Tél : 0 951 389 470

Le créateur de vos exigences

InGeLo

Internet sur le lieu de travail

Devant les risques grandissants que peuvent représenter les connexions Internet sécurisés, le 31 mars 2015 la CNIL a autorisé l’utilisation de programmes permettant d’analyser les flux https. Pour mémoire, le protocole https permet le cryptage des données entrées et sortantes. C’est celui par exemple que l’on utilise pour se connecter à sa banque.

Cependant, comme on ne peut pas surveiller ce qui entre ou sort de l’entreprise, ce protocole est une porte ouverte à la sortie (volontaire ou non) d’informations confidentiels, ou, l’entrée de codes malveillants, spyware ou autre. Le tout vous le comprenez, à l’insu de l’entreprise.

C’est dans ce cadre que la CNIL a pris sa décision, en prenant soin de l’encadrer en définissant des règles précises. Elle légitime ainsi cette disposition en indiquant « … que l’employeur doit assurer la sécurité de son système d’information ». L’employeur peut donc fixer les conditions et limites de l’utilisation des outils informatiques.

La CNIL indique également le cadre de cette surveillance :

  • Une information précise des salariés (sur les catégories de personnes impactées par la solution, la nature de l’analyse réalisée, les données conservées, les modalités d’investigation, les sites faisant l’objet d’une liste blanche, l’existence de dispositifs permettant une utilisation personnelle qui ne serait pas soumis à l’analyse des flux), par exemple dans la charte d’utilisation des moyens informatiques. L’information doit aussi préciser les raisons de cette mesure (identification de logiciels malveillants, protection du patrimoine informationnel, détection de flux sortants anormaux) ;
  • Une gestion stricte des droits d’accès des administrateurs aux courriers électroniques, lesquels sont présumés avoir un caractère professionnel sauf s’ils sont identifiés comme étant personnels ;
  • Une minimisation des traces conservées (ex : fichier malveillant, source, destination, et non identifiants et mots de passe) ;
  • Une protection des données d’alertes extraite de l’analyse (ex : chiffrement, stockage en dehors de l’environnement de production et durée de conservation de 6 mois maximum).

L’information complète ici, et pour aller plus loin, l’Agence Nationale de Sécurité des Systèmes d’Informations (l’ANSSI) a publié un guide (très technique), Recommandations de sécurité concernant l’analyse des flux https.


 

Sécurité informatique : les bonnes pratiques

La sécurité informatique est le parent pauvre des TPE et PME ; Peu de moyen, peu de compétence, la gestion du parc informatique est souvent confié la bonne volonté d’un employé qui « bidouille » mieux que les autres.
Et pourtant, TPE-PME ou pas, aucune entreprise n’est à l’abris de la cybercriminalité comme le rappel l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI).
Afin de les aider à mieux sécuriser leurs données, elle a publié avec la CGPME un Guide des bonnes pratiques de la sécurité informatique.
Dans ce guide, 12 règles de bon sens pourtant si peu mises en pratique.
Par exemple le mot de passe. Aussi incroyable que cela puisse paraître, « 123456 » est le mot de passe le plus employé en France, suivi de peu par « 12345678 » !
Suivent les « azerty » ou autres prénoms du dirigeant ou le nom de l’entreprise…
Le guide aborde d’autres points comme la mise à jour régulière des logiciels, faire des sauvegardes, sécuriser le Wi-Fi de l’entreprise, etc.
Chaque sujet est traité concrètement, en apportant à chaque fois une solution.
Bien évidement vous ne serez jamais à l’abri à 100%, mais ce guide vous évite de tendre le bâton pour vous faire battre.


 

Le retour du virus CTBLocker

Ce n’est pas vraiment un virus, mais un ”ransomware”, un programme de type ”malware” qui crypte vos données les rendant ainsi inaccessibles. Pour retrouver l’usage de vos fichiers cryptés, on vous demandera de payer une certaine somme.

Cette somme sera à régler en monnaie virtuel, le ”bitcoin”, moyen de paiement parfaitement anonyme. S’il est relativement facile de se débarrasse de CTBLocker, il est particulièrement difficile de décrypter les fichiers atteints sans moyen importants et coûteux. Pire encore, le fait de payer ne vous garanti pas de recevoir en retour la clef de déchiffrement.

Vous pouvez être infecté selon les moyens habituels, via des sites malveillants mais plus certainement via des fichiers joints reçus par mail. La meilleure défense est de se préparer à cette attaque en prenant quelques précautions :

Ayez un anti-virus à jour. Ca paraît évident, mais qui d’entre-vous n’a jamais remis à plus tard la mise à jour de son anti-virus ?

De même, procédez-vous régulièrement aux mises à jour de vos systèmes d’exploitation. N’oubliez pas que XP n’est plus supporté par Microsoft et que cela le rend très vulnérable aux attaques de toutes sortes.

Soyez vigilant lors de la réception de vos mails comportant des fichiers joints. Particulièrement ceux comportant des extensions du type ”.cab”, ”.exe”, etc. Si vous ignorez quel est l’expéditeur, soyez sans pitié et supprimez le mail. Cependant, même si vous connaissez l’expéditeur, restez sur vos gardes, il pourrait avoir été contaminé sans qu’il ne le sache encore; Déjà, est-ce que vous attendiez un fichier de sa part ? Appelez-le pour lever le doute, et soumettez le fichier joint à votre anti-virus.

Il est primordial de faire le plus souvent possible des sauvegardes de vos données, sur un support extérieur si possible, et en tous cas pas sur votre propre disque.


 

Nouvelles mentions obligatoires…

…sur les factures et devis.

Depuis le 30 juin 2014, les artisans ainsi que les auto-entrepreneurs exerçant une activité artisanale et pour qui une assurance professionnelle est obligatoire. Sont concernés les professionnels du bâtiment qui doivent mentionner sur leurs devis et factures :

L’assurance souscrite au titre de leur activité.
Les coordonnées de l’assureur ou du garant.
La couverture géographique du contrat ou de la garantie.
Bien évidemment, même avec cette mention, le client est toujours en droit d’exiger une attestation d’assurance valable à l’ouverture du chantier.

Réf : http://www.service-public.fr/professionnels-entreprises/actualites/001016.html