Mot de passe : en changer tous les combien ?


Protection maximale ou erreur d’appréciation

coffre-fort non numériqueAvec toutes ces attaques, tentatives d’escroquerie, de détournement de données personnelles, de piratage, le bon vieux mot de passe semble être l’un des éléments de sécurité informatique incontournable et pourtant vulnérable.

Multiplier les changements de mots de passe, par exemple 12 fois par ans ou tous les 3 mois, c’est démultipliez le nombre de mots de passe à retenir.
Hé oui !

Trop simple

Le manque d’imagination des internautes est à déplorer. Le mot de passe le plus courant sur la planète est… « password« , qui signifie « mot de passe ».
Le second est « 123456 » et ses variantes qui sont toutes des suites de chiffres ou de lettres du clavier.

Autres mots de passe trop faciles à craquer pour les malfaisants :

  • les prénoms et/ou noms des membres de la famille, des amis ou des animaux domestiques
  • les dates de naissance et autres anniversaires marquants
  • le nom de son entreprise ou du mois en cours

Trop nombreux

Il est déjà difficile de trouver un mot de passe compliqué encore faut-il en avoir beaucoup.

En effet, de plus en plus d’activités nécessitent l’emploi d’Internet. Outre les messageries électroniques, les réseaux sociaux et les commandes sur des sites de e-commerce, les administrations préconisent, voire impose, de passer par Internet pour accéder à leurs services, au même titre que les entreprises.

Comme les données demandées ou réclamées sont confidentielles, elles ont mis au point des algorithmes qui nécessite un mot de passe fort, c’est-à-dire un mot de passe qui contient au moins une majuscule, une minuscule, un chiffre et un caractère spécial, ainsi qu’un nombre minimum de 8 caractères.

Seulement voilà, avec cette multiplicité de mots de passe à créer, il devient difficile de se les rappeler.

Nombreux sont les sites qui vous empêchent de vous connecter après trois tentatives de saisie infructueux du mot de passe.

Que faire ?

Pour les plus doués : Apprendre les mots de passe par coeur. Quelle mémoire !

Pour les moins doués : Utiliser un générateur de mots de passe, comme celui mis en ligne par la CNIL, puis écrire le mot de passe sur un papier. Des dizaines d’aide-mémoire à la vue de tous !

Pour les fainéants : Utiliser un mot de passe compliqué et l’utiliser pour tous les sites. Un site piraté et tous vos accès à tous les sites sont ouverts au pirate, bonjour les dégâts !

Pour les plus malins : Utiliser un mot de passe compliqué et l’utiliser pour ouvrir un fichier, sorte de coffre-fort numérique, dans lequel se trouvent tous vos autres mots de passe. Il fallait y penser !

Se prémunir contre les pirates

Une méthode de piratage commune est la méthode dite « brut de force ». Cela consiste à tester toutes les combinaisons de caractères, en commençant par AAAAAAAA et ainsi de suite. Les films d’espionnage, de science-fiction ou policiers montrent souvent cette méthode.
Pour un mot de passe de 8 caractères, cette méthode permet de découvrir les plus compliqués des mots de passe en moins de 15 jours.

Pour éviter d’avoir à changer de mots de passe toutes les deux semaines, mieux vaut multiplier le nombre de caractères et passer à 12 ou 16, à condition de respecter les règles de création de mots de passe forts

Philippe Garin, plus de 20 ans de management en entreprise

Pour plus de conseils, contactez-moi : phgarin@gmail.com

Pour en savoir plus :


En complément :

Compétences numériques : Sécurité informatique
Les scenarii de risques
Sécurité des données en entreprise : Les 12 bons réflexes

Danger avec les paiements par téléphone
Sécurité sur Internet : Les 10 commandements
Moyens mnémotechniques de création de mots de passe

Autres Informatique et Sécurité :

Récapitulatif 17 Informatique
Récapitulatif 17 Sécurité

abonnez_vous_ICI_a_la_Newsletter

Charte informatique : Le Garant ou Officier de sécurité


Le Garant de la Charte informatique

Garant de la Charte informatique : Un arbitreL’introduction d’une charte informatique dans une entreprise nécessite une réflexion qui va plus loin que son contenu, car elle impacte l’organisation et le fonctionnement de l’entreprise.

