presshightech

édition web pour la presse

Cyber-travailleurs : surf sous haute surveillance

L’usage d’internet en entreprise se heurte aux lois de protection des personnes sur leur lieu de travail. Un vrai casse-tête pour les DRH et les DSI.

Les services web utilisés pendant les heures travaillées posent des problèmes exponentiels aux DRH/DSI. Pour les salariés, qui sont aussi citoyens et consommateurs, l’emploi du Net est incontournable, avec toutes les répercussions que cela suppose dans leur façon de communiquer et de consommer de l’information de toute nature… de fait, dans l’industriel ou le tertiaire, une info périphérique au job peut s’avérer stratégique pour le salarié et ses collègues environnants : développements industriels, prévisions de restructurations, alertes boursières, blogs syndicaux… le champ est large.

Qu’en est-il donc d’autres connexions en ligne depuis le poste de travail : opérations bancaires à distance, achats courants et autres téléchargements de fichiers de musique et de VOD, sans omettre l’envie de dégoter le dernier gadget high-tech au moindre prix, d’entretenir des communications avec des tiers, de pratiquer des jeux en ligne “pour se détendre”. Mais parfois aussi (à l’insu de la hiérarchie), visiter des sites licencieux, révisionnistes, terroristes… par simple curiosité souvent. En bref, il est devenu quasiment inévitable que des collaborateurs utilisent leur connexion internet de façon dite “inappropriée”. Des faits très courants en pratique, qui soulèvent de nombreux problèmes, car informatique et sécurité ne font pas toujours bon ménage sur le “lieu de travail”. Difficile aussi d’effacer toutes traces ici et là… le surf restant sous haute surveillance.

En matière de sécurité, contrairement à la protection du réseau contre les attaques extérieures, les contrôles effectués sur les “connexions utilisateurs” se limitent en général à de simples vérifications ponctuelles. Sauf instruction express de la DSI, rien n’empêche donc en principe d’installer un navigateur parallèle sur son ordinateur de bureau pour des usages privés. De type “open source” (firefox ou thunderbird pour le courrier, assurant un meilleur contrôle des données de traçage).

Vie de bureau versus sécurité informatique

Du point de vue des dirigeants, outre que tout celà occupe de la bande passante, certains téléchargements peuvent déboucher sur des litiges en matière de droits d’auteurs, voire engager l’entreprise au niveau pénal. Sur le plan du droit, en vertu du code pénal, l’entreprise et ses dirigeants, en tant que représentants légaux, peuvent être poursuivis pour complicité ou recel (même si l’utilisation malveillante s’est faite à leur insu). Les sanctions encourues pouvant aller de l’amende lourde, jusqu’à des peines d’emprisonnement. D’où l’intérêt pour les entreprises de se prémunir contre les agissements de collaborateures étourdis. La précaution consistant à filtrer les sites jugés illicites en s’appuyant sur des applications spécialisées. Ce qui est jugé « illicite » devant (en principe) être discuté entre l’entreprise et le CE.

Techniquement, les solutions existent pour contrôler les flux d’informations échangées par les salariés. Des serveurs d’interception de requêtes internes qui vérifient automatiquement la conformité des échanges avec la politique de sécurité maison. Dans le détail, le filtrage d’adresses (URL) se fait en utilisant des logiciels de sécurisation bien connus (de type websense, secure compu­ting, surfcontrol) ; aussi des contrôles de transferts des flux analysés (tcp, http, https, socks, dns, ftp). De même pour les protocoles de messagerie instantanée (windows messenger, aol, yahoo).

Claude A.Frison

02/11/2009 Posté par Claude A.Frison | CNIL, Consommation, Libertés individuelles, Ressources Humaines, Travail, articles Claude A.Frison, dossiers, phishing | | Pas encore de commentaires

Cyber-travailleurs : surf sous haute surveillance

L’usage d’internet en entreprise se heurte aux lois de protection des personnes sur leur lieu de travail. Un vrai casse-tête pour les DRH et les DSI.

Les services web utilisés pendant les heures travaillées posent des problèmes exponentiels aux DRH/DSI. Pour les salariés, qui sont aussi citoyens et consommateurs, l’emploi du Net est incontournable, avec toutes les répercussions que cela suppose dans leur façon de communiquer et de consommer de l’information de toute nature… de fait, dans l’industriel ou le tertiaire, une info périphérique au job peut s’avérer stratégique pour le salarié et ses collègues environnants : développements industriels, prévisions de restructurations, alertes boursières, blogs syndicaux… le champ est large.

