background preloader

10 conseils pour la sécurité de votre système d’information

10 conseils pour la sécurité de votre système d’information
1. Adopter une politique de mot de passe rigoureuse L’accès à un poste de travail informatique ou à un fichier par identifiant et mot de passe est la première des protections. Le mot de passe doit être individuel, difficile à deviner et rester secret. Il ne doit donc être écrit sur aucun support. La DSI ou le responsable informatique devra mettre en place une politique de gestion des mots de passe rigoureuse : un mot de passe doit comporter au minimum 8 caractères incluant chiffres, lettres et caractères spéciaux et doit être renouvelé fréquemment (par exemple tous les 3 mois). 2. L’accès aux postes de travail et aux applications doit s’effectuer à l’aide de comptes utilisateurs nominatifs, et non « génériques » (compta1, compta2…), afin de pouvoir éventuellement être capables de tracer les actions faites sur un fichier et, ainsi, de responsabiliser l’ensemble des intervenants. 3. 4. 5. 6. Un système d’information doit être sécurisé vis-à-vis des attaques extérieures. 7. 8. 9. 10.

http://www.cnil.fr/documentation/fiches-pratiques/fiche/article/10-conseils-pour-la-securite-de-votre-systeme-dinformation/

Related:  SLAM - Veille juridiqueCNILCNILmediasCNIL - Les grands principes

La CNIL somme Microsoft de brider la collecte de données de Windows 10 Depuis plusieurs mois, des voix s'étaient élevées contre la collectif de données de Windows 10. (Crédit: Blair Hanley Frank) La Commission nationale de l'informatique et des libertés (CNIL) a donné trois mois à Microsoft pour se mettre en conformité avec la loi au sujet Windows 10 qui collecte beaucoup trop de données personnelles sur les habitudes des utilisateurs. Peut-on accéder à l’ordinateur d’un salarié en vacances ? Un administrateur réseau a-t-il le droit de communiquer à son employeur la liste des identifiants/mots de passe de ses employés ? NON. Même si les fichiers contenus dans un ordinateur ont un caractère professionnel, et peuvent à ce titre être consultés par l'employeur, un administrateur réseau ne doit pas communiquer de manière systématique l’ensemble des identifiants et des mots de passe des salariés de l’entreprise. Les mots de passes sont personnels et permettent de savoir ce qu’un utilisateur donné à pu faire sur le réseau de l’entreprise. Le fait d'utiliser le mot de passe de quelqu'un d'autre peut être préjudiciable au salarié.

Le gouvernement contraint à un report du projet de loi sur la réforme du code du travail Le gouvernement se donne deux semaines supplémentaires pour revoir sa copie. Manuel Valls, le premier ministre, a annoncé, lundi 29 février, que la présentation du projet de loi El Khomri sur la réforme du code du travail sera reportée d’une « quinzaine de jours ». Le texte, pourfendu par les syndicats et une partie de la gauche, sera présenté en conseil des ministres le 24 mars, et non le 9 mars comme prévu. Cela ne « change pas grand-chose par rapport au calendrier parlementaire initial », a assuré le premier ministre.

Keylogger : des dispositifs de cybersurveillance particulièrement intrusifs Les " keyloggers " sont des dispositifs de surveillance, parfois téléchargeables gratuitement depuis le web, qui se lancent automatiquement à chaque démarrage de la session de l'utilisateur, à son insu. Une fois lancés, ils permettent, selon les versions, d'enregistrer toutes les actions effectuées par les salariés sur leur poste informatique sans que ceux-ci s'en aperçoivent. Toute frappe saisie sur le clavier ou tout écran consulté est enregistré avec un horodatage. Des alertes peuvent être automatiquement envoyées à la personne ayant installé le dispositif lorsque le salarié ainsi surveillé saisit sur son clavier un mot prédéterminé. Selon son paramétrage, le dispositif permet également de générer des rapports, récapitulant l'ensemble des actions faites à partir d'un poste informatique, qui sont directement envoyés sur le poste informatique de celui qui aura installé le logiciel espion.

Administrateurs de réseaux : entre sécurité informatique et protection des salariés L'administrateur de réseaux a en charge la mise en place, la maintenance et la sécurité des systèmes d'information de l'entreprise. Il cherche notamment à éviter les risques d'intrusions ou de virus, à prévenir les fuites de savoir-faire ou de fichiers clients, et à s'assurer d'une utilisation normale par les salariés des systèmes informatiques de l'entreprise. Lorsqu'il ne prend pas les mesures nécessaires à cette mission, il risque de manquer aux obligations définies dans son contrat de travail et d'engager sa responsabilité civile et pénale, tout comme celle de l'entreprise. Pour assurer cette sécurité, il est tenu de surveiller l'usage que font les salariés de la messagerie et de l'accès à internet mis à disposition par l'entreprise.

Condamnation sévère après la revente frauduleuse de licences Windows Le TGI de Bayonne a condamné 5 personnes à verser 4,6 M€ de dommages et intérêts à Microsoft pour avoir revendu frauduleusement des clés d'activation de Windows XP Cinq Bayonnais viennent d'être condamnés à verser 4,6 M€ de dommages et intérêts à Microsoft pour avoir revendu frauduleusement des licences Windows XP achetée en Chine. Microsoft est en croisade contre l'utilisation frauduleuse de ses licences. Les smartphones en questions Peut-on être pisté lorsqu'on utilise un Smartphone ou certaines applications ? Les Smartphones récents sont pratiquement tous équipés d'une puce GPS. Il est ainsi techniquement possible de pister un téléphone. Il existe par exemple des applications permettant de localiser très précisément son téléphone en cas de perte, celui-ci transmettant des e-mails avec ses coordonnées GPS. La localisation permise est très précise. Néanmoins ces applications doivent être installées et activées par les utilisateurs, ce qui réduit le risque d'une utilisation malveillante.

» Revue de presse du 16/01/2016 Comment reconnaître une banque alternative "C’est le moment de changer de banque : des banques éthiques émergent partout en Europe. Mais comment s’y retrouver ? Si en France, trois des cinq plus grandes banques sont coopératives, cela ne les a pas empêchées de tremper dans la finance spéculative et toxique, au même titre que les banques d’affaires classiques. Heureusement, une nouvelle forme de banque coopérative fait son chemin. Avec un fonctionnement réellement démocratique et des financements socialement utiles, la Nef et le Crédit coopératif contribuent à modifier le paysage bancaire hexagonal.

Le contrôle de l'utilisation d’internet et de la messagerie L’employeur peut fixer les conditions et limites de l’utilisation d’internet. Ces limites ne constituent pas, en soi, une atteinte à la vie privée des salariés. Par exemple : L’employeur peut mettre en place des dispositifs de filtrage de sites non autorisés (sites à caractère pornographique, pédophile, d’incitation à la haine raciale, révisionnistes, etc.). La responsabilité des administrateurs système et réseaux La responsabilité des administrateurs système et réseaux L'employeur souhaite protéger les intérêts de son entreprise en protégeant la fuite d'information stratégique en prévenant l'apparition de virus ou encore e empêchent la circulation de contenu illicite sur le réseaux cela passe par la sécurisation de son réseau. A l'inverse nombre de salarié revendique le droit à une vie privée sur le lieu de travail qui se matérialise par des connexions à internet à des fins personnels. Afin d'encadrer et de limiter un usage excessif de l'internet sur le lieu de travail, l'employeur dispose au titre de son pouvoir de direction d'un droit de contrôle et de surveillance sur ces salariés (dans les limites des principes du droit à la vie privée).

Cour de cassation, criminelle, Chambre criminelle, 27 mai 2008, 07-87.253, Inédit Références Cour de cassation chambre criminelle Audience publique du mardi 27 mai 2008 N° de pourvoi: 07-87253 Non publié au bulletin Cassation partielle M. Etude de droit comparé sur les correspondants à la protection des données - CNIL - Commission nationale de l'informatique et des libertés Le projet de loi modifiant la loi de 1978 (article 22) prévoit, à la suite de l’adoption par le Sénat d’un amendement présenté par M. Alex Türk, rapporteur de la commission des lois, la possibilité pour les entreprises ou collectivités publiques, la possibilité de la désignation d’un « correspondant à la protection des données à caractère personnel » (CPD). Dans ce contexte, il est intéressant de considérer quelques systèmes existants sur ce sujet dans les autres pays de l’Union Européenne, afin d’en connaître les caractéristiques. 1.

La CNIL encadre le déchiffrement des flux HTTPS Destiné à assurer la confidentialité et l’intégrité des communications de bout en bout entre un client et un serveur, l’usage du protocole HTTPS peut « poser un problème de sécurité au sein des organismes », qui ont par là même légitimité à déchiffrer les flux ainsi protégés pour les analyser. Telle est la position de la CNIL (Commission nationale de l’informatique et des libertés). L’autorité administrative indépendante reconnaît que le chiffrement des canaux de communication en HTTPS – déclinaison sécurisée de HTTP encapsulé à l’aide du protocole TLS – est « de plus en plus préconisé et mis en œuvre » (banque en ligne, webmails, téléservices…). Elle recommande d’ailleurs son utilisation pour réduire les risques liés à l’interception de données, que ce soit pour les écouter et les modifier.

La sécurité reste sous-estimée dans les PME-PMI La moitié des PME n'ont pas de pare-feu (D.R) Bien que les petites et moyennes entreprises soient conscientes des menaces qui pèsent sur leurs systèmes d'information, le baromètre Ipsos-Navista montre qu'elles ne consacrent qu'un budget dérisoire à leur protection. Une récente étude menée par Ipsos-Navista auprès des PME françaises indique que 99% d'entre elles sont équipées en informatique et que les postes clients et terminaux mobiles qu'elles utilisent sont connectés à Internet. 82 % des entreprises interrogées permettent à leurs salariés de se connecter à n'importe quel site web.

Related: