Sécurité Informatique Module 01

1. SécuritéInformatiqueModule 01 Sécurité Informatique - PAG

2. L’environnement humain Sécurité Informatique - PAG • Souvent le point le plus « négligé » ! • Pourtant, toute erreur ou toute attaque a une origine humaine ! « Le plus gros bug en informatique est celui qui se trouve entre la chaise et l’ordinateur » • Il faut donc : • faire prendre conscience du risque, • impliquer les utilisateurs à tous les niveaux de l’entreprise ! .

3. Mettez en œuvre une charte de sécurité Sécurité Informatique - PAG • Document écrit, qui précise et engage les responsabilités de tous ceux qui sont concernés • Conçue dans une logique de prévention et non de répression • Objectif : « responsabiliser » l’utilisateur qui ne peut plus se prévaloir de son « ignorance » • La responsabilité légale de la société peut être engagée par le simple usage qu'auront pu faire ses employés des moyens informatiques mis à leur disposition ! .

4. Une charte est elle obligatoire ? • En principe NON mais fortement conseillée ! • OBLIGATOIRE si l´entreprise veut mettre en place des logiciels de contrôle d´accès au web ou de surveillance en général… • code du travailarticle L.121-8 : « Aucune information concernant personnellement un salarié ou un candidat à un emploi ne peut être collectée par un dispositif qui n'a pas été porté préalablement à la connaissance du salarié ou du candidat à un emploi. » . Sécurité Informatique - PAG

5. Exemple : Charte CNRS . Quels points aborder dans la charte ? • Pratiques attendues en terme de : • comportement, loyal et responsable, • règles élémentaires de sécurité à respecter, • règles déontologiques et législations applicables… • 1- Qui est autorisé à utiliser les ressources réseau ? • 2- Quelles sont les utilisations normales de ces ressources ? • 3- Qui est autorisé à donner des droits aux autres utilisateurs ? • 5- Quels sont les droits et responsabilités des utilisateurs ? • 6- Quels sont les droits et responsabilités des administrateurs ? • 7- Que faire avec les informations sensibles?... . Sécurité Informatique - PAG

6. La charte est-elle respectée ? Sécurité Informatique - PAG • Comment : • outils de surveillance du réseau, qui enregistrent les temps de connexion, l'identité du poste connecté… • fichiers de log, générés par les applications ou les matériels comme les coupe-feu, les proxy… • Attention à rester dans la légalité ! • Voir le document édité par la CNIL : « Cyber surveillance sur les lieux de travail - février 2004 » .

7. Outils ou Cyber surveillance ? • Dameware, VNC, PCAnywhere… permettent d’observer, plus ou moins « discrètement », ce qui se passe sur un PC distant… • Logiciels d’analyse de messageries : Mail-Gear, MAILsweeper Business Suite, IM Message Inspector… • Logiciels de contrôle d'accès à Internet : I-Gear, Web Inspector, EIM-KEYcontrôlent si le vocabulaire, les formes utilisées, les sites consultés… sont en accord avec la politique d'accès à Internet… • Logiciels de surveillance de réseau : Big Brother Pro, Nagios, MRTG… . Sécurité Informatique - PAG

8. Cyber surveillance ! • Certains logiciels sont conçus spécifiquement pour surveiller le travail ! • TrueActive Monitor (ex WinWhatWhere Investigator)… ainsi que de très nombreux keyloggers… • Ils permettent de savoir: • sur quel forum discute un employé, • d’intercepter des e-mails à la volée et d’envoyer régulièrement le tout au chef de service, • de lister les dossiers ouverts, de déterminer le temps consacré à chacun, les sites consultés, • d’effectuer des captures d'écran régulières… • et tout ça en mode furtif, ce qui leur permet de fonctionner de manière invisible !. Sécurité Informatique - PAG

9. Cyber surveillance ! . Sécurité Informatique - PAG

10. Fin Sécurité Informatique - PAG