Dans cette partie, nous allons voir comment traiter des contenus interdits, la confidentialité des utilisateurs, les problématiques de licences ainsi que des concepts de politiques d’entreprise.
Réponse aux incidents :
Commençons avec les réponses aux incidents….
Dans votre métier de Technicien IT, il est possible que vous soyez témoins d’activités exploitant des contenus interdits dans l’entreprise…
Prenons par exemple le cas d’utilisateurs se livrant à des activités interdites.
La mesure dans laquelle cet événement peut causer des dommages à votre entreprise dépendra en partie de la vitesse de votre réponse à l’incident.
En effet, une politique d'entreprise structurée de réponse aux incidents augmente considérablement les chances de minimiser les dommages.
Voyons comment structurer les réponses à ces incidents…
Elle comporte trois éléments cruciaux :
- Identification du problème ;
- Signalement aux personnes appropriées ;
- Préservation des preuves.
Identification du problème :
Commençons par l’identification du problème…
L’identification du problème consiste à identifier quelles politiques d'entreprise ou lois interdisent telle action.
Les activités interdites entrent généralement dans les catégories suivantes :
- Harcèlement des personnes (moral, sexuel, violence, etc.) ;
- Promotion du harcèlement ;
- Promotion des activités illégales ou non autorisées ;
- Promotion du racisme, de la haine, du sectarisme… ;
- Violation des droits à la vie privée, des droits d’auteur…. ;
- Virus ou malware ou tout autres contenus interdits
- Sollicitation d’informations personnelles auprès de toute personne de moins de 18 ans
Cette liste peut être différente d’une entreprise à l’autre.
Signaler aux personnes appropriées :
Maintenant que vous avez identifié le problème, voyons comment le signaler.
Si la violation ne relève que des politiques d’entreprise, le service de GRH de l’entreprise est généralement le service approprié auquel s’adresser.
S’il s’agit de la violation d’une loi, vous devez contacter les autorités judiciaires, en informant également les ressources internes appropriées.
En bref, signalez toujours aux parties appropriées, comme indiqué par vos politiques de sécurité organisationnelle.
Persévération des preuves :
Vous ne devez pas seulement vous contenter de signaler le problème, vous devez pareillement protéger les preuves.
Dans les cas où il existe des preuves d’acte criminel ou d’espionnage industriel, la préservation des données est d’une importance primordiale.
Cela peut nécessiter la réquisition de tout appareil, d’un lecteur flash à un serveur réseau.
Et ce, jusqu’à ce qu’une personne en position d’autorité vous dégage de la responsabilité.
Documentation :
Passons maintenant à la documentation….
Une documentation complète est votre allié.
Pendant tout le processus, vous devez documenter toutes les étapes que vous suivez pour identifier, détecter et signaler le problème.
Vous pouvez écrire les informations sur un morceau de papier ou prendre des photos sur le moment….
Ces informations sont précieuses et seront utilisées si le problème devait être porté au tribunal.
Chaîne de traçabilité :
Passons désormais à un autre concept, la chaîne de traçabilité….
C’est un concept important à garder à l’esprit lorsque l’on travaille en réponse d’incidents.
En effet, lorsque vous commencez à collecter des preuves, vous devez garder une trace de ces preuves à tout moment.
Les preuves doivent toujours être sous votre garde, et vous devez être capable de constater si elles ont été falsifiées.
Vous devez donc remplir complètement le formulaire de documentation, car toute erreur ou lacune rendra la preuve irrecevable.
Signez pour tout ce que vous prenez en possession et obtenez les signatures de ceux à qui vous ont transféré la propriété.
C’est très important parce que toute lacune dans ce processus peut être interprétée comme de la corruption.
Licenses / DRM / CLUF :
Passons cette fois-ci aux Licences DRM et CLUF des logiciels….
Une licence de logiciel est, en effet, un document juridique régissant l’utilisation ou la redistribution du logiciel.
Les licences logicielles que nous allons voir aujourd’hui sont :
- Gestion des droits numériques (DRM) ;
- Contrats de licence utilisateur final (CLUF) ;
- Licences open source vs licences commerciales ;
- Licence personnelle vs licences d’entreprise.
Gestion des droits numériques (GDN) :
Nous allons commencer avec la Gestion des droits numériques (GDN)…
La gestion des droits numériques est une technologie de contrôle d’accès permettant de restreindre l’utilisation de matériel propriétaire.
Les technologies GDN contrôlent l’utilisation, la modification et la distribution des œuvres protégées par le droit d’auteur ….
Un exemple de GDN est la limitation du nombre de systèmes pouvant utiliser une application en même temps, pour Microsoft Office 365 par exemple.
Contrats de Licence Utilisateur Final (CLUF) :
Passons cette fois-ci aux Contrats de licence utilisateur final (CLUF)….
Un accord de licence d’utilisateur final est un contrat juridique conclu entre un vendeur de logiciels et l’utilisateur du logiciel…
Un CLUF précise en détail les droits et restrictions qui s’appliquent à l’utilisation du logiciel.
Licenses open-source vs commerciales :
Voyons maintenant la différence entre les licences open source et commerciales.
Un logiciel open source est un type de logiciel informatique dans lequel le code source est publié sous une licence.
En effet, l’auteur accorde les droits d’utilisation, d’étude, de modification et de distribution du logiciel à quiconque et à toutes fins, y compris parfois à la vente.
Le système d’exploitation Linux est un exemple de logiciel open source disponible dans une variété de distributions système.
Par contre, un logiciel commercial est un logiciel informatique qui est produit pour la vente ou qui sert à des fins commerciales….
Microsoft Windows, Apple MacOS et Adobe Creative Cloud sont des exemples de logiciels commerciaux.
Licenses personnelles vs d'entreprise :
Et enfin voyons maintenant les termes Licences personnelles et d’entreprise…
Une licence personnelle est une option pour les particuliers qui achètent une licence de logiciel uniquement pour leur propre usage.
Essentiellement, ces licences limitent l’utilisation du logiciel à un ou à un très petit nombre d’ordinateurs dans le même foyer.
Par contre…
Une licence d’entreprise autorise l’utilisation illimitée du produit dans toute l’entreprise, bien que certaines limitations et restrictions puissent s’appliquer.
Elle permet ainsi d’éliminer le besoin d’enregistrer un logiciel à chaque fois qu’il est installé sur un nouvel appareil…
Réglementation des données :
Passons cette fois-ci à un autre point …. Les règlementations des données
Certains types de données nécessitent une attention particulière, car elles ont réglementé.
Cela signifie donc que leur manipulation appropriée est spécifiée par une réglementation.
Nous allons voir les 4 types de données réglementées et qui doivent être protégées par les administrateurs réseau :
Commençons par les Données Personnelles d’Identification (DPI)…
En anglais, Personally Identifiable Information (PII)
Les informations personnellement identifiables sont toutes les informations relatives à une personne identifiable.
Par exemple : nom, adresse, numéro de permis de conduire, numéro de Sécurité sociale, etc.
Il est donc important de protéger ces informations personnelles possédées par votre entreprise.
Passons à la norme de paiement par Carte, PCI (Payment Card Industry)…
L’industrie des cartes de paiement (PCI) a défini ces normes pour protéger les informations de carte de crédit pendant la transmission.
Et c’est dans le but de protéger les clients des fraudes !
Voyons maintenant la norme RGPD….
La RGPD est le règlement général sur la protection des données mis en œuvre par l’Union européenne (UE).
Cette norme contrôle la collecte, le partage et le stockage des informations personnelles.
Et enfin, passons maintenant à la protection des informations de santé…
La PHI (Protected Health Information) est une loi américaine concernant toutes les informations sur l’état de santé d’une personne.
Ces informations sont protégées par le gouvernement via la Health Insurance Portability and Accountability Act (HIPAA) qui impose des sanctions strictes en cas de violation de la sécurité.
Les hôpitaux, cabinets médicaux, personnel médical et autres entités doivent se conformer aux réglementations HIPAA.
Les politiques et les pratiques de sécurité :
Passons maintenant au dernier point… les politiques d’entreprise et pratiques de sécurité
Chaque entreprise doit, en effet, avoir une politique de sécurité qui régit toutes les activités liées à la sécurité.
Cette politique de sécurité est un document que chaque utilisateur doit signer lors de son embauche et sert de contrat détaillé entre l’utilisateur et l’entreprise.
Politiques d'entreprise
Lire plus sur CompTIA A+