10 conseils de la CNIL pour sécuriser votre système d’information: La loi « informatique et libertés » impose que les organismes mettant en œuvre des fichiers garantissent la sécurité des données qui y sont traitées. Cette exigence se traduit par un ensemble de mesures que les détenteurs de fichiers doivent mettre en œuvre, essentiellement par l’intermédiaire de leur direction des systèmes d’information (DSI) ou de leur responsable informatique. Il apparait clairement que la gestion des identités et des accès est au coeur de la sécurité du système d’information. Voici la liste des 10 recommendations de la CNIL:
1. Adopter une politique de mot de passe rigoureuse
L’accès à un poste de travail informatique ou à un fichier par identifiant et mot de passe est la première des protections. Le mot de passe doit être individuel, difficile à deviner et rester secret. Il ne doit donc être écrit sur aucun support. La DSI ou le responsable informatique devra mettre en place une politique de gestion des mots de passe rigoureuse : un mot de passe doit comporter au minimum 8 caractères incluant chiffres, lettres et caractères spéciaux et doit être renouvelé fréquemment (par exemple tous les 3 mois). Le système doit contraindre l’utilisateur à choisir un mot de passe différent des trois qu’il a utilisés précédemment. Généralement attribué par l’administrateur du système, le mot de passe doit être modifié obligatoirement par l’utilisateur dès la première connexion. Enfin, les administrateurs des systèmes et du réseau doivent veiller à modifier les mots de passe qu’ils utilisent eux-mêmes.
2. Concevoir une procédure de création et de suppression des comptes utilisateurs
L’accès aux postes de travail et aux applications doit s’effectuer à l’aide de comptes utilisateurs nominatifs, et non « génériques » (compta1, compta2…), afin de pouvoir éventuellement être capables de tracer les actions faites sur un fichier et, ainsi, de responsabiliser l’ensemble des intervenants. En effet, les comptes « génériques » ne permettent pas d’identifier précisément une personne. Cette règle doit également s’appliquer aux comptes des administrateurs systèmes et réseaux et des autres agents chargés de l’exploitation du système d’information.
3. Sécuriser les postes de travail
Les postes des agents doivent être paramétrés afin qu’ils se verrouillent automatiquement au-delà d’une période d’inactivité (10 minutes maximum) ; les utilisateurs doivent également être incités à verrouiller systématiquement leur poste dès qu’ils s’absentent de leur bureau. Ces dispositions sont de nature à restreindre les risques d’une utilisation frauduleuse d’une application en cas d’absence momentanée de l’agent du poste concerné. Par ailleurs, le contrôle de l’usage des ports USB sur les postes « sensibles », interdisant par exemple la copie de l’ensemble des données contenues dans un fichier, est fortement recommandé.
4. Identifier précisément qui peut avoir accès aux fichiers
L’accès aux données personnelles traitées dans un fichier doit être limité aux seules personnes qui peuvent légitimement y avoir accès pour l’exécution des missions qui leur sont confiées. De cette analyse, dépend « le profil d’habilitation » de l’agent ou du salarié concerné. Pour chaque mouvement ou nouvelle affectation d’un salarié à un poste, le supérieur hiérarchique concerné doit identifier le ou les fichiers auxquels celui-ci a besoin d’accéder et faire procéder à la mise à jour de ses droits d’accès. Une vérification périodique des profils des applications et des droits d’accès aux répertoires sur les serveurs est donc nécessaire afin de s’assurer de l’adéquation des droits offerts et de la réalité des fonctions occupées par chacun.
5. Veiller à la confidentialité des données vis-à-vis des prestataires
Les interventions des divers sous-traitants du système d’information d’un responsable de traitement doivent présenter les garanties suffisantes en terme de sécurité et de confidentialité à l’égard des données auxquels ceux-ci peuvent, le cas échéant, avoir accès. La loi impose ainsi qu’une clause de confidentialité soit prévue dans les contrats de sous-traitance. Les éventuelles interventions d’un prestataire sur des bases de données doivent se dérouler en présence d’un salarié du service informatique et être consignées dans un registre. Les données qui peuvent être considérées « sensibles » au regard de la loi, par exemple des données de santé ou des données relatives à des moyens de paiement, doivent au surplus faire l’objet d’un chiffrement.