Qu’en est-il donc d’autres connexions en ligne depuis le poste de travail : opérations bancaires à distance, achats courants et autres téléchargements de fichiers de musique et de VOD, sans omettre l’envie de dégoter le dernier gadget high-tech au moindre prix, d’entretenir des communications avec des tiers, de pratiquer des jeux en ligne “pour se détendre”. Mais parfois aussi (à l’insu de la hiérarchie), visiter des sites licencieux, révisionnistes, terroristes… par simple curiosité souvent. En bref, il est devenu quasiment inévitable que des collaborateurs utilisent leur connexion internet de façon dite “inappropriée”. Des faits très courants en pratique, qui soulèvent de nombreux problèmes, car informatique et sécurité ne font pas toujours bon ménage sur le “lieu de travail”. Difficile aussi d’effacer toutes traces ici et là… le surf restant sous haute surveillance.

En matière de sécurité, contrairement à la protection du réseau contre les attaques extérieures, les contrôles effectués sur les “connexions utilisateurs” se limitent en général à de simples vérifications ponctuelles. Sauf instruction express de la DSI, rien n’empêche donc en principe d’installer un navigateur parallèle sur son ordinateur de bureau pour des usages privés. De type “open source” (firefox ou thunderbird pour le courrier, assurant un meilleur contrôle des données de traçage).

Vie de bureau versus sécurité informatique

Du point de vue des dirigeants, outre que tout celà occupe de la bande passante, certains téléchargements peuvent déboucher sur des litiges en matière de droits d’auteurs, voire engager l’entreprise au niveau pénal. Sur le plan du droit, en vertu du code pénal, l’entreprise et ses dirigeants, en tant que représentants légaux, peuvent être poursuivis pour complicité ou recel (même si l’utilisation malveillante s’est faite à leur insu). Les sanctions encourues pouvant aller de l’amende lourde, jusqu’à des peines d’emprisonnement. D’où l’intérêt pour les entreprises de se prémunir contre les agissements de collaborateures étourdis. La précaution consistant à filtrer les sites jugés illicites en s’appuyant sur des applications spécialisées. Ce qui est jugé « illicite » devant (en principe) être discuté entre l’entreprise et le CE.

Techniquement, les solutions existent pour contrôler les flux d’informations échangées par les salariés. Des serveurs d’interception de requêtes internes qui vérifient automatiquement la conformité des échanges avec la politique de sécurité maison. Dans le détail, le filtrage d’adresses (URL) se fait en utilisant des logiciels de sécurisation bien connus (de type websense, secure compu­ting, surfcontrol) ; aussi des contrôles de transferts des flux analysés (tcp, http, https, socks, dns, ftp). De même pour les protocoles de messagerie instantanée (windows messenger, aol, yahoo).

Claude A.Frison

02/11/2009 Posté par Claude A.Frison | CNIL, Consommation, Libertés individuelles, Ressources Humaines, Travail, articles Claude A.Frison, dossiers, phishing | | Pas encore de commentaires

