Sécurité Informatique Module 01 Sécurité Informatique - PAG
L’environnement humain Souvent le point le plus « négligé » ! Pourtant, toute erreur ou toute attaque a une origine humaine ! « Le plus gros bug en informatique est celui qui se trouve entre la chaise et l’ordinateur » Il faut donc : faire prendre conscience du risque, impliquer les utilisateurs à tous les niveaux de l’entreprise ! . Sécurité Informatique - PAG
Mettez en œuvre une charte de sécurité Document écrit, qui précise et engage les responsabilités de tous ceux qui sont concernés Conçue dans une logique de prévention et non de répression Objectif : « responsabiliser » l’utilisateur qui ne peut plus se prévaloir de son « ignorance » La responsabilité légale de la société peut être engagée par le simple usage qu'auront pu faire ses employés des moyens informatiques mis à leur disposition ! . Sécurité Informatique - PAG
Une charte est elle obligatoire ? En principe NON mais fortement conseillée ! OBLIGATOIRE si l´entreprise veut mettre en place des logiciels de contrôle d´accès au web ou de surveillance en général… code du travail article L.121-8 : « Aucune information concernant personnellement un salarié ou un candidat à un emploi ne peut être collectée par un dispositif qui n'a pas été porté préalablement à la connaissance du salarié ou du candidat à un emploi. » . Sécurité Informatique - PAG
Quels points aborder dans la charte ? Exemple : Charte CNRS . Pratiques attendues en terme de : comportement, loyal et responsable, règles élémentaires de sécurité à respecter, règles déontologiques et législations applicables… 1- Qui est autorisé à utiliser les ressources réseau ? 2- Quelles sont les utilisations normales de ces ressources ? 3- Qui est autorisé à donner des droits aux autres utilisateurs ? 5- Quels sont les droits et responsabilités des utilisateurs ? 6- Quels sont les droits et responsabilités des administrateurs ? 7- Que faire avec les informations sensibles ?... . Sécurité Informatique - PAG
La charte est-elle respectée ? Comment : outils de surveillance du réseau, qui enregistrent les temps de connexion, l'identité du poste connecté… fichiers de log, générés par les applications ou les matériels comme les coupe-feu, les proxy… Attention à rester dans la légalité ! Voir le document édité par la CNIL : « Cyber surveillance sur les lieux de travail - février 2004 » . Sécurité Informatique - PAG
Outils ou Cyber surveillance ? Dameware, VNC, PCAnywhere… permettent d’observer, plus ou moins « discrètement », ce qui se passe sur un PC distant… Logiciels d’analyse de messageries : Mail-Gear, MAILsweeper Business Suite, IM Message Inspector… Logiciels de contrôle d'accès à Internet : I-Gear, Web Inspector, EIM-KEY contrôlent si le vocabulaire, les formes utilisées, les sites consultés… sont en accord avec la politique d'accès à Internet… Logiciels de surveillance de réseau : Big Brother Pro, Nagios, MRTG… . Sécurité Informatique - PAG
Cyber surveillance ! Certains logiciels sont conçus spécifiquement pour surveiller le travail ! TrueActive Monitor (ex WinWhatWhere Investigator)… ainsi que de très nombreux keyloggers… Ils permettent de savoir: sur quel forum discute un employé, d’intercepter des e-mails à la volée et d’envoyer régulièrement le tout au chef de service, de lister les dossiers ouverts, de déterminer le temps consacré à chacun, les sites consultés, d’effectuer des captures d'écran régulières… et tout ça en mode furtif, ce qui leur permet de fonctionner de manière invisible ! . Sécurité Informatique - PAG
Cyber surveillance ! . Sécurité Informatique - PAG
Fin Sécurité Informatique - PAG