Sécurité Informatique Module 01 Sécurité Informatique - PAG

L’environnement humain Souvent le point le plus « négligé » ! Pourtant, toute erreur ou toute attaque a une origine humaine ! « Le plus gros bug en informatique est celui qui se trouve entre la chaise et l’ordinateur » Il faut donc : faire prendre conscience du risque, impliquer les utilisateurs à tous les niveaux de l’entreprise ! . Sécurité Informatique - PAG

Mettez en œuvre une charte de sécurité Document écrit, qui précise et engage les responsabilités de tous ceux qui sont concernés Conçue dans une logique de prévention et non de répression Objectif : « responsabiliser » l’utilisateur qui ne peut plus se prévaloir de son « ignorance » La responsabilité légale de la société peut être engagée par le simple usage qu'auront pu faire ses employés des moyens informatiques mis à leur disposition ! . Sécurité Informatique - PAG

Une charte est elle obligatoire ? En principe NON mais fortement conseillée ! OBLIGATOIRE si l´entreprise veut mettre en place des logiciels de contrôle d´accès au web ou de surveillance en général… code du travail article L.121-8 : « Aucune information concernant personnellement un salarié ou un candidat à un emploi ne peut être collectée par un dispositif qui n'a pas été porté préalablement à la connaissance du salarié ou du candidat à un emploi. » . Sécurité Informatique - PAG

Quels points aborder dans la charte ? Exemple : Charte CNRS . Pratiques attendues en terme de : comportement, loyal et responsable, règles élémentaires de sécurité à respecter, règles déontologiques et législations applicables… 1- Qui est autorisé à utiliser les ressources réseau ? 2- Quelles sont les utilisations normales de ces ressources ? 3- Qui est autorisé à donner des droits aux autres utilisateurs ? 5- Quels sont les droits et responsabilités des utilisateurs ? 6- Quels sont les droits et responsabilités des administrateurs ? 7- Que faire avec les informations sensibles ?... . Sécurité Informatique - PAG

La charte est-elle respectée ? Comment : outils de surveillance du réseau, qui enregistrent les temps de connexion, l'identité du poste connecté… fichiers de log, générés par les applications ou les matériels comme les coupe-feu, les proxy… Attention à rester dans la légalité ! Voir le document édité par la CNIL : « Cyber surveillance sur les lieux de travail - février 2004 » .   Sécurité Informatique - PAG

Outils ou Cyber surveillance ? Dameware, VNC, PCAnywhere… permettent d’observer, plus ou moins « discrètement », ce qui se passe sur un PC distant… Logiciels d’analyse de messageries : Mail-Gear, MAILsweeper Business Suite, IM Message Inspector… Logiciels de contrôle d'accès à Internet : I-Gear, Web Inspector, EIM-KEY contrôlent si le vocabulaire, les formes utilisées, les sites consultés… sont en accord avec la politique d'accès à Internet… Logiciels de surveillance de réseau : Big Brother Pro, Nagios, MRTG… . Sécurité Informatique - PAG

Cyber surveillance ! Certains logiciels sont conçus spécifiquement pour surveiller le travail ! TrueActive Monitor (ex WinWhatWhere Investigator)… ainsi que de très nombreux keyloggers… Ils permettent de savoir: sur quel forum discute un employé, d’intercepter des e-mails à la volée et d’envoyer régulièrement le tout au chef de service, de lister les dossiers ouverts, de déterminer le temps consacré à chacun, les sites consultés, d’effectuer des captures d'écran régulières… et tout ça en mode furtif, ce qui leur permet de fonctionner de manière invisible ! . Sécurité Informatique - PAG

Cyber surveillance ! . Sécurité Informatique - PAG

Fin Sécurité Informatique - PAG