background preloader

Guide de bonnes pratiques pour les Administrateurs Systèmes et Réseaux

Guide de bonnes pratiques pour les Administrateurs Systèmes et Réseaux
Résumé : Le Guide des Bonnes Pratiques tente de recenser les spécificités majeures du métier Administrateurs Systèmes et Réseaux (ASR). Il formalise un ensemble de comportements qui font consensus dans la communauté des ASR pour élaborer un corpus de bonnes pratiques d'organisation. Ce guide peut contribuer à rendre les missions du métier plus lisibles, améliorer l'organisation et la technicité mises en œuvre au sein de nos services vis à vis de nos utilisateurs, de nos directions et de nos tutelles. Ce projet de guide est né à l'initiative de RESINFO à partir d'une réflexion générale liée aux différents contextes de travail de notre métier dans lesquels on assiste à une intensification des tâches d'exploitation des systèmes informatiques et des réseaux, et des responsabilités attenantes, la plupart du temps à moyens humains constants.

L'administrateur, bête noire pour la sécurité des IBM System i Si les System i d'IBM (ex-AS/400) ont longtemps joui d'une réputation de fiabilité à toute épreuve, ils sont de plus en plus vulnérables à des attaques du fait des pratiques de sécurité contestables de leurs administrateurs. Selon une étude portant sur 188 System i réalisée par le PowerTech Group, une société de sécurité de l'Etat de Washington, nombre d'entreprises n'ont pas assez de mécanismes de contrôle interne en place pour protéger les données sur leurs serveurs. Par exemple, 90% des systèmes audités n'avaient aucun contrôle en place pour prévenir ou auditer des modifications de données depuis un PC externe. 95% des systèmes disposaient au moins de 10 utilisateurs avec des droits d'accès administrateur et 43 % avait plus de 30 utilisateurs avec des droits "root". 77% des systèmes avaient aussi au moins 20 utilisateurs dont les mots de passe étaient les mêmes que leur login.

Commet un délit l'auteur de la mise à disposition sur internet d'informations relatives à des failles de sécurité | Net-iris 2009 Selon un Arrêt de rejet de la Chambre criminelle de la Cour de cassation rendu le 27/10/2009, la seule constatation de la violation, sans motif légitime et en connaissance de cause, de l'une des interdictions prévues par l'article 323-3-1 du Code pénal, implique de la part de son auteur l'intention coupable exigée par l'article 121-3 du même code. En sachant qu'il diffusait sur internet des informations présentant un risque d'utilisation à des fins de piratage par un public particulier en recherche de ce type de déviance, l'auteur des écrits visibles sur le site internet et accessibles à tous, s'est rendu coupable du délit de mise à disposition, sans motif légitime, de moyens conçus ou spécialement adaptés pour commettre une atteinte à un système de traitement automatisé de données. Lire l'analyse de la décision Analyse de 418 Mots. D'où il suit que le moyen doit être écarté ; Et attendu que l'arrêt est régulier en la forme ; Rejette le pourvoi ; © 2009 Net-iris

Une charte de l'administrateur de système et de réseau Complexité en expansion, risques multipliés La multiplication de questions de plus en plus complexes liées à la sécurité des systèmes et des réseaux, l’imbrication de plus en plus intime des aspects techniques et juridiques de ces questions et le risque accru de conséquences judiciaires en cas d’erreur incitent à la rédaction, au sein de chaque entreprise ou organisation, d’une charte de l’administrateur de système et de réseau qui rappelle les devoirs, les pouvoirs et les droits des ingénieurs et des techniciens qui administrent la sécurité des réseaux, des ordinateurs et en fin de compte du système d’information. Cette activité d’administration de la passerelle de messagerie de l’entreprise lui permet de détecter les usages contraires à la loi qui pourraient en être faits par des employés indélicats, dont les exemples les plus courants sont, non limitativement : Règles de conduite Secret professionnel Mots de passe « - Non ! Proposition de charte Préambule Définitions Surveillance et audit

La culture informationnelle » Le concept de veille informationnelle Chacun de nous, les prospectivistes, économistes et politiques s’accordent aujourd’hui pour donner au savoir, à la compétence, aux moyens de les acquérir et donc à l’apprentissage, une fonction vitale dans le développement des personnes, des organisations et des nations de ce XXI° siècle naissant. Le livre blanc sorti en 1995 et intitulé « Enseigner et apprendre » avaient déjà pour unique objectif : Préparer les Européens à passer sans heurts à une société fondée sur l’acquisition des connaissances, où l’on ne cesse d’apprendre et d’enseigner tout au long de la vie, autrement dit à une société cognitive. Notre modèle scolaire serait dominé comme le cite Carré dans son ouvrage sur l’apprenance par «Le scénario de la transmission et les figures de l’élève ou du formé, réceptacles plus ou moins volontaires, plus ou moins passifs, de l’action éducative du maître ou du formateur ».

Sécurité entreprise données fonctions personnalités 01net. le 28/01/09 à 18h25 Qui sont les maillons faibles de la sécurité des données dans l'entreprise ? Ou plus exactement peut-on définir des personnalités et des fonctions ' à risque ' pour l'entreprise ? C'est la question qu'a posée Clavister, société suédoise spécialisée dans la sécurité, avec l'aide de l'institut britannique YouGov, à 212 responsables informatiques, directeurs télécoms et managers senior du secteur privé, au mois de septembre 2008. Fainéants, ambitieux, commerciaux et télétravailleurs Résultat, selon Clavister, les personnes ' à risque ' se trouveraient surtout chez les commerciaux, les administratifs, les personnes travaillant depuis leur domicile et les intérimaires. Ces résultats étonnent des spécialistes. ' On a coutume de dire que le plus grand danger du système d'information est entre la chaise et le clavier ! Tous potentiellement dangereux Quant à la fameuse assistante, elle peut aussi être une faille.

[MàJ] Bluetouff décide de se pourvoir en Cassation Mise à jour : L’affaire « Bluetouff » ne va pas s’en arrêter là. L’avocat d’Olivier Laurelli, Maître Iteanu, a en effet annoncé hier sur Twitter que son client avait finalement décidé de se pourvoir en cassation. Le soulagement ayant fait suite à la relaxe d’Olivier Laurelli, alias « Bluetouff », n’aura pas duré très longtemps. Après avoir été innocenté en avril dernier, le blogueur vient en effet d’être condamné par la cour d’appel de Paris à 3 000 euros d’amende pour avoir téléchargé depuis Internet des documents d'une agence gouvernementale, lesquels étaient librement accessibles du fait d’une faille de sécurité. Le verdict de la cour d’appel de Paris est tombé hier. Des documents accessibles suite à une recherche Google Mais revenons sur cette affaire, dans laquelle « Bluetouff » avait été totalement blanchi en première instance, le tribunal correctionnel de Créteil l’ayant relaxé en avril dernier (voir notre article, et la décision sur Legalis). (...)

Failles de sécurité et fautes informatiques — Droit des technologies avancées L’actualité en 2011 a fait l’objet de très nombreuses illustrations de failles de sécurité et de piratages informatique. Les derniers en date concernent le vol des données personnelles de plus d'un million de comptes clients du groupe de jeux Sega et du géant de l'électronique Sony en exploitant des failles de sécurité pour s'introduire dans les serveurs de leur site internet. Les attaques visent non seulement les systèmes d’information des entreprises mais également ceux de l’État. Les pirates n’hésitent pas à s’attaquer aux systèmes d’information des plus hautes instances comme l'Elysée, le Quai d'Orsay ou le ministère de l’Économie, des Finances et de l’Industrie, victimes de tentatives de piratage et d’intrusions. Les attaques se multiplient partout dans le monde jusqu’à viser des établissements stratégiques ; le FMI, la Banque mondiale ou encore la bourse électronique américaine Nasdaq se sont ajoutés à la liste des institutions victimes de cyberattaques. La problématique

Le fair-play de la CNIL en question, à propos de la sanction d’Orange à la suite de la notification d’une faille de sécurité | France Le 7 août 2014, la Commission nationale de l’informatique et des libertés (CNIL) a sanctionné l’opérateur historique Orange pour défaut de sécurité des données personnelles dans le cadre d’opérations marketing, par un avertissement public. Le 18 avril dernier, Orange a découvert un accès illégitime sur une plateforme technique d’envoi de courriers électroniques et de SMS ayant entrainé une fuite de données concernant environ 1.340.000 de ses clients. Cette intrusion dans le serveur d’un prestataire en charge de certaines campagnes de marketing direct pour Orange a entrainé la fuite de données telles que les noms, prénoms, dates de naissance, adresses électroniques et les numéros de téléphone fixes et mobiles des clients. Au vu de l’importance de la faille et de l’opérateur, la CNIL a décidé de réaliser des contrôles sur place, chez Orange, son sous-traitant et son prestataire secondaire. La notification de failles de sécurité L’auto-incrimination Une sanction en opportunité

Pour une éthique de la révélation de faille de sécurité 1 La Commission européenne a lancé en juillet 2011 une consultation sur les règles pratiques de noti (...) 2 Par exemple, l’institution financière Morgan Stanley a envoyé par la poste aux services fiscaux de (...) 3 Deux clefs USB contenant les données d’identification non chiffrées de deux millions d’électeurs c (...) 4 En 2011, le réseau de Sony, PSN (PlayStation Network), a été victime d’attaques. Il s’agit d’un po (...) 1À l’heure actuelle, il ne se passe pas un jour sans que la presse relaie l’exploitation d’une faille de sécurité ayant eu pour conséquence l’accès à des données confidentielles ou la diffusion de données personnelles. La prise de conscience du risque de diffusion de données personnelles est récente, comme en témoignent les derniers projets européens visant à obliger les entreprises à informer les victimes et à verser de substantielles indemnités1. 3Un récent rapport parlementaire souligne d’ailleurs le problème : 1. 10 « 1. 2. 1. 17 Art. 226-16 et s. du Code pénal.

CYBERSURVEILLANCE ET ADMINSTRATEURS RESEAUX Pouvant être sujet d'attaques internes comme externes, les entreprises et leurs réseaux ont besoin d'une cybersurveillance des administrateurs de réseaux. Cependant la cybersurveillance et les administrateurs de réseaux doivent obéir à différentes règles notamment le respect à la vie privée et le secret des correspondances. Avant de pouvoir rentrer dans les détails, nous allons définir la cybersurveillance et les administrateurs de réseaux dans un premier temps. Dans un second temps, nous allons présenter les obligations qui pèsent sur les administrateurs réseaux lorsqu'ils font de la cybersurveillance. généralisée de réseaux au sein des entreprises. Ces réseaux permettent de faciliter le travail des salariés, mais aussi leurs échanges. Plus précisément, la cybersurveillance regroupe les voies et moyens aboutissant à l’accès des données ou signaux transmis par voie électronique ainsi que le contrôle des moyens techniques permettant ces transmissions. I. II. III. VI.

Faille de sécurité : avertissement public de la Cnil Faille de sécurité. La société DHL Express France vient de faire l’objet d’un avertissement public prononcé par la formation restreinte de la Cnil, le 12 juin dernier, sur deux manquements importants à la loi Informatique, fichiers et libertés. D’une part, un manquement à l’obligation d’assurer la confidentialité et la sécurité des données (art. 34 de la loi informatique et libertés) et d’autre part, un manquement à l’obligation de définir une durée de conservation des données traitées, proportionnée à la finalité du traitement (art. 6-5° de la loi informatique et libertés). Dans cette affaire, la Cnil avait été alertée suite à une faille affectant directement la sécurité des données collectées par DHL et comportant les demandes de « relivraison » des colis. Laure Landes-Gronowski Pauline Binelli-WaintropLexing Droit Informatique et libertés

Swisslife renforce la gestion des comptes à privilège Pour renforcer sa politique de sécurité, Swisslife s'est équipé d'une solution de gestion des comptes à privilège. PublicitéAvec plus de 110 ans d'existence en France, Swiss Life, 3,8 Md€ de chiffre d'affaires en 2013, est un des acteurs majeurs sur les marchés de l'assurance patrimoniale en vie et retraite et de l'assurance santé et prévoyance. Pour faire tourner son système d'information, le groupe s'appuie une DSI composée de 300 personnes dont 200 en interne. Entièrement virtualisée, son infrastructure repose sur un millier de serveurs. Dans le cadre d'une refonte de ses systèmes de sécurité, la DSI a notamment lancé en 2012 une audit sur la gestion des comptes à privilège. « Nous avons interviewé la plupart de nos administrateurs et fait état d'une situation et de comportements préoccupants », se rappelle Julien Soleil, responsable de la sécurité opérationnelle de Swisslife qui intervenait le 3 octobre 2014 dans le cadre des Assises de la Sécurité. Article rédigé par

Related: