Biométrie : les contraintes du tout sécuritaire

Le CDSE (Club des Directeurs de Sécurité des Entreprises ) vient de réaliser une enquête portant sur l’utilisation de systèmes de contrôle d’accès biométrique auprès de 50 directeurs sécurité d’entreprise

Selon le CDSE, il y aurait bel et bien une réticence à l’utilisation de ces systèmes. Pour les analystes, la réalité du marché biométrique serait très éloignée de l’image que l’on pourrait s’en faire et des fantasmes véhiculés par ce que certains auteurs appellent la « frénésie sécuritaire » (allusion à un ouvrage de Laurent Mucchielli, “La frénésie sécuritaire : retour à l’ordre et nouveau contrôle social”, Editions La Découverte, Paris 2008).

Pour rappel, derrière le vocable « biométrie » se cache une variété de techniques permettant à la fois l’identification et l’authentification des individus. D’une façon générale, un système de contrôle biométrique est un système automatique de mesure basé sur la reconnaissance de caractéristiques propres à l’individu. La biométrie permet l’identification d’une personne sur les bases de données reconnaissables et vérifiables. On distingue trois catégories de technologie biométrique. Il y a l’analyse biologique (odeur, sang, ADN…), l’analyse comportementale (dynamique d’une signature, la voix, la démarche…) et l’analyse morphologique (empreintes digitales, traits du visage, dessin du réseau veineux de l’œil …).

D’après l’étude, les techniques de sécurisation utilisant la biométrie sont encore loin de devenir l’élément clef des systèmes d’identification et de surveillance. En plus de constater que peu d’entreprises interrogées ont recours à ces systèmes (35% des entreprises interrogées utilisent un système biométrique à grande ou petite échelle), peu d’entre elles ont instauré ces techniques à l’ensemble de leurs infrastructures : 44% des entreprises ayant recours à la biométrie ont un système généralisé (soit moins de 15 % d’entre-elles). Pour l’instant les 66% d’entreprises qui utilisent la biométrie comme technique de sécurisation ne l’utilisent que dans des cas très spécifiques comme la protection d’infrastructures sensibles à forte valeur patrimoniale. Parmi les entreprises n’ayant pas recours à la biométrie, une grande majorité (59% des 50 sociétés) n’a même pas envisagé le recours à ces techniques et 24% l’ont un temps envisagé avant de décider de ne pas y avoir recours.

Des résultats qui peuvent étonner à une époque où les entreprises sont confrontées à toutes sortes de menaces (piratages, fraudes diverses, espionnage industriel…). Rien de surprenant toutefois que les entreprises basées dans l’Hexagone demeurent rétives à l’intrusion de ces moyens de contrôle des personnels si l’on en juge par les raisons invoquées par les entreprises pour justifier de la non utilisation de systèmes biométriques. Essentiellement des problèmes d’éthique et d’acceptation par le personnel (en France particulièrement) et surtout par la CNIL (commission nationale informatique et libertés) qui veille au grain; et hormis le coût, les contraintes liées à la mise en place “complexe et d’une efficacité pas toujours pertinente” précisent les analystes qui pointent aussi la rapide obsolescence de certains systèmes

Claude A.Frison

(source enquête CDSE 2008, illustrations Biometric Group, Cité des Sciences)

Les contraintes juridiques

La législation française soumet l’utilisation des systèmes biométriques à la loi n°78-17 du 6 janvier 1978 relative aux fichiers et aux libertés, et à la loi informatique et liberté de 2004. Ces techniques permettent un traitement de données à caractère personnel. Leurs mises en œuvre sont soumises à l’autorisation préalable de la commission nationale de l’informatique et des libertés (CNIL) afin de garantir au public qu’il n’y a pas d’atteinte à la vie privée et aux libertés individuelles ou publiques. Important de préciser qu’il n’existe aucun « label CNIL » ou d’agrément pour quelques dispositifs que ce soient comme ont pu l’affirmer certains prestataires de sécurité3. D’une manière générale, la Commission considère que le recours à un dispositif reposant sur la reconnaissance des empreintes digitales, dès lors que ces dernières sont enregistrées dans une base de données centralisée ou située sur le terminal de lecture comparaison, ne saurait être justifié qu’en présence d’un fort impératif de sécurité. En revanche, elle favorise l’utilisation de techniques biométriques « sans trace », telles que la reconnaissance tridimensionnelle du contour de la main ou la reconnaissance du réseau veineux du doigt. De même, la CNIL a pu autoriser la mise en œuvre de dispositifs de contrôle d’accès qui n’étaient pas justifiés par un fort impératif de sécurité, dès lors qu’ils reposaient sur l’enregistrement du gabarit de l’empreinte digitale dans un support individuel exclusivement détenu par la personne concernée, tel qu’une carte à puce. Plus sur www.cnil.fr

12/09/2008 Posté par Claude A.Frison | Ressources Humaines | Biométrie, CNIL, Consommation, Libertés individuelles, Ressources Humaines | Pas encore de commentaires

Malwares malveillants

L’industrie des malwares se développe de façon exponentielle. Elle empoisonne le développement du web. La vente de codes “malveillants” devient un commerce à l’instar de simples kits anti-virus…

Pour la seule année 2007, de nombreuses pages de sites web auraient été modifiées grâce à quelques simples lignes de codes redirigeant les visiteurs vers des sites pirates (ndr : voir les articles de presshightech.com sur le phénomène du “phishing”). Un code de redirection ou d’ « iFrame » se présentant sous la forme d’un cadre d’un pixel contenant une double programmation vers le site du pirate. Le premier étant un “piégeur” d’infiltration de pages Web. Le second étant un « downloader » permettant d’implanter un programme que le pirate souhaite utiliser (porte “dérobée”, keylogger, robot, etc). Autre “moyen”, les “bots” qui sont des malwares permettant la prise de contrôle à distance de machines vulnérables afin de former un réseau d’attaque caché (ndr : “botnet” typiques des attaques de phishers). Le tout permettant de “spammer” ou bien de faire des attaques en “déni de service distribué”.

Selon François Paget (photo), chercheur en sécurité chez Mc Afee, ces outils d’attaque seraient en vente sur le Net sous la forme de petites annonces sur des forums spécialisés. De quelques centaines d’euros aux plus performants à 3000 dollars, ainsi MPack et WebAttacker (inet-lux.com), IcePack, d’origine russe… Limbo, MPack (DreamCoders Team), Nuclear Grabber (Corpse), Pinch (Coban), Power Grabber (privat.inattack.ru), etc.

Derrière ces outils d’attaque, les “têtes pensantes” seraient concentrées aux Etats-Unis, dans les pays de l’Est et en Chine. Avec dans chacun de ces pays, des groupes très hiérarchisés qui vendent à la fois l’outil et le service, et en cas de réaction, retournent la responsabilité de l’acte sur l’acheteur… un commerce comme un autre. Certains groupes sont maintenant connus : Cult of the Dead Cow, Russian Business Network (casinos virtuels et de la pédo-pornographie), Network Crack Program Hacker (connu pour avoir conçu le rootkit GinWui avec des membres spécialisés dans la suite Microsoft Office dont ils diffusent les vulnérabilités), Honker Union of China (avec 20 000 hackers estimés, connu pour ses attaques régulières de sites gouvernementaux et industriels aux Etats Unis, en Australie et en Nouvelle Zélande).

Lors du 2ème forum international de la cybercriminalité qui s’est tenu à Lille le 20 mars dernier, des participants ont parlé de 100 à 150 millions de machines infectées au niveau mondial, dont 60 000 PC infectés chaque jour en France…

Claude A.Frison (sources : Mc Afee / ITNews / Réseaux et Télécoms)

20/06/2008 Posté par Claude A.Frison | Non classé | Consommation, internet, Libertés individuelles, phishing, Sécurité informatique, Spam | Pas encore de commentaires

Charte « confiance en ligne »

Face aux multiples dérives sur la Toile, le gouvernement tente d’imposer aux opérateurs de télécom et aux prestataires internet (fournisseurs d’accès et éditeurs de contenus), la signature, d’ici le 10 juin 2008, d’une charte dite sur la « confiance en ligne »…

Le document publié en exclusivité par le site PCInpact émane du ministère de l’Intérieur. A la lecture, il s’avère de fait lourd de conséquences pratiques pour les fournisseurs d’accès à l’Internet. Il s’inscrit dans le cheminement de la charte sur les “contenus odieux” de 2004 et les travaux du Forum des Droits de l’Internet afin de construire un internet “civilisé et sécurisé”. C’est Nicolas Sarkozy alors ministre d’État, ministre de l’Intérieur et Philippe Bas, ministre délégué à la Famille, qui avaient décidé de confier à une commission collégiale la gestion d’un label « confiance en ligne ». Cette charte a été présentée par Franck Louvrier (photo Le Figaro), l’omniprésent conseiller pour la communication et la presse à la Présidence de la République. Pour ses lecteurs au fait des derniers développements relatifs à l’évolution des pratiques sur le Net, Presshightech reproduit ici le texte de cette charte dans son intégralité.

