Déjà inscrit(e) ?

Mot de passe oublié ?

Identifiant et/ou mot de passe non valides

Nous n’avons pas reconnu votre email, veuillez indiquer un email valide, utilisé lors de la création de votre compte.

Un message avec vos codes d'accès vous a été envoyé par mail.

Pas encore inscrit(e) ?

Inscrivez-vous pour accéder aux services de LaGazette.fr et à la gestion de vos Newsletters et Alertes.

M'inscrire gratuitement
Télécharger le guide utilisateur du site Se connecter Créer un compte

Mon compte Gazette

Mon profil Mes abonnements Mes Newsletters Télécharger le guide utilisateur du site Mon espace candidat Me déconnecter
Club prévention sécurité

Déjà inscrit(e) ?

Mot de passe oublié ?

Identifiant et/ou mot de passe non valides

Nous n’avons pas reconnu votre email, veuillez indiquer un email valide, utilisé lors de la création de votre compte.

Un message avec vos codes d'accès vous a été envoyé par mail.

Pas encore inscrit(e) ?

Inscrivez-vous pour accéder aux services de LaGazette.fr et à la gestion de vos Newsletters et Alertes.

M'inscrire gratuitement
Télécharger le guide utilisateur du site Se connecter Créer un compte

Mon compte Gazette

Mon profil Mes abonnements Mes Newsletters Télécharger le guide utilisateur du site Mon espace candidat Me déconnecter

icon Club prévention sécurité

Numérique

Former et sensibiliser les agents à la sécurité informatique pour réduire les risques

Publié le 20/09/2016 • Par Pierre-Alexandre Conte • dans : Actu experts prévention sécurité, Dossiers d'actualité

Computer Works. Hand on Laptop Keyboard Closeup. Computer Technologies.
Fotolia
Lorsque le sujet de la sécurité numérique est mis sur la table, les agents, qui adoptent encore trop souvent des comportements à risque, ont tendance à être exclus de l'équation. A tort, comme l'ont rappelé la plupart des intervenants du colloque organisé par la Mission Ecoter le 15 septembre, qui invitent les collectivités territoriales à former et sensibiliser leur personnel sur cette question.

Ma Gazette

Sélectionnez vos thèmes et créez votre newsletter personnalisée

Cet article fait partie du dossier

Sécurité informatique : comment se protéger ?

Les acteurs du monde de la sécurité informatique s’accordent à le dire : une grande partie des incidents sont liés à une faille humaine. Une étude de l’Université Friedrich-Alexander d’Erlangen-Nuremberg menée par le professeur Zinaida Benenson et publiée mi-août a d’ailleurs révélé que 56% des personnes cliquent sur des liens présents dans des mails envoyés par des inconnus. Et ce, même si celles-ci ont conscience du danger qu’elles encourent. La curiosité est la principale raison de cette prise de risque.

Ce test effectué auprès de 1700 étudiants, Laurent Charveriat l’a relayé au cours d’un colloque organisé le 15 septembre à Puteaux par la Mission Ecoter. Le thème de celui-ci : « Sécurité des lieux, sécurité des usagers. » Le directeur d’I-Tracing, une société notamment spécialisée dans la sécurité des systèmes d’information, souhaitait par ce biais faire comprendre aux collectivités territoriales qu’elles sont d’abord rendues vulnérables par le comportement de leurs agents.

Les agents en première ligne

Contrairement à ce que beaucoup d’entre elles pensent encore, comme l’a révélé en 2015 une étude de Primo France, les collectivités territoriales sont des cibles, à l’instar des particuliers ou des entreprises. Et elles le seront d’autant plus à l’avenir avec la place croissante prise par le numérique.

De l’atteinte à la vie privée au vol de données sensibles en passant par ...

[70% reste à lire]

Article réservé aux abonnés

Gazette des Communes, Club Prévention-Sécurité

Mot de passe oublié

VOUS N'êTES PAS ABONNé ?

