background preloader

Pour une éthique de la révélation de faille de sécurité

Pour une éthique de la révélation de faille de sécurité
1 La Commission européenne a lancé en juillet 2011 une consultation sur les règles pratiques de noti (...) 2 Par exemple, l’institution financière Morgan Stanley a envoyé par la poste aux services fiscaux de (...) 3 Deux clefs USB contenant les données d’identification non chiffrées de deux millions d’électeurs c (...) 4 En 2011, le réseau de Sony, PSN (PlayStation Network), a été victime d’attaques. Il s’agit d’un po (...) 1À l’heure actuelle, il ne se passe pas un jour sans que la presse relaie l’exploitation d’une faille de sécurité ayant eu pour conséquence l’accès à des données confidentielles ou la diffusion de données personnelles. La prise de conscience du risque de diffusion de données personnelles est récente, comme en témoignent les derniers projets européens visant à obliger les entreprises à informer les victimes et à verser de substantielles indemnités1. Les fuites de données ne sont pas pour autant forcément la résultante d’une faille logicielle. 1. 10 « 1. 2. 1. 2.

Failles de sécurité et fautes informatiques — Droit des technologies avancées L’actualité en 2011 a fait l’objet de très nombreuses illustrations de failles de sécurité et de piratages informatique. Les derniers en date concernent le vol des données personnelles de plus d'un million de comptes clients du groupe de jeux Sega et du géant de l'électronique Sony en exploitant des failles de sécurité pour s'introduire dans les serveurs de leur site internet. Les attaques visent non seulement les systèmes d’information des entreprises mais également ceux de l’État. A tel point que le Gouvernement a décidé d’accélérer la montée en puissance du dispositif national de sécurité et de défense des systèmes d’information en adoptant un ensemble de mesures présentées en Conseil des ministres le 25 mai 2011 et notamment d’accélérer la croissance des effectifs et des moyens de l’ANSSI (Agence nationale de la sécurité des systèmes d'information). La problématique En pratique, toutes les failles de sécurité ne sont pas constitutives de faute. Les données à caractère personnel

Sécurité entreprise données fonctions personnalités 01net. le 28/01/09 à 18h25 Qui sont les maillons faibles de la sécurité des données dans l'entreprise ? Ou plus exactement peut-on définir des personnalités et des fonctions ' à risque ' pour l'entreprise ? Fainéants, ambitieux, commerciaux et télétravailleurs Résultat, selon Clavister, les personnes ' à risque ' se trouveraient surtout chez les commerciaux, les administratifs, les personnes travaillant depuis leur domicile et les intérimaires. Ces résultats étonnent des spécialistes. ' On a coutume de dire que le plus grand danger du système d'information est entre la chaise et le clavier ! Tous potentiellement dangereux Pour Michel Iwochewitsch, directeur associé de Strateco, cabinet spécialisé dans les audits de sécurité informationnelle, ' Chaque type de profil intègre ses propres failles à des degrés divers. Quant à la fameuse assistante, elle peut aussi être une faille.

L'administrateur, bête noire pour la sécurité des IBM System i Si les System i d'IBM (ex-AS/400) ont longtemps joui d'une réputation de fiabilité à toute épreuve, ils sont de plus en plus vulnérables à des attaques du fait des pratiques de sécurité contestables de leurs administrateurs. Selon une étude portant sur 188 System i réalisée par le PowerTech Group, une société de sécurité de l'Etat de Washington, nombre d'entreprises n'ont pas assez de mécanismes de contrôle interne en place pour protéger les données sur leurs serveurs. Par exemple, 90% des systèmes audités n'avaient aucun contrôle en place pour prévenir ou auditer des modifications de données depuis un PC externe. 95% des systèmes disposaient au moins de 10 utilisateurs avec des droits d'accès administrateur et 43 % avait plus de 30 utilisateurs avec des droits "root". 77% des systèmes avaient aussi au moins 20 utilisateurs dont les mots de passe étaient les mêmes que leur login.

