background preloader

Saga Bluetouff : qu’est-ce qu’un délit d’entrave à un SI ? Par Claudia Weber et Arthur Duchesne, Avocats.

Saga Bluetouff : qu’est-ce qu’un délit d’entrave à un SI ? Par Claudia Weber et Arthur Duchesne, Avocats.
Accueil Actualités juridiques du village Droit des TIC, informatique, propriété intellectuelle Articles divers Par Claudia Weber et Arthur Duchesne, Avocats. - lundi 21 juillet 2014 La saga relative aux démêlés judiciaires d’un internaute ayant téléchargé des données confidentielles laissées en libre accès sur internet oblige aujourd’hui les juges à rechercher un équilibre entre l’insécurité juridique dans laquelle peuvent être placés les internautes lors de leur navigation et l’obligation forte qui pèse sur les entreprises et organismes en matière de sécurisation de leurs SI [1]. En l’espèce, un particulier connu sous le pseudonyme Bluetouff effectuait des recherches sur le moteur de recherches « Google » lorsqu’il a été orienté vers une page extranet de l’Agence nationale de sécurité sanitaire de l’alimentation, de l’environnement et du travail (« ANSES »). Par un premier jugement du 23 avril 2013 , le TGI de Créteil a prononcé la relaxe de Bluetouff, au motif que : Notes : Related:  aorai71

Avec « Project Zero », Google veut sécuriser davantage Internet La nouvelle est arrivée par un billet sur le blog de sécurité de Google, mardi 15 juillet. Chris Evans, ancien responsable de la sécurité de Chrome, le navigateur de Google, a annoncé qu'un petit groupe de « super-hackers » allait travailler sur un projet nommé « Project Zero », qui a pour but de « rendre Internet plus sûr ». Cela passe par résoudre les failles « zero-day », celles qui n'ont jamais été trouvées et qui peuvent devenir dangereuses si elles sont découvertes par des personnes mal intentionnées. Le travail du groupe ne se limitera pas aux différents produits de Google. « Nous ne nous fixons aucune limite. The Verge indique que Google avertira les différentes entreprises ou organisations des failles et attendra leur réparation, avant de la poster sur une base de données publique, « pour que tous les utilisateurs de l'entreprise et ses partenaires puissent la corriger à leur tour sur leurs systèmes ». L'approche de Google n'est pas entièrement désintéressée.

RSSI, préparez-vous à l’arrivée du responsable du risque numérique En 2015, un nouveau responsable va arriver dans l’entreprise, le responsable du risque numérique (Digital Risk Officer), annonce le cabinet d’analystes Gartner. Des défaillances des services Et d’ici 2017, un tiers des grandes entreprises auront un responsable du risque numérique lorsqu’elles ont des activités numériques. Cette gestion du risque numérique s’impose d’autant plus que selon Gartner, 60% des entreprises ayant des activités numériques souffriront en 2020 d’importantes défaillances de leurs services à cause de l’incapacité des équipes de la sécurité informatique à gérer les risques spécifiques au numérique, en particulier ceux issus de l’internet des objets. Le responsable du risque numérique devra posséder un mélange de perspicacité et de compréhension du business, et un minium suffisant de connaissance techniques pour évaluer et formuler des recommandations pour gérer les risques touchant les activités numériques de l’entreprise. Les RSSI tentés d’évoluer Une approche naturelle

[MàJ] Bluetouff décide de se pourvoir en Cassation Mise à jour : L’affaire « Bluetouff » ne va pas s’en arrêter là. L’avocat d’Olivier Laurelli, Maître Iteanu, a en effet annoncé hier sur Twitter que son client avait finalement décidé de se pourvoir en cassation. Le soulagement ayant fait suite à la relaxe d’Olivier Laurelli, alias « Bluetouff », n’aura pas duré très longtemps. Après avoir été innocenté en avril dernier, le blogueur vient en effet d’être condamné par la cour d’appel de Paris à 3 000 euros d’amende pour avoir téléchargé depuis Internet des documents d'une agence gouvernementale, lesquels étaient librement accessibles du fait d’une faille de sécurité. Le verdict de la cour d’appel de Paris est tombé hier. Le blogueur Olivier Laurelli a écopé d’une amende de 3 000 euros pour « maintien frauduleux dans un système de traitement automatisé de données » et « vol » de documents. Des documents accessibles suite à une recherche Google Comment peut-on se maintenir frauduleusement après un accès licite ? (...)