Testez notre Offre Découverte Club Prévention-Sécurité pendant 30 jours

J’en profite

Cet article fait partie du Dossier

Sécurité informatique : comment se protéger ?

article précédent

14 / 18

article suivant

Sommaire du dossier

  1. Comment se prémunir contre les rançongiciels
  2. Cybersécurité : les collectivités territoriales, des cibles potentielles sous surveillance
  3. Les données personnelles d’agents du Grand Annecy diffusées cinq mois après la cyberattaque
  4. Cyberattaques : les collectivités de plus en plus transparentes
  5. Cybersécurité : quand les collectivités prennent la mesure du problème
  6. Fuite de données six mois après la cyberattaque contre la métropole d’Aix-Marseille-Provence
  7. Le responsable de la sécurité des SI, aux avant-postes de la lutte contre les cyberattaques
  8. Ces spécialistes de la cybersécurité que l’on s’arrache
  9. Quelles solutions mettre en place pour une sécurité informatique accrue ?
  10. Les failles de la smart city mises en lumière par deux ingénieurs
  11. Sécurité informatique : les collectivités peuvent mieux faire
  12. Les 10 chapitres du guide d’hygiène informatique de l’Anssi
  13. Sécurité informatique : les petites communes à la traîne
  14. Former et sensibiliser les agents à la sécurité informatique pour réduire les risques
  15. « Cloud » et souveraineté numérique : le débat fait rage
  16. Plusieurs milliers de sites Internet de communes mal sécurisés
  17. Cloud souverain : « Google et Amazon ont annoncé la création de data centers en France »
  18. Inculquer le virus de la sécurité informatique

Dossiers d'actualitéAccueil du dossier

Thèmes abordés

1 Réagir à cet article Vous avez une question ? Posez-la à notre juriste

Sur le même sujet

Prochain Webinaire

PLFSS 2022 : qu’est-ce qui change pour les collectivités ?

--
jours
--
heures
--
minutes
Je m’inscris au webinaire
marche online

Aujourd'hui sur le Club prévention-sécurité

Nos services

Prépa concours

CAP

Inspecteur de la consommation et de la répression des fraudes – janvier 2022

Catégorie ,

Préparer ce concours

Contrôleur des douanes spécialité traitement automatisé de l’information – programmeur – février 2022

Catégorie ,

Préparer ce concours

Technicien territorial – Corse, avril 2022

Catégorie ,

Préparer ce concours

Évènements

Gazette
01Sep

100% digital , live et replay

Journée d'étude numérique éducatif

Information & inscription

29Sep

Paris

JOURNÉE D'ÉTUDE TRANSITION ÉNERGÉTIQUE

Information & inscription

30Sep

Paris

INNOVA’TER – Le forum de l’innovation territoriale

Information & inscription

Formations

Gazette
25Nov

Signature électronique (1 jours)

Information & inscription

01Déc

E-LEARNING | La gouvernance d’une collectivité (30 jours)

Information & inscription

01Déc

Maîtriser les outils de la gouvernance intercommunale (1 jours)

Information & inscription

Commentaires

Former et sensibiliser les agents à la sécurité informatique pour réduire les risques

Votre e-mail ne sera pas publié

SQLpro

25/02/2021 09h26

Sans entrer dans les détails techniques, en matière de sécurité des données, l’usage des systèmes d’exploitation « libres » que sont les Linux, ou bien les bases de données « libres » que sont MySQL, MariaDB ou PostGreSQL sont de véritables passoires faciles à attaquer.

En effet, sous Linux, il est impossible de verrouiller les fichiers de données de la base contrairement à l’OS Windows. Le fait de verrouiller les fichiers empêche toute lecture, copie, ou modification de ces fichiers. Par exemple, les fichiers des bases Microsoft SQL Server sous Windows sont verrouillés par le système de bases de données et ne peuvent pas être attaqués. Ce type de verouillage est impossible sous Linux… Il est alors très facile, une fois le système Linux pénétré, de voler ou modifier les fichiers des bases de données…

De plus, MySQL, MariaDB ou PostGreSQL (systèmes de bases de données « libre ») ayant été développé avec un modèle de gestion du stockage des données qui confie à l’OS les accès aux fichiers, reproduit l’approche Linux sous Windows. Il en résulte le même problème sous Windows pour ces systèmes de bases de données.

Or que trouve t-on chez la plupart des victimes d’attaques, comme par exemple la récente attaque de l’éditeur Dedalus de solution de labo d’analyse médicale ?
– L’utilisation de Linux Debian comme OS
– Une base de données Oracle
– Des bases de données MySQL/MariaDB (pour la partie Web)
Bref toutes les passoires possibles !
En sus, le chiffrement des données dans les systèmes de bases de données que sont MySQL, MariaDB ou PostGreSQL n’est pas intégré à la base comme le font Oracle Database ou Microsoft SQL Server. Pour que le chiffrement des données fonctionne, il faut, dans MySQL, MariaDB ou PostGreSQL, à un moment donné, dans des fichiers côté serveur ou dans le
code des applications, exposer la clé de chiffrement en clair. Ce n’est pas le cas dans Oracle ou SQL Server dont les clés de chiffrement sont stockées dans la base, masqués, chiffrées, et dépendante d’une hiérarchie de chiffrement qui remonte au moteur du SGBD, ce qui interdit le déchiffrement des données chiffrées si l’on ne peut reproduire l’ensemble de l’architecture de chiffrement depuis le plus haut niveau (il faudrait voler les binaires du server et les réinstaller, chose pratiquement impossible…

Dans les bases de données que sont MySQL, MariaDB ou PostGreSQL (pg_crypto) la sécurité du chiffrement est équivalente à celle d’une voiture fermée à clé, mais dont la clé serait laissée sur une des serrures de portière ! Bref, dans ces SGBDR, le chiffrement n’est que cosmétique et non réfléchis.

Dans toutes les récentes attaques, dans les hôpitaux, comme pour cet éditeur de solutions de laboratoires Dedalus on retrouve ces mêmes logiciels passoire ! Et il en est souvent de même chez les collectivités locales, friandes de PostGreSQL notamment pour des raisons de stockage de données spatiales (PostGIS)…

Ajoutons à cela que le code source du logiciel libre étant disponible, il en plus facile d’en trouver les failles que celui dans celui des grands éditeurs qui ne le rende pas public.

Enfin, de récentes études ont montré que dans le libre, le nombre de bugs et de vulnérabilité était souvent beaucoup plus important que dans les systèmes de bases de données commerciaux, et la correction bien moins rapide…

Ceux qui ont prôné le logiciel libre sans en mesurer les conséquences ont une grave responsabilité dans ces affaires !

Répondre
Commenter
club-prevention-securite

Club Prévention sécurité :Contenus et services dédiés aux professionnels de la prévention sécurité

Offre d’abonnement 1 accès : Abonnez-vous et accédez à l’intégralité des contenus et services

Je m'abonne

Offre multi accès sur mesure : Abonnez plusieurs personnes de votre service et profitez de tarifs dégressifs

Je m'abonne
Une marque du groupe Infopro Digital
Tout savoir sur la Gazette Contacts Mentions légales RGPD Paramétrage Cookie Licence numérique multi-utilisateurs
Club prévention sécurité
Partager

Déjà inscrit(e) ?

Mot de passe oublié ?

Identifiant et/ou mot de passe non valides

Nous n’avons pas reconnu votre email, veuillez indiquer un email valide, utilisé lors de la création de votre compte.

Un message avec vos codes d'accès vous a été envoyé par mail.

Pas encore inscrit(e) ?

Inscrivez-vous pour accéder aux services de LaGazette.fr et à la gestion de vos Newsletters et Alertes.

M'inscrire gratuitement
Télécharger le guide utilisateur du site Se connecter Créer un compte

Mon compte Gazette

Mon profil Mes abonnements Mes Newsletters Télécharger le guide utilisateur du site Mon espace candidat Me déconnecter