Archive pour la catégorie ‘Sécurité’

postheadericon LOPSSI 2 : les dispositions TIC

Le très controversé projet de loi d’orientation et de programmation pour la performance de la sécurité intérieure (Loppsi), en discussion au sénat, comporte plusieurs dispositions sur le numérique :

Usurpation d’identité en ligne : L’article 2 instaure une peine maximale d’un an d’emprisonnement et 15 000 euros d’amende « le fait d’usurper l’identité d’un tiers ou une ou plusieurs données de toute nature permettant de l’identifier en vue de troubler sa tranquillité ou celle d’autrui, ou de porter atteinte à son honneur ou à sa considération ». Un délit qui est destiné à aider dans la lutte contre le phishing (hameçonnage via un vrai-faux site de banques ou d’administrations) mais aussi contre l’usurpation d’identité sur les réseaux sociaux (fausses pages Facebook de personnalités).

Liste noire et blocage des sites pédopornographiques : Le texte, issu de l’Assemblée prévoyait que seul un juge pouvait ordonner aux FAI de bloquer un site au contenu litigieux. La commission des lois du Sénat l’a confié à une autorité administrative indépendante, l’Office central de lutte contre la criminalité liée aux TIC. Cet article suscite de nombreuses critiques avec la crainte d’une extension progressive du filtrage à d’autres types de contenus « illicites ».

Mouchards électroniques. Sur requête d’un juge, la police pourra installer des mouchards électroniques (type cheval de trois) pour récupérer des données sur l’ordinateur d’un suspect.

Vidéoprotection. Le texte fixe l’objectif d’une multiplication par trois du nombre de caméras sur la voie publique, pour arriver au nombre de 60.000. Le préfet pourra imposer l’installation de caméras aux communes dans certains cas (prévention d’actes de terrorisme, protection d’installations et d’établissements sensibles).

postheadericon Antennes relais et principe de précaution, le oui mais du Conseil d’Etat

Dans un arrêt daté du 19 juillet 2010 concernant l’implantation d’une antenne à Amboise, le Conseil d’Etat a reconnu que le principe de précaution, tel que défini par l’article 5 de la Charte de l’environnement (à valeur constitutionnelle), pouvait être pris en compte dans le cadre des procédures d’urbanisme. Cet arrêt marque un changement important car lors d’un arrêt précédent, concernant également une antenne relais de téléphonie mobile (arrêt « Société Bouygues télécom »du 20 avril 2005), la Haute Cour avait invoqué une indépendance des législations. Néanmoins, le Conseil d’Etat a estimé que les documents joints au dossier – et en particulier le dernier rapport de l’Afsset qui affirme l’absence d’effets avéré des antennes sur la santé – ne justifiaient pas la mise en œuvre du principe de précaution par le maire. En outre, il réaffirme le fait que couvrir le territoire national en téléphonie mobile UMTS « participe à la réalisation d’une mission reconnue par la loi comme de service public ».

L’arrêt à consulter dans la base de jurisprudence : CE 19 Juillet 2010, req. n°328687

postheadericon L’administration électronique a désormais ses trois référentiels opérationnels

Avec la publication du référentiel général de sécurité via un arrêté en date du 18 mai 2010, l’administration électronique est désormais en ordre de marche. Ce document, créé par l’ordonnance n° 2005-1516 du 8 décembre 2005, vient compléter les référentiels d’ores et déjà en place que sont celui concernant l’interopérabilité (RGI) et le référentiel d’accessibilité (RGAA) . Le RGI définit un ensemble de règles de sécurité (authentification, horodatage, confidentialité, signature électronique…) qui s’imposent aux autorités administratives – parmi lesquelles les collectivités territoriales – dans la sécurisation de leurs systèmes d’information. Il propose également des bonnes pratiques en matière de sécurité des systèmes d’information que les autorités administratives sont libres d’appliquer. Le RGI vise à favoriser le développement de la confiance des usagers et favoriser la mise en œuvre de téléservices fiables et sécurisés. Le document rappelle que « les règles et recommandations du RGS devront être appliquées dans un délai de trois ans pour les téléservices et systèmes en service, dans un délai d’un an pour ceux en cours de réalisation, et d’emblée pour les téléservices et systèmes déployés après octobre 2010″. Fondé sur des standards et des pratiques de sécurité éprouvées, ce document – qui sera régulièrement mis à jour – va venir conforter nombre de pratiques d’ores et déjà en vigueur dans les grandes villes. Il pourra être annexé aux appels d’offre pour tous les nouveaux téléservices mis en œuvre et permettra aux collectivités – notamment les plus petites – d’utiliser des produits ou services labellisés par l’Agence nationale de sécurité des systèmes d’information (ANSSI).

La page de la DGME sur le RGI

postheadericon Sécurité informatique : 12 menaces à la loupe

A l’occasion du quatrième forum international sur la cybercriminalité, un « guide pratique du chef d’entreprise face au risque numérique » a été présenté. Ce document de 91 pages répertorie et analyse les principaux risques informatiques auxquels sont confrontés les organisations – le guide s’intéresse aux entreprises mais la plupart des recommandations s’appliquent également largement aux administrations. Douze menaces sont détaillées parmi lesquels le comportement à risques du salarié ; Les téléchargements l’intrusion via le réseau sans fil ; Le vol d’ordinateur portable ou de PDA ; Le sabotage interne d’une base de données ; La défiguration de site web et Le dysfonctionnement ou l’altération par programmes malveillants. A chaque fois sont détaillés les impacts judiciaires, financiers, managériaux, sur l’image. Sont ensuite proposées des solutions et des ressources sur la sécurité informatique. Parmi celles-ci on signalera plus particulièrement le portail gouvernemental de la sécurité informatique (www.securite-informatique.gouv.fr ) géré par l’agence national pour la sécurité de systèmes d’information et le site de la CNIL qui propose des guides à destination des collectivités.

postheadericon Archivage numérique : l’académie des sciences tire la sonnette d’alarme

L’archivage numérique est une problématique plutôt bien connue des collectivités à l’heure du développement de l’administration électronique. Mais alors que l’utilisation des terminaux numériques se généralise, ce problème devient une question sociétale. L’académie des sciences et technologies vient de remettre un rapport sur ce sujet qui tire la sonnette d’alarme. L’académie rappelle en effet que « les supports numériques n’ont qu’une durée de vie de 5 ou 10 ans environ » et que le mot « gravure » pour qualifier l’action d’enregistrer des données sur un disque dur ou un CD n’a aucun rapport avec les tables de la loi gravées dans la pierre « pour l’éternité » … Cet enjeu, peu d’entreprises, d’administrations et encore moins de citoyens en ont vraiment conscience. Si la diminution des coûts des supports de stockage incite peut-être à multiplier les sauvegardes, peu de personnes songent à opérer des migrations régulières pour palier l’obsolescence des formats et supports… Car l’archivage est autant une affaire de technique que d’organisation à mettre en place dans la durée.

Après avoir passé en revue les différents supports de stockage et manières d’appréhender ce sujet, l’académie fait 4 recommandations :

1) Développer la recherche sur le sujet pour dégager des recommandations fiables en matière de standardisation des formats et supports d’archivage

2) Recenser les compétences publiques et privées et prendre des mesures urgentes nécessaires à la préservation des compétences clé

3) Favoriser l’innovation et l’apparition d’une offre industrielle de qualité

4) Élaborer une stratégie en matière d’archivage numérique qui établirait les domaines prioritaires et proposerait des solutions de mutualisation.

Il restera à faire en sorte que ces normes et offres deviennent accessibles au grand public car, au delà des documents officiels, c’est toute une partie de notre histoire qui pourrait disparaitre.

postheadericon Les sites publics victimes à leur tour du « phishing »

On connaissait les mails frauduleux se faisant passer pour votre banque… voici les mails frauduleux habillés aux couleurs des administrations. Bercy vient d’alerter les contribuables de la circulation de courriers électroniques frauduleux portant la signature de l’administration fiscale et l’en-tête du ministère du Budget. Ces courriers invitent les contribuables à communiquer des informations personnelles, notamment un numéro de carte bancaire, en vue d’obtenir un remboursement d’impôt. Il s’agit bien évidement d’un mail frauduleux. La DGFiP, rappelle qu’elle ne fait jamais des envois sous cette forme aux contribuables pour leur demander des informations. Par ailleurs, le numéro de carte bancaire n’est jamais exigé pour le paiement d’un impôt ou le remboursement d’un crédit d’impôt. La CAF a été récemment elle aussi victime d’une tentative de phishing. A l’heure ou de nombreuses villes développent des téléservices locaux permettant le paiement de la crèche, de la piscine ou de la cantine par internet, ce risque pourrait bientôt aussi concerner les collectivités territoriales.

postheadericon Ondes et santé, les recommandations de l’Afsset

L’Agence française de sécurité sanitaire de l’environnement et du travail (Afsset) a publié jeudi 15 octobre son avis sur l’état des connaissances scientifiques en matière d’effet des radiofréquences sur la santé. Face à l’existence d’incertitudes, l’Afsset fait une trentaine de recommandations dont voici les principales :

Terminaux sans fil, côté utilisateur /domicile

  • privilégier les appareils à faible émission (DAS ou débit d’absorption spécifique).
  • généraliser la mise à disposition des indicateurs d’exposition maximale pour tous les équipements personnels utilisant la technologie des radiofréquences (téléphones portables, téléphones sans fil DECT, veille-bébé…. ) en développant des labels intelligibles.
  • réduire l’exposition des enfants en incitant à un usage modéré du téléphone portable
  • mettre en œuvre des outils simples permettant de réduire les expositions à l’intérieur des habitations comme la désactivation du Wifi à l’aide d’un interrupteur.

Exposition du public aux radiofréquences, côté antennes

  • travailler sur la définition et le choix de grandeurs représentatives de l’exposition réelle des personnes aux ondes provenant de l’ensemble des émetteurs radiofréquences
  • identifier et cartographier les lieux présentant des valeurs sensiblement plus élevées que le niveau ambiant (toutes ondes confondues : TV, radio, GSM, UMTS, Wimax…) et proposer des procédures visant à réduire l’exposition dans ces lieux
  • favoriser la concertation et le débat autour des nouvelles implantations ou modifications d’émetteurs radiofréquences (…) en impliquant l’ensemble des acteurs concernés
  • améliorer les dispositifs de mesure, recourir aux exposimètres portables et à des sondes de mesure fixes et autonomes
  • mutualiser les émetteurs entre opérateurs de téléphonie mobile
  • peser avec soin les conséquences, pour la population générale et pour les utilisateurs de téléphone mobile, d’une réduction de la puissance des antennes relais qui pourrait conduire à l’augmentation de l’exposition à la tête aux radiofréquences émises par les téléphones mobiles

Recherche

  • poursuivre la recherche de certains effets biologiques éventuels pour des expositions à des niveaux « non thermiques »,
  • répliquer les études ayant démontré des effets biologiques,
  • développer les études épidémiologiques, en particulier sur les travailleurs exposés aux radiofréquences,
  • développer la recherche en matière d’électro-hypersensibilité.

postheadericon Grippe A et télétravail : un coup d’accélérateur… à condition d’anticiper

L’un des effets collatéraux de la pandémie de grippe pourrait être l’accélération de la mise en œuvre du télétravail dans la fonction publique. Pour un certain nombre d’agents occupant des postes administratifs, une simple connexion à internet (haut débit) peut suffire pour leur permettre d’accomplir une partie de leur travail quotidien. Du reste, les instructions envoyées aux élus précisent explicitement que l’employeur doit « tout mettre en œuvre pour permettre aux agents d’exercer leur activité à distance y compris durant la période du niveau maximal du plan de continuité* ». D’un point de vue pratique cependant, cela nécessite un certain nombre de préalables : accès des agents à leur poste de travail voire à certaines applications municipales par internet, paramétrages des firewalls, sans compter l’indispensable sécurisation des postes au domicile des agents. Autant dire que les DSI vont avoir du pain sur la planche cet automne.

* on signalera cet article intéressant de securite-commune-info.fr qui propose du reste une aide à la création de plan de continuité d’activité (PCA) en téléchargement.

postheadericon Hadopi : vers une obligation de sécuriser tous les accès sans fil

Le sénat a adopté le volet répressif de la loi Hadopi, sur la protection des œuvres contre le piratage.
Désormais, c’est le juge et non plus une autorité administrative, qui pourra prononcer la coupure d’abonnement des internautes pris en flagrant délit de piratage. Pour tenir compte du risque d’engorgement des tribunaux, la loi a mis en place une procédure judiciaire accélérée, calquée sur les excès de vitesse. Pour les abonnés triple play, la loi prévoit le maintien du téléphone et de la TV : Il reste à savoir si ce sera faisable techniquement… En outre, les sénateurs ont réintroduit la notion de « négligence caractérisée » qui pourra conduire les abonnés qui ne sécurisent pas leur connexion, après injonction de l’Hadopi à le faire, à se voir coupé la connexion pour un mois. Une disposition qui pourrait mettre un sérieux coup de frein à tous les dispositifs de connexion à internet en libre accès (canal public sur box, bornes publiques). Ou plus exactement, de peur de donner malgré eux accès à un site internet douteux, ces connexions ont toutes les chances d’être bridées. On peut même y voir la fin du lien hypertexte…
Ce texte doit maintenant passer devant les députés. Selon certains, il pourrait cependant être à nouveau censuré par le juge constitutionnel (voir cet article)…

postheadericon Télédéclaration et signature électronique : la fin d’un dogme

L’une des grandes nouveautés de la campagne 2009 de télédéclaration de l’impôt sur le revenu est la faculté laissée au contribuable de ne pas utiliser de certificat (signature électronique), son identification reposant dès lors uniquement sur trois identifiants personnels figurant sur son dernier avis d’imposition. Si les fournisseurs de solutions de signature parlent de « recul » et de « dangereux précédent », c’est plutôt une avancée en matière d’administration électronique. Car s’il y a bien une règle en matière de dématérialisation c’est que dès lors que la formalité est jugée plus compliquée dans sa version dématérialisée que dans sa version papier, elle a peu de chance de convaincre les utilisateurs et donc de générer les économies attendues. L’exemple le plus patent en ce domaine est celui de la dématérialisation des marchés publics où les PME restent une poignée à dématérialiser leurs réponses aux appels d’offre. Faire simple tout en « faisant sécurisé », là est tout le défi.

TIC*