La charte Confiance en ligne traduit la volonté du gouvernement de faire de l’internet un environnement le plus sûr possible pour tous les citoyens. Elle s’appuie sur une démarche volontaire des prestataires à prendre part au projet de construire la “civilité et la sécurité de l’Internet”. Dans le prolongement de la charte contre les produits odieux signée le 14 juin 2004, et les travaux au sein du Forum des droits sur internet, les signataires (fournisseurs d’accès, et opérateurs mobiles, fournisseurs de services en ligne et éditeurs) se conforment aux présents engagements sans que ceux-ci n’influent sur le statut juridique de chacun des acteurs de l’lnternet, au regard, notamment, de la loi pour la confiance dans l’économie numérique. Ces engagements s’inscrivent dans un cadre législatif et réglementaire existant en définissant les conditions de bonne application de ces textes par les acteurs de l’internet et les autorités publiques, en tenant compte des évolutions technologiques récentes. Les engagements présentés se conforment également aux récentes recommandations du Conseil de l’Europe adoptées lors de la conférence annuelle OCTOPUS 2008 en avril 2008.

Améliorer la sécurité de l’utilisateur

Mise en avant par les signataires sur leurs produits, home page et via des liens, d’informations et de contenus portant sur : les risques existants en matière de sécurité des données et des équipements (Virus, spywares, logiciels de connexion vers des numéros surtaxés, piratage de connexion, sécurisation Wifi…) ; les moyens techniques à la disposition des internautes pour s’en prémunir et la nécessité de les mettre à jour ; les conseils et bonnes pratiques existants afin d’éviter et de lutter contre le spam (ex. lien vers Signal Spam) ; une information sur les escroqueries et les risques émergents en modéré de délinquance économique sur internet (spam, phishing, captation du numéro de carte bancaire) ainsi que sur les outils permettant de lutter contre ces pratiques et les précautions à prendre en cas de saisie des informations bancaires.

Veiller à la sécurisation de l’équipement

Procéder à une démarche de veille active, sur les risques techniques émergents pour l’utilisateur ; mettre en place une démarche proactive de sécurisation des équipements par des mesures adaptées (ex : information, suspension, résiliation, blocage de certains ports…) auprès des clients mettant en jeu la sécurité du réseau. Préconfigurer les équipements fournis aux utilisateurs afin qu’ils atteignent un niveau de sécurité par défaut optimal selon l’état de l’art. Lutter contre le spam à travers une politique adaptée (filtrage, lien de signalement, application de quotas d’envoi…), en créant une adresse de type « abuse@ » et en participant activement au programme Signal Spam.

Apporter une information générale

Avec la mise en avant par les signataires sur leurs produits, home page et via des liens, de contenus portant sur : les risques d’exposition à des contenus préjudiciables et la procédure de signalement en mettant à dispositiorn les liens d’accès à l’ensemble des plates-formes de signalement existantes ; les enjeux liés à la sauvegarde des données personnelles ; les moyens techniques à la disposition des internautes pour s’en prémunir ; un descriptif des logiciels de contrôle parental et de leurs évaluations (logiciels FAI et en vente dans le commerce) ainsi qu’une aide à leur installation et configuration ; des conseils de vigilance (ex : guide).

Encadrer l’usage des services à travers une charte de l’utilisateur

Avec l’élaboration et la mise en avant par le signataire d’une charte de l’utilisateur reprenant : les règles de droit que tout auteur de contenu doit respecter ; les comportements et contenus autorisés ou interdits sur le service et rappelant les responsabilités en jeu, notamment pour les mineurs ; une sensibilisation et un encouragement à modérer les contenus pour les internautes créateurs de forums, blogs… ainsi qu’une information sur les moyens techniques adéquats. Avec obligation pour les internautes producteurs de contenus d’empêcher les mineurs d’accéder a tout contenu entrant dans le cadre de l’article 227-24 du Code pénal. La possibilité de prévoir contractuellement une modalité de suspension de la possibilité de publier, par des personnes autres que le créateur de l’espace, en l’absence de toute mise à jour, modification, intervention ou modération d’un contenu depuis trois mois; ainsi que l’existence de mesures de suspension ou de suppression de l’espace.

