La CNIL : Son origine, ses fonctions & ses impacts sur l’Entreprise

La CNIL est souvent citée dans les différents médias, mais quelle est sont rôle et ses impacts dans le monde de l’Entreprise.

C’est ce que nous allons voir tous le long de cet article et essayer de vous éclairer sur les risques encourus.

 

Son origine :

En 1971, profitant de l’informatisation des cartes perforées (vers un système de bandes magnétique), l’INSEE décida de mettre en place le projet SAFARI – Système Automatisé pour les Fichiers Administratifs et le Répertoire des Individus – permettant l’interconnexion des fichiers de la Sécurité Sociale, de la Caisse Nationale d’Assurance Vieillesse et de la carte d’Identité (Ministère de l’intérieur).

Le 21 Mars 1974, le journal Le Monde sorti une tribune « SAFARI ou la chasse aux Français » qui provoqua un tollé politique, auquel du faire face le ministre de l’Intérieur de l’époque Jacques Chirac.

Le 2 Avril 1974, le même Jacques Chirac, alors 1er ministre, demande à son ministre de l’intérieur, M. Poniatowski, de créer la Commission de l’informatique et des Libertés qui aboutira le 6 Janvier 1978  à la création de la Commission Nationale de l’Informatique et des Libertés (CNIL).

Ses missions et fonctions :

La CNIL, autorité administrative indépendante, est chargée de veiller au respect des dispositions de la loi. A ce titre, elle assure des missions d’information, de conseil, d’expertise et de veille technologique.

La CNIL dispose de pouvoirs particuliers pour faire respecter la loi : elle contrôle la mise en oeuvre des fichiers informatiques et peut également procéder à des vérifications sur place.

Son Impact dans le monde de l’Entreprise :

La CNIL est à l’origine basée sur la Loi Informatique et Libertés (LIL) composée de 13 articles juridiques.

Voici les recommandations de la CNIL sur les obligations des employeurs et employés :

     1Gestion des risques :

La gestion des risques permet au responsable de traitement d’identifier quelles sont les précautions utiles à prendre «au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès» (article 34 de la Loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés)

(CF Information de la CNIL sur la Sécurité des Données)

Par gestion des risques, on entend la mise en place au sein de l’Entreprise de mesures Techniques (Sécurisation des données, des postes informatiques et des outils mobiles ; Sécurisation du réseau, des serveurs et des applications…)  et Organisationnelles (Définir une politique de contrôle d’accès – Modification régulière de mots de passe, vérification des habilitations, suppression des comptes de connexion de non salariés… –  sensibiliser des salariés à la Sécurité, rédiger une charte informatique annexée au règlement intérieur….)

Pour prévenir de ces différents risques, il faut :

  • Définir les risques potentiels par une phase d’évaluation du niveau de sécurité des données, de l’infrastructure et des personnes.
  • Rédiger l’ensemble des procédures techniques de sécurisation des données & leurs méthodes de contrôles ;
  • Auditer régulièrement ces points de contrôles ;
  • Associer l’ensemble du personnel par la signature d’une charte Informatique et l’acceptation des règles et procédures de sécurité,
  • Mettre à jour régulièrement ces procédures.

     2Les obligations de l’employeur comme des employés :

L’autorisation de la CNIL :

Les traitements informatiques de données personnelles qui présentent des risques particuliers d’atteinte aux droits et aux libertés doivent, avant leur mise en oeuvre, être soumis à l’autorisation de la CNIL.

Le non-accomplissement des formalités auprès de la CNIL est sanctionné de 5 ans d’emprisonnement et 300 000€ d’amende.

En quelques clics, vous pouvez vérifier ci-dessous quel fichier doit être déclaré et comment le déclarer :

http://www.cnil.fr/vos-responsabilites/declarer-a-la-cnil/

La sécurité des fichiers :

Tout responsable de traitement informatique de données personnelles doit adopter des mesures de sécurité physiques (sécurité des locaux), logiques (sécurité des systèmes d’information) et adaptées à la nature des données et aux risques présentés par le traitement.

Le non-respect de l’obligation de sécurité est sanctionné de 5 ans d’emprisonnement et de 300 000 € d’amende.

La confidentialité des données :

Seules les personnes autorisées peuvent accéder aux données personnelles contenues dans un fichier. Il s’agit des destinataires explicitement désignés pour en obtenir régulièrement communication et des «tiers autorisés» ayant qualité pour les recevoir de façon ponctuelle et motivée (ex. : la police, le fisc).

