Failles de sécurité et fautes informatiques — Droit des technologies avancées
L’actualité en 2011 a fait l’objet de très nombreuses illustrations de failles de sécurité et de piratages informatique. Les derniers en date concernent le vol des données personnelles de plus d'un million de comptes clients du groupe de jeux Sega et du géant de l'électronique Sony en exploitant des failles de sécurité pour s'introduire dans les serveurs de leur site internet. Les attaques visent non seulement les systèmes d’information des entreprises mais également ceux de l’État. Les pirates n’hésitent pas à s’attaquer aux systèmes d’information des plus hautes instances comme l'Elysée, le Quai d'Orsay ou le ministère de l’Économie, des Finances et de l’Industrie, victimes de tentatives de piratage et d’intrusions. Les attaques se multiplient partout dans le monde jusqu’à viser des établissements stratégiques ; le FMI, la Banque mondiale ou encore la bourse électronique américaine Nasdaq se sont ajoutés à la liste des institutions victimes de cyberattaques. La problématique
L'administrateur, bête noire pour la sécurité des IBM System i
Si les System i d'IBM (ex-AS/400) ont longtemps joui d'une réputation de fiabilité à toute épreuve, ils sont de plus en plus vulnérables à des attaques du fait des pratiques de sécurité contestables de leurs administrateurs. Selon une étude portant sur 188 System i réalisée par le PowerTech Group, une société de sécurité de l'Etat de Washington, nombre d'entreprises n'ont pas assez de mécanismes de contrôle interne en place pour protéger les données sur leurs serveurs. Par exemple, 90% des systèmes audités n'avaient aucun contrôle en place pour prévenir ou auditer des modifications de données depuis un PC externe. 95% des systèmes disposaient au moins de 10 utilisateurs avec des droits d'accès administrateur et 43 % avait plus de 30 utilisateurs avec des droits "root". 77% des systèmes avaient aussi au moins 20 utilisateurs dont les mots de passe étaient les mêmes que leur login.
Pour une éthique de la révélation de faille de sécurité
1 La Commission européenne a lancé en juillet 2011 une consultation sur les règles pratiques de noti (...) 2 Par exemple, l’institution financière Morgan Stanley a envoyé par la poste aux services fiscaux de (...) 3 Deux clefs USB contenant les données d’identification non chiffrées de deux millions d’électeurs c (...) 4 En 2011, le réseau de Sony, PSN (PlayStation Network), a été victime d’attaques. Il s’agit d’un po (...) 1À l’heure actuelle, il ne se passe pas un jour sans que la presse relaie l’exploitation d’une faille de sécurité ayant eu pour conséquence l’accès à des données confidentielles ou la diffusion de données personnelles. La prise de conscience du risque de diffusion de données personnelles est récente, comme en témoignent les derniers projets européens visant à obliger les entreprises à informer les victimes et à verser de substantielles indemnités1. 3Un récent rapport parlementaire souligne d’ailleurs le problème : 1. 10 « 1. 2. 1. 17 Art. 226-16 et s. du Code pénal.
Cour de cassation
Demandeur(s) : la société Sanofi chimie Défendeur(s) : M. J… X… ; M. LA COUR DE CASSATION, CHAMBRE SOCIALE, a rendu l’arrêt suivant : Statuant sur le pourvoi formé par la société Sanofi chimie, société anonyme, contre l’arrêt rendu le 20 novembre 2007 par la cour d’appel d’Aix-en-Provence (18e chambre), dans le litige l’opposant : 1°/ à M. 2°/ à M. défendeurs à la cassation ; La demanderesse invoque, à l’appui de son pourvoi, les deux moyens de cassation annexés au présent arrêt ; Vu la communication faite au procureur général ; Sur le premier moyen : Et sur le second moyen : REJETTE le pourvoi ; Condamne la société Sanofi chimie aux dépens ; Vu l’article 700 du code de procédure civile, condamne la société Sanofi chimie à payer la somme globale de 2 500 euros à MM. Président : Mme Collomp Rapporteur : Mme Grivel Avocat général : M. Avocat(s) : SCP Gatineau et Fattaccini ; Me Blanc
Un administrateur condamné pour abus de privilèges AVRIL 2014
Depuis un arrêt célèbre (Arrêt Nikon du 2 octobre 2001) les tribunaux reconnaissent au salarié un droit d’usage personnel de l’outil informatique mis à sa disposition par son employeur. Ce droit est encadré de différentes manières et peut schématiquement se résumer ainsi : Tous les messages adressés ou reçus par le salarié dans sa boite aux lettres électronique sont présumés professionnels, sauf s’ils sont identifiés comme personnels. L’employeur ne peut pas avoir accès aux messages personnels, mais le salarié ne doit pas abuser du droit qui lui est reconnu, notamment en apposant systématiquement la mention « personnel » sur tous les messages qu’il émet. La Cour de Paris confirme ce jugement. La Cour vient rappeler cette évidence, en faisant coïncider (une fois n’est pas coutume) le bon sens, la morale … et le droit.
Informatique et libertés : l'accès aux messages personnels des salariés très encadré
Le respect de la vie privé : un droit supérieur à protéger Les problématiques liées à l’utilisation de l’outil informatique au bureau – par nature, un outil professionnel -, à des fins personnelles, ont pris de nombreuses configurations. Dénigrement des supérieurs par e-mail, consultation de site internet sans rapport avec l’activité professionnelle, utilisation d’une boîte mail professionnelle à des fins personnelles, entre autres, la liste est longue et va certainement encore s’allonger. Les juges ont, de manière générale, considéré que les fichiers ou les documents détenus sur un ordinateur sont présumés avoir un caractère professionnel, sauf s’ils ont été clairement identifiés comme « personnels ». Si ce n’est pas le cas, ils sont considérés comme ayant un caractère professionnel, de sorte que l’employeur peut y avoir accès en dehors de la présence du salarié (Cass. Soc., 18 octobre 2006, n° 04-48.025 ; Cass. Les administrateurs de réseaux : la main informatique de l’employeur
12 bonnes raisons d'être un administrateur systèmes fainéant
On l’appelle sysadmin, adminsys ou plus correctement administrateur systèmes. Il a la lourde charge de s’occuper des serveurs d’une organisation. Si vous avez l’impression qu’il bulle toute la journée, ne le critiquez pas ! Vous êtes en réalité en face d’un excellent administrateur systèmes :) 12 raisons pour lesquelles tous les administrateurs système devraient être paresseux 12 Reasons Why Every Linux System Administrator Should be Lazy Ramesh Natarajan - 12 juillet 2011 - GeekStuff.com(Traduction : Husi10, Ag3m, Gatitac, Kathryl, Thur, M0tty, Ag3m, Dominique, minimoy) Un administrateur systèmes fainéant est un bon administrateur systèmes— Anonyme Le travail d’un administrateur systèmes n’est généralement pas visible des autres services informatiques ou par les utilisateurs finaux. Voici 12 raisons qui font d’un administrateur systèmes paresseux le meilleur des administrateurs systèmes : 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. Voilà. Crédit photo : Anita Hart (Creative Commons By-Sa)