Engagements du signataire sur sa politique éditoriale…

Les espaces interactifs destinés aux mineurs sont contrôlés a priori. Les services et contenus manifestement destinés aux mineurs ne contiennent pas de publicités faisant la promotion de biens ou services inappropriés (ex. services de rencontres adultes, tabac, alcool) ou contraires à la recommandation « enfant » du BVP (bureau de vérification de la publicité). La publicité pour les contenus relatifs à l’article 227-24 du Code pénal ne sont diffusés que dans des zones « adultes » où l’accès des mineurs est fortement contrôlé par un dispositif efficace en fonction de
l’état de l’art. Les contenus entrant dans le cadre de l’article 227-24 du Code pénal ainsi que les liens hypertextes pointant vers de tels contenus ne sont diffusés que dans des zones « adultes n où l’accès des mineurs est fortement contrôlé par un dispositif efficace en fonction de l’état de l’art. Les espaces interactifs destinés aux adultes font l’objet d’un contrôle par un dispositif efficace en fonction de l’état de l’art.

Permettre un meilleur signalement de la part des internautes

Avec l’amélioration des procédures de signalement, mettre en avant une procédure de signalement claire, facilement accessible et compréhensible par l’internaute portant sur les contenus produits, diffusés ou hébergés par le signataire. Apporter une réponse rapide aux sollicitations reçues par ce biais et informer l’internaute sur l’existence du point de contact de l’AFA et la plateforme de signalement du Ministère de l’Intérieur. Se doter de procédures internes permettant de réagir correctement et en relation avec les autorités compétentes en cas de signalement de contenus ou de comportements illicites (avec objectif de labélisation…).

Participer à la politique de signalement…

Avec engagements du signataire sur sa politique de signalement : il signale aux autorités les contenus et comportements qui lui ont été notifiés susceptibles de relever des infractions visées aux cinquième et huitième alinéas de l’article 24 de la loi du 29 juillet 1881 sur la liberté de la presse (1) et à l’article 22723 (2) du Code pénal. NDLR : (1) Apologie des crimes visés au premier alinéa, des crimes de guerre, des crimes contre l’humanité ou des crimes et délits de collaboration avec l’ennemi. Provocation à la discrimination, à la haine ou à la violence à l’éqard d’une personne ou d’un groupe de personnes à raison de leur origine ou de leur appartenance ou de leur non-appartenance à une ethnie, une nation, une race ou une religion déterminée. (2) Représentation d’un mineur présentant un caractère pornographique.

Le signataire de la Charte signale également, dans les mêmes conditions, les contenus et comportements faisant apparaître un risque immédiat pour la sécurité des personnes et des biens. Dans ce dernier cas, et lorsqu’il dispose des données pouvant contribuer à l’identification de l’auteur du contenu concerné, le prestataire accompagne le signalement de ces informations afin de pouvoir empêcher l’atteinte à l’intégrité physique de la personne qui lui a été signalée.

Le signataire s’engage à déférer dans les meilleurs délais aux réquisitions judiciaires…

Il s’efforce de permettre l’identification du titulaire d’une adresse de courrier électronique après réception d’une réquisition et de celui d’une adresse IP auprès du fournisseur d’accès à l’internet suivant la réception du document. Il s’efforce, pour les réquisitions et demandes officielles non standard, à apporter une première réponse (accusé de réception, indication du délai estimé de réponse à la demande, etc). Il s’engage à mettre en place un « service d’obligations légales » performant ou, en cas d’impossibilité, à désigner une personne responsable du traitement des réponses aux réquisitions judiciaires et capable, en cas d’urgence, d’initier le traitement de ces réponses. Ces données sont régulièrement mises à jour et communiquées aux “guichets uniques” mis en place par les services de police et de gendarmerie en liaison avec la délégation des interceptions judiciaires. Ces autorités s’engagent à assurer une mise à jour des coordonnées de ces “guichets uniques”.

Mieux participer au travail des autorités publiques en conservant et en transmettant certaines données…

Le signataire met en place, en application des dispositions législatives et réglementaires, une procédure de conservation et de transmission des données : ainsi il conserve toutes les données de connexion lorsque celles-ci sont nécessaires pour les besoins de la recherche, de la constatation et de la poursuite des infractions pénales. Il détient et conserve les données de nature à permettre l’identification de quiconque a contribué à la création du contenu ou de l’un des contenus des services dont il est prestataire. Ces données sont conservées un an. Dans le cadre de la communication des données de connexion, le prestataire communique tous les éléments d’identification en sa possession, conformément à la loi, permettant aux autorités de déterminer l’identité de l’internaute.

Mettre en place une démarche efficiente de retrait et de suspension ou de blocage de certains contenus…

Le signataire met en place une procédure de retrait et de suspension adéquate : ainsi il s’engage à retirer ou à suspendre promptement les contenus sur réquisition des autorités ou sur demande judiciaire. Lorsqu’il procède au retrait d’un contenu et le signale aux autorités, le signataire procède à la transmission d’une copie intégrale des données retirées et la conserve dans le format d’origine. Le signataire s’engage à restituer ou à rétablir les données dans le format dans lesquelles elles s’affichaient avant retrait ou suspension. Dans le cas des sites à caractères pédopornographiques, qui lui sont signalés par le ministère de l’Intérieur, les FAI s’engagent à bloquer l’accès à ces sites par les moyens techniques qu’ils estiment les plus appropriés.

08/06/2008 Posté par Claude A.Frison | Non classé | CNIL, Consommation, dossiers, internet, Libertés individuelles | Pas encore de commentaires

CNIL : publication du rapport 2007

Le sénateur Alex Türk , président de la CNIL, vient de présenter le rapport 2007 de la Commission Nationale Informatique et Libertés

La progression des recours auprès de la CNIL a connu une hausse exponentielle en 2007. Pour cette seule année, la CNIL a enregistré 4 455 plaintes (+25% par rapport à 2006), effectué 164 contrôles (+21%), adopté 395 délibérations (+32%), adressé 101 mises en demeure, prononcé 5 avertissements et infligé 9 sanctions. Ce qui paraît peu et les sanctions financières encore modestes : de 5000 à 50 000 € pour un total de 175 000 euros… raison invoquée : le manque de moyens; car même avec 2500 correspondants informatique et liberté (CIL) intervenant dans les entreprises et administrations françaises, de fait, la CNIL dispose de seulement 105 agents intégrés (une quinzaine devraient être embauchés avant la fin 2008). A titre de comparaison, l’équivalent britannique dispose de 260 agents, sans omettre que l’augmentation annuelle de ses moyens correspond en gros au budget total de la CNIL. Alex Türk s’est plaint de devoir sans cesse “tendre la sébile” aux pouvoirs publics (ndr: donc dans une situation de dépendance vis à vis d’un de ses principaux objets de contrôle). Rappelons que l’actuel président de la CNIL est un ex-RPR, maintenant sénateur divers droite du département du Nord…

Traçages

D’une part, une menace réelle réside dans la surveillance des individus par des moyens vidéo et de géolocalisation; des outils de captation dans l’espace qui, pour les détracteurs, mettent en danger la liberté d’aller et venir. D’autre part, l’Internet, expression concrète de la globalisation, permet un traçage dans le temps par la conservation et l’archivage des données sur les réseaux sociaux ou dans les moteurs de recherche. Le G29 (groupe des autorités européennes de protection des données), prône dors et déjà une réglementation des moteurs de recherche (google, yahoo…) et de certains réseaux tels que facebook, dailymotion, etc. “A ce jour, seulement 10 à 15% de la population mondiale bénéficie d’un niveau de protection correct de leurs données personnelles, puisqu’il faut exclure autant les Etats-Unis et le Japon que la Chine et l’Inde”, a regretté Alex Türk. Face à la perspective d’un constant traçage des citoyens, le président de la CNIL a indiqué avoir saisi Simone Veil, présidente de la commission en charge de rédiger un nouveau préambule à la Constitution, afin que “le droit au respect des données personnelles devienne une valeur constitutionnelle” a-t’il précisé dans sa déclaration.