La communication d’informations à des personnes non-autorisées est punie de 5 ans d’emprisonnement et de 300 000 € d’amende.

La divulgation d’informations commise par imprudence ou négligence est punie de 3 ans d’emprisonnement et de 100 000 € d’amende.

La durée de conservation des informations :

Les données personnelles ont une date de péremption.

Le responsable d’un fichier fixe une durée de conservation raisonnable en fonction de l’objectif du fichier.

Le code pénal sanctionne la conservation des données pour une durée supérieure à celle qui a été déclarée de 5 ans d’emprisonnement et de 300 000 € d’amende.

L’information des personnes :

Le responsable d’un fichier doit permettre aux personnes concernées, par des informations qu’il détient, d’exercer pleinement leurs droits. Pour cela, il doit leur communiquer : son identité, la finalité de son traitement, le caractère obligatoire ou facultatif des réponses, les destinataires des informations, l’existence de droits, les transmissions envisagées.

Le refus ou l’entrave au bon exercice des droits des personnes est puni de 1500 € par infraction constatée et 3 000 € en cas de récidive.

Voici un exemple d’intervention de la CNIL dans le cas du non respect de la réglementation en matière d’information et de conservation des informations.

http://www.cnil.fr/la-cnil/actualite/article/article/cloture-de-la-mise-en-demeure-a-lencontre-de-la-societe-oceatech-equipement

Pour plus d’informations, consultez le site de la Cnil.

Le Virus Flamer est maintenant détectable sur vos ordinateurs

Flamer, également connu sous le nom de Skywiper, est un virus qui peut dérober des données, copier des mots de passe, enregistrer des conversations vocales, créer des captures d’écran et même recueillir des informations sur les appareils Bluetooth situés à proximité de l’ordinateur infecté.

Flamer n’est pas un simple outil d’espionnage, mais plutôt une « boîte à outils » complète sous le contrôle d’attaquants. En termes de taille de fichier, c’est le plus gros outil d’attaque connu à ce jour. En raison de sa taille, il faudra sans doute plusieurs semaines d’analyse aux chercheurs pour découvrir toutes ses fonctions.

Il aurait (le conditionnel est à utiliser dans ce cas) été créé par « un groupe de spécialistes, organisé et financé » donc, en d’autres termes un ou plusieurs Etats, grandes Organisations ou Sociétés.

Il est en activité depuis au moins cinq ans et a été retrouvé principalement au Moyen Orient (Cisjordanie, Liban, Iran) mais aussi en Autriche, à Hong Kong, en Russie ou aux Emirats Arabes Unis.

Vous pouvez télécharger un outil permettant de détecter ce « Ver » et de l’éradiquer grâce à l’action de la société BitDéfender, éditeur spécialisé dans la sécurité Informatique.

http://www.bitdefender.fr/news/bitdefender-lance-un-outil-pour-eradiquer-larme-despionnage-flamer-2485.html

Il semble cependant que le virus ait reçu un « ordre de désinstallation » afin d’être présent sur plus aucun PC, et donc, de ne pas être analysé en profondeur par des experts. De plus, il n’est pas reconnu que ce virus attaquerait les ordinateurs Mac.

La Lettre Recommandée peut maintenant être envoyée de manière Numérique

Suite à la publication en 2011 du décret 2011-144 sur la lettre recommandée électronique (LRE), il est désormais permis d’envoyer un courrier recommandé de manière 100% numérique, pour l’expéditeur comme pour le destinataire, tout en bénéficiant de la même valeur juridique qu’un recommandé traditionnel.

La génération automatique de courriers est de plus en plus utilisée dans les PME. Aussi, plusieurs éditeurs informatique se lancent dans l’envoi de Courriers Recommandés.

En effet, Le Journal Officiel du 4 févier vient de valider le « Décret n° 2011-144 du 2 février 2011 relatif à l’envoi d’une lettre recommandée par courrier électronique pour la conclusion ou l’exécution d’un contrat »

Comment fonctionne ce nouveau procédé?

Une personne (physique ou morale) peut faire envoyer un courrier En recommandé avec (ou sans) AR par voie électronique. Cet envoi comporte la même valeur probante qu’un courrier papier envoyé par la Poste en Recommandé.

Quelles sont les caractéristiques de ce décret ?

Ce texte précise les obligations de l’opérateur c-a-d du Tiers chargé de l’acheminement de la lettre recommandée par voie électronique.

– Sur l’identité du Tiers :

  • Celui ci peut être une personne physique ou morale
  • Il doit fournir au client toutes les informations pour entrer en contact (adresse géographique, courriers électroniques, numéros de téléphones…)

– Sur les obligations de l’expéditeur (ou clients) :

  •  Celui ci doit fournir lors du dépôt de la lettre recommandée électronique ses coordonnées et celles de son destinataire, le choix du courrier (Recommandé avec ou sans avis de réception), de son impression sur papier ou non & le niveau de garantie contre les risques de vol, perte ou détérioration.

– Sur les obligations contractuelles du Tiers :

  • Le tiers chargé de l’acheminement de la LRE doit renvoyer par courrier électronique à l’expéditeur une preuve de son dépôt (N° du recommandé ;  date & heure du dépôt ; identification du prestataire chargé du dépôt du courrier papier (le cas échéant)
  • Il doit conserver pendant 1 an les informations ci-dessus ainsi que le document original et son empreinte informatique.

Vous trouverez ci-dessous le lien internet vers le texte de loi :

http://legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000023513151&categorieLien=id

Plusieurs sociétés se lancent dans ce nouveau marché dont Keynectis avec leur produit « LETRECO », mais aussi des sociétés spécialisées dans la relance clients telles que « Altisys » avec un ERP regroupant l’assistance au recouvrement et l’édition Automatique de courriers simples et recommandés.

Responsable de l’implémentation d’outils de recouvrement au sein d’une multinationale, je suis à même de vous conseiller dans la mise en place d’applications Editique ou de Relance Clients. N’hésitez pas à me contacter à l’adresse suivante :

contact@stephaneseban.com

Les Mac sont maintenant la cible d’attaques malveillantes (Janvier 2012)

Des é-mails malveillants contenant un cheval de troie a été découvert par une société spécialisée en sécurité. Ces é-mails proviendraient de la chine et avaient pour destinataires des organisations tibétaines militantes.

Ces E-mails exploiteraient (encore une fois) une faille de sécurité de Microsoft Word (pour Mac).

La méthode utilisée : Des é-mails diffusent des fichiers Word contenant un cheval de troie. Celui-ci, installé sur le Mac, permettrait le contrôle à distance de l’ordinateur.

D’après les experts de la Société Intego, éditeur d’antivirus pour Mac,

« Ce malware est assez sophistiqué et il est important de signaler que ces documents Word ne sont pas chiffrés, ce qui signifie que tout producteur de malware qui en récupérait des copies pourrait être en mesure de modifier le code et de diffuser ses propres versions de documents. »

La nouveauté vient du fait que ce type d’attaque, exclusivement réservée aux ordinateurs Windows, touche de plus en plus les systèmes Mac.

« …il apparaît clairement que les choses ont évolué et que nous sommes entrés dans une nouvelle phase de propagation de virus (malwares) sur Mac » (Cf Commentaire d’Intégo)

Il est donc préconisé de mettre à jour sa suite Office sur Mac et d’installer un anti-virus. Cependant, la meilleure protection est de ne pas ouvrir de mails provenant de personnes inconnues et d’analyser toutes pièces jointes avant de les ouvrir.

Pour plus d’informations, consultez le billet suivant : http://www.malwarecity.fr/news/des-malwares-infectent-les-mac-via-une-faille-office-1144.html 

 

Les risques d’utilisation des Smartphones, Tablettes ou Portables en dehors de l’Entreprise

De plus en plus, les outils mobiles sont utilisés pour travailler en dehors du bureau : Consulter un devis sur Smartphone dans le train, préparer une réunion sur Tablette à l’hôtel, consulter ses mails de l’Entreprise avant un rendez vous….

Toutes ces données confidentielles doivent être protégées. Pour cela, il est nécessaire de mettre en place des règles et outils permettant une sécurité optimum, tout en privilégiant l’utilisation de ces outils de communication.

Voici un résumé des principes et règles à adopter :

1 – Adopter une attitude sécuritaire en fonction du lieu de consultation de ces informations.

Lors d’une utilisation des outils portables dans des lieux publics, il est recommandé de ne jamais les abandonner sans protections :

            – Pour les Smartphones, il existe des applications permettant de les verrouiller voir même de les désactiver à distance en cas de vol, de les géo-localiser etc…

           – Pour des ordinateurs portables ou tablettes, verrouiller sa session dés que l’on s’absente et raccorder les à un élément fixe (table, siège, poteau…) via un câble de protection .

Il est aussi recommandé de vérifier si aucune personne ne peut voir les données de l’écran (ou même des dossiers papiers). Il est ainsi fortement déconseillé de consulter des données sensibles dans les halles de gare, ou cafés et restaurants.

