L’hygiène informatique en entreprise

L’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) publie en ce mois d’octobre un  guide de recommandations ‘d’hygiène’ pour la sécurité des Documents & Informations dans l’entreprise.
A destination des Responsables informatiques, le guide est fondé sur le constat par l’ANSSI qui met en évidence que de nombreuses infractions auraient pu être évitées si des mesures évidentes et simples avaient été mises en œuvre.

Les recommandations sont simples.
Quelques exemples:
– Rédiger des procédures d’arrivée et de départ des utilisateurs (personnel, stagiaires…)
– Interdire la connexion d’équipements personnels au système d’information de l’entreprise.
– Ne pas conserver les mots de passe sur les systèmes informatiques
– Chiffrer les données sensibles, en particulier sur les postes nomades et les supports perdables
– Vérifier qu’aucun équipement du réseau ne comporte d’interface d’administration accessible depuis l’Internet
– Définir des règles en matière de gestion des impressions papier
– Mettre en place une chaîne d’alerte connue de tous les intervenants
-…
et les D&IM doivent les connaître et vérifier leur application au quotidien.

Jean-Pierre BLANGER
Vice-président fi-D&IM
Directeur R&D et des Offres de Services Ricoh

Votre voix peut vous trahir !

Si dans votre entreprise, vous croisez quelqu’un qui parle à un ordinateur, il est peut en train de trahir des secrets que vous concurrents sont en train de chercher…
On sait qu’une conversation téléphonique peut faire l’objet d’une écoute sur demande d’un juge d’instruction. On sait aussi que certains pays pratiquent l’écoute des conversations téléphoniques dans un but d’espionnage industrielle.
En revanche, on ne sait pas toujours que de demander à son ordinateur de réaliser une reconnaissance vocale d’un texte que l’on dicte oralement peut s’avérer une source d’information fort utile à ceux qui disposent des ordinateurs de traitement.

Ces interfaces de saisie vocale ont été popularisées par l’Apple ’iPhone 4S ou l’iPad et son iOS 5.1 qui offrent avec la technologie Siri, des capacités étonnantes de saisie de textes à partir de la parole.
Nuance est certainement le premier à avoir popularisé la reconnaissance vocale avec “Dragon Naturally Speaking”, un logiciel sans égal pour la saisie automatique.

De son côté, le grand Google vient de mettre en ligne la version béta de son interface vocale (API Speech Input de HTML5). Avec cette nouvelle fonctionnalité, il suffit de parler à l’ordinateur pour qu’il interprète la reconnaissance de ce qui est dit, sous la forme de texte ou de commandes.

Si le logiciel de Nuance peut être utilisé de façon très personnelle, il n’en est rien des interfaces d’Apple ou de Google qui transmettent la voix à des serveurs de reconnaissance avant de retourner le texte reconnu.
Dès lors que la parole est exportée vers les serveurs d’interprétation, rien ne permet d’avoir la certitude que personne ne va faire usage du contenu reconnu. C’est là que la faille de sécurité est très clairement présente.

La société IBM a pris conscience du danger et vient d’interdire l’utilisation de tels interfaces vocales. Elle a notamment verrouillé l’accès à ces technologies à partir de ses serveurs empêchant ainsi à ses employés tout usage de la reconnaissance vocale.
Les D&IM seront certainement inspirés d’en faire autant tant que les technologies de reconnaissance vocales de type Cloud présenteront de tels faiblesses de sécurité.
Attention, aussi à l’avenir à ce que vous direz dans votre voiture, car Nuance vient d’annoncer “Dragon drive” pour le contrôle, la navigation et le divertissement au sein des automobiles…

Jean-Pierre BLANGER
Vice-président fi-D&IM
Directeur R&D et des Offres de Services Ricoh

Toujours plus de protection des données

 La Commission européenne s’engage de nouvelles propositions qu’elle soumet au parlement européen visant ainsi la publication et l’application de directives destinées à la protection des données privées.

La présentation de Viviane Reding, commissaire européenne à la Justice, fait apparaître de nouvelles obligations:

– L’entité nationale de chaque pays de l’union européenne, en charge de la protection des données devra être renforcée et pourra infliger des amendes jusqu’à 1 million d’euros ou 5% du CA de l’entreprise;
– Toute violation grave de données personnelles au sein d’une entreprise/organisation devra être déclarée dans les plus bref délais (< 24h);
– L’accès à ses propres données devra être facilité ainsi que la destruction de celle-ci (droit à l’oubli);
– Les règles de l’union européennes devront être appliquées par tout exploitant des données hors de l’union;

Les entreprises vont devoir nommer un responsable de la sûreté des informations qu’elles soient au format numérique ou sur papier.
Si en fonction des organisations, cette responsabilité sera confiée au CIL… au DSI au RSSI…  Certains pourront comprendre que tant l’environnement technologique et organisationnel que le risque encouru pour l’entreprise mérite que cette responsabilité puisse être portée par le D&IM.
Dans tous les cas, nos recommandations sont que le D&IM au sein de chaque organisation:
– s’inquiète rapidement de sensibiliser la Direction Générale à cette responsabilité renforcée;
– se mette en action pour que ces directives européennes puissent être appliquées au plus vite dans son entreprise/organisation. 

Jean-Pierre BLANGER
Directeur R&D et de Offres de Services Ricoh France

Données sous clé numérique

Dans cet article du nouvel Economiste, la question de la capacité des entreprises à conserver leurs documents numériques sur le long terme selon les règles de l’art est posée. Clairement la réponse apportée par les tiers archiveurs externes à l’entreprise présente aujourd’hui de meilleures garanties.

Il n’est pas fait mention de la chaîne de confiance nécessairement mise en place entre l’entreprise et le tiers archiveur pour un archivage à force probante. Pourtant, attention à ce point critique souvent négligé, qui permet aux ‘pirates’ de s’intercaler entre l’outil de capture ou de dépôt, et de subtiliser voire, de substituer des documents.

Au D&IM de se faire une idée de la complexité de l’archivage probant et de choisir la meilleure approche pour son organisation.

Jean-Pierre BLANGER
Membre Aproged et Clusif
Directeur R&D et des Offres de Services Ricoh

LA POSTE au Wine & Business Club Paris

Une soirée pour se poser la question: ‘Peut-on réellement faire confiance à l’Internet ?”
Une table ronde proposant les points de vue d’experts avisés que sont:
Nicolas Routier, Directeur Général du Courrier et Président de Sofipost, Groupe La Poste

Daniel Kaplan, Cofondateur et Délégué Général de la Fondation pour l’Internet Nouvelle Génération

Jean-Pierre Buthion, Président de la commission identités de l’Acsel

Thomas Lot, Président The Official Board

Sans faire le compte-rendu détaillé des débats, reprenons quelques propos clés des intervenants.
M. Routier nous fait part du besoin d’un espace privé sur l’internet et de sa certitude de l’existence prochaine ‘d’un continent de l’internet de confiance’. Il laisse ensuite la parole à M. Kaplan. Celui-ci insiste sur l’explosion des usages de la confiance et nous interroge: ‘Qui à un problème de confiance ? Vous !’. Il rappelle en effet que nous sommes au prise à une crise de confiance générale. Politique, Institutions, Scandales de grandes entreprises,… contribuent au quotidien à alimenter cette crise. En revanche il précise qu’entre individus, la confiance est généralement présente et que sur internet, les transactions entre entreprises et les réseaux sociaux d’individus sont le lieu de création de communautés de confiance. Il termine en signalant que l’acronyme VRM (Vendor Relationship Management) est selon son analyse la clé de ce débat. En travaillant le VRM et plus particulièrement en tentant d’accroître de quelques ‘crans de confiance’ la relation, il prédit que les organisations et les communautés gagneront en volume d’activité et de fréquentation.
Ensuite, M. Buthion nous précise que la confiance sur internet est basée sur la sécurité. D’ailleurs, l’ACSEL (Association de l’Economie Numérique) dont il est un membre actif, cherche à construire une ‘Vie numérique responsable’ en mettant en évidence les moyens à mettre en opposition au langage anxiogène qui tend en permanence à mettre en avant les problèmes de piraterie du Net. Il insiste évidemment sur la notion d’identité et insiste sur le fait que la technologie est disponible pour assurer la confiance dans un référentiel identique pour tous en termes d’eCommerce, de Collectivités locales et de relations B2B.
Enfin, M. Lot, grand praticien du Web, met en évidence le fait que l’internet est un terrain de rencontre entre inconnus avec des règles. Il rappelle que les grands succès du Web, repose en outre sur la transparence des règles et sur la modération des relations par les utilisateurs eux-mêmes.

Tous ces éclairages d’une grande clarté et d’une grande précision, sont suivis de questions qui mettent quelques autres aspects en évidence. On entend par par exemple, que la piraterie est finalement négligeable comparativement au volume d’affaires traités par ceux qui en sont les victimes. On est aussi mis face à la question de la mobilité qui impose la simplification des moyens techniques de protection qui ne doivent pas pour autant perdre en efficacité.

En résumé, une conférence très relevée et de qualité à laquelle les D&IM regretteront certainement de n’avoir pu participer.
Un éclairage cher au site du D&IM manque cependant à cette table ronde sur la confiance dans l’internet, il s’agit de celui du DLM (Digital Legal Management). En effet, la confiance a été abordée par les angles de vues de la Sécurité, de l’identité, des règles appliquées, de la communauté et de l’usage, il n’a pas été évoqué la notion du risque de celui qui fraude. Ce risque a été effleuré par l’intervention de M. Lot relatif à la modération par les utilisateurs eux-mêmes. Pourtant, il nous apparaît essentiel dans la confiance de l’internet de rappeler que le risque du pirate est le principal gage de confiance au-delà de l’empilement des sécurités et des règles de gestion des identités. Pour être bref, il est dangereux pour le faussaire partout dans le monde de faire de faux billets, n’est-ce pas ?  Il faut dont pour l’internet de confiance qu’il soit dangereux de faire de la piraterie numérique. Ce n’est pas encore le cas mais il faudra qu’il en soit ainsi pour que le ‘continent de l’internet de la confiance’ attendu prochainement par M. Routier, devienne réalité.

Jean-Pierre BLANGER
Membre Aproged
Directeur R&D Ricoh