1/1 Milipol Paris 2015

Découvrez la nouvelle plaquette du salon de la sécurité intérieure des États, Milipol Paris.

Lire la suite »

A la une

SDMAG [fr]

L’authentification forte dans les collectivités, une obligation légale - 30/06/2015 00:00

Par Thierry Bettini, Ilex International et Hervé Fortin, Département de l’Aisne

L’authentification forte garantit sécurité et traçabilité des accès au système d’information et permet aux collectivités d’être conformes aux législations en vigueur.

La mise en place d’une solution d’authentification forte au sein d'une collectivité est, dans une grande majorité des cas, perçue comme une problématique technique par la DSI, qui cantonne trop souvent ce type de projet au simple remplacement du login/mdp devenu obsolète. Dans un contexte de restriction budgétaire au sein des collectivités, la DSI peine alors à justifier un tel projet, jugé trop coûteux et relégué au second plan des priorités.

Cependant, au-delà de sa dimension technique, la mise en place d’une solution d’authentification forte garantit sécurité et traçabilité des accès au système d’information. Ceci permet ainsi aux collectivités d’être conformes aux législations en vigueur et, notamment, aux obligations de protection des données à caractère personnel encadrées par la CNIL.

La responsabilité judiciaire du RSSI/DSI directement engagée

Nombreuses sont les collectivités qui valident la déclaration informatique et libertés sans maîtriser totalement les obligations qui en découlent. En effet, la loi informatique et libertés du 6 janvier 1978 (modifiée en août 2004) définit les principes à respecter lors de la collecte, du traitement et de la conservation des informations relatives à des personnes physiques. Le champ d’applications de cette loi est très large et concerne la majorité des traitements ou fichiers mis en œuvre par les collectivités locales pour gérer leurs nombreux services : état civil, listes électorales, inscriptions scolaires, action sociale et autres services à la population, etc.

« La création et le traitement de données personnelles (numéro d'identifiant, nom, adresse, numéro de téléphone...) sont soumis à des obligations destinées à protéger les libertés individuelles et la vie privée des personnes fichées », indique Thierry Bettini directeur commercial d’Ilex International. Celles-ci varient selon la nature du fichier et la finalité des informations recueillies : déclaration normale ou simplifiée ou demande d'autorisation. Il existe aussi des obligations de sécurité, de confidentialité et d'information.

Certaines données sont particulièrement sensibles selon les domaines et doivent faire l’objet d’autorisations spécifiques auprès de la CNIL. C’est le cas notamment des informations traitées dans le domaine social, où la confidentialité est essentielle, comme par exemple le traitement de signalement « enfance en danger ». Seules les personnes habilitées doivent avoir accès à certaines informations.

Avec la transformation digitale, les collectivités locales gèrent de plus en plus de données personnelles mais en réalité, combien d’entre elles savent dire aujourd’hui avec exactitude qui a accès à quoi ?

Les contrôles réalisés par la CNIL montrent que de nombreuses collectivités ne respectent pas certaines règles de base de la loi informatique et libertés. Dans la majorité des cas, ces manquements résultent d’une méconnaissance de la loi ou de négligences, mais les infractions n’en restent pas moins réelles. « Les décideurs et responsables locaux doivent en prendre conscience car ils sont directement visés en cas de non-respect des dispositions de la loi : leur responsabilité juridique peut être engagée. Ils peuvent même, dans certains cas, être pénalement sanctionnés (peine de cinq ans d’emprisonnement et 300 000 € d’amende) », souligne Hervé Fortin, RSSI et CIL du Département de l’Aisne.

L’authentification forte, une garantie de conformité avec le cadre réglementaire régi par la CNIL

Pour faire face à ces contraintes réglementaires renforcées, la maîtrise et la sécurité des accès logiques doivent rester la priorité des collectivités.

