Cyber-travailleurs : surf sous haute surveillance
L’usage d’internet en entreprise se heurte aux lois de protection des personnes sur leur lieu de travail. Un vrai casse-tête pour les DRH et les DSI.
Les services web utilisés pendant les heures travaillées posent des problèmes exponentiels aux DRH/DSI. Pour les salariés, qui sont aussi citoyens et consommateurs, l’emploi du Net est incontournable, avec toutes les répercussions que cela suppose dans leur façon de communiquer et de consommer de l’information de toute nature… de fait, dans l’industriel ou le tertiaire, une info périphérique au job peut s’avérer stratégique pour le salarié et ses collègues environnants : développements industriels, prévisions de restructurations, alertes boursières, blogs syndicaux… le champ est large.
Qu’en est-il donc d’autres connexions en ligne depuis le poste de travail : opérations bancaires à distance, achats courants et autres téléchargements de fichiers de musique et de VOD, sans omettre l’envie de dégoter le dernier gadget high-tech au moindre prix, d’entretenir des communications avec des tiers, de pratiquer des jeux en ligne “pour se détendre”. Mais parfois aussi (à l’insu de la hiérarchie), visiter des sites licencieux, révisionnistes, terroristes… par simple curiosité souvent. En bref, il est devenu quasiment inévitable que des collaborateurs utilisent leur connexion internet de façon dite “inappropriée”. Des faits très courants en pratique, qui soulèvent de nombreux problèmes, car informatique et sécurité ne font pas toujours bon ménage sur le “lieu de travail”. Difficile aussi d’effacer toutes traces ici et là… le surf restant sous haute surveillance.
En matière de sécurité, contrairement à la protection du réseau contre les attaques extérieures, les contrôles effectués sur les “connexions utilisateurs” se limitent en général à de simples vérifications ponctuelles. Sauf instruction express de la DSI, rien n’empêche donc en principe d’installer un navigateur parallèle sur son ordinateur de bureau pour des usages privés. De type “open source” (firefox ou thunderbird pour le courrier, assurant un meilleur contrôle des données de traçage).
Vie de bureau versus sécurité informatique
Du point de vue des dirigeants, outre que tout celà occupe de la bande passante, certains téléchargements peuvent déboucher sur des litiges en matière de droits d’auteurs, voire engager l’entreprise au niveau pénal. Sur le plan du droit, en vertu du code pénal, l’entreprise et ses dirigeants, en tant que représentants légaux, peuvent être poursuivis pour complicité ou recel (même si l’utilisation malveillante s’est faite à leur insu). Les sanctions encourues pouvant aller de l’amende lourde, jusqu’à des peines d’emprisonnement. D’où l’intérêt pour les entreprises de se prémunir contre les agissements de collaborateures étourdis. La précaution consistant à filtrer les sites jugés illicites en s’appuyant sur des applications spécialisées. Ce qui est jugé « illicite » devant (en principe) être discuté entre l’entreprise et le CE.
Techniquement, les solutions existent pour contrôler les flux d’informations échangées par les salariés. Des serveurs d’interception de requêtes internes qui vérifient automatiquement la conformité des échanges avec la politique de sécurité maison. Dans le détail, le filtrage d’adresses (URL) se fait en utilisant des logiciels de sécurisation bien connus (de type websense, secure computing, surfcontrol) ; aussi des contrôles de transferts des flux analysés (tcp, http, https, socks, dns, ftp). De même pour les protocoles de messagerie instantanée (windows messenger, aol, yahoo).
Claude A.Frison
Cyber-travailleurs : surf sous haute surveillance
L’usage d’internet en entreprise se heurte aux lois de protection des personnes sur leur lieu de travail. Un vrai casse-tête pour les DRH et les DSI.
Les services web utilisés pendant les heures travaillées posent des problèmes exponentiels aux DRH/DSI. Pour les salariés, qui sont aussi citoyens et consommateurs, l’emploi du Net est incontournable, avec toutes les répercussions que cela suppose dans leur façon de communiquer et de consommer de l’information de toute nature… de fait, dans l’industriel ou le tertiaire, une info périphérique au job peut s’avérer stratégique pour le salarié et ses collègues environnants : développements industriels, prévisions de restructurations, alertes boursières, blogs syndicaux… le champ est large.
Qu’en est-il donc d’autres connexions en ligne depuis le poste de travail : opérations bancaires à distance, achats courants et autres téléchargements de fichiers de musique et de VOD, sans omettre l’envie de dégoter le dernier gadget high-tech au moindre prix, d’entretenir des communications avec des tiers, de pratiquer des jeux en ligne “pour se détendre”. Mais parfois aussi (à l’insu de la hiérarchie), visiter des sites licencieux, révisionnistes, terroristes… par simple curiosité souvent. En bref, il est devenu quasiment inévitable que des collaborateurs utilisent leur connexion internet de façon dite “inappropriée”. Des faits très courants en pratique, qui soulèvent de nombreux problèmes, car informatique et sécurité ne font pas toujours bon ménage sur le “lieu de travail”. Difficile aussi d’effacer toutes traces ici et là… le surf restant sous haute surveillance.
En matière de sécurité, contrairement à la protection du réseau contre les attaques extérieures, les contrôles effectués sur les “connexions utilisateurs” se limitent en général à de simples vérifications ponctuelles. Sauf instruction express de la DSI, rien n’empêche donc en principe d’installer un navigateur parallèle sur son ordinateur de bureau pour des usages privés. De type “open source” (firefox ou thunderbird pour le courrier, assurant un meilleur contrôle des données de traçage).
Vie de bureau versus sécurité informatique
Du point de vue des dirigeants, outre que tout celà occupe de la bande passante, certains téléchargements peuvent déboucher sur des litiges en matière de droits d’auteurs, voire engager l’entreprise au niveau pénal. Sur le plan du droit, en vertu du code pénal, l’entreprise et ses dirigeants, en tant que représentants légaux, peuvent être poursuivis pour complicité ou recel (même si l’utilisation malveillante s’est faite à leur insu). Les sanctions encourues pouvant aller de l’amende lourde, jusqu’à des peines d’emprisonnement. D’où l’intérêt pour les entreprises de se prémunir contre les agissements de collaborateures étourdis. La précaution consistant à filtrer les sites jugés illicites en s’appuyant sur des applications spécialisées. Ce qui est jugé « illicite » devant (en principe) être discuté entre l’entreprise et le CE.
Techniquement, les solutions existent pour contrôler les flux d’informations échangées par les salariés. Des serveurs d’interception de requêtes internes qui vérifient automatiquement la conformité des échanges avec la politique de sécurité maison. Dans le détail, le filtrage d’adresses (URL) se fait en utilisant des logiciels de sécurisation bien connus (de type websense, secure computing, surfcontrol) ; aussi des contrôles de transferts des flux analysés (tcp, http, https, socks, dns, ftp). De même pour les protocoles de messagerie instantanée (windows messenger, aol, yahoo).
Claude A.Frison
Biométrie : les contraintes du tout sécuritaire
Le CDSE (Club des Directeurs de Sécurité des Entreprises ) vient de réaliser une enquête portant sur l’utilisation de systèmes de contrôle d’accès biométrique auprès de 50 directeurs sécurité d’entreprise
Selon le CDSE, il y aurait bel et bien une réticence à l’utilisation de ces systèmes. Pour les analystes, la réalité du marché biométrique serait très éloignée de l’image que l’on pourrait s’en faire et des fantasmes véhiculés par ce que certains auteurs appellent la « frénésie sécuritaire » (allusion à un ouvrage de Laurent Mucchielli, “La frénésie sécuritaire : retour à l’ordre et nouveau contrôle social”, Editions La Découverte, Paris 2008).Pour rappel, derrière le vocable « biométrie » se cache une variété de techniques permettant à la fois l’identification et l’authentification des individus. D’une façon générale, un système de contrôle biométrique est un système automatique de mesure basé sur la reconnaissance de caractéristiques propres à l’individu. La biométrie permet l’identification d’une personne sur les bases de données reconnaissables et vérifiables. On distingue trois catégories de technologie biométrique. Il y a l’analyse biologique (odeur, sang, ADN…), l’analyse comportementale (dynamique d’une signature, la voix, la démarche…) et l’analyse morphologique (empreintes digitales, traits du visage, dessin du réseau veineux de l’œil …).
D’après l’étude, les techniques de sécurisation utilisant la biométrie sont encore loin de devenir l’élément clef des systèmes d’identification et de surveillance. En plus de constater que peu d’entreprises interrogées ont recours à ces systèmes (35% des entreprises interrogées utilisent un système biométrique à grande ou petite échelle), peu d’entre elles ont instauré ces techniques à l’ensemble de leurs infrastructures : 44% des entreprises ayant recours à la biométrie ont un système généralisé (soit moins de 15 % d’entre-elles). Pour l’instant les 66% d’entreprises qui utilisent la biométrie comme technique de sécurisation ne l’utilisent que dans des cas très spécifiques comme la protection d’infrastructures sensibles à forte valeur patrimoniale. Parmi les entreprises n’ayant pas recours à la biométrie, une grande majorité (59% des 50 sociétés) n’a même pas envisagé le recours à ces techniques et 24% l’ont un temps envisagé avant de décider de ne pas y avoir recours.
Des résultats qui peuvent étonner à une époque où les entreprises sont confrontées à toutes sortes de menaces (piratages, fraudes diverses, espionnage industriel…). Rien de surprenant toutefois que les entreprises basées dans l’Hexagone demeurent rétives à l’intrusion de ces moyens de contrôle des personnels si l’on en juge par les raisons invoquées par les entreprises pour justifier de la non utilisation de systèmes biométriques. Essentiellement des problèmes d’éthique et d’acceptation par le personnel (en France particulièrement) et surtout par la CNIL (commission nationale informatique et libertés) qui veille au grain; et hormis le coût, les contraintes liées à la mise en place “complexe et d’une efficacité pas toujours pertinente” précisent les analystes qui pointent aussi la rapide obsolescence de certains systèmesClaude A.Frison
(source enquête CDSE 2008, illustrations Biometric Group, Cité des Sciences)
Les contraintes juridiques
La législation française soumet l’utilisation des systèmes biométriques à la loi n°78-17 du 6 janvier 1978 relative aux fichiers et aux libertés, et à la loi informatique et liberté de 2004. Ces techniques permettent un traitement de données à caractère personnel. Leurs mises en œuvre sont soumises à l’autorisation préalable de la commission nationale de l’informatique et des libertés (CNIL) afin de garantir au public qu’il n’y a pas d’atteinte à la vie privée et aux libertés individuelles ou publiques. Important de préciser qu’il n’existe aucun « label CNIL » ou d’agrément pour quelques dispositifs que ce soient comme ont pu l’affirmer certains prestataires de sécurité3. D’une manière générale, la Commission considère que le recours à un dispositif reposant sur la reconnaissance des empreintes digitales, dès lors que ces dernières sont enregistrées dans une base de données centralisée ou située sur le terminal de lecture comparaison, ne saurait être justifié qu’en présence d’un fort impératif de sécurité. En revanche, elle favorise l’utilisation de techniques biométriques « sans trace », telles que la reconnaissance tridimensionnelle du contour de la main ou la reconnaissance du réseau veineux du doigt. De même, la CNIL a pu autoriser la mise en œuvre de dispositifs de contrôle d’accès qui n’étaient pas justifiés par un fort impératif de sécurité, dès lors qu’ils reposaient sur l’enregistrement du gabarit de l’empreinte digitale dans un support individuel exclusivement détenu par la personne concernée, tel qu’une carte à puce. Plus sur www.cnil.fr
Biométrie : les contraintes du tout sécuritaire
Le CDSE (Club des Directeurs de Sécurité des Entreprises ) vient de réaliser une enquête portant sur l’utilisation de systèmes de contrôle d’accès biométrique auprès de 50 directeurs sécurité d’entreprise
Selon le CDSE, il y aurait bel et bien une réticence à l’utilisation de ces systèmes. Pour les analystes, la réalité du marché biométrique serait très éloignée de l’image que l’on pourrait s’en faire et des fantasmes véhiculés par ce que certains auteurs appellent la « frénésie sécuritaire » (allusion à un ouvrage de Laurent Mucchielli, “La frénésie sécuritaire : retour à l’ordre et nouveau contrôle social”, Editions La Découverte, Paris 2008).Pour rappel, derrière le vocable « biométrie » se cache une variété de techniques permettant à la fois l’identification et l’authentification des individus. D’une façon générale, un système de contrôle biométrique est un système automatique de mesure basé sur la reconnaissance de caractéristiques propres à l’individu. La biométrie permet l’identification d’une personne sur les bases de données reconnaissables et vérifiables. On distingue trois catégories de technologie biométrique. Il y a l’analyse biologique (odeur, sang, ADN…), l’analyse comportementale (dynamique d’une signature, la voix, la démarche…) et l’analyse morphologique (empreintes digitales, traits du visage, dessin du réseau veineux de l’œil …).
D’après l’étude, les techniques de sécurisation utilisant la biométrie sont encore loin de devenir l’élément clef des systèmes d’identification et de surveillance. En plus de constater que peu d’entreprises interrogées ont recours à ces systèmes (35% des entreprises interrogées utilisent un système biométrique à grande ou petite échelle), peu d’entre elles ont instauré ces techniques à l’ensemble de leurs infrastructures : 44% des entreprises ayant recours à la biométrie ont un système généralisé (soit moins de 15 % d’entre-elles). Pour l’instant les 66% d’entreprises qui utilisent la biométrie comme technique de sécurisation ne l’utilisent que dans des cas très spécifiques comme la protection d’infrastructures sensibles à forte valeur patrimoniale. Parmi les entreprises n’ayant pas recours à la biométrie, une grande majorité (59% des 50 sociétés) n’a même pas envisagé le recours à ces techniques et 24% l’ont un temps envisagé avant de décider de ne pas y avoir recours.
Des résultats qui peuvent étonner à une époque où les entreprises sont confrontées à toutes sortes de menaces (piratages, fraudes diverses, espionnage industriel…). Rien de surprenant toutefois que les entreprises basées dans l’Hexagone demeurent rétives à l’intrusion de ces moyens de contrôle des personnels si l’on en juge par les raisons invoquées par les entreprises pour justifier de la non utilisation de systèmes biométriques. Essentiellement des problèmes d’éthique et d’acceptation par le personnel (en France particulièrement) et surtout par la CNIL (commission nationale informatique et libertés) qui veille au grain; et hormis le coût, les contraintes liées à la mise en place “complexe et d’une efficacité pas toujours pertinente” précisent les analystes qui pointent aussi la rapide obsolescence de certains systèmesClaude A.Frison
(source enquête CDSE 2008, illustrations Biometric Group, Cité des Sciences)
Les contraintes juridiques
La législation française soumet l’utilisation des systèmes biométriques à la loi n°78-17 du 6 janvier 1978 relative aux fichiers et aux libertés, et à la loi informatique et liberté de 2004. Ces techniques permettent un traitement de données à caractère personnel. Leurs mises en œuvre sont soumises à l’autorisation préalable de la commission nationale de l’informatique et des libertés (CNIL) afin de garantir au public qu’il n’y a pas d’atteinte à la vie privée et aux libertés individuelles ou publiques. Important de préciser qu’il n’existe aucun « label CNIL » ou d’agrément pour quelques dispositifs que ce soient comme ont pu l’affirmer certains prestataires de sécurité3. D’une manière générale, la Commission considère que le recours à un dispositif reposant sur la reconnaissance des empreintes digitales, dès lors que ces dernières sont enregistrées dans une base de données centralisée ou située sur le terminal de lecture comparaison, ne saurait être justifié qu’en présence d’un fort impératif de sécurité. En revanche, elle favorise l’utilisation de techniques biométriques « sans trace », telles que la reconnaissance tridimensionnelle du contour de la main ou la reconnaissance du réseau veineux du doigt. De même, la CNIL a pu autoriser la mise en œuvre de dispositifs de contrôle d’accès qui n’étaient pas justifiés par un fort impératif de sécurité, dès lors qu’ils reposaient sur l’enregistrement du gabarit de l’empreinte digitale dans un support individuel exclusivement détenu par la personne concernée, tel qu’une carte à puce. Plus sur www.cnil.fr
Barack Obama : président hightech
On le dit techno-freak rivé à son Blackberry… de fait, Barack Obama a su largement mobiliser ses soutiens par le biais du World Wide Web…
Le site de campagne BarackObama.com (un million et demi d’inscrits) aurait permis de récolter 600 millions de dollars de (petits) dons. Eric Schmidt, le boss de Google, a été l’un de ses conseillers économiques durant la campagne électorale. Plus de deux millions d’internautes se sont ralliés sur le Facebook du président élu (qui acomptabilisé plus de 500 000 messages de soutien).Dans son programme, Obama a promis plus de moyens de l’état à la FTC (Federal trade commission sensée réguler le commerce). Exigeant que celle-ci fixe des règles “plus strictes” en matière d’utilisation des données personnelles, combatte davantage le pollupostage (spam), le hameçonnage (phishing) et la cybercriminalité en général. Enfin, face à la montée du chômage dans le secteur informatique et financier américain, Barack Obama a déclaré vouloir supprimer les allègements fiscaux aux entreprises externalisant leurs emplois hors des Etats-Unis. (Claude A.Frison, sources BarackObama.com, Facebook, FTC)