Faille de sécurité : avertissement public de la Cnil Faille de sécurité. La société DHL Express France vient de faire l’objet d’un avertissement public prononcé par la formation restreinte de la Cnil, le 12 juin dernier, sur deux manquements importants à la loi Informatique, fichiers et libertés. D’une part, un manquement à l’obligation d’assurer la confidentialité et la sécurité des données (art. 34 de la loi informatique et libertés) et d’autre part, un manquement à l’obligation de définir une durée de conservation des données traitées, proportionnée à la finalité du traitement (art. 6-5° de la loi informatique et libertés). Dans cette affaire, la Cnil avait été alertée suite à une faille affectant directement la sécurité des données collectées par DHL et comportant les demandes de « relivraison » des colis. Laure Landes-Gronowski Pauline Binelli-WaintropLexing Droit Informatique et libertés

Une nouvelle directive européenne pour la sécurité des données personnelles La Commission européenne prépare une série de propositions pour renforcer la protection des données numériques assorties de sanctions allant jusqu'à un million d'euros ou 5% du chiffre d'affaires d'une entreprise, selon des documents que l'AFP s'est procurés mardi. Le projet comportant une directive et un règlement amenés à remplacer une directive de 1995 et préparé par les services de la commissaire européenne à la Justice, Viviane Reding, devrait être présenté le 25 janvier. Il vise à permettre aux utilisateurs de l'internet d'avoir un meilleur contrôle sur leurs données personnelles. Il est notamment prévu que les citoyens puissent faire valoir un "droit à l'oubli numérique", ce qui obligera notamment les réseaux sociaux à supprimer les données personnelles (photos ou autres) des utilisateurs qui le demanderont. En cas d'infraction à ces règles, des amendes pourront aller jusqu'à un million d'euros pour les personnes et 5% du chiffre d'affaires mondial pour les entreprises.

Gestion des mails au travail : où est la frontière professionnel/privé ? Bien souvent, les salariés ont recours à la fonction "transfert" pour s'envoyer des documents vers leur boîte mail privée lorsqu'ils souhaitent en conserver une copie électronique. Si cette action semble a priori anodine, elle est dans les faits extrêmement encadrée et peut déboucher sur un licenciement pour faute, reconnu par les tribunaux. Règlement intérieur et clause de confidentialité. Le transfert autorisé dans le seul but de constituer des preuves ? Or, le salarié qui était en conflit avec son employeur invoque une position constante de la cour de cassation : la possibilité donnée à tout salarié de se constituer un dossier, y compris par le transfert de mails. Des jugements différents. Indiquer la mention "personnel" Un arrêt confirmé et précisé. "Mes documents" non significatif.

Introduction au contrôle de la qualité de service QOS et SLA Le module SLA Report Center de LoriotPro vous aide à mesurer et à contrôler la qualité de service de votre système d’information ainsi que la conformité des contrats de service (SLA). Cette introduction présente les concepts et la terminologie liés à la mesure de qualité de service. Voici en premier les définitions des 3 termes les plus utilisés dans ce document, QOS, SLM et SLA. QOS (Quality of Service) Qualité de service SLM (Service Level Management) Gestion du niveau de service SLA (Service Level Agreement) Contrat de niveau de service Dans le contexte des systèmes d’information la qualité de service s’exprime simplement pour les utilisateurs par les critères suivants : Disponibilité de l’accès aux applications et aux systèmes Performance de l’accès aux applications et aux systèmes La pertinence de l’application (qualité de l’application par rapport à leurs besoins métiers) Définir la gestion de niveau de service (SLM)

Une charte de l'administrateur de système et de réseau Complexité en expansion, risques multipliés La multiplication de questions de plus en plus complexes liées à la sécurité des systèmes et des réseaux, l’imbrication de plus en plus intime des aspects techniques et juridiques de ces questions et le risque accru de conséquences judiciaires en cas d’erreur incitent à la rédaction, au sein de chaque entreprise ou organisation, d’une charte de l’administrateur de système et de réseau qui rappelle les devoirs, les pouvoirs et les droits des ingénieurs et des techniciens qui administrent la sécurité des réseaux, des ordinateurs et en fin de compte du système d’information. Cette activité d’administration de la passerelle de messagerie de l’entreprise lui permet de détecter les usages contraires à la loi qui pourraient en être faits par des employés indélicats, dont les exemples les plus courants sont, non limitativement : Règles de conduite Secret professionnel Mots de passe « - Non ! Proposition de charte Préambule Définitions Surveillance et audit

La culture informationnelle » Le concept de veille informationnelle Chacun de nous, les prospectivistes, économistes et politiques s’accordent aujourd’hui pour donner au savoir, à la compétence, aux moyens de les acquérir et donc à l’apprentissage, une fonction vitale dans le développement des personnes, des organisations et des nations de ce XXI° siècle naissant. Le livre blanc sorti en 1995 et intitulé « Enseigner et apprendre » avaient déjà pour unique objectif : Préparer les Européens à passer sans heurts à une société fondée sur l’acquisition des connaissances, où l’on ne cesse d’apprendre et d’enseigner tout au long de la vie, autrement dit à une société cognitive. Notre modèle scolaire serait dominé comme le cite Carré dans son ouvrage sur l’apprenance par «Le scénario de la transmission et les figures de l’élève ou du formé, réceptacles plus ou moins volontaires, plus ou moins passifs, de l’action éducative du maître ou du formateur ».

L'Union européenne lève les obstacles à l'identification numérique Un règlement européen prévoit une validité européenne aux signatures électroniques et aménage singulièrement la réglementation sur le sujet de l'identification numérique. PublicitéLe règlement européen eIDAS (Electronic Identification And trust Services) a été adopté le 23 juillet 2014 par le Conseil de l'Union Européenne et publié le 28 août au journal officiel de l'Union Européenne sous la référence 910/2014, le faisant entrer en vigueur ces jours-ci. Il renouvelle la réglementation de 1999 sur la signature électronique et, au delà, l'identification numérique à l'échelle européenne. En tant que règlement et non directive, ce texte est d'application directe sans avoir avoir besoin d'être retranscrit en droit national dans chaque pays membre. Neutralité technologique pour le processus de signature Sur le plan technique, le support physique (carte à puce...) du certificat de signature électronique n'est plus favorisé. PublicitéFaciliter les échanges au sein de l'Europe Article rédigé par

10 conseils pour la sécurité de votre système d’information Chiffres clés Au 1 septembre 2013, le FNAEG contenait les profils génétiques de 2 547 499 individus dont :1 911 675 personnes mises en causes 430 298 personnes condamnées 149 097 traces non identifiées À quoi sert ce fichier ? Le FNAEG sert à faciliter l’identification et la recherche : des auteurs d’infractions à l’aide de leur profil génétique de personnes disparues à l’aide du profil génétique de leurs descendants ou de leurs ascendants. Qui est responsable de ce fichier ? La direction centrale de la police judiciaire au ministère de l’Intérieur, sous le contrôle d’un magistrat. Que contient ce fichier ? Le FNAEG centralise les empreintes génétiques de : personnes non identifiées (empreintes issues de prélèvements sur les lieux d’une infraction) personnes identifiées (personnes condamnées ou mises en cause pour une des infractions listées à l'article 706-55 du code de procédure pénale). Les empreintes sont complétées des informations suivantes : Critères d’inscription dans ce fichier À noter

L'administrateur, bête noire pour la sécurité des IBM System i Si les System i d'IBM (ex-AS/400) ont longtemps joui d'une réputation de fiabilité à toute épreuve, ils sont de plus en plus vulnérables à des attaques du fait des pratiques de sécurité contestables de leurs administrateurs. Selon une étude portant sur 188 System i réalisée par le PowerTech Group, une société de sécurité de l'Etat de Washington, nombre d'entreprises n'ont pas assez de mécanismes de contrôle interne en place pour protéger les données sur leurs serveurs. Par exemple, 90% des systèmes audités n'avaient aucun contrôle en place pour prévenir ou auditer des modifications de données depuis un PC externe. 95% des systèmes disposaient au moins de 10 utilisateurs avec des droits d'accès administrateur et 43 % avait plus de 30 utilisateurs avec des droits "root". 77% des systèmes avaient aussi au moins 20 utilisateurs dont les mots de passe étaient les mêmes que leur login.

Related: