrateurs aux données enregistrées par les salariés dans le système d’information est justifié par le bon fonctionnement dudit système, dès lors qu’aucun autre moyen moins intrusif ne peut être mis en place.

Avec « Project Zero », Google veut sécuriser davantage Internet La nouvelle est arrivée par un billet sur le blog de sécurité de Google, mardi 15 juillet. Chris Evans, ancien responsable de la sécurité de Chrome, le navigateur de Google, a annoncé qu'un petit groupe de « super-hackers » allait travailler sur un projet nommé « Project Zero », qui a pour but de « rendre Internet plus sûr ». Cela passe par résoudre les failles « zero-day », celles qui n'ont jamais été trouvées et qui peuvent devenir dangereuses si elles sont découvertes par des personnes mal intentionnées.

Informatisation « If you've seen the phrase "if it's not measured, it doesn't exist" one too many times used in a nonironic, unthoughtful way, or even worse if you've said that phrase in a moment of triumphant triviality, then I hope I will convince you to cast a skeptical eye on how math and data are used in business » (Cathy O'Neil. On Being a Data Skeptic. O'Reilly, 2014). Notre bien-être, notre santé, nos amours, nos amitiés, la qualité de la nourriture, d'un livre, d'un film ou d'une musique : tout cela se sent, se conçoit, se vit, mais cela ne se mesure pas. Je rencontre cependant des économistes, sociologues ou autres qui pensent que la démarche scientifique exige de s'appuyer toujours sur des statistiques – ou qui, du moins, se complaisent dans la position intellectuelle apparemment inexpugnable que cette exigence procure. « Si ce n'est pas mesuré, disent-ils, ça n'existe pas. » Le fait est que la statistique a une histoire (je lui ai consacré ma thèse).

Une nouvelle directive européenne pour la sécurité des données personnelles La Commission européenne prépare une série de propositions pour renforcer la protection des données numériques assorties de sanctions allant jusqu'à un million d'euros ou 5% du chiffre d'affaires d'une entreprise, selon des documents que l'AFP s'est procurés mardi. Le projet comportant une directive et un règlement amenés à remplacer une directive de 1995 et préparé par les services de la commissaire européenne à la Justice, Viviane Reding, devrait être présenté le 25 janvier. Il vise à permettre aux utilisateurs de l'internet d'avoir un meilleur contrôle sur leurs données personnelles.

Administrateur réseaux Un article de Wikipédia, l'encyclopédie libre. L'administration de réseau est une discipline de l'informatique qui peut éventuellement s'étendre à la téléphonie. L'administrateur réseau est parfois également administrateur système, il gère alors également les postes de travail (PC, Macintosh), imprimantes et serveurs de l'entreprise. Tâches de l'administrateur[modifier | modifier le code] Il peut assurer tout ou une partie de ces missions : L'administrateur réseau veille à ce que tous les utilisateurs aient un accès rapide au système d'information de l'entreprise. La société ORANGE sanctionnée pour défaut de sécurité des données dans le cadre de campagnes marketing En avril 2014, la société ORANGE a notifié à la CNIL une violation de données personnelles, liée à une défaillance technique de l'un de ses prestataires, ayant concerné les données de près de 1,3 million de clients dont leurs nom, prénom, date de naissance, adresse électronique et numéro de téléphone fixe ou mobile. La CNIL a alors procédé à des contrôles auprès de la société et des sous-traitants intervenant dans le cadre de ses campagnes d'emailing promotionnel. La délégation de contrôle a constaté que les dysfonctionnements ayant engendré la faille de sécurité avaient été corrigés. Toutefois, plusieurs lacunes en termes de sécurité des données ont été identifiées et ont justifié l'engagement d'une procédure de sanction. Devant la formation restreinte, la société soutenait avoir pris toutes mesures utiles afin de respecter son obligation de sécurité des données.

Affaire Snowden : comment contrôler les droits d'administration Edward Snowden, auteur des révélations faites sur les programmes d'espionnage de la NSA, avait pu accéder simplement aux informations critiques de l'agence grâce à ses droits administrateurs. Si les administrateurs des systèmes d'informations se doivent de posséder un accès étendu aux machines, leurs droits d'entrée doivent être impérativement contrôlés et régulés. Une leçon mise en évidence par l'affaire Snowden.

Cour de cassation, civile, Chambre sociale, 17 juin 2009, 08-40.274, Publié au bulletin Références Cour de cassation chambre sociale Audience publique du mercredi 17 juin 2009 N° de pourvoi: 08-40274 Publié au bulletin Rejet Mme Collomp, président Mme Grivel, conseiller rapporteur M. Duplat (premier avocat général), avocat général Me Blanc, SCP Gatineau et Fattaccini, avocat(s)

Related: