mercredi 29 novembre 2006
Comment les entreprises « cybersurveillent »-elles leurs employés ?
Internet a bouleversé les relations dans l’entreprise. La communication entre les salariés s’est transformée et désormais extrêmement rapide et simple. Le réseau local s’est ouvert sur l’extérieur et cela amène de nouveaux problèmes qu’il faut apprendre à gérer, comme par exemple la visite de sites à contenus illégaux ou l’échange de données appartenant à l’entreprise. Cette dernière doit donc prendre des mesures pour se prémunir de tels agissements.
Deux mesures sont actuellement utilisées par la plupart des entreprises :
- la rédaction d’une charte d’usage d’Internet qui rappelle aux salariés leurs droits et obligations face à cet outil,
- la surveillance pure et simple des salariés dans leur usage d’Internet (l’objet de notre blog). Attention, trois conditions doivent être remplies pour qu’elle soit considérée comme légale par la CNIL et les tribunaux : « l’existence de la cybersurveillance doit avoir été portée à la connaissance des salariés, soit par voie d’affichage soit par note de services : les représentants du personnel doivent avoir été consultés pour simple avis. Enfin, elle doit être justifiée et limitée à une surveillance de flux sans accéder aux contenus des courriers électroniques du salarié sous peine d’être poursuivi pour violation de correspondance privée, ni aux répertoires identifiés comme « personnel » sur le disque dur du poste de travail du salarié ».
En lisant cela, nous nous rendons bien compte du peu de portée de ces mesures. La première n’est qu’une mesure de prévention et la seconde n’inclut pas le principal moyen d’échange de données : le courrier électronique dès lors qu’il porte la mention « personnel ».
Source : bestofmicro.com / article du 09 .11.06
mardi 21 novembre 2006
Présentation de quelques logiciels
Comme il a été dit précédemment, des logiciels ont été créé dans le seul but de garantir la surveillance .Si certains se chargent d’analyser les messageries (type Mail-Gear de Symantec ou encore Mail Sweeper 4.1 de Content Technologies) et de contrôler l’accès à Internet (I-Gear de Symantec ; Web Inspector d’Elron), d’autres surveillent le travail effectué sur les PC équipés en conséquence. Citons Websense, Investigator (de Winwhatwhere), Keykey ou encore Keystroke Monitor.
Websense :
Le plus connu des logiciels de cybersurveillance, Websense, permet d´interdire l´accès aux sites considérés comme "incorrects" par l´entreprise. La base de l´application contient près de 2,5 millions d´adresses classées en 75 catégories comme le sexe, la drogue, les loisirs...l’employeur sélectionne les types de sites qu’il juge indésirables et empêche ainsi leur accès à ses employés . Websense permet aussi de garder une trace des sites visités par les utilisateurs. (http://www.indexel.net)
Winwhatwhere investigator :
Ce logiciel surveille et rapporte pratiquement toute l'activité de l’ordinateur. Il enregistre la date, l'heure du démarrage, le temps qui s'est écoulé, les légendes des programmes et des touches utilisés. Il délivre ainsi de multiples informations, qui permettent d’avoir une image précise de l'utilisation de l'ordinateur au sein de l’entreprise. Il peut surveiller toute l'activité ou seulement certains programmes choisis voire même exclure sélectivement des programmes particuliers. Les jours et les temps imposés de surveillance d'activité peuvent également être indiqués. L'information est présentée dans un rapport configurable qui peut être facilement recherché, exporté et imprimé. D'autres fonctions incluent la protection par mot de passe et un mode furtif permet au programme de fonctionner de manière invisible. (01net)
Keykey :
KeyKey enregistre les frappes en fonctionnant à l’arrière-plan avec les applications Windows et avec les fenêtres de DOS sous Windows. Son utilisation est intuitive et le résultat de son enregistrement peut servir à de nombreuses fins. Il s’exécute en mode furtif, c’est-à-dire qu’il n’est détectable ni au niveau de la case système, ni dans le gestionnaire de tâches. Le fichier journal dans lequel les frappes sont enregistrées reflète les activités spécifiées par l’utilisateur via le jeu d’options. Ce fichier peut être protégé par mot de passe. Le programme propose une grande variété d’états qui permettent de surveiller l’activité des divers utilisateurs d’un PC lorsque celui-ci est partagé. KeyKey enregistre la tâche ou le processus en cours d’exécution, ainsi que les heures de début et de fin d’activité. Il capture également les noms des fenêtres, la taille de la mémoire tampon et les définitions du fichier journal. (Zdnet)
Keystroke Monitor : Egalement connu sous le nom de System Monitor, ce logiciel sauvegarde toutes les frappes, quelle que soit l’application où se trouve l'utilisateur. Il peut aussi sauvegarder les heures de travail. Il permet aussi de sauvegarder des travaux, même en cas de plantage informatique. S’exécutant au niveau du système, le programme fonctionne caché. Il ne s'affiche pas dans la boîte de fermeture du programme ou sur la barre des tâches. (01net)
Qu’est-ce que la cybersurveillance ?
Avant de commencer à traiter l’actualité de ce thème et ses problématiques, arrêtons-nous, dans un premier temps, sur sa définition. Qu’entend-on par le terme générique de « cybersurveillance » ?
La cybersurveillance se définit comme « tout moyen de contrôle technique, sur une personne ou un processus, lié aux nouvelles technologies et plus particulièrement aux réseaux numériques de communication. [elle] regroupe les voies et moyens aboutissant à l’accès des données ou signaux transmis par voie électronique ainsi que le contrôle des moyens techniques permettant ces transmissions ». (cf. http://www.netalya.com)
Pour résumer, il s’agit du contrôle de toutes les données diffusées et disponibles sur la Toile. Elle est le fait de l’administrateur réseau, qui gère l’utilisation et la configuration du réseau (nous aurons l’occasion de revenir sur ce sujet dans un prochain billet).
Outre le tracage mis en place pour tenter de venir à bout des réseaux terroristes, pédophiles ou encore xénophobes ( visant à la sécurité de tous) , la cybersurveillance concerne également le monde de l’entreprise, avec le contrôle des salariés et de leur usage d’Internet.
Pour ce faire, des logiciels ont été conçus dans le but d’enregistrer tous les évènements ou messages survenus pendant un temps donné, à un endroit déterminé. Les écoutes téléphoniques, tout comme le traçage d’internautes sur le web ou encore sur un réseau Intranet, font partie intégrante de la cybersurveillance. Ajoutons enfin que le contrôle et l’interception de courriers électroniques appartiennent également à cette catégorie.
La cybersurveillance répond donc à des attentes et à des besoins, tant pour des raisons de sécurité et de bonne gestion d’un système informatique que pour vérifier la bonne transmission de correspondances.
Source : http://www.netalya.com
La cybersurveillance se définit comme « tout moyen de contrôle technique, sur une personne ou un processus, lié aux nouvelles technologies et plus particulièrement aux réseaux numériques de communication. [elle] regroupe les voies et moyens aboutissant à l’accès des données ou signaux transmis par voie électronique ainsi que le contrôle des moyens techniques permettant ces transmissions ». (cf. http://www.netalya.com)
Pour résumer, il s’agit du contrôle de toutes les données diffusées et disponibles sur la Toile. Elle est le fait de l’administrateur réseau, qui gère l’utilisation et la configuration du réseau (nous aurons l’occasion de revenir sur ce sujet dans un prochain billet).
Outre le tracage mis en place pour tenter de venir à bout des réseaux terroristes, pédophiles ou encore xénophobes ( visant à la sécurité de tous) , la cybersurveillance concerne également le monde de l’entreprise, avec le contrôle des salariés et de leur usage d’Internet.
Pour ce faire, des logiciels ont été conçus dans le but d’enregistrer tous les évènements ou messages survenus pendant un temps donné, à un endroit déterminé. Les écoutes téléphoniques, tout comme le traçage d’internautes sur le web ou encore sur un réseau Intranet, font partie intégrante de la cybersurveillance. Ajoutons enfin que le contrôle et l’interception de courriers électroniques appartiennent également à cette catégorie.
La cybersurveillance répond donc à des attentes et à des besoins, tant pour des raisons de sécurité et de bonne gestion d’un système informatique que pour vérifier la bonne transmission de correspondances.
Source : http://www.netalya.com
lundi 13 novembre 2006
Rendez-vous des professionnels
Jeudi 23 novembre 2006 aura lieu la première édition de l’Université d’Automne des Correspondants Informatique et Libertés, dans les locaux de l’ESEP (Ecole Supérieure d’Electronique de Paris).
Cette journée est organisée par l’AFCDP (Association Française des Correspondants à la protection des Données à Caractère Personnel).
Monsieur G. Desgens Pasanau, Responsable du contentieux et des sanctions de la CNIL (Comission Nationale de l'Informatique et des Libertés) ouvrira la session sur le thème « Les nouveaux pouvoirs de sanction de la CNIL : comment vous mettre en conformité ».
Cette manifestation est ouverte gratuitement à tout membre de l’AFCDP (adhésion sur place pour les nouveaux membres).
