La triade de la sécurité de l’information | Jemm Research On dit souvent que les entreprises deviennent sérieuses sur la sécurité après qu’une catastrophe ait affecté leur résultat opérationnel. La sécurité de l’information a trois caractéristiques fondamentales - disponibilité, confidentialité et intégrité - mais ces trois aspects n’ont pas encore la même importance auprès des entreprises. Traditionnellement, nous avons pris en compte la dimension de disponibilité. C’est la caractéristique qui « parle » aux directions métiers. Aujourd’hui, la confidentialité des données est le sujet à la mode en matière de sécurité. Demain, le débat se focalisera sur la dernière caractéristique : l’intégrité. C’est la bataille qui s’annonce.
Axel Raemaekers, Administrateur de système informatique Axel Raemaekers, 30 ans, est consultant indépendant depuis 2002 auprès de PME. "Mon intérêt pour l’informatique est né sur les salons informatiques où le hasard m’a conduit au plus jeune âge", indique-t-il. Comment se déroule concrètement l’administration d'un système informatique ? Il s’agit de surveiller la disponibilité du système, par exemple si les requêtes des utilisateurs envers les serveurs sont suivies d’une réponse dans des délais normaux. A quels problèmes techniques êtes-vous le plus souvent confronté dans l’exercice de votre métier ? Les latences ou ralentissement du réseau, l’augmentation des délais de réponse des l’ordinateur dans les applications. Quels sont les dangers qu’un système informatique peut rencontrer ? Des agressions depuis Internet, des comportements de la part d’utilisateurs crédules ou malveillants. Testez-vous parfois les failles d’un système informatique ? Etablissez-vous une politique de sécurité ? La politique de sécurité est indispensable.
Administrateur réseaux Présentation L’administrateur systèmes et réseaux a pour mission d’offrir un réseau informatique de qualité à l’entreprise. Pour conduire des projets informatiques, administrer le réseau et apporter un support aux utilisateurs, il doit : Établir les exigences de performance du réseau ;Définir les projets d’extension, de modification du réseau ;Configurer et mettre à jour le matériel à intégrer au réseau ;Développer des tableaux de bord de performances du réseau ;Mettre en place et contrôler les procédures de sécurité (droits d’accès, mots de passe etc.) Missions L'administrateur réseaux est l'homme-orchestre du système informatique d’une entreprise. En amont, il analyse les besoins des futurs utilisateurs en matière de qualité, de rapidité, de facilité d’accès et de sécurité. Une fois l’étude préalable effectuée, l’administrateur met en œuvre ses connaissances techniques afin de créer le réseau et de choisir le matériel nécessaire.
Administrateurs de réseaux : entre sécurité informatique et protection des salariés L'administrateur de réseaux a en charge la mise en place, la maintenance et la sécurité des systèmes d'information de l'entreprise. Il cherche notamment à éviter les risques d'intrusions ou de virus, à prévenir les fuites de savoir-faire ou de fichiers clients, et à s'assurer d'une utilisation normale par les salariés des systèmes informatiques de l'entreprise. Lorsqu'il ne prend pas les mesures nécessaires à cette mission, il risque de manquer aux obligations définies dans son contrat de travail et d'engager sa responsabilité civile et pénale, tout comme celle de l'entreprise. Pour assurer cette sécurité, il est tenu de surveiller l'usage que font les salariés de la messagerie et de l'accès à internet mis à disposition par l'entreprise. Le principe du contrôle par l'administrateur de réseaux de l'activité des salariés et du contenu des messages semble donc désormais acquis, ce qui clarifie grandement le rôle de celui-ci. [sylvainstaub@wanadoo.fr] Sommaire de la rubrique
Affaire Snowden : comment contrôler les droits d'administration Edward Snowden, auteur des révélations faites sur les programmes d'espionnage de la NSA, avait pu accéder simplement aux informations critiques de l'agence grâce à ses droits administrateurs. Si les administrateurs des systèmes d'informations se doivent de posséder un accès étendu aux machines, leurs droits d'entrée doivent être impérativement contrôlés et régulés. Une leçon mise en évidence par l'affaire Snowden. L'affaire Snowden est pleine de leçons pour les responsables de la sécurité des systèmes d'information. 20% des organisations ne connaissent pas le nombre de compte administrateurs ouverts La firme a ainsi approché 340 participants de la conférence FOCUS 13 de McAfee pour en apprendre un peu plus sur la question. La solution réside donc peut-être dans une approche repensée de l'attribution des droits étendus.
Cadre juridique des administrateurs réseaux Les administrateurs réseaux assurent le fonctionnement normal et la sécurité du système informatique de leur employeur. Ils sont susceptibles d’avoir accès, dans l’exercice de cette mission, à des informations personnelles relatives aux utilisateurs (messageries, logs de connexion, etc.). L’accès par les administrateurs aux données enregistrées par les salariés dans le système d’information est justifié par le bon fonctionnement dudit système, dès lors qu’aucun autre moyen moins intrusif ne peut être mis en place. Ils doivent dès lors s’abstenir de toute divulgation d’informations qu’ils auraient été amenés à connaître dans le cadre de l’exercice de leur mission, et en particulier les informations relevant de la vie privée des employés ou couvertes par le secret des correspondances, dès lors qu’elles ne remettent pas en cause le fonctionnement technique ou la sécurité des applications, ou encore l’intérêt de l’employeur.
Administrateurs réseau : quels sont vos droits en matière de cybersurveillance ? Si les réseaux sont des instruments formidables d´échanges de données au sein de l´entreprise comme à l´extérieur, ils en sont également le talon d´achille. L´explosion d´internet et sa propagation fulgurante nécessitent que l´entreprise se protège et protège ses données de toute intrusion interne comme externe. Dans ce contexte, l´administrateur réseau est devenu un acteur incontournable de la sécurité de l´entreprise, et parfois même son garant. Aussi doit-on légitimement se poser la question de sa marge de manoeuvre lorsqu´il détecte la présence de fichiers et de programmes non professionnels (de type sniffers ou autres) indésirables sur le(s) serveur(s) de l´entreprise ou les postes de travail du personnel. I - un texte fondamental II - des juridictions soucieuses de la protection des libertés fondamentales III - les solutions Toutefois son contrôle doit rester global et porter sur des flux d´informations. En conclusion...
L’administrateur réseau a le pouvoir de lire les messages personnels La Cour de Cassation, dans un arrêt du 17 juin 2009 rappelle qu’un administrateur de réseau, qui est tenu par une clause de confidentialité, a la possibilité d’accéder aux messages personnels des salariés dans le cadre de sa mission de sécurité du réseau informatique. La jurisprudence a eu l’occasion de rappeler à plusieurs reprises que la protection de la vie privée des salariés interdit aux employeurs d’ouvrir les messages qualifiés de personnel sauf risque ou événement particulier (Cf. Cass. Il appartient en effet au salarié d’identifier les messages personnels par une mention explicite car à défaut d’une telle mention, ceux-ci seront présumés professionnels et pourront être librement consultés par l’employeur. La Haute Cour vient préciser ici une distinction à opérer entre les pouvoirs de l’employeur dans ce domaine et ceux de l’administrateur réseau. S’appuyant sur l’article L.2313-2 du Code du travail qui dispose que : Deux éléments importants résultent de cette décision :
L'administrateur, bête noire pour la sécurité des IBM System i Si les System i d'IBM (ex-AS/400) ont longtemps joui d'une réputation de fiabilité à toute épreuve, ils sont de plus en plus vulnérables à des attaques du fait des pratiques de sécurité contestables de leurs administrateurs. Selon une étude portant sur 188 System i réalisée par le PowerTech Group, une société de sécurité de l'Etat de Washington, nombre d'entreprises n'ont pas assez de mécanismes de contrôle interne en place pour protéger les données sur leurs serveurs. Par exemple, 90% des systèmes audités n'avaient aucun contrôle en place pour prévenir ou auditer des modifications de données depuis un PC externe. 95% des systèmes disposaient au moins de 10 utilisateurs avec des droits d'accès administrateur et 43 % avait plus de 30 utilisateurs avec des droits "root". 77% des systèmes avaient aussi au moins 20 utilisateurs dont les mots de passe étaient les mêmes que leur login.
Guide de bonnes pratiques pour les Administrateurs Systèmes et Réseaux Résumé : Le Guide des Bonnes Pratiques tente de recenser les spécificités majeures du métier Administrateurs Systèmes et Réseaux (ASR). Il formalise un ensemble de comportements qui font consensus dans la communauté des ASR pour élaborer un corpus de bonnes pratiques d'organisation. Ce guide peut contribuer à rendre les missions du métier plus lisibles, améliorer l'organisation et la technicité mises en œuvre au sein de nos services vis à vis de nos utilisateurs, de nos directions et de nos tutelles.
Messagerie électronique au bureau : ne pas confondre « perso » et « personnel » Depuis un arrêt célèbre (Arrêt Nikon du 2 octobre 2001) les tribunaux reconnaissent au salarié un droit d’usage personnel de l’outil informatique mis à sa disposition par son employeur. Ce droit est encadré de différentes manières et peut schématiquement se résumer ainsi : Tous les messages adressés ou reçus par le salarié dans sa boite aux lettres électronique sont présumés professionnels, sauf s’ils sont identifiés comme personnels. L’employeur ne peut pas avoir accès aux messages personnels, mais le salarié ne doit pas abuser du droit qui lui est reconnu, notamment en apposant systématiquement la mention « personnel » sur tous les messages qu’il émet. L’administrateur du système (c’est-à-dire l’informaticien chargé d’assurer son bon fonctionnement), peut prendre connaissance librement de tous les messages, mais ne peut en révéler le contenu à l’employeur, lorsqu’ils présentent un caractère personnel. La Cour de Paris confirme ce jugement. Son analyse mérite d’être soulignée
Informatique et libertés : l'accès aux messages personnels des salariés très encadré Le respect de la vie privé : un droit supérieur à protéger Les problématiques liées à l’utilisation de l’outil informatique au bureau – par nature, un outil professionnel -, à des fins personnelles, ont pris de nombreuses configurations. Dénigrement des supérieurs par e-mail, consultation de site internet sans rapport avec l’activité professionnelle, utilisation d’une boîte mail professionnelle à des fins personnelles, entre autres, la liste est longue et va certainement encore s’allonger. Les juges ont, de manière générale, considéré que les fichiers ou les documents détenus sur un ordinateur sont présumés avoir un caractère professionnel, sauf s’ils ont été clairement identifiés comme « personnels ». Si ce n’est pas le cas, ils sont considérés comme ayant un caractère professionnel, de sorte que l’employeur peut y avoir accès en dehors de la présence du salarié (Cass. Toutefois, les juges sont venus atténuer cette solution très défavorable aux employeurs.