Byod : les apps zombies hantent les terminaux mobiles 5,2 % des apps sur les terminaux iOS et 3,9 % sur Android sont « mortes ». (Crédit D.R.) Après les VM inutilisées sur les serveurs, les apps zombies encombrent les terminaux mobiles utilisés dans un cadre professionnel selon une étude de la société Appthority. Appthority, une entreprise spécialisée dans la sécurité des apps mobiles, a analysé trois millions d’apps présentes sur les smartphones des salariés de plusieurs entreprises. Selon Domingo Guerra, président et fondateur de Appthority, ces logiciels zombies peuvent être nuisibles à différent titre. « Si ces apps ont été retirées des boutiques d’application, c’est qu’elles n’étaient peut-être pas suffisamment fiables ou parce qu’elles hébergeaient des logiciels malveillants », a-t-il déclaré. Les apps obsolètes se multiplient Mais, selon Appthority, à part cette fonction, ni Google, ni Apple ne proposent de solutions pour protéger les entreprises de ce risque. Un nouveau risque pour les entreprises
Peut-on accéder à l’ordinateur d’un salarié en vacances ? Un administrateur réseau a-t-il le droit de communiquer à son employeur la liste des identifiants/mots de passe de ses employés ? NON. Même si les fichiers contenus dans un ordinateur ont un caractère professionnel, et peuvent à ce titre être consultés par l'employeur, un administrateur réseau ne doit pas communiquer de manière systématique l’ensemble des identifiants et des mots de passe des salariés de l’entreprise. Toutefois, les tribunaux considèrent que la communication du mot de passe d’un salarié à son employeur est possible dans certains cas particuliers. Dans quels cas particuliers un employeur peut-il obtenir le mot de passe d'un salarié ? L’employeur peut avoir connaissance du mot de passe d'un salarié absent, si ce dernier détient sur son poste informatique des informations nécessaires à la poursuite de l’activité de l’entreprise et qu’il ne peut accéder à ces informations par d’autres moyens. . L’employeur peut-il consulter l'intégralité du contenu d'un poste de travail?
La prospection commerciale par Courrier électronique 1/ Pour les particuliers (B to C): Le principe : pas de message commercial sans accord préalable du destinataire La publicité par courrier électronique est possible à condition que les personnes aient explicitement donné leur accord pour être démarchées, au moment de la collecte de leur adresse électronique. Deux exceptions à ce principe : si la personne prospectée est déjà cliente de l'entreprise et si la prospection concerne des produits ou services analogues à ceux déjà fournis par l’entreprise. si la prospection n'est pas de nature commerciale (caritative par exemple) Dans ces deux cas, la personne doit, au moment de la collecte de son adresse de messagerie être informée que son adresse électronique sera utilisée à des fins de prospection,être en mesure de s’opposer à cette utilisation de manière simple et gratuite. 2 / Pour les professionnels (B to B) Le principe : information préalable et droit d'opposition la personne doit, au moment de la collecte de son adresse de messagerie
Faille de sécurité : avertissement public de la Cnil Faille de sécurité. La société DHL Express France vient de faire l’objet d’un avertissement public prononcé par la formation restreinte de la Cnil, le 12 juin dernier, sur deux manquements importants à la loi Informatique, fichiers et libertés. D’une part, un manquement à l’obligation d’assurer la confidentialité et la sécurité des données (art. 34 de la loi informatique et libertés) et d’autre part, un manquement à l’obligation de définir une durée de conservation des données traitées, proportionnée à la finalité du traitement (art. 6-5° de la loi informatique et libertés). Dans cette affaire, la Cnil avait été alertée suite à une faille affectant directement la sécurité des données collectées par DHL et comportant les demandes de « relivraison » des colis. Laure Landes-Gronowski Pauline Binelli-WaintropLexing Droit Informatique et libertés
CYBERSURVEILLANCE ET ADMINSTRATEURS RESEAUX Pouvant être sujet d'attaques internes comme externes, les entreprises et leurs réseaux ont besoin d'une cybersurveillance des administrateurs de réseaux. Cependant la cybersurveillance et les administrateurs de réseaux doivent obéir à différentes règles notamment le respect à la vie privée et le secret des correspondances. Avant de pouvoir rentrer dans les détails, nous allons définir la cybersurveillance et les administrateurs de réseaux dans un premier temps. Dans un second temps, nous allons présenter les obligations qui pèsent sur les administrateurs réseaux lorsqu'ils font de la cybersurveillance. généralisée de réseaux au sein des entreprises. Plus précisément, la cybersurveillance regroupe les voies et moyens aboutissant à l’accès des données ou signaux transmis par voie électronique ainsi que le contrôle des moyens techniques permettant ces transmissions. La surveillance et l’interception de courriers électroniques sont considérése comme de la cybersurveillance. I. II. III. VI.