C’est la raison pour laquelle la rédaction d’une charte est de la responsabilité de la Direction, patron en tête.

Toutes les conséquences de cette introduction et de chaque phrase dans la charte doivent être analysées de façon à ne laisser qu’une seule interprétation possible. Les termes choisis doivent être compréhensibles même par du personnel maîtrisant peu le français.

La charte doit être signée par tout le personnel, y compris ceux qui n’ont pas accès aux ressources informatiques. En effet, il est probable, qu’occasionnellement, ils aient à s’en servir : Remplacement d’un chef ou d’un collègue malade, besoin d’accéder à titre privé, promotion ou nomination à un autre poste, etc.

La charte informatique décrit les droits et les devoirs des informaticiens et des utilisateurs.

Ces derniers, par ignorance ou/et par méfiance, veulent avoir le plus de liberté possible dans l’usage des outils et des matériels informatiques, alors que les premiers se doivent de préserver le bon fonctionnement de l’informatique et du système d’information. C’est parfois incompatible, d’où l’utilité de la charte.

C’est là qu’intervient le Garant de la charte, appelé aussi Officier de sécurité selon les entreprises
abonnez_vous_ICI_a_la_Newsletter

Qui est le Garant de la charte ?

Un Garant de la charte sera nommé parmi les volontaires, issu d’un service indépendant du service informatique.

La mise en place d’un Garant a pour but de rassurer les utilisateurs qui craignent toujours que les actes des informaticiens dépassent le contenu de la charte. De savoir que cette personne, est volontaire, il en faut toujours une, permet de rassurer.

Il est préférable qu’il ne soit pas un représentant du personnel pour garantir à la Direction, sa neutralité. Son nom est donc divulgué à l’ensemble du personnel. Son rôle et les modalités de sa nomination, ainsi que ses droits et devoirs, moyens et limites d’action sont dans la charte, mais pas son nom.

S’il n’est pas indispensable qu’il est une culture informatique ou juridique, il faut néanmoins qu’il soit capable d’appréhender ces questions et de juger du respect ou non de la charte par tous.

Le rôle du Garant de la charte

Le rôle principal du Garant de la charte est de vérifier que le service informatique respecte la charte, notamment les administrateurs du réseau, et que les droits et devoirs indiqués dans la charte soient respectés par tous.

Le Garant de la charte vérifie et conserve les formulaires d’acceptation de la charte signés par les salariés.

Un utilisateur peut s’adresser au Garant de la charte lorsqu’il soupçonne un non-respect de la charte, et réciproquement.

Le Garant de la charte sert de modérateur en cas de conflit entre un utilisateur et la Direction ou/et le SI. Il est le témoin en remplacement d’un salarié absent ou d’un salarié récalcitrant, par exemple.

Avant de mettre en place ce rôle, il faut convenir qu’il a un droit de consultation, de supervision, de conseil et aussi d’alerte de l’inspection du travail en cas d’abus.

Ce Garant de la charte est aussi celui qui doit informer tout collaborateur occasionnel des règles à respecter, avec ou sans le responsable de ces collaborateurs, stagiaire, sous-traitants, visiteurs, etc.

C’est donc lui qui organise les réunions de rappel des règles, deux fois par an par exemple, à l’ensemble du personnel, par petits groupes pour ne pas désorganiser les services.

Le Garant ou la Garante n’a aucun pouvoir de décision.

Il rédige un rapport annuel, remis à la Direction. Ce rapport fait l’objet d’une communication interne, dont la forme est conforme aux pratiques de communication interne de l’entreprise, de telle façon que tous les personnels puissent consulter le rapport.

Ce rapport doit contenir les incidents reconnus comme étant non conformes à la charte, et omettant tout ce qui pourrait permettre d’identifier les personnes concernées, de façon à respecter lui-même la loi sur l’Informatique et les Libertés.

Les moyens du Garant de la charte

Le Garant de la charte dispose d’un crédit temps, comme un représentant du personnel, pour exercer cette activité et sans autre compensation, dans le seul but d’être le gardien de la charte.

