L’hygiène informatique en entreprise

L’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) publie en ce mois d’octobre un  guide de recommandations ‘d’hygiène’ pour la sécurité des Documents & Informations dans l’entreprise.
A destination des Responsables informatiques, le guide est fondé sur le constat par l’ANSSI qui met en évidence que de nombreuses infractions auraient pu être évitées si des mesures évidentes et simples avaient été mises en œuvre.

Les recommandations sont simples.
Quelques exemples:
– Rédiger des procédures d’arrivée et de départ des utilisateurs (personnel, stagiaires…)
– Interdire la connexion d’équipements personnels au système d’information de l’entreprise.
– Ne pas conserver les mots de passe sur les systèmes informatiques
– Chiffrer les données sensibles, en particulier sur les postes nomades et les supports perdables
– Vérifier qu’aucun équipement du réseau ne comporte d’interface d’administration accessible depuis l’Internet
– Définir des règles en matière de gestion des impressions papier
– Mettre en place une chaîne d’alerte connue de tous les intervenants
-…
et les D&IM doivent les connaître et vérifier leur application au quotidien.

Jean-Pierre BLANGER
Vice-président fi-D&IM
Directeur R&D et des Offres de Services Ricoh

Coffres-forts Numériques associés

L’Association pour les Coffres-Forts Numériques (A-CFN) regroupe les acteurs : Adminium, Coffreo, E-coffrefort, E-factures, E-folia, Home-Bubble, La Poste (Service Digiposte), MyArchiveBox, Novapost et Xambox.

Visant à favoriser l’usage des coffres-forts numériques, l’A-CFN vient d’imposer à ses membres, le respect de la charte en sept points, suivante:

1. Assurer la confidentialité des données des utilisateurs
2. Garantir la non exploitation des données des utilisateurs sans accord préalable
3. Sécuriser et protéger l’accès aux coffres-forts numériques
4. Héberger les coffres-forts numériques sur le territoire de l’Union Européenne
5. Garantir la conservation et la non altération des données confiées
6. Garantir la libre restitution des documents confiés
7. Supprimer le coffre-fort numérique et son contenu sur demande de l’utilisateur

Gageons que ces premiers engagements seront suivis par de nombreux autres, car les D&IM savent que ce qui est proposé ici, est bien le minimum que l’on puisse attendre des sérieux membres de l’association.

Pour autant, restons patient tout en encourageant vivement cette initiative car mettre dix sociétés autour d’une table dans le but de produire un texte commun n’est pas une mince affaire. J’ai de nombreuses fois conduit de telles réunions et… Bravo ! Nous suivrons de prêt les avancés de l’A-CFN que les D&IM ne doivent plus ignorée.

Jean-Pierre BLANGER
Vice-président fi-D&IM
Directeur R&D et des Offres de Services Ricoh

Cloud, nuage ou mirage, qu’en est-il pour la gestion de contenu ?

Matinée FEDISA et présentation EMC² du 14/12/2010

Après une présentation de synthèse de la FEDISA, la présentation EMC² fait partie des nombreuses présentations d’endoctrinement au « cloud computing » qui ont cours aujourd’hui, à l’adresse des responsables informatiques.

Pour EMC², les besoins exprimés par les DSI dans le « cloud computing » se situent au niveau du SAE et des applications de travail collaboratif.

Le « cloud computing » est une réelle possibilité technique. Elle est présentée par EMC² comme une solution facile et rapide à mettre en œuvre mais les problèmes, réels eux aussi, sont passés sous silence ou minimisés:
–    Contrôle des accès,
–    Confidentialité (séparation des espaces),
–    Intégrité des contenus,
–    Fiabilité du stockage.
Autant de points objets de la proposition de Work Item de l’ISO :  ISO/IEC JTC 1/SC 27 N9444 – New Work Item Proposal on Storage Security.

La présentation était très ambitieuse  et l’affirmation forte: avec le « cloud computing » il est possible quasiment de tout faire. Mais EMC² reste très léger sur des points précis: par exemple sur l’archivage, avec l’affirmation de la mise en œuvre du cryptage pour l’archivage alors que rien de tel n’est recommandé sur le long terme. Une question sur la fiabilité des moyens de stockage est aussi restée sans réponse.

On peut se demander pourquoi les éditeurs et les fournisseurs américains insistent aussi lourdement pour que les entreprises déposent dans leurs serveurs tout leur patrimoine intellectuel : archives et espaces collaboratifs, sachant que sans doute, la NSA impose aux éditeurs américains la présence de « back doors » dans leurs logiciels.

A chacun de juger…

Gérard GODART
Consultant
CONCEPT DOC