Hoax oups avec hoaxkiller

On ne compte plus les messages non sourcés qui circulent sur le Net. Certains sont des hoax tranférés et retransférés par des collègues de travail, clients, amis, amis d’amis. La plupart de ces hoax présentent les caractéristiques de messages bien construits, argumentés, dont la crédibilité ne semble faire aucun doute…
Pointé par les spécialistes de Hoaxkiller.fr, le levier psychologique classique des hoax est la description d’une situation d’injustice. On l’a par exemple constaté en 2005 lors de la tragédie du Tsunami, avec une profusion de messages de solidarité face à de nombreuses disparitions dans les mois qui ont suivi. Dans un autre registre, cela peut monter d’un cran avec les fausses alertes virales. Des alertes « souvent complètement fictive mais nécessitant une réaction immédiate et toujours identique » (ndr: à savoir prévenir vos contacts en supposant que vous allez faire suivre le message d’un simple clic). Plus grave selon Hoaxkiller, certains hoax sont plutôt qualifiés de viroax, poussant les internautes à mettre en danger la sécurité de leur ordinateur en les incitant par exemple à supprimer un fichier sain appartenant au système d’exploitation (ou à une application courante). Le prétexte souvent avancé est que le fichier “pourrait être un virus”. Les consignes enjoignant alors l’utilisateur à vider illico presto sa corbeille, le laissant alors démuni, ne pouvant plus restaurer son fichier d’origine. Pour les éditeurs de Hoaxkiller, si un hoax arrive jusque dans une boîte de messagerie, c’est qu’il aura passé avec succès l’épreuve de la sélection naturelle et sera susceptible d’abuser n’importe quel internaute non averti. De là l’utilité d’un outil préventif contre ces hoax et autres viroax. (caf d’après hoaxkiller.fr)
Recommandations : par respect pour vos destinataires, ne pas faire suivre ce type de messages par simple tranfert, sans les scanner. Et comme précisé « prendre du recul et si nécessaire valider l’information auprès d’une source sûre, car le doute profitera toujours aux rumeurs et aux canulars ». En pratique : hoaxkiller est un module de vérification de sécurité des messages qui vous sont transmis. L’utilisateur saisit dans le formulaire quelques mots-clés parmi les plus significatifs d’un message douteux ou suspecté d’être un hoax, voire le message dans son entier (par copié-collé), puis lance la recherche. Le résultat s’affiche dans une fenêtre indépendante indiquant un taux de pertinence du message suspect (ndr : j’ai déjà testé son efficacité). A voir sur le site (sécurisé) hoaxkiller.fr, en suivant la visite guidée, ou en le testant sur notre propre site presshightech.com.

28/10/2008 Posté par Claude A.Frison | Consommation, Hoax Killer (détection), Sécurité informatique, Viroax, articles Claude A.Frison, cryptage, dossiers, hoax, internet, sur le web | | Pas encore de commentaires

Hoax oups avec hoaxkiller

On ne compte plus les messages non sourcés qui circulent sur le Net. Certains sont des hoax tranférés et retransférés par des collègues de travail, clients, amis, amis d’amis. La plupart de ces hoax présentent les caractéristiques de messages bien construits, argumentés, dont la crédibilité ne semble faire aucun doute…
Pointé par les spécialistes de Hoaxkiller.fr, le levier psychologique classique des hoax est la description d’une situation d’injustice. On l’a par exemple constaté en 2005 lors de la tragédie du Tsunami, avec une profusion de messages de solidarité face à de nombreuses disparitions dans les mois qui ont suivi. Dans un autre registre, cela peut monter d’un cran avec les fausses alertes virales. Des alertes « souvent complètement fictive mais nécessitant une réaction immédiate et toujours identique » (ndr: à savoir prévenir vos contacts en supposant que vous allez faire suivre le message d’un simple clic). Plus grave selon Hoaxkiller, certains hoax sont plutôt qualifiés de viroax, poussant les internautes à mettre en danger la sécurité de leur ordinateur en les incitant par exemple à supprimer un fichier sain appartenant au système d’exploitation (ou à une application courante). Le prétexte souvent avancé est que le fichier “pourrait être un virus”. Les consignes enjoignant alors l’utilisateur à vider illico presto sa corbeille, le laissant alors démuni, ne pouvant plus restaurer son fichier d’origine. Pour les éditeurs de Hoaxkiller, si un hoax arrive jusque dans une boîte de messagerie, c’est qu’il aura passé avec succès l’épreuve de la sélection naturelle et sera susceptible d’abuser n’importe quel internaute non averti. De là l’utilité d’un outil préventif contre ces hoax et autres viroax. (caf d’après hoaxkiller.fr)
Recommandations : par respect pour vos destinataires, ne pas faire suivre ce type de messages par simple tranfert, sans les scanner. Et comme précisé « prendre du recul et si nécessaire valider l’information auprès d’une source sûre, car le doute profitera toujours aux rumeurs et aux canulars ». En pratique : hoaxkiller est un module de vérification de sécurité des messages qui vous sont transmis. L’utilisateur saisit dans le formulaire quelques mots-clés parmi les plus significatifs d’un message douteux ou suspecté d’être un hoax, voire le message dans son entier (par copié-collé), puis lance la recherche. Le résultat s’affiche dans une fenêtre indépendante indiquant un taux de pertinence du message suspect (ndr : j’ai déjà testé son efficacité). A voir sur le site (sécurisé) hoaxkiller.fr, en suivant la visite guidée, ou en le testant sur notre propre site presshightech.com.