Il participe à toutes les réunions ayant pour objet la rédaction de la charte, qu’il doit connaître la charte sur le bout des doigts.

C’est à lui que s’adresse la Direction et les utilisateurs pour demander avis sur les changements à apporter à la charte.

Le Garant de la charte est habilité à réclamer des modifications de la charte, permanentes ou temporaires, sans être décisionnaire puisque le contenu reste de la responsabilité de la Direction. À celle-ci de jouer le jeu et de ne pas créer un rôle fantoche.

Le Garant de la charte a, par ailleurs, l’autorisation de pénétrer dans les locaux réservés au personnel informatique de façon à ce que les informaticiens ne puissent pas se réunir pour effectuer des tâches contraires à la charte d’une manière cachée.

À contrario, les actions de supervision, d’actions de sécurité, restent du ressort du service informatique et sont exécutées sans autorisation préalable ni même d’information auprès du Garant de la charte. Chacun son boulot.

Philippe Garin, plus de 20 de management en entreprise

Pour plus de conseils, contactez-moi : phgarin@gmail.com

Pour en avoir plus :

En complément :

Sommaire d’une charte informatique
Surveillance en entreprise : caméra, micro et charte informatique
Sécurité des données : Les 7 points capitaux du comportement responsable

Keylogger : Espionnage facile de votre PC
Démission d’un salarié = fuite d’informations : Comment s’en prémunir
Filtrage Internet : Pas de brimade des salariés

Autres Informatique, Management et Sécurité :

Récapitulatif 15 Informatique
Récapitulatif 15 Management
Récapitulatif 15 Sécurité

abonnez_vous_ICI_a_la_Newsletter

Sécurité informatique : L’audit des vulnérabilités


L’audit des vulnérabilités

épée de Damoclès

L’épée de Damoclès

Dans le cadre de la sécurité informatique et des mesures à prendre pour pallier aux défauts, pannes, malveillance, etc., il convient de faire le point sur les mesures déjà existantes avant d’envisager d’étendre la protection du système d’information.

La vulnérabilité

La vulnérabilité est le caractère, qui, par ses insuffisances, ses imperfections, peut donner prise à des attaques (Petit Larousse).

C’est au travers d’un audit des vulnérabilités d’un système d’information, que l’on va évaluer son degré de maturité en termes de protection.

Moins il y a de vulnérabilités et mieux le SI sera protégé

Comme l’informatique et les systèmes d’information évoluent en permanence et à une vitesse toujours de plus en plus croissante, l’audit des vulnérabilités est donc à reconduire régulièrement.
Dans l’idéal, ce sera à chaque changement d’un des composants physiques ou logiciels.

Cependant, dans la réalité et pour tenir compte de l’établissement des budgets dans une organisation, c’est une fois par an que cet audit devrait avoir lieu.

Les domaines de l’audit

Le systématisme est nécessaire pour éviter d’oublier l’un ou l’autre des domaines d’un système d’information dans l’audit des vulnérabilités.

Voici les domaines de cette analyse :

  1. Organisation de la sécurité
  2. Sécurité des sites et des bâtiments
  3. Sécurité des locaux
     
  4. Réseau étendu (intersites)
  5. Réseau local (LAN)
  6. Exploitation des réseaux
     
  7. Sécurité des systèmes et de leur architecture
  8. Production informatique
  9. Sécurité applicative
     
  10. Sécurité des projets et développements applicatifs
  11. Protection de l’environnement de travail
  12. Juridique et réglementaire

Les questions à se poser

Pour analyser ces 12 domaines, il convient de se poser les questions appropriées à chacun d’eux :

  1. Qui s’occupe de la sécurité ? Avec quels moyens et quel mode de fonctionnement ?
  2. Comment les sites et les bâtiments sont-ils surveillés et protégés : gardien de nuit, caméras, etc. ?
  3. Quels systèmes sont en place : alarme, détecteur de présence, anti-incendie, identification des visiteurs, etc. ?
     
  4. Quels moyens ont été déployés pour protéger l’accès à distance des informations : identification, chiffrement, etc. ?
  5. Comment et par quoi le réseau local est-il protégé : parafoudre, pare-feu, armoires de brassage fermées, etc. ?
  6. Quels sont les moyens de pallier aux défauts de l’exploitation du réseau : maintenance des serveurs, enregistrements des mouvements des personnels (arrivants et partants), etc. ?
     
  7. Comment les systèmes et architectures sont-ils protégés : sauvegardes, virtualisation, etc. ?
  8. Par quels moyens la production informatique, c’est-à-dire les données sortantes du système d’information sous forme de papier ou à l’écran, est-elle protégée ?
  9. Comment les applications, progiciels ou logiciels sont-elles sécurisées : autorisations d’accès, archivage des versions, etc. ?
     
  10. De quelles manières sont protégés les projets informatiques, de l’idée à leur réalisation : fuite d’information, erreurs de programmation, paramétrages, etc. ?
  11. Quelles sont les protections de l’environnement de travail en place : démultiplication des prises, fermeture des écrans inutilisés pendant quelques minutes, etc.
  12. Quelles mesures de bons comportements sont-elles en place : déclarations CNIL, charte informatique et d’Internet, etc. ?

Cette liste de questions et les quelques exemples associés montrent l’étendu, non exhaustif, des questionnaires à mettre en place pour déterminer le degré de maturité des mesures de protection contre les vulnérabilités détectées.

Vigilance

Il faut être particulièrement vigilant en matière de sécurité informatique.

Par exemple, pour le point 1, il faut que le responsable de la sécurité informatique soit une personne indépendante de la hiérarchie des informaticiens. Son indépendance vis-à-vis de cette hiérarchie va permettre de surveiller et d’agir contre tout informaticien indélicat, responsable du service inclus.

Pour cela,

  • soit un service séparé doit être défini et rattaché, par exemple, directement au responsable de l’établissement, pour une entreprise importante,
  • soit à un collaborateur d’un autre service qui en sache suffisamment en matière informatique, pour des organisations plus petites.

Philippe Garin, plus de 20 ans de management en entreprise

Pour mieux protéger votre système d’informations, contactez-moi : phgarin@gmail.com

Pour en savoir plus :


En complément :

Lexique informatique
Menace – Vulnérabilité – Risque
Parefeu : Utilité et risques

Liste des risques de sécurité informatique
Plan d’un rapport d’audit en entreprise
RCO, LCC et MTBF expliqués pour les nuls

Autres Informatique, Management, Organisation et Sécurité :

Récapitulatif 15 Informatique
Récapitulatif 15 Management
Récapitulatif 15 Organisation
Récapitulatif 15 Sécurité

abonnez_vous_ICI_a_la_Newsletter

Constat auto amiable sur votre smartphone à partir du 1er décembre 2014


Le formulaire de constat amiable automobile

du constat au e-constatTout le monde devrait en avoir un dans sa voiture, au même titre que la vignette verte de son assurance.

À partir du 1er décembre 2014, ceux qui n’en ont pas pourront effectuer la déclaration d’accident ou constat amiable automobile à son assureur directement à partir de son smartphone, grâce à l’application e-constat auto.

Cette application a été mise au point et présentée par les fédérations françaises d’assurances, FFSA et GEMA.

L’application a reçu le feu-vert de la CNIL et les données personnelles sont protégées.

Le constat électronique peut être pré-rempli avec vos données personnelles et celles de votre véhicule.

Le dessin qui accompagne la description du sinistre utilise l’écran tactile et la géolocalisation du smartphone

Les avantages

L’avantage principal reste la simplification et le traitement plus rapide du sinistre.

Une application similaire est déjà en oeuvre au Pays-Bas, où 5% des constats sont établis via le smartphone.

Si le constat amiable sur papier reste majoritaire, le e-constat permet aux assureurs français des économies d’échelle sur le papier et sur le traitement.

Moins d’ambiguïté sur l’état de la route, la position des véhicules et des dégâts puisqu’il est possible de joindre au dossier les photos prises par le smartphone.

À la fin de la déclaration, un SMS est envoyé pour confirmer la réception par l’assureur

Restez prudent sur la route !