 2 – N’hésitez pas à crypter les données sensibles.

Enfin, le cryptage des données est indispensable dés l’utilisation d’informations professionnelles (Contacts clients, données comptables ou financières, devis clients….). Il peut être activé par le Smartphone  (comme pour le Blackberry, par exemple), ou rajouté à celui-ci, via une application complémentaire.

Suivant un récent article de la société Proofpoint, société spécialisée dans des outils de sécurisation de messagerie, des solutions simples existent pour mettre en place le chiffrement des données sensibles sur tous les Smartphones.

(Retrouver  l’article en cliquant sur le lien suivant : http://experts-it.fr/2011/09/01/le-cryptage-mobile-pour-une-meilleure-productivite-et-une-securite-renforcee/)

3 – Sécuriser l’accès aux données de l’entreprise.

Les smartphones ayant des navigateurs internet, il devient facile de se connecter aux données de sa société via les applications webs. Les Smartphones sont donc utilisés comme des ordinateurs portables. De plus, travailler de chez soi, via son réseau wifi personnel est maintenant chose courante.

La méthode la plus simple pour utiliser tous ces modes de connexion en toute sécurité (Smartphone, ordinateurs portables… de chez soi ou d’une borne Wifi Publique) est la mise en place de Token  de type RSA SecurID…

N’hésitez pas à me consulter par mail à l’adresse suivante Contact@stephaneseban.com pour plus d’informations sur ces outils de sécurisation des données et des accès.

Linkedln est confronté à de graves problèmes de Sécurité

Information du 6 Juin 2012

Suite à une communication de « Naked Security » de la Société « Sophos », spécialisée dans la sécurité des données, Linkedln aurait (information non confirmée par l’éditeur lui même) été piraté : 6,5 millions de mots de passe des comptes seraient en possession de personnes malveillantes. Malgré leurs cryptages, il est conseillé de rapidement changer son mot de passe….
Informations plus complète sur http://www.pcinpact.com/news/71490-linkedin-application-donnees-mots-de-passe-fuite.htm?vc=1

Les sept points clés pour une externalisation réussie de son Plan de Continuité d’Activité (PCA)

Toute entreprise se doit de mettre en place un plan de Continuité d’Activité (PCA) afin de se prémunir de risques tels que :

  • Les pannes matériels (Serveurs, switch, routeurs…)
  • Les pertes de données ou données inaccessibles (Base de données cassées…)
  • Les dégâts des eaux ayant pour conséquences la destruction de l’ensemble du matériel Informatique,
  • Les incendies,
  • Les vols de matériels,
  • Etc…

Chacun des risques cités ci-dessus sont susceptibles d’arrêter partiellement voir totalement l’activité d’une entreprise.

L’objectif d’un PCA est la remise en route de l’ensemble des outils et données informatiques stratégiques de l’entreprise.

Sept recommandations nécessaires à la mise en place d’un PCA de qualité :

1 – Multiplier les fournisseurs.

Il faut différencier les actions de « création du PCA » et « son exécution »  (en cas de sinistre, par exemple). Il convient de donner la réalisation du PCA (c.-à-d. la rédaction et les tests) à un fournisseur, et l’exécution de celui-ci à de multiples fournisseurs.

Par exemple, les fournisseurs de matériels doivent être multiples  – pour s’assurer de la livraison dans un temps le plus court possible de l’ensemble des composants physiques (Serveurs, Ordinateurs fixes & portables, Routeurs, Switch, cablage…) – afin de prévenir leurs possibles défaillances.

2 – Mettre de la distance entre l’entreprise et les données sauvegardées.

La séparation d’au moins 2 Km est conseillé entre l’entreprise et les sauvegardes. Il convient aussi de s’assurer de l’accessibilité du site de sauvegarde. Doubler les sauvegardes sur deux sites est aussi une sécurité supplémentaire.

3 – Identifier les applications et données critiques ainsi que les délais acceptables de remise en route.

4 – Opter pour une réplication des applications.

La solution logicielle la plus efficace dans la constitution d’un PCA est la réplication des applications : Cela consiste à avoir une copie exacte des serveurs & applications sur un site délocalisé.

5 – Réaliser des tests réguliers et complets.

Il est recommandé d’effectuer, au minimum, un test complet par an et de l’évaluer via les indicateurs standards (Recovery Time Objective, Recovery Point Objective,

6 – Associer tous les acteurs de l’entreprise à la réalisation du PCA.

Les utilisateurs fonctionnels sont aussi importants que les informaticiens, car ils sont garant de la validité du PCA via leurs connaissances, recommandations et tests de validité.

7 – Faire évoluer le PCA en temps réel.

Un Plan de Continuité d’Activité n’est valide que si il est revu régulièrement, c-a-d de 1 à 3 fois par an, suivant la taille du système d’Information.

Actualité du 1er Trimestre 2011 : Les attaques sur Android, Facebook et Anonymous ont été importantes (Avril 2011)

Les trois premiers mois de l’année ont été marqués par trois incidents majeurs en matière de sécurité : L’attaque contre les smartphones Android via la boutique officielle Android Market, des malveillances informatiques sur des comptes Facebook, et l’attaque du groupe d’hacker « Anonymous » sur une société Américaine  – HBGary Fédéral – travaillant dans le domaine de la Sécurité pour, entre autre, le Gouvernement Fédéral Américain.

Mais intéressons nous uniquement aux deux attaques concernant Android Market et Facebook.

L’attaque contre Android Market a été très simple à mettre en place : Il a suffit d’insérer dans cet outil propre aux Smartphone Android des applications contenant un cheval de Troie, qui importé sur les téléphones portables, pouvait dérober des informations personnelles et télécharger automatiquement d’autres applications à l’insu de l’utilisateur.

Evidement, Google (propriétaire d’Android) a immédiatement supprimé en quelques jours les applications du « Market » et des téléphones portables infectés. Cette attaque pose cependant  la question sur la confidentialité des données sur Smartphones et sur l’utilisation de ces téléphones dans le monde de l’entreprise.

A l’identique des outils de messagerie et d’internet ou il est fortement conseillé  de mettre en place une charte d’utilisation pour les salariés, l’utilisation des Smartphones en entreprise doit être assujettie à ces mêmes règles de fonctionnement et de sécurité.

L’affaire de piratage sur Facebook provient d’un jeune Américain ayant utilisé les informations publiques des profils Facebook pour « mettre la main sur les comptes de messagerie (de diverses personnes). Une fois qu’il avait obtenu l’accès à la messagerie de ses victimes, il recherchait des informations personnelles et des photos confidentielles qu’il pourrait utiliser pour les faire chanter » (Cf Note d’information sur le rapport PandaLabs – Avril 2011).

Facebook est un outil de plus en plus utilisé dans la communication des entreprises. Cette attaque montre la nécessité d’être prudent sur le type d’information posté sur ce réseau social et de diriger, voir d’interdire, la communication des salariés sur le compte privé de l’entreprise.

Ref : Rapport trimestriel Année 2011 de Pandalabs

Découverte de faux certificats sur des sites de communication majeurs. (Mars 2011)

Alerte officielle émise par COMODO – Organisme Américain créateur à la demande de certificats.

Qu’est ce qu’un certificat ? Quelle est sa fonction ?

Un certificat est une carte d’identité d’un site publique. Il s’installe, après votre accord, sur votre ordinateur afin de sécuriser la connexion au site auquel elle appartient.

Il est composé, entre autre, d’une clé comprenant chiffres et lettres, du nom du propriétaire, d’une durée (date de début et de fin), qui via la fonction de hachage crée une empreinte unique et privée gérée par l’autorité de régulation des certificats (ARCEP). Celle ci est chargée de délivrer les certificats, de leurs donner une date de péremption et de les révoquer en cas ou (soit constatation d’une fraude ou sur demande du propriétaire).

Dans le monde professionnel, les certificats sont principalement utilisés pour toutes les connexions des entreprises vers les sites marchands ou bancaires.

Quelle est la fraude constatée ainsi que ses conséquences ?

Une personne serait parvenue à générer neuf vrais-faux certificats pour des domaines majeurs (Google Mail, Yahoo, Live.com, addons.mozilla.org et Skype notamment…). Cela signifie que l’attaquant est en mesure de remplacer tous ces sites par des copies parfaites. Les utilisateurs qui s’y connecteraient de manière sécurisée (via HTTPS) seraient alors dans l’incapacité de faire la différence entre le vrai site et sa copie contrôlée par l’attaquant.

Comodo a annoncé avoir détecté la fraude et révoqué les certificats concernés en quelques heures.

En conclusion :

La conséquence immédiate est minime car l’attaque ne concerne que des sites de communication. Par contre, cette attaque signifie que la sécurité des certificats pour les transactions B to B et bancaires ne seraient plus assurées avec ce type de technologie…

La liste des domaines usurpés :

addons.mozilla.org / login.live.com / mail.google.com / www.google.com / login.yahoo.com / login.skype.com / global trustee