Biométrie

Autre objet de critique, la polémique autour du passeport biométrique. “Il s’agit du premier fichier national de la population française fondé sur la biométrie et il pose donc des questions de principes. Ces questions auraient eu intérêt à être traitées par la voie législative au Parlement au lieu d’un simple décret (ndr: paru au JO le 4 mai 2008), d’autant que nous aurions pu ainsi anticiper sur la nécessaire loi concernant la future carte d’identité biométrique qui va nécessiter une loi débattue à l’automne au Parlement”, a précisé Alex Türk. Plusieurs reproches sont émis par la CNIL : choix de huit empreintes digitales au lieu des deux requises au niveau européen, création d’une base centrale des empreintes au lieu de bases régionales. (caf, photo source AFP – Eric Federberg) Télécharger le rapport de la CNIL

20/05/2008 Posté par Claude A.Frison | Non classé | CNIL, Consommation, cryptage, Google, internet, Libertés individuelles, Sécurité informatique, Spam | Pas encore de commentaires

pc versus liberté individuelle

Le réseau, outil de travail collaboratif pour ses utilisateurs, se heurte à l’arsenal de lois sur la protection des personnes sur leur « lieu » de travail. Par exemple pour les télé-travailleurs, de plus en plus nombreux dans les grandes entreprises. Un vrai casse-tête pour les DRH et les DSI.

Vie de bureau et sécurité informatique

Les deux ne font pas toujours bon ménage. Les services web utilisés pendant les heures travaillées posent des problèmes exponentiels aux entreprises vis à vis de leurs employés, aussi citoyens et consommateurs. Le Net est un média dont on peut difficilement restreindre l’usage tant il est devenu incontournable pour les individus dans leur environnement quotidien. Aussi bien dans leur façon de communiquer que de consommer de l’information de toute nature. Dans toute activité, industrielle ou tertiaire, une info périphérique au job peut s’avérer stratégique pour le salarié et ses collègues (prévisions de restructurations, blogs syndicaux).

Anecdote classique : pour l’avoir appris à la cafète d’un collègue trop bavard travaillant à l’informatique, on peut vite en savoir assez pour surfer tranquille. Par exemple, contrairement à la protection du réseau contre les attaques extérieures, les contrôles effectués sur les connexions utilisateurs se limitent à de ponctuelles sondes d’intrusion. Sauf instruction express de la part du service informatique, rien n’empêche en principe d’installer un navigateur parallèle sur son ordinateur de bureau pour des usages privés (messagerie, consultation bancaire). Pour échapper un tant soit peu à certains traçages automatisés, mieux vaut donc utiliser des outils open source plus « sécurisés » dans ce domaine que les logiciels dont sont équipés la plupart des entreprises contractant des licences avec le géant de Redmond…

Qu’en est-il des connexions personnelles depuis son poste de travail : effectuer ses opérations bancaires à distance et ne pas avoir à se déplacer; de même pour les achats courants, dégoter le dernier gadget high-tech au moindre prix, tout le monde connaît cela. Banalement pour des téléchargements de fichiers de musique et de films en VOD, communication avec des tiers à titre particulier. Parfois aussi jouer en ligne pour se détendre, à l’insu de sa hiérarchie. Mais aussi visites fortuites de sites licencieux, révisionnistes, terroristes. Il est quasi inévitable que des collaborateurs utilisent leur connexion de façon dite inappropriée par simple curiosité souvent. Difficile d’effacer toutes traces de ces visites. Des faits très courants en pratique, qui soulèvent de nombreux problèmes.

Du point de vue des dirigeants, outre que tout celà occupe de la bande passante à charge, certains téléchargements peuvent déboucher sur des litiges en matière de droits d’auteurs, voire engager l’entreprise au niveau pénal. Sur le plan du droit, en vertu du code pénal, l’entreprise et ses dirigeants en tant que représentants légaux, peuvent être poursuivis pour complicité ou recel (même si l’utilisation malveillante s’est faite à leur insu). Les sanctions encourues pouvant aller de l’amende lourde, jusqu’à des peines d’emprisonnement. D’où l’intérêt pour les entreprises de se prémunir contre les agissements de collaborateures étourdis. La précaution consiste à filtrer les sites jugés illicites en s’appuyant sur des applications spécialisées. Ce qui est jugé « illicite » devant (en principe) être discuté entre l’entreprise et le CE. Claude A.Frison

Techniquement les solutions existent pour contrôler les flux d’informations échangées par les salariés. Des serveurs d’interception de requêtes internes qui vérifient automatiquement la conformité des échanges avec la politique de sécurité maison. Dans le détail, le filtrage d’adresses (URL) se fait en utilisant des logiciels de sécurisation bien connus (de type websense, secure compu­ting, surfcontrol) ; aussi des contrôles de transferts des flux analysés (tcp, http, https, socks, dns, ftp). De même pour les protocoles de messagerie instantanée (windows messenger, aol, yahoo).

28/04/2008 Posté par Claude A.Frison | Non classé | dossiers, Libertés individuelles, Sécurité informatique, Travail | Pas encore de commentaires