background preloader

Swisslife renforce la gestion des comptes à privilège

Swisslife renforce la gestion des comptes à privilège
Pour renforcer sa politique de sécurité, Swisslife s'est équipé d'une solution de gestion des comptes à privilège. PublicitéAvec plus de 110 ans d'existence en France, Swiss Life, 3,8 Md€ de chiffre d'affaires en 2013, est un des acteurs majeurs sur les marchés de l'assurance patrimoniale en vie et retraite et de l'assurance santé et prévoyance. Pour faire tourner son système d'information, le groupe s'appuie une DSI composée de 300 personnes dont 200 en interne. Entièrement virtualisée, son infrastructure repose sur un millier de serveurs. Dans le cadre d'une refonte de ses systèmes de sécurité, la DSI a notamment lancé en 2012 une audit sur la gestion des comptes à privilège. « Nous avons interviewé la plupart de nos administrateurs et fait état d'une situation et de comportements préoccupants », se rappelle Julien Soleil, responsable de la sécurité opérationnelle de Swisslife qui intervenait le 3 octobre 2014 dans le cadre des Assises de la Sécurité. Article rédigé par

Un administrateur condamné pour abus de privilèges AVRIL 2014 Depuis un arrêt célèbre (Arrêt Nikon du 2 octobre 2001) les tribunaux reconnaissent au salarié un droit d’usage personnel de l’outil informatique mis à sa disposition par son employeur. Ce droit est encadré de différentes manières et peut schématiquement se résumer ainsi : Tous les messages adressés ou reçus par le salarié dans sa boite aux lettres électronique sont présumés professionnels, sauf s’ils sont identifiés comme personnels. L’employeur ne peut pas avoir accès aux messages personnels, mais le salarié ne doit pas abuser du droit qui lui est reconnu, notamment en apposant systématiquement la mention « personnel » sur tous les messages qu’il émet. L’administrateur du système (c’est-à-dire l’informaticien chargé d’assurer son bon fonctionnement), peut prendre connaissance librement de tous les messages, mais ne peut en révéler le contenu à l’employeur, lorsqu’ils présentent un caractère personnel. La Cour de Paris confirme ce jugement. Son analyse mérite d’être soulignée

Informatique et libertés : l'accès aux messages personnels des salariés très encadré Le respect de la vie privé : un droit supérieur à protéger Les problématiques liées à l’utilisation de l’outil informatique au bureau – par nature, un outil professionnel -, à des fins personnelles, ont pris de nombreuses configurations. Dénigrement des supérieurs par e-mail, consultation de site internet sans rapport avec l’activité professionnelle, utilisation d’une boîte mail professionnelle à des fins personnelles, entre autres, la liste est longue et va certainement encore s’allonger. Les juges ont, de manière générale, considéré que les fichiers ou les documents détenus sur un ordinateur sont présumés avoir un caractère professionnel, sauf s’ils ont été clairement identifiés comme « personnels ». Si ce n’est pas le cas, ils sont considérés comme ayant un caractère professionnel, de sorte que l’employeur peut y avoir accès en dehors de la présence du salarié (Cass. Toutefois, les juges sont venus atténuer cette solution très défavorable aux employeurs.

Commet un délit l'auteur de la mise à disposition sur internet d'informations relatives à des failles de sécurité | Net-iris 2009 Selon un Arrêt de rejet de la Chambre criminelle de la Cour de cassation rendu le 27/10/2009, la seule constatation de la violation, sans motif légitime et en connaissance de cause, de l'une des interdictions prévues par l'article 323-3-1 du Code pénal, implique de la part de son auteur l'intention coupable exigée par l'article 121-3 du même code. En sachant qu'il diffusait sur internet des informations présentant un risque d'utilisation à des fins de piratage par un public particulier en recherche de ce type de déviance, l'auteur des écrits visibles sur le site internet et accessibles à tous, s'est rendu coupable du délit de mise à disposition, sans motif légitime, de moyens conçus ou spécialement adaptés pour commettre une atteinte à un système de traitement automatisé de données. Lire l'analyse de la décision Analyse de 418 Mots. D'où il suit que le moyen doit être écarté ; Et attendu que l'arrêt est régulier en la forme ; Rejette le pourvoi ; © 2009 Net-iris

[hal-00777385, version 1] Guide de bonnes pratiques pour les Administrateurs Systèmes et Réseaux Résumé : Le Guide des Bonnes Pratiques tente de recenser les spécificités majeures du métier Administrateurs Systèmes et Réseaux (ASR). Il formalise un ensemble de comportements qui font consensus dans la communauté des ASR pour élaborer un corpus de bonnes pratiques d'organisation. Ce guide peut contribuer à rendre les missions du métier plus lisibles, améliorer l'organisation et la technicité mises en œuvre au sein de nos services vis à vis de nos utilisateurs, de nos directions et de nos tutelles. Faille de sécurité et responsabilité de l'entreprise On voit mal comment une entreprise peut aujourd’hui travailler sans faire appel à l’informatique. Or dans l’univers informatique les données peuvent être endommagées, détruites, perdues. C’est pourquoi tout professionnel doit procéder a minima à des mesures de sauvegarde et de sécurité de ses données. Il s’agit de mesures de gestion saine et d’anticipation des risques auxquelles tout dirigeant se doit de se conformer. C’est pourquoi la sauvegarde et la sécurité des données est un acte de gestion essentiel dans la vie d’une entreprise. Cette obligation est d’autant plus vraie que c’est l’entreprise qui met à la disposition de ses employés des moyens d’accès à des données à caractère personnel qui sont ensuite, via des outils informatiques, partagés en réseaux internes ou parfois via internet. C’est les cas par exemple des données sur les téléphones mobiles, les plateformes intranet, les bases de données clients partagées en réseaux entre les services / filiales.

La culture informationnelle » Le concept de veille informationnelle Chacun de nous, les prospectivistes, économistes et politiques s’accordent aujourd’hui pour donner au savoir, à la compétence, aux moyens de les acquérir et donc à l’apprentissage, une fonction vitale dans le développement des personnes, des organisations et des nations de ce XXI° siècle naissant. Le livre blanc sorti en 1995 et intitulé « Enseigner et apprendre » avaient déjà pour unique objectif : Préparer les Européens à passer sans heurts à une société fondée sur l’acquisition des connaissances, où l’on ne cesse d’apprendre et d’enseigner tout au long de la vie, autrement dit à une société cognitive. Notre modèle scolaire serait dominé comme le cite Carré dans son ouvrage sur l’apprenance par «Le scénario de la transmission et les figures de l’élève ou du formé, réceptacles plus ou moins volontaires, plus ou moins passifs, de l’action éducative du maître ou du formateur ».

Orange sanctionné pour défaut de sécurité sur les données de plus d'un million de clients "Avertissement public" à l'encontre d'Orange. Dans une délibération du 7 août, la Commission nationale de l'informatique et des libertés (Cnil) a sanctionné le groupe télécoms français suite à une faille de sécurité concernant les données de plus d'un million de clients. C'est le premier grade des sanctions prononcées par l'autorité, avant la sanction pécuniaire. Dans son communiqué, la Cnil explique qu'Orange lui a signifié, en avril dernier, une violation de données personnelles de près d'1,3 million de clients (nom, prénom, date de naissance, adresse électronique et numéro de téléphone fixe ou mobile) suite à une défaillance technique de l'un de ses prestataires.

[MàJ] Bluetouff décide de se pourvoir en Cassation Mise à jour : L’affaire « Bluetouff » ne va pas s’en arrêter là. L’avocat d’Olivier Laurelli, Maître Iteanu, a en effet annoncé hier sur Twitter que son client avait finalement décidé de se pourvoir en cassation. Le soulagement ayant fait suite à la relaxe d’Olivier Laurelli, alias « Bluetouff », n’aura pas duré très longtemps. Après avoir été innocenté en avril dernier, le blogueur vient en effet d’être condamné par la cour d’appel de Paris à 3 000 euros d’amende pour avoir téléchargé depuis Internet des documents d'une agence gouvernementale, lesquels étaient librement accessibles du fait d’une faille de sécurité. Le verdict de la cour d’appel de Paris est tombé hier. Des documents accessibles suite à une recherche Google Mais revenons sur cette affaire, dans laquelle « Bluetouff » avait été totalement blanchi en première instance, le tribunal correctionnel de Créteil l’ayant relaxé en avril dernier (voir notre article, et la décision sur Legalis). (...)

Faille de sécurité : avertissement public de la Cnil Faille de sécurité. La société DHL Express France vient de faire l’objet d’un avertissement public prononcé par la formation restreinte de la Cnil, le 12 juin dernier, sur deux manquements importants à la loi Informatique, fichiers et libertés. D’une part, un manquement à l’obligation d’assurer la confidentialité et la sécurité des données (art. 34 de la loi informatique et libertés) et d’autre part, un manquement à l’obligation de définir une durée de conservation des données traitées, proportionnée à la finalité du traitement (art. 6-5° de la loi informatique et libertés). Dans cette affaire, la Cnil avait été alertée suite à une faille affectant directement la sécurité des données collectées par DHL et comportant les demandes de « relivraison » des colis. Laure Landes-Gronowski Pauline Binelli-WaintropLexing Droit Informatique et libertés

Related: