background preloader

L'administrateur, bête noire pour la sécurité des IBM System i

L'administrateur, bête noire pour la sécurité des IBM System i
Si les System i d'IBM (ex-AS/400) ont longtemps joui d'une réputation de fiabilité à toute épreuve, ils sont de plus en plus vulnérables à des attaques du fait des pratiques de sécurité contestables de leurs administrateurs. Selon une étude portant sur 188 System i réalisée par le PowerTech Group, une société de sécurité de l'Etat de Washington, nombre d'entreprises n'ont pas assez de mécanismes de contrôle interne en place pour protéger les données sur leurs serveurs. Par exemple, 90% des systèmes audités n'avaient aucun contrôle en place pour prévenir ou auditer des modifications de données depuis un PC externe. 95% des systèmes disposaient au moins de 10 utilisateurs avec des droits d'accès administrateur et 43 % avait plus de 30 utilisateurs avec des droits "root". 77% des systèmes avaient aussi au moins 20 utilisateurs dont les mots de passe étaient les mêmes que leur login.

http://www.lemondeinformatique.fr/actualites/lire-l-administrateur-bete-noire-pour-la-securite-des-ibm-system-i-20904.html

Related:  Administrateur système et réseauxpearlsioVeilles Juridique (2014-2015)Responsabilité administrateur réseauVeilles juridiques

Affaire Snowden : comment contrôler les droits d'administration Edward Snowden, auteur des révélations faites sur les programmes d'espionnage de la NSA, avait pu accéder simplement aux informations critiques de l'agence grâce à ses droits administrateurs. Si les administrateurs des systèmes d'informations se doivent de posséder un accès étendu aux machines, leurs droits d'entrée doivent être impérativement contrôlés et régulés. Une leçon mise en évidence par l'affaire Snowden.

Fiche métier Formation : Bac+2 à Bac+5 Profil technique par excellence, l’administrateur systèmes et réseaux est titulaire a minima d’un Bac+2, un BTS informatique ou un DUT réseaux et télécommunications, des cursus généralistes qui leur permettent d’acquérir des bases essentielles. Toutefois, avec la complexification des systèmes d’information, et dans l’optique d’une évolution de carrière, ces informaticiens concluent souvent leur formation initiale par l’obtention d’un diplôme de niveau Bac+4 ou Bac+5. Missions principales Un administrateur systèmes & réseaux pourra se voir confier la responsabilité d’un périmètre plus ou moins étendu. Ces missions sont déterminées par différents paramètres, dont notamment la taille de l’entreprise, l’effectif de la DSI et le recours ou non à de l’externalisation.

L'affaire Bluetouff ou : NON, on ne peut pas être condamné pour utiliser Gogleu Le titre de ce billet peut paraître surprenant, mais il répond en fait à un titre d’article qu’un journal en ligne de la presse spécialisée, au demeurant excellent sur son secteur, a employé pour relater la présente affaire. Comme quoi la communauté geek sait avoir les mêmes réflexes corporatistes que n’importe quel autre groupe social ayant des intérêts communs assez forts. Heureusement, outre son goût pour les pizzas froides et la Guinness, ce qui la caractérise avant tout est le goût de comprendre, et je l’entends qui piaffe aux portes de ce blog. Faites entrer les fauves, on va faire du droit. Au-delà des aspects techniques de cette affaire, que nous allons aborder, on se retrouve dans une problématique récurrente lorsqu’on doit juger des délits commis dans un contexte technique complexe : que ce soit la finance, la médecine, la pharmacologie, ou la technologie : les prévenus regardent les juges comme des ignares car ils n’ont pas leurs connaissances, ni même parfois les bases.

Administrateurs de réseaux : entre sécurité informatique et protection des salariés L'administrateur de réseaux a en charge la mise en place, la maintenance et la sécurité des systèmes d'information de l'entreprise. Il cherche notamment à éviter les risques d'intrusions ou de virus, à prévenir les fuites de savoir-faire ou de fichiers clients, et à s'assurer d'une utilisation normale par les salariés des systèmes informatiques de l'entreprise. Lorsqu'il ne prend pas les mesures nécessaires à cette mission, il risque de manquer aux obligations définies dans son contrat de travail et d'engager sa responsabilité civile et pénale, tout comme celle de l'entreprise. Pour assurer cette sécurité, il est tenu de surveiller l'usage que font les salariés de la messagerie et de l'accès à internet mis à disposition par l'entreprise. Or, cette surveillance, autrement appelée "cybersurveillance", peut également dans certains cas engager sa responsabilité.

Guide de bonnes pratiques pour les Administrateurs Systèmes et Réseaux Résumé : Le Guide des Bonnes Pratiques tente de recenser les spécificités majeures du métier Administrateurs Systèmes et Réseaux (ASR). Il formalise un ensemble de comportements qui font consensus dans la communauté des ASR pour élaborer un corpus de bonnes pratiques d'organisation. Ce guide peut contribuer à rendre les missions du métier plus lisibles, améliorer l'organisation et la technicité mises en œuvre au sein de nos services vis à vis de nos utilisateurs, de nos directions et de nos tutelles. Ce projet de guide est né à l'initiative de RESINFO à partir d'une réflexion générale liée aux différents contextes de travail de notre métier dans lesquels on assiste à une intensification des tâches d'exploitation des systèmes informatiques et des réseaux, et des responsabilités attenantes, la plupart du temps à moyens humains constants.

4 conseils pour éviter une affaire Snowden dans votre entreprise - Les Echos Social Pénibilité : Manuel Valls prêt à tout changer Mardi un rapport sur la mise en œuvre du compte pénibilité est remis à Manuel Valls. 2 - METHODOLOGIE veille sur Internet 1. Les astuces pour optimiser la recherche d'informations Par Carlo Revelli, PDG de Cybion Internet constitue un formidable accélérateur pour la diffusion des activités de veille et d'intelligence économique au sein des entreprises.

Keylogger : des dispositifs de cybersurveillance particulièrement intrusifs Les " keyloggers " sont des dispositifs de surveillance, parfois téléchargeables gratuitement depuis le web, qui se lancent automatiquement à chaque démarrage de la session de l'utilisateur, à son insu. Une fois lancés, ils permettent, selon les versions, d'enregistrer toutes les actions effectuées par les salariés sur leur poste informatique sans que ceux-ci s'en aperçoivent. Toute frappe saisie sur le clavier ou tout écran consulté est enregistré avec un horodatage. Des alertes peuvent être automatiquement envoyées à la personne ayant installé le dispositif lorsque le salarié ainsi surveillé saisit sur son clavier un mot prédéterminé. Selon son paramétrage, le dispositif permet également de générer des rapports, récapitulant l'ensemble des actions faites à partir d'un poste informatique, qui sont directement envoyés sur le poste informatique de celui qui aura installé le logiciel espion.

Orange sanctionné pour défaut de sécurité sur les données de plus d'un million de clients "Avertissement public" à l'encontre d'Orange. Dans une délibération du 7 août, la Commission nationale de l'informatique et des libertés (Cnil) a sanctionné le groupe télécoms français suite à une faille de sécurité concernant les données de plus d'un million de clients. C'est le premier grade des sanctions prononcées par l'autorité, avant la sanction pécuniaire. Dans son communiqué, la Cnil explique qu'Orange lui a signifié, en avril dernier, une violation de données personnelles de près d'1,3 million de clients (nom, prénom, date de naissance, adresse électronique et numéro de téléphone fixe ou mobile) suite à une défaillance technique de l'un de ses prestataires.

Faille de sécurité et responsabilité de l'entreprise On voit mal comment une entreprise peut aujourd’hui travailler sans faire appel à l’informatique. Or dans l’univers informatique les données peuvent être endommagées, détruites, perdues. C’est pourquoi tout professionnel doit procéder a minima à des mesures de sauvegarde et de sécurité de ses données. Il s’agit de mesures de gestion saine et d’anticipation des risques auxquelles tout dirigeant se doit de se conformer. Cour de cassation Demandeur(s) : la société Sanofi chimie Défendeur(s) : M. J… X… ; M. J… Y….

Related:  Veilles Juridique (2015-2016)L'Administrateur Système