Les obligations du blogueur Les obligations du blogueur Le blogueur doit s’identifier ou indiquer le nom de son hébergeur. Le blogueur doit prendre toutes les mesures pour permettre l’exercice du droit de réponse. Le blog et la diffusion d’une œuvre artistique La diffusion sur un blog, de l’œuvre d’une personne, par exemple, un extrait de livre ou de musique ou encore d’un tableau n’est possible qu’avec l’autorisation de l’auteur. Le blog et la diffusion de photos Pour la diffusion et l’utilisation de photographies, il faut au préalable obtenir l’autorisation écrite de la personne concernée ou celle de ses parents si elle est mineure. Le blog et la diffamation La tenue sur un blog de propos diffamatoires, calomnieux, injurieux ou racistes à l’égard d’une personne, par exemple un enseignant ou un élève, peut être poursuivie pénalement. D’un point de vue pénal le mineur capable de discernement peut être pénalement sanctionné. La responsabilité des parents
Etude : Les salariés trop confiants quant à la cybersécurité dans leur entreprise Le groupe Capgemini dévoile le 16 juin l'étude "Cybersécurité, Objets connectés et Systèmes industriels" réalisée par Opinion Way. Elle porte sur la cybersécurité vue par les collaborateurs. Il en ressort un écart significatif entre la perception de la cybersécurité dans l'entreprise par les salariés et la réalité effective des cyberattaques qu'elle subit. Ainsi, 85% des collaborateurs estiment que leur société est bien protégée, un chiffre qui monte à 90% pour les grandes entreprises et 93% pour les ETI. Paradoxalement, 36% d'entre eux affirment qu'elle a déjà fait l'objet d'une attaque informatique, et cela va jusqu'à 47% dans les grandes entreprises. Bernard Barbier, responsable de la sécurité des systèmes d’Information (RSSI) du groupe Capgemini et directeur technique sur la business unit cybersécurité du groupe, explique ces chiffres par l'asymétrie du risque posé par la cybersécurité. Une évolution des menaces L'humain au coeur de l'équation L'enjeu des infrastructures critiques
L’administrateur réseau a le pouvoir de lire les messages personnels La Cour de Cassation, dans un arrêt du 17 juin 2009 rappelle qu’un administrateur de réseau, qui est tenu par une clause de confidentialité, a la possibilité d’accéder aux messages personnels des salariés dans le cadre de sa mission de sécurité du réseau informatique. La jurisprudence a eu l’occasion de rappeler à plusieurs reprises que la protection de la vie privée des salariés interdit aux employeurs d’ouvrir les messages qualifiés de personnel sauf risque ou événement particulier (Cf. Cass. Soc. 2 oct. 2001, Bull. civ. V, n° 291). Il appartient en effet au salarié d’identifier les messages personnels par une mention explicite car à défaut d’une telle mention, ceux-ci seront présumés professionnels et pourront être librement consultés par l’employeur. La Haute Cour vient préciser ici une distinction à opérer entre les pouvoirs de l’employeur dans ce domaine et ceux de l’administrateur réseau. S’appuyant sur l’article L.2313-2 du Code du travail qui dispose que :
Protection des données personnelles au travail : les bonnes pratiques La protection des données à caractère personnel est devenue un sujet majeur dans les relations sociales sur les lieux de travail. Des outils comme la vidéosurveillance ou la géolocalisation sont largement mis en place. En effet, dans le cadre du recrutement ou de la gestion des carrières, les employeurs utilisent de plus en plus d'applications informatiques. En outre, les dispositifs de contrôle de l'activité des employés liés aux nouvelles technologies se multiplient : contrôle de l'usage d'internet, de la messagerie, géolocalisation, biométrie, vidéosurveillance, etc. Ces dispositifs enregistrent quantité de données personnelles sur les salariés et peuvent parfois porter atteinte à leurs droits ou à leur vie privée. A l'heure du développement de l'utilisation des smartphones, du télétravail et du bring your own device, il est nécessaire de maintenir de maintenir un équilibre entre le contrôle de l'activité des salariés et la protection de la vie privée.
Cybersécurité : comment la France veut protéger ses entreprises les plus sensibles Plans d'études volés, données R&D et commerciales pillées, réponses à des appels d'offres sauvagement dérobées par la concurrence... Les grandes entreprises françaises sont couramment la cible d'attaques par le biais de leur réseau informatique. "Ce qui est visé, c'est surtout du savoir-faire technologique à partir d'attaques de haut niveau menées par des groupes organisés depuis l'étranger", explique Guillaume Poupard, directeur général de l'ANSSI (Agence nationale de la sécurité des systèmes d'information). L'agence française de cybersécurité craint également d'autres risques comme le cyber-sabotage des installations industrielles. Face à ces menaces, la France a décidé de renforcer la sécurité de ses entreprises les plus sensibles, regroupées sous le vocable d'opérateurs d'infrastructure vitale (OIV). Accès au code source des logiciels commerciaux Les décrets vont permettre à l'ANSSI de mener des audits de sécurité sur les réseaux des OIV par le biais de prestataires qualifiés.