Philippe Garin

Pour plus de conseils, contactez-moi : phgarin@gmail.com

Voir aussi

Telepoints pour connaître le nombre de points sur son permis de conduire
Permis de conduire français : Le nouveau à partir du 16 septembre 2013
Disque bleu européen OBLIGATOIRE dans les zones bleues de stationnement

Barème des retraits de points du permis de conduire
Contraventions susceptibles d’entraîner la suspension du permis de conduire
Délits susceptibles d’entraîner la suspension du permis de conduire

Autres Bien-être :

Récapitulatif 12 Bien-être

Laissez un commentaire

Carte bancaire au téléphone : prenez vos précautions


Escroquerie à la carte bancaire

CB_de_paiementUn des phénomènes, bien que limité, reste très gênant pour la victime et qui coûte très cher aux banques est celui de l’utilisation de la carte bancaire pour des achats en ligne ou au téléphone.

La CNIL a édicté certaines règles de bon sens. Encore faut-il les connaître et se protéger en conséquence par des réactions que vous devez impérativement avoir.

Pas de numéro sans transaction

Ça paraît tellement évident qu’on se demande pourquoi certains cybermarchands ou tenus pour tels réclament le numéro de votre carte bancaire alors qu’aucune transaction d’achat n’a lieu.

C’est encore plus flagrant lorsque la demande est effectuée par téléphone, où l’on vous dit que vous n’aurez pas le produit ou le service si vous ne fournissez pas vos codes bancaires.

Pourtant c’est interdit.

Droit de retrait des informations personnelles

La loi protège le consommateur. Vous pouvez faire modifier toute information personnelle, dont le numéro de votre carte bancaire, les données enregistrées par un site de ventes en ligne. Non seulement modifier mais aussi les supprimer.

N’hésitez pas, en cas de doute sur la conservation, normalement obligatoirement cryptées du numéro de votre carte bancaire et des autres informations associées que sont date d’expiration et le code au dos de votre carte, appelé cryptogramme, à réclamer la suppression.

Ne conservez vous-même aucun code bancaire sur votre terminal

Que vous utilisez un PC, une tablette ou pire, un smartphone, n’enregistrez jamais vos numéros de carte bancaire et codes associés.

Que feriez-vous en cas de vol de votre terminal ? Votre assurance ou votre banque ne vous rembourserait pas les sommes volées.

Source : CNIL

Philippe Garin

Pour plus de conseils, contactez-moi : phgarin@gmail.com

Voir aussi :

Internet : Fraudes en hausse sur la carte bancaire
Pôle emploi a les yeux sur vos comptes bancaires
Signalez un mail frauduleux

Pièces à présenter pour déposer plainte
Sécurité Smartphone : Danger avec les paiements par téléphone
Même mot de passe partout Une mauvaise idée

Bonnes pratiques de navigation sur Internet
Les risques du téléchargement et quelques principes utiles
Déposer plainte sur Internet pour escroquerie

Autre Sécurité

Récapitulatif 10 Sécurité

Licencié à cause du système de géolocalisation mais


La géolocalisation; qu’est-ce que c’est ?

La boussole a été aussi un système de géolocalisationUn système de géolocalisation est un système composé d’un matériel, installé dans le véhicule et d’un logiciel qui permet de connaître exactement la position et le trajet du véhicule. C’est une version informatique et plus puissant que le disque tachygraphique présent uniquement dans les camions.

Géolocalisation La procédure légale

Tout système de géolocalisation installé dans une entreprise doit être signalé à la CNIL, Commission nationale de l’informatique et des libertés, avant d’avertir les salariés. Une déclaration simplifiée suffit.

L’article L.1222-4 du Code du travail indique qu’aucune information personnelle relative au salarié ne peut être collectée sans qu’il en ait été préalablement porté à sa connaissance.

C’est pourquoi, l’entreprise doit informer et consulter les instances représentatives du personnel, avant la mise en œuvre de la géolocalisation, puis informer individuellement chaque salarié.

