Le spécialiste européen de la formation certifiante en informatique et management pour les entreprises

Happy new year, Big Brother is watching you...

 

En ce tout début d'année 2012, pour laquelle l'ensemble de l'équipe EGILIA vous présente ses meilleurs voeux, force est de constater que de nombreuses études attirent notre attention sur divers problèmes de sécurité.
C'est pourquoi nous avons choisi de vous en indiquer l'une des plus complètes, émanant de la CNIL.

Nous vous en souhaitons bonne lecture...

Smartphone : nouveau big brother ? (Etude de la CNIL)

Quelles données personnelles stockent les utilisateurs de smartphones (photos, contacts, coordonnées bancaires, codes secrets, informations médicales) ? Ont-ils conscience de la sensibilité de ces données ? Comment les protègent-ils? Pour répondre à ces questions, la CNIL a demandé à Médiamétrie de réaliser une enquête en ligne auprès de 2 315 utilisateurs de smartphones.

A la lumière de ces résultats, la CNIL propose dix bonnes pratiques qui constituent ce que l'on appelle l'hygiène numérique :

1/ Ne désactivez pas le code PIN et changez celui proposé par défaut. Choisissez un code compliqué. Pas votre date de naissance !

2/ Mettez en place un délai de verrouillage automatique du téléphone. En plus du code PIN, il permet de rendre inactif (verrouiller) le téléphone au bout d'un certain temps. Cela empêche la consultation des informations contenues dans le téléphone en cas de perte ou de vol.

3/ Activez si possible le chiffrement des sauvegardes du téléphone. Pour cela, utilisez les réglages de la plate-forme avec laquelle vous connectez le téléphone. Cette manipulation garantira que personne ne sera en mesure d'utiliser vos données sans le mot de passe que vous avez défini.

4/ Installez un antivirus quand cela est possible.

5/ Notez le numéro "IMEI" du téléphone pour le bloquer en cas de perte ou de vol.

6/ Ne téléchargez pas d'application de sources inconnues. Privilégiez les plateformes officielles.

7/ Vérifiez à quelles données contenues dans votre smartphone l'application que vous installez va avoir accès.

8/ Lisez les conditions d'utilisation d'un service avant de l'installer. Les avis des autres utilisateurs peuvent également être utiles !

9/ Réglez les paramètres au sein du téléphone ou dans les applications de géolocalisation (Twitter, Foursquare, Plyce...) afin de toujours contrôler quand et par qui vous voulez être géolocalisé.

10/ Désactivez le GPS ou le Wi-Fi quand vous ne vous servez plus d'une application de géolocalisation.

On compte quelque 17 millions de smartphones et les fêtes de fin d’année ont certainement augmenté ce nombre. S’ils apportent de nombreuses fonctionnalités, ils constituent aussi un véritable danger si certaines précautions ne sont pas prises par leurs utilisateurs. 

Parmi les principaux résultats de cette enquête, on peut mentionner :

1/ Le smartphone, un terminal universel qui s'adapte aux usages de chacun

- Chaque tranche d'âge a son activité de prédilection : pour les 15-17 ans la connexion avec leur réseau et les loisirs (30%), pour les 25-49 ans la dimension multitâche ( 30%)  et pour les 50 ans et plus la communication (35%).

- 22 % des utilisateurs stockent des photos sur leur smartphone et pourtant pensent que c'est gênant de le faire.

- La moitié des équipés smartphones sont intéressés par la possibilité de pouvoir stocker ses cartes de fidélité sur mobile (51%) ou des données médicales (46%), surtout chez les 50 ans et plus (54%). Ils sont donc demandeurs de nouveaux usages (confort ou urgence) qui sont très consommateurs de données personnelles.
Un compagnon de chaque instant

- 7 personnes sur 10 n'éteignent jamais leur smartphone…

- … et plus d'1/4 l'éteignent seulement pour dormir !

2/ Des informations personnelles stockées en masse…

- 89% stockent des données de contact ou des coordonnées, 86% des données multimédias (photos/vidéos 75%, agenda 52%, notes 41%...)

- 40% des possesseurs de smartphone stockent des données à caractère secret (coordonnées bancaires 7%, codes secrets 17%, codes d'accès aux immeubles 17%, informations médicales 3%…).

- De manière générale, les possesseurs de smartphones limitent le stockage de données qu'ils jugent sensibles, telles que coordonnées bancaires, codes, fichiers confidentiels. En revanche, les photos, vidéos ou coordonnées des proches font l'objet de moins de précautions.

3/… mais insuffisamment protégées

- 65% pensent que les données contenues dans leur téléphone ne sont pas bien protégées.

- Mais 30% déclarent n'avoir aucun code de protection actif sur leur téléphone.

- 64% ne voient pas l'intérêt ou pensent qu'il n'est pas possible d'installer un antivirus sur son smartphone (20% des équipés Android en ont déjà installé un).
Une utilisation des données personnelles qui manque de transparence

- 51% pensent que les données d'un téléphone mobile ne sont pas enregistrées ni transmises sans leur accord.

- 46% que les informations de localisation via le téléphone mobile ne sont pas transmises sans leur accord.

- Près d'1 personne sur 2 vérifie au moment de télécharger une application, les données auxquelles elle a accès…mais 71% ne lisent pas ou rarement les conditions d'utilisation.

4/ Zoom sur la géolocalisation

- 55% des équipés smartphones ont déjà utilisé un service de géolocalisation. Surtout pour les aspects pratiques du service : trafic routier, plans, itinéraires, localisation de services.

- 97% des utilisateurs de services de géolocalisation jugent important de savoir comment leurs données de géolocalisation sont utilisées.

- Et 65% des parents équipés d'un smartphone souhaiteraient géolocaliser leurs enfants.

5/ Les 15-17 ans, un exemple à suivre ?

- 82% des 15-17 ans considèrent qu'il est gênant d'enregistrer ses codes secrets (contre 76% en moyenne).

- 37% des 15-17 ans utilisent un code de verrouillage spécifique (contre 31% en moyenne).

- 30% ont différencié l'accès  aux informations qu'ils publient sur les réseaux sociaux selon le type d'amis (contre 19% en moyenne).

66 % des clés USB perdues contiennent des programmes malveillants

Alors que l’Union Européenne envisage de sanctionner les entreprises en cas de perte de données, Sophos incite à une utilisation prudente des clés USB, suite aux résultats d’une étude dédiée.

Pour mener cette expérience, le bureau australien de Sophos a acheté un lot de clés USB égarées, lors d’une vente aux enchères organisée par RailCorp, la principale société de transport de Sydney.

Les deux tiers des 50 clés USB analysées contenaient des programmes malveillants ainsi que des informations appartenant à leurs précédents détenteurs, leurs familles, amis et collègues. Les fichiers présents sur les clés non protégées comprenaient des documents fiscaux, des devoirs scolaires et universitaires, des albums photo de famille et amis, ainsi que des logiciels et des codes source Web.

Fait inquiétant, aucun utilisateur n’a utilisé le chiffrement pour sécuriser ses fichiers contre les espions.

Selon Michel Lanaspèze, Directeur Marketing et Communication de Sophos Europe de l’Ouest, « Non seulement les utilisateurs perdent leurs clés USB, mais ils ne savent même pas qu’ils transportent des programmes malveillants dans leur poche. Ils encourent le risque de perdre leur identité et leurs informations personnelles suite à une mauvaise gestion de la sécurité. Même si nous avons mené cette étude à Sydney en Australie, une histoire similaire peut tout à fait se produire dans les métros de Paris, Londres ou de New York. Les gens doivent prendre conscience des menaces et appliquer les mesures préventives appropriées. »

Sophos recommande aux utilisateurs de chiffrer toutes leurs données personnelles et professionnelles avant de les stocker sur des clés USB, de sorte que personne ne puisse y accéder en cas de perte. En outre, en exécutant un antivirus à jour, même si vous possédez un Mac (certaines clés USB de l’étude ont été égarées par des utilisateurs de Mac, mais contenaient néanmoins des programmes malveillants PC), vous pouvez éviter la diffusion des virus et vous protéger lors d’utilisations partagées de clés USB.

N'oublions pas que la protection des données à caractère personnel est un enjeu relevant de la responsabilité sociétale des entreprises...

A l’heure du numérique, les informations personnelles des salariés sont toutes informatisées et comprennent autant des données qui entrent dans des processus de traitement administratif (l'âge, l’adresse ou le numéro de sécurité sociale) que d'autres qui peuvent toucher à la vie privée des utilisateurs (historique de navigation internet, des appels téléphoniques, voire la géo localisation ou la vidéo surveillance).

Si la loi Informatique et Libertés a pour but de protéger ces données, cela implique pour les entreprises un certain nombre de contraintes et de formalités à remplir, comme des demandes d'autorisation préalable (pour l'emploi de technologies jugées plus intrusives comme la biométrie par exemple) pour s'assurer d'une conformité totale.

Mais la sécurité des données et des traitements va au-delà d'une simple démarche de conformité légale. Bernard Lombardo, Manager Business Consulting chez NorthgateArinso en France, précise que « les entreprises ne respectent que la partie émergée de l’iceberg de cette loi » pour plusieurs raisons : d’une part, elles en ignorent les enjeux étendus, d’autre part, certains dispositifs répondent déjà à des obligations de conformité au droit du travail[1] et à des obligations de déclaration préfectorale (vidéo surveillance), et enfin, il existe actuellement peu de contrôles pour vérifier la conformité de ces dispositifs.

Or la CNIL, garante du respect de la loi dans l’entreprise, incite les employeurs à enrichir le dialogue social par des démarches d'information des salariés, de concert avec les syndicats ou le Comité d'entreprise, pour établir notamment des chartes d'utilisation des TIC. Certaines prévoient des dispositifs tels que le blocage d’accès à certains sites Internet, la traçabilité des échanges téléphoniques ou encore le filtrage des courriers numériques.

Ces processus de conformité qui garantissent l’adéquation à cette législation, et visent à réduire les risques de contentieux impliquent, entre autres, de :

• Déclarer les fichiers et les traitements de données personnelles, s’assurer de leur sécurité et de leur confidentialité

• Informer les salariés des dispositifs de sécurité/surveillance mis en œuvre, de la traçabilité des activités

• Responsabiliser les collaborateurs, notamment dans les fonctions RH/SIRH et l’encadrement (évaluation), face aux enjeux de la protection des données personnelles dans l’exercice de leur métier

• Rationaliser le fonctionnement interne et les coûts liés aux traitements de l’information visée par la loi

Certes, les risques encourus en cas de non-respect de cette loi pour une entreprise sont « constitutifs de délits sanctionnés par les tribunaux correctionnels de peines d’amende (300 000 €) et d’emprisonnement (5 ans), dont les jugements sont publiables depuis 2004 » précise Me Baslé, avocat spécialiste en droit des nouvelles technologies. Mais les contrôles sont rares, rendant l’occurrence du risque légal faible, d’autant plus que sa criticité est également relativement faible.

De fait, le véritable risque se mesure à la hauteur du préjudice porté à l'image et à la réputation de l'entreprise en cas de poursuite, plus que dans la stricte non-conformité au légal.

Répondre aux exigences de la loi Informatique et Libertés peut constituer désormais un gage de qualité pour l’entreprise, un pas supplémentaire vers la RSE, permettant ainsi de valoriser son image de marque auprès de ses clients, de ses collaborateurs, ses partenaires sociaux voire même ses fournisseurs.

En s’appuyant sur une analyse systémique détaillée de la couverture applicative et des processus métiers de l’entreprise, NorthgateArinso se propose d’accompagner les entreprises dans la gestion et l’amélioration de leur processus de conformité et de les conseiller dans la sécurisation des traitements et des données :

• Déclaration des traitements et des fichiers

• Protection et devoir de confidentialité des collaborateurs Ressources Humaines, des administrateurs réseaux et autres personnels ayant potentiellement accès à ces données

• Sécurité des données, rationalisation des rôles et profils utilisateurs du Système d’Information

• Exercice du droit d’accès et de rectification de leurs données personnelles par les salariés, durées légales de conservation

• Accompagnement des relations sociales pour l’obtention d’un avis consultatif et motivé des Instances Représentatives du Personnel

• Sensibilisation des salariés et de l'encadrement à la nécessité de sécurité et de vigilance

• Rédaction d’une charte d’utilisation du Système d’Information et des Technologies de l’Information et de la Communication

• Désignation d’un correspondant informatique et liberté : Assurer la sécurité des données personnelles ou plus généralement la conformité à la loi Informatique et Libertés peut être une étape vers une démarche de RSE, et en outre faciliter le dialogue social sur certains aspects.

[1] Comme la consultation des IRP (Instances Représentatives du Personnel) pour l'intégration et le déploiement des SI (Systèmes d'information) et des TIC (Technologies de l'information et de la communication).

EGILIA a obtenu
4.9 / 5 sur
11 avis avec Avis-vérifiés.com

EGILIA https://www.egilia.com/images/egilia-v3/home/logo-egilia.png 22 rue du General Foy, 75008 PARIS +33 800 800 900 De 295€ à 15455€