« A noter » : l’administrateur systèmes et réseau n’est pas forcément habilité à accéder à l’ensemble des données de l’organisme. Pourtant, il a besoin d’accéder aux plates-formes ou aux bases de données pour les administrer et les maintenir. En chiffrant les données avec une clé dont il n’a pas connaissance, et qui est détenue par une personne qui n’a pas accès à ces données (le responsable de la sécurité par exemple), l’administrateur peut mener à bien ses missions et la confidentialité est respectée.
6. Sécuriser le réseau local
Un système d’information doit être sécurisé vis-à-vis des attaques extérieures.
Un premier niveau de protection doit être assuré par des dispositifs de sécurité logique spécifiques tels que des routeurs filtrants (ACL), pare-feu, sonde anti intrusions, etc. Une protection fiable contre les virus et logiciels espions suppose une veille constante pour mettre à jour ces outils, tant sur le serveur que sur les postes des agents. La messagerie électronique doit évidemment faire l’objet d’une vigilance particulière. Les connexions entre les sites parfois distants d’une entreprise ou d’une collectivité locale doivent s’effectuer de manière sécurisée, par l’intermédiaire des liaisons privées ou des canaux sécurisés par technique de « tunneling » ou VPN (réseau privé virtuel). Il est également indispensable de sécuriser les réseaux sans fil compte tenu de la possibilité d’intercepter à distance les informations qui y circulent : utilisation de clés de chiffrement, contrôle des adresses physiques des postes clients autorisés, etc. Enfin, les accès distants au système d’information par les postes nomades doivent faire préalablement l’objet d’une authentification de l’utilisateur et du poste. Les accès par internet aux outils d’administration électronique nécessitent également des mesures de sécurité fortes, notamment par l’utilisation de protocoles IPsec, SSL/TLS ou encore HTTPS.
« A noter » : Un référentiel général de sécurité, relatif aux échanges électroniques entre les usagers et les autorités administratives (ordonnance 2005-1516), doit voir le jour prochainement (voir projet sur le site http://www.ssi.gouv.fr/). Il imposera à chacun des acteurs des mesures de sécurité spécifiques.
7. Sécuriser l’accès physique aux locaux
L’accès aux locaux sensibles, tels que les salles hébergeant les serveurs informatiques et les éléments du réseau, doit être limité aux personnels habilités. Ces locaux doivent faire l’objet d’une sécurisation particulière : vérification des habilitations, gardiennage, portes fermées à clé, digicode, contrôle d’accès par badge nominatifs, etc. La DSI ou le responsable informatique doit veiller à ce que les documentations techniques, plans d’adressages réseau, contrats, etc. soient eux aussi protégés.
8. Anticiper le risque de perte ou de divulgation des données
La perte ou la divulgation de données peut avoir plusieurs origines : erreur ou malveillance d’un salarié ou d’un agent, vol d’un ordinateur portable, panne matérielle, ou encore conséquence d’un dégât des eaux ou d’un incendie. Il faut veiller à stocker les données sur des espaces serveurs prévus à cet effet et faisant l’objet de sauvegardes régulières. Les supports de sauvegarde doivent être stockés dans un local distinct de celui qui héberge les serveurs, idéalement dans un coffre ignifugé. Les serveurs hébergeant des données sensibles ou capitales pour l’activité l’organisme concerné doivent être sauvegardés et pourront être dotés d’un dispositif de tolérance de panne. Il est recommandé d’écrire une procédure « urgence – secours » qui décrira comment remonter rapidement ces serveurs en cas de panne ou de sinistre majeur. Les supports nomades (ordinateurs portables, clé USB, assistants personnels etc.) doivent faire l’objet d’une sécurisation particulière, par chiffrement, au regard de la sensibilité des dossiers ou documents qu’ils peuvent stocker. Les matériels informatiques en fin de vie, tels que les ordinateurs ou les copieurs, doivent être physiquement détruits avant d’être jetés, ou expurgés de leurs disques durs avant d’être donnés à des associations. Les disques durs et les périphériques de stockage amovibles en réparation, réaffectés ou recyclés, doivent faire l’objet au préalable d’un formatage de bas niveau destiné à effacer les données qui peuvent y être stockées.
9. Anticiper et formaliser une politique de sécurité du système d’information
L’ensemble des règles relatives à la sécurité informatique doit être formalisé dans un document accessible à l’ensemble des agents ou des salariés. Sa rédaction requiert l’inventaire préalable des éventuelles menaces et vulnérabilités qui pèsent sur un système d’information. Il convient de faire évoluer régulièrement ce document, au regard des modifications des systèmes et outils informatiques utilisés par l’organisme concerné. Enfin, le paramètre « sécurité » doit être pris en compte en amont de tout projet lié au système d’information.
10. Sensibiliser les utilisateurs aux « risques informatiques » et à la loi « informatique et libertés »
Le principal risque en matière de sécurité informatique est l’erreur humaine. Les utilisateurs du système d’information doivent donc être particulièrement sensibilisés aux risques informatiques liés à l’utilisation de bases de données. Cette sensibilisation peut prendre la forme de formations, de diffusion de notes de service, ou de l’envoi périodique de fiches pratiques. Elle sera également formalisée dans un document, de type « charte informatique », qui pourra préciser les règles à respecter en matière de sécurité informatique, mais aussi celles relatives au bon usage de la téléphonie, de la messagerie électronique ou encore d’internet. Ce document devrait également rappeler les conditions dans lesquelles un salarié ou un agent peut créer un fichier contenant des données personnelles, par exemple après avoir obtenu l’accord de son responsable, du service juridique ou du CIL de l’entreprise ou de l’organisme dans lequel il travaille.
Ce document doit s’accompagner d’un engagement de responsabilité à signer par chaque utilisateur.
Un nouveau blog vient d’apparaitre dans la 
Larry Ellison s’apprête a donner le ton et fournir la roadmap officielle des produits Sun le 27/01/2010. En effet, de nombreux observateurs restent très circonspects quant au lourd silence qui entour le destin de nombreux produits portés par Sun microsystems. Nous pensons bien évidement particulièrement au destin assombri de MySQL, mais la dualité des équipes produits IAM chez Oracle et chez Sun depuis de nombreuses années posent quelques interrogations. En effet, malgré un investissement lourd de la part d’Oracle dans le domaine de la gestion des identités, seuls quelques « Oracle addicts » ont vraiment déployé les solutions IAM d’Oracle. De son coté Sun apparait comme un éditeur expérimenté dans ce domaine, et proposant des solutions éprouvées et matures. De plus, les nombreux projets Open Source portés par Sun tels que OpenSSO ou OpenDS peuvent être menacés… Nous suivrons donc avec attention la présentation de mercredi prochain…
}
Malgré le rachat par Oracle, les équipes de SUN semblent continuer le développement des logiciels OpenDS et OpenSSO. Il est vrai que ces deux briques sont des piliers essentiels de l’offre IAM de SUN et de son maintien sur le marché de la gestion des identités. La version 2.2 d’OpenDS peut être téléchargée sur 
Comme chaque année, le « Consortium Kerberos », géré en grande partie par le MIT, a organisé une grande conférence sur le protocole kerberos et ses évolutions. Des pointures mondiales telles que Kim Cameron étaient présentes et ont réalisé des démonstrations de grande qualité. Ce fut également l’occasion de révéler les nouveauté de la version 1.8 de la libraire Kerberos. La présentation sur la cohabitation OpenLDAP/royaume Kerberos est particulièrement intérressante car elle démontre bien à quel point il est complexe d’allier les deux systèmes.
L’Identity Management Institute est à l’origine de la création de deux certifications dans le domaine de l’Identity Management. L’attribution des certifications CIRM et CIPA se réalise globalement sur le même principe que le CISSP proposé par l’ISC2 dans le domaine de la sécurité. Alors que la certification CIRM (
C’est avec un grand enthousiasme que j’ai pu tester aujourd’hui la dernière version de MAC OS X, portant le numéro de version 10.6, autrement appelé « Snow Leopard ». Malheureusement les conclusions étaient beaucoup moins excitantes que les magnifiques illustrations en couverture de la « box ».
J’ai assisté il y a quelques semaines à une présentation de Novell France sur le sujet des nouveautés autour de Open Entreprise Server 2.
Ce document est basé sur une présentation réalisée par Kim Cameron au Microsoft PDC 2008 [ Microsoft Professional Developers Conference ] à Los Angeles en Novembre 2008.
Mais que se passe t-il avec la version « 2″ d’ILM ?
Les Groupes Utilisateurs font leur show ! -La Communauté Active Directory et Identity Management -Interopérabilité Windows-Linux-Unix-Mac
Microsoft réalise la mise à jour de son site sur l’interopérabilité: 