Les informations à transmettre aux employés sont :

  • La présence d’un système de géolocalisation, ou le projet d’installation d’un tel système
  • Le but de ce système
  • Les catégories de données traitées, les informations collectées et à quelles fins
  • La durée de conservation des données associées au salarié
  • Les destinataires des données, ou catégories de destinataires
  • L’existence d’un droit d’accès, de rectification et d’opposition
  • L’existence d’un dispositif permettant au salarié d’interrompre l’enregistrement des données le concernant, lorsqu’il n’est plus sur le temps de travail et lorsque le véhicule est utilisé hors du temps de travail

Lorsqu’un salarié rejoint l’entreprise, qui a déjà installé un système de géolocalisation, l’entreprise est tenue d’en informer individuellement le salarié à son arrivée dans l’entreprise. Un affichage seul ne suffit pas.

Cours d’appel de Lyon Arrêt du 13 mars 2013

M. Y n’a pas respecté le territoire auquel il était autorisé par son entreprise à circuler. En l’occurrence, il s’est rendu en un lieu interdit et dangereux.

Grâce à son système de géolocalisation, l’entreprise pour laquelle M. Y travaillait, a pu prouver ce manquement aux consignes. Il a été licencié.

L’entreprise a invoqué le motif de faute grave. Cependant, le salarié a porté plainte aux Prud’hommes.

Si le licenciement a été confirmé comme valable, le motif de faute grave a été repoussé.

La raison évoqué est l’impossibilité qu’a eue l’entreprise d’apporter la preuve de l’information transmise d’une manière individuelle au salarié.

Conclusion : Il est recommandé pour l’entreprise de faire signer une feuille d’émargement pour que, par sa signature, l’employé signale qu’il a été informé individuellement de la présence d’un système de géolocalisation.

Philippe Garin,

Il est humain lors de périodes de changement majeur d’avoir besoin d’aide pour garder votre sérénité et efficacité.
Faites-vous épauler, que ce soit par un professionnel, des amis, de la famille et voyez comment bénéficier de leur soutien

Pour surmonter un licenciement, contactez-nous : boosteremploi@gmail.com

Visitez notre site : www.boosteremploi.com

Voir aussi :

Géolocalisation par GPS à déclarer à la CNIL
CNIL
CNIL et données personnelles

Site Web Obligation légale et Dispenses de déclaration auprès de la CNIL
Vos obligations légales vis-à-vis de la CNIL
Conséquences de l’absence de déclaration à la CNIL d’un système de badgeage
e-réputation : modèle de lettre pour réclamer (CNIL)

Autres Informatique et Juridique :

Récapitulatif 10 Informatique
Récapitulatif 10 Juridique

Protection des données personnelles : Un projet de la Commission européenne


La Commission européenne projette l’harmonisation de la protection des données personnelles

En France, les déclarations pour la protection des données personnelles font l’objet d’une déclaration à la CNIL, Commission nationale de l’informatique et des libertés

A ce jour, les entreprises, qui ont des établissements dans l’un ou l’autre des autres pays de l’Union européenne, doivent effectuer la même démarche dans chacun des 27 pays

L’objectif principal est l’allègement des procédures de déclaration : les entreprises en référeront une seule fois pour les 27 pays de l’Union, en une seule déclaration à l’autorité nationale du pays de leur établissement principal

Le projet est transmis au parlement européenpour une décision attendue en 2014

Pas seulement la déclaration mais aussi les fuites

Les entreprises devront signaler toute fuite des données ou piratage, dans les 24 heures après la découverte de la fuite

Philippe Garin, plus de 20 ans manager en entreprise

Pour plus de conseils, contactez-moi : phgarin@gmail.com

Voir aussi :

Ordonnance n° 2011-1012 du 24 août 2011 sur la fuite des données personnelles
CNIL et données personnelles
Site Web Obligation légale et Dispenses de déclaration auprès de la CNIL

Conséquences de l’absence de déclaration à la CNIL d’un système de badgeage
Vos obligations légales vis-à-vis de la CNIL
Comment réclamer en Europe : un même formulaire pour tous les Européens

e-justice Le portail européen sur la Justice
Art. 71-1 de la Constitution : www.defenseurdesdroits.fr
Services de lutte contre la cybercriminalité

Autres Juridique :

Récapitulatif 6 Juridique
Récapitulatif 8 Juridique

Tous les articles de cette catégorie sont listés dans la page Juridique de la page Autres catégories

%d blogueurs aiment cette page :