« Renforcer les mécanismes d'authentification et les règles de contrôle d’accès logiques aux applications du SI permet d'éviter toute faille/fraude », explique Thierry Bettini. Ainsi, il est primordial de proposer plusieurs mécanismes d’authentification, à n facteurs (‘ce que je sais’, ‘ce que j’ai’, ‘ce que je suis’), en fonction des usages des agents (par exemple certains peuvent utiliser des cartes à puces, d’autres des clés USB, etc.), et du niveau de criticité des applications accédées. Certaines solutions packagées sont déjà proposées par les intégrateurs et éditeurs de logiciels qui permettent de répondre à ces problématiques efficacement.

Une fois l’agent authentifié, il est possible de contrôler les droits d’accès selon des critères divers et variés tels qu’un niveau d’authentification primaire (n facteurs), un créneau horaire, un profil utilisateur récupéré dans l’annuaire d’entreprise, etc.

Et de préciser que « les authentifications, autorisations et délégations des agents doivent impérativement être tracées afin de garantir la bonne conformité avec les législations en vigueur et répondre aux exigences d’audit ».

Le RSSI/DSI d’une collectivité locale doit homogénéiser et renforcer l’authentification sur les applications dont il contrôle et trace les accès. Il pourra se dégager ainsi de toute sanction juridique relative à la confidentialité des données traitées au sein de la collectivité.

« Quelles que soient leurs tailles, toutes les collectivités sont concernées » conclut Hervé Fortin. En revanche, toutes ne mesurent pas les engagements qu’elles prennent en se déclarant conformes, ni les risques encourus en cas de contrôle de la CNIL. Une vraie prise de conscience des obligations légales est nécessaire, comme c’est le cas dans d’autres secteurs (ex : secteur bancaire) afin de faire de la gestion des accès une véritable priorité.

Cyber attack : Les données de 4 millions d’employés fédéraux U.S. piratées - 30/06/2015 00:00

Par Quentin Dagbert – France USA Media

Le gouvernement américain a annoncé début juin avoir détecté le piratage informatique des données personnelles de quatre millions d’employés fédéraux qui, selon le Washington Post et le New York Times, aurait été perpétré par des hackers Chinois.

La nouvelle cellule américaine contre les cyber-menaces va avoir du pain sur la planche. Début juin, le gouvernement des Etats-Unis a révélé que les données informatiques de 4 millions d’employés fédéraux ont été piratées. Selon des hauts responsables interrogés par le Washington Post et le New York Times, des hackers chinois seraient responsables.

Cette “cyber-intrusion” a été détectée en avril dernier par l’Office of Personnel Management (OPM), qui gère les effectifs du gouvernement. Des données personnelles comme le numéro de sécurité sociale et les évaluations annuelles des employés ont été compromises.

Dans un communiqué, l’OPM a proposé de dédommager les victimes à hauteur d’un million de dollars en cas “de fraude et de vol d’identité”. On ne sait pas encore si des informations classées “secret défense” ont été exposées.

LH Aviation développe ses drones professionnels avec Diginext - 29/06/2015 00:00

Dans le cadre du développement de sa gamme de drones professionnels, LH Aviation et la société DIGINEXT mettent en place un partenariat stratégique.

La société DIGINEXT est fournisseur de Systèmes Opérationnels, de Systèmes de Simulation destinés à la conception et au test, ainsi que de Solutions pour l’apprentissage, la formation et l’entraînement.

DIGINEXT a développé la solution innovante CRIMSON de centre de commandement pour le maintien de la sécurité et la gestion de crise.

Les deux entreprises ont décidé de travailler ensemble afin de proposer à leurs clients une solution unique 100% française, totalement intégrée de drones interfacés avec un système d’informations collaboratif d’aide à la décision des différents niveaux de commandements des organisations impliquées dans les opérations de maintien de sécurité et de gestion de crise. Outre une utilisation opérationnelle, le système permet de faire de l’entrainement et de la préparation de mission.

Signe de la pertinence de l’offre de LH Aviation, LH Aviation a signé la vente d’un 1er drone de surveillance civile à la police des Emirats Arabes Unis (EAU) au Salon du Bourget. La machine sera livrée pour fin Juillet. Equipée d’une boule optronique, elle est destinée à effectuer des missions de surveillance de zones urbaines et de sites sensibles, et peut s’interfacer avec un système opérationnel d’aide à la décision.

Genetec dévoile sa plateforme de sécurité unifiée Security Center 5.3 - 26/06/2015 00:00

La toute dernière version intègre des mises à jour importantes des modules d’enquête, de contrôle d’accès, d’archivage et d’utilisation des ressources matérielles.

GenetecMC, fabricant de solutions unifiées en sécurité IP, dévoile Security Center 5.3, la toute dernière version de son système de sécurité ouvert comprenant une foule de nouvelles fonctions de gestion de vidéo sur IP, de contrôle d’accès et de reconnaissance de plaques d’immatriculation (RAPI). Elle propose notamment des outils d’enquête de sécurité simplifiés favorisant la collaboration et l’échange d’informations entre opérateurs et organisations publiques et privées, de même que des fonctions assurant une utilisation optimale des ressources matérielles existantes afin d’aider les sociétés à sécuriser leurs employés et leurs actifs. Security Center 5.3 sera disponible courant du 2e trimestre 2015 pour les revendeurs Genetec et les utilisateurs finaux.

Avec l’adoption croissante des caméras mégapixels et l’avènement des appareils 4K, Security Center 5.3 permet d’améliorer grandement les performances systèmes en matière de gestion de flux vidéo en haute définition. Le décodage vidéo accéléré au moyen de ressources matérielles permet à Security Center 5.3 de tirer parti des cartes graphiques et des processeurs graphiques intégrés pour décoder la vidéo et réduire la charge de traitement de l’unité centrale. Grâce aux cartes graphiques de série abordables, les organisations sont en mesure d’ajouter des caméras haute définition à leur système tout en réduisant les coûts liés à l’acquisition de nouveaux postes de travail. Les opérateurs pourront visionner en haute résolution les images captées par un nombre accru de caméras, à une fréquence d’image supérieure, tout en profitant d’une plus grande fluidité de lecture vidéo.

Security Center 5.3 améliore en outre les capacités d’enquête et d’exportation vidéo afin de simplifier le partage de pièces à conviction avec les enquêteurs et les forces de l’ordre. Grâce à la nouvelle fonction d’enregistrement d’incidents, les opérateurs seront en mesure d’enregistrer facilement des séquences vidéo captées par plusieurs caméras afin de documenter les incidents du début à la fin et d’en tirer une vidéo unique à l’intention d’autres enquêteurs. Les incidents ainsi exportés peuvent être visionnés dans le lecteur vidéo amélioré de Genetec, ce qui élimine le besoin de recourir à une application client complète, tout en assurant l’authenticité des vidéos filigranées.

Dans un souci constant d’offrir la plus grande flexibilité possible dans la gestion des archives vidéo, Security Center 5.3 propose une nouvelle fonction de transfert d’archives qui permettra aux organisations de gérer de façon dynamique l’archiveur où sont stockés les enregistrements vidéo, d’optimiser l’utilisation du matériel et de réduire les coûts de stockage. Le prolongement de la période de rétention des vidéos et le transfert d’archives redondantes vers le nuage sont rendus possibles grâce au tout nouveau service d’archivage en nuage de Genetec. Les clients sont ainsi en mesure d’augmenter facilement leurs capacités de stockage, sans devoir acquérir de nouveaux serveurs physiques.

En matière de contrôle d’accès physique, Security Center 5.3 offrira une gamme de nouvelles fonctions destinées à accroître la capacité de surveillance des organisations dans la sécurisation des accès à leurs installations. Les améliorations comprennent :

- De nouvelles règles de type « premier arrivé » assurant un contrôle détaillé des points d’accès lorsque le personnel de surveillance n’est pas sur place ;

- Des règles de type « deux personnes » rendant obligatoire la présence de multiples détenteurs de carte pour accéder à des salles hautement sécurisées ;

- Un mode d’accompagnement des visiteurs obligeant ces derniers à être accompagnés d’un membre du personnel pendant leurs déplacements à l’intérieur des installations.

Security Center 5.3 prendra en charge les formats de carte personnalisés à 256 bits afin de permettre aux organisations d’exploiter au maximum la technologie de cartes intelligentes grâce à des formats avancés et hautement sécurisés.

La fonction FederationMC de Genetec intégrée à Security Center a été déployée dans de nombreuses organisations dans le but d’assurer un contrôle centralisé de sites indépendants munis de systèmes de vidéosurveillance, de contrôle d’accès et de détection des intrusions. La prise en charge par Security Center 5.3 des systèmes de RAPI AutoVu à l’intérieur d’un environnement fédéré permet d’étendre ces capacités et de partager les entités et les données relatives à la reconnaissance de plaques d’immatriculation entre des sites indépendants. La fonction de RAPI Federation facilitera en outre le partage de données entre agences publiques et privées, tout en laissant aux organisations participantes un droit de regard complet sur l’information qu’elles désirent transmettre et en conservant toutes les données relatives aux plaques d’immatriculation dans leur système personnel.

Installation du Conseil pour les drones civils - 25/06/2015 00:00

Avec l’appui de la Direction générale des entreprises (DGE), le Conseil pour les drones civils devient une instance de choix pour structurer la filière.

La première réunion plénière du Conseil pour les drones civils s’est tenue le 4 juin 2015 sous la présidence de Patrick Gandil, directeur général de l’aviation civile. Cette réunion a été l’occasion de faire un point d’avancement des travaux engagés dans le cadre de la première phase de la Nouvelle France industrielle avec l’ensemble des acteurs de la filière française : fédération professionnelle des drones civils, groupement des industries françaises de l’aéronautique et du spatial, groupes aéronautiques, grands gestionnaires de réseaux, coopératives agricoles, monde académique, pôles de compétitivité et administrations concernées.

La communauté française du drone civil a adopté à cette occasion un plan d’actions articulé autour de trois thématiques. Tout d'abord, la réglementation et les usages pour définir collectivement les évolutions réglementaires nécessaires au développement raisonné de l’usage des drones. Ensuite les technologies et la sécurité pour élaborer une feuille de route permettant d’identifier les technologies les plus prometteuses et de coordonner les efforts de recherche pour les développer. Enfin, le soutien et la promotion de la filière pour faciliter le développement des acteurs de la filière. Dans chacun de ces domaines, il s'agit, par une approche pragmatique, de coordonner les efforts de chacun pour accompagner la multiplication des usages professionnels des drones civils et le développement d'une offre française de technologies et de services innovants.

Avec l’appui de la Direction générale des entreprises (DGE), le Conseil pour les drones civils veillera à l’articulation de son plan d’actions avec les solutions ''Transports de demain'', ''Objets intelligents'' et ''Confiance numérique'' de la seconde phase de la Nouvelle France industrielle, en particulier s’agissant des projets technologiques issus de sa feuille de route technologique. La France compte aujourd'hui plus d'un millier d'acteurs dans le domaine des drones civils. L'activité associée à cette filière naissante représente d'ores et déjà plusieurs centaine de millions d'euros par an. Le développement rapide de cette filière est le fruit de la conjonction en France d'une réglementation équilibrée, d'un tissu de PME particulièrement innovant, d'une longue tradition aéronautique et d'utilisateurs visionnaires dans la sécurité, la sûreté, l'agriculture et la gestion des réseaux.

« L'implication de tous les acteurs dans le Conseil pour les drones civils est un élément puissant de structuration de la filière et devrait permettre à la France de conserver une longueur d'avance », estime Stéphane Morelli, président de la Fédération professionnelle du drone civil.

Le salon Milipol est organisé sous l’égide du ministère français de l’Intérieur.

Découvrez tous
nos partenaires