28/10/2008 Posté par Claude A.Frison | Consommation, Hoax Killer (détection), Sécurité informatique, Viroax, articles Claude A.Frison, cryptage, dossiers, hoax, internet, sur le web | | Pas encore de commentaires

Cyber-travailleurs : surf sous haute surveillance

L’usage d’internet en entreprise se heurte aux lois de protection des personnes sur leur lieu de travail. Un vrai casse-tête pour les DRH et les DSI.

Les services web utilisés pendant les heures travaillées posent des problèmes exponentiels aux DRH/DSI. Pour les salariés, qui sont aussi citoyens et consommateurs, l’emploi du Net est incontournable, avec toutes les répercussions que cela suppose dans leur façon de communiquer et de consommer de l’information de toute nature… de fait, dans l’industriel ou le tertiaire, une info périphérique au job peut s’avérer stratégique pour le salarié et ses collègues environnants : développements industriels, prévisions de restructurations, alertes boursières, blogs syndicaux… le champ est large.

Qu’en est-il donc d’autres connexions en ligne depuis le poste de travail : opérations bancaires à distance, achats courants et autres téléchargements de fichiers de musique et de VOD, sans omettre l’envie de dégoter le dernier gadget high-tech au moindre prix, d’entretenir des communications avec des tiers, de pratiquer des jeux en ligne “pour se détendre”. Mais parfois aussi (à l’insu de la hiérarchie), visiter des sites licencieux, révisionnistes, terroristes… par simple curiosité souvent. En bref, il est devenu quasiment inévitable que des collaborateurs utilisent leur connexion internet de façon dite “inappropriée”. Des faits très courants en pratique, qui soulèvent de nombreux problèmes, car informatique et sécurité ne font pas toujours bon ménage sur le “lieu de travail”. Difficile aussi d’effacer toutes traces ici et là… le surf restant sous haute surveillance.

En matière de sécurité, contrairement à la protection du réseau contre les attaques extérieures, les contrôles effectués sur les “connexions utilisateurs” se limitent en général à de simples vérifications ponctuelles. Sauf instruction express de la DSI, rien n’empêche donc en principe d’installer un navigateur parallèle sur son ordinateur de bureau pour des usages privés. De type “open source” (firefox ou thunderbird pour le courrier, assurant un meilleur contrôle des données de traçage).

Vie de bureau versus sécurité informatique

Du point de vue des dirigeants, outre que tout celà occupe de la bande passante, certains téléchargements peuvent déboucher sur des litiges en matière de droits d’auteurs, voire engager l’entreprise au niveau pénal. Sur le plan du droit, en vertu du code pénal, l’entreprise et ses dirigeants, en tant que représentants légaux, peuvent être poursuivis pour complicité ou recel (même si l’utilisation malveillante s’est faite à leur insu). Les sanctions encourues pouvant aller de l’amende lourde, jusqu’à des peines d’emprisonnement. D’où l’intérêt pour les entreprises de se prémunir contre les agissements de collaborateures étourdis. La précaution consistant à filtrer les sites jugés illicites en s’appuyant sur des applications spécialisées. Ce qui est jugé « illicite » devant (en principe) être discuté entre l’entreprise et le CE.

Techniquement, les solutions existent pour contrôler les flux d’informations échangées par les salariés. Des serveurs d’interception de requêtes internes qui vérifient automatiquement la conformité des échanges avec la politique de sécurité maison. Dans le détail, le filtrage d’adresses (URL) se fait en utilisant des logiciels de sécurisation bien connus (de type websense, secure compu­ting, surfcontrol) ; aussi des contrôles de transferts des flux analysés (tcp, http, https, socks, dns, ftp). De même pour les protocoles de messagerie instantanée (windows messenger, aol, yahoo).

Claude A.Frison
(journaliste, consultant)

17/10/2008 Posté par Claude A.Frison | CNIL, Consommation, Libertés individuelles, Ressources Humaines, Travail, articles Claude A.Frison, dossiers, phishing | | Pas encore de commentaires

« Articles précédents