Programme :
Cette journée est organisée par l’AFCDP (Association Française des Correspondants à la protection des Données à Caractère Personnel).
Monsieur G. Desgens Pasanau, Responsable du contentieux et des sanctions de la CNIL (Comission Nationale de l'Informatique et des Libertés) ouvrira la session sur le thème « Les nouveaux pouvoirs de sanction de la CNIL : comment vous mettre en conformité ».
Cette manifestation est ouverte gratuitement à tout membre de l’AFCDP (adhésion sur place pour les nouveaux membres).
Programme :
- Accueil 14h15
- Session d’ouverture, de 14h30 - 15h25 : « Les nouveaux pouvoirs de sanctions de la CNIL : comment vous mettre en conformité » - Guillaume Desgens Pasanau, Responsable du contentieux et des sanctions (CNIL).L’Université se déroule sous la forme d’une série d’ateliers d’une cinquantaine de minutes chacun. Chaque participant est libre de son « parcours Ateliers »
- Ateliers, de 15h35 à 18h00
- « Du choix de votre CIL à la mise en œuvre de ses missions » - Xavier Leclerc, Délégué Général de l’AFCDP - CIL.
- « Le Correspondant et la conformité juridique de l’entreprise » - Paul-Olivier Gibert, Directeur de la Sécurité - Déontologue - CIL (AG2R).
- « La cybersurveillance à l’épreuve des faits » - Jean-Pierre Remy, Délégué à la protection des données - CIL (Banque de France).
- « Correspondant et Administrateurs techniques ; Ennemis ou Amis ? » - Odile Campserveux, Responsable Juridique des Services Informatiques de la Chambre de Commerce de Paris - CIL, Bruno Rasle, Halte au Spam, co-animateur du groupe de travail Cybersurveillance.
Renseignements :
Xavier Leclerc - Délégué Général de l’AFCDP
Tél. : 06 61 60 25 92 -
Email : x.leclerc@laposte.net
Source : Magsecurs
Bienvenue à tous !
« Un blog sur la cybersurveillance : pourquoi ? », vous demandez-vous peut-être ! Et bien, tout d’abord parce que nous sommes étudiantes en M2 Gestion Editoriale et Communication Internet à Lyon 2 et que nous avons choisi de traiter ce sujet pour un examen.
Ensuite, car nous ne le serons pas éternellement (dommage… !) et que les portes de la vie active vont bientôt s’ouvrir à nous. Il y aura alors de fortes chances que nous nous retrouvions assises à un bureau devant… un écran d’ordinateur équipé d’Internet si l’entreprise est un minimum à la page ! La tentation sera alors grande de consacrer quelques minutes à prendre des nouvelles des uns et des autres en envoyant des mails ou en tchatant. Sur le lieu de travail, Internet est avant tout un outil de travail. Pourtant, l’utilisation d’Internet à des fins personnelles durant les heures de travail constitue une pratique que nul ne saurait ignorer.
Ce constat pose quelques questions : Y a-t-il des limites au contrôle et à la surveillance que les employeurs peuvent exercer sur les salariés ? L'employeur peut-il prendre connaissance des mails émis et reçus par ses employés ? Peut-il avoir accès à leurs fichiers personnels ? Que dit la loi en matière de cybersurveillance ?
En bref : pourquoi ce blog ? Pour tenter de savoir comment atteindre l’équilibre entre la nécessaire sécurisation des actifs de l’entreprise stockés dans son système d’information et le respect de la vie privée du salarié.
Ensuite, car nous ne le serons pas éternellement (dommage… !) et que les portes de la vie active vont bientôt s’ouvrir à nous. Il y aura alors de fortes chances que nous nous retrouvions assises à un bureau devant… un écran d’ordinateur équipé d’Internet si l’entreprise est un minimum à la page ! La tentation sera alors grande de consacrer quelques minutes à prendre des nouvelles des uns et des autres en envoyant des mails ou en tchatant. Sur le lieu de travail, Internet est avant tout un outil de travail. Pourtant, l’utilisation d’Internet à des fins personnelles durant les heures de travail constitue une pratique que nul ne saurait ignorer.
Ce constat pose quelques questions : Y a-t-il des limites au contrôle et à la surveillance que les employeurs peuvent exercer sur les salariés ? L'employeur peut-il prendre connaissance des mails émis et reçus par ses employés ? Peut-il avoir accès à leurs fichiers personnels ? Que dit la loi en matière de cybersurveillance ?
En bref : pourquoi ce blog ? Pour tenter de savoir comment atteindre l’équilibre entre la nécessaire sécurisation des actifs de l’entreprise stockés dans son système d’information et le respect de la vie privée du salarié.