Cour de cassation Demandeur(s) : la société Sanofi chimie Défendeur(s) : M. J… X… ; M. J… Y…. LA COUR DE CASSATION, CHAMBRE SOCIALE, a rendu l’arrêt suivant : Statuant sur le pourvoi formé par la société Sanofi chimie, société anonyme, contre l’arrêt rendu le 20 novembre 2007 par la cour d’appel d’Aix-en-Provence (18e chambre), dans le litige l’opposant : 1°/ à M. 2°/ à M. défendeurs à la cassation ; La demanderesse invoque, à l’appui de son pourvoi, les deux moyens de cassation annexés au présent arrêt ; Vu la communication faite au procureur général ; Sur le premier moyen : Et sur le second moyen : REJETTE le pourvoi ; Condamne la société Sanofi chimie aux dépens ; Vu l’article 700 du code de procédure civile, condamne la société Sanofi chimie à payer la somme globale de 2 500 euros à MM. Président : Mme Collomp Rapporteur : Mme Grivel Avocat général : M. Avocat(s) : SCP Gatineau et Fattaccini ; Me Blanc

Un administrateur condamné pour abus de privilèges AVRIL 2014 Depuis un arrêt célèbre (Arrêt Nikon du 2 octobre 2001) les tribunaux reconnaissent au salarié un droit d’usage personnel de l’outil informatique mis à sa disposition par son employeur. Ce droit est encadré de différentes manières et peut schématiquement se résumer ainsi : Tous les messages adressés ou reçus par le salarié dans sa boite aux lettres électronique sont présumés professionnels, sauf s’ils sont identifiés comme personnels. L’employeur ne peut pas avoir accès aux messages personnels, mais le salarié ne doit pas abuser du droit qui lui est reconnu, notamment en apposant systématiquement la mention « personnel » sur tous les messages qu’il émet. L’administrateur du système (c’est-à-dire l’informaticien chargé d’assurer son bon fonctionnement), peut prendre connaissance librement de tous les messages, mais ne peut en révéler le contenu à l’employeur, lorsqu’ils présentent un caractère personnel. La Cour de Paris confirme ce jugement.

Informatique et libertés : l'accès aux messages personnels des salariés très encadré Le respect de la vie privé : un droit supérieur à protéger Les problématiques liées à l’utilisation de l’outil informatique au bureau – par nature, un outil professionnel -, à des fins personnelles, ont pris de nombreuses configurations. Dénigrement des supérieurs par e-mail, consultation de site internet sans rapport avec l’activité professionnelle, utilisation d’une boîte mail professionnelle à des fins personnelles, entre autres, la liste est longue et va certainement encore s’allonger. Les juges ont, de manière générale, considéré que les fichiers ou les documents détenus sur un ordinateur sont présumés avoir un caractère professionnel, sauf s’ils ont été clairement identifiés comme « personnels ». En ce qui concerne l’accès aux messages personnels des salariés, les juges ont posé la règle suivante : « le salarié a droit, même au temps et au lieu de travail, au respect de l’intimité de sa vie privée ». La sécurité : une entrave justifiée au principe du respect de la vie privée

12 bonnes raisons d'être un administrateur systèmes fainéant On l’appelle sysadmin, adminsys ou plus correctement administrateur systèmes. Il a la lourde charge de s’occuper des serveurs d’une organisation. Si vous avez l’impression qu’il bulle toute la journée, ne le critiquez pas ! Vous êtes en réalité en face d’un excellent administrateur systèmes :) 12 raisons pour lesquelles tous les administrateurs système devraient être paresseux 12 Reasons Why Every Linux System Administrator Should be Lazy Ramesh Natarajan - 12 juillet 2011 - GeekStuff.com(Traduction : Husi10, Ag3m, Gatitac, Kathryl, Thur, M0tty, Ag3m, Dominique, minimoy) Un administrateur systèmes fainéant est un bon administrateur systèmes— Anonyme Le travail d’un administrateur systèmes n’est généralement pas visible des autres services informatiques ou par les utilisateurs finaux. Voici 12 raisons qui font d’un administrateur systèmes paresseux le meilleur des administrateurs systèmes : 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. Voilà. Crédit photo : Anita Hart (Creative Commons By-Sa)

Related: