Déjà inscrit(e) ?

Mot de passe oublié ?

Identifiant et/ou mot de passe non valides

Nous n’avons pas reconnu votre email, veuillez indiquer un email valide, utilisé lors de la création de votre compte.

Un message avec vos codes d'accès vous a été envoyé par mail.

Pas encore inscrit(e) ?

Inscrivez-vous pour accéder aux services de LaGazette.fr et à la gestion de vos Newsletters et Alertes.

M'inscrire gratuitement
Club prévention sécurité

Déjà inscrit(e) ?

Mot de passe oublié ?

Identifiant et/ou mot de passe non valides

Nous n’avons pas reconnu votre email, veuillez indiquer un email valide, utilisé lors de la création de votre compte.

Un message avec vos codes d'accès vous a été envoyé par mail.

Pas encore inscrit(e) ?

Inscrivez-vous pour accéder aux services de LaGazette.fr et à la gestion de vos Newsletters et Alertes.

M'inscrire gratuitement

icon Club prévention sécurité

Numérique

Former et sensibiliser les agents à la sécurité informatique pour réduire les risques

Publié le 20/09/2016 • Par Pierre-Alexandre Conte • dans : Actu experts prévention sécurité, Dossiers d'actualité

Computer Works. Hand on Laptop Keyboard Closeup. Computer Technologies.
Fotolia
Lorsque le sujet de la sécurité numérique est mis sur la table, les agents, qui adoptent encore trop souvent des comportements à risque, ont tendance à être exclus de l'équation. A tort, comme l'ont rappelé la plupart des intervenants du colloque organisé par la Mission Ecoter le 15 septembre, qui invitent les collectivités territoriales à former et sensibiliser leur personnel sur cette question.

Ma Gazette

Sélectionnez vos thèmes et créez votre newsletter personnalisée

Cet article fait partie du dossier

Sécurité informatique : comment se protéger ?

Les acteurs du monde de la sécurité informatique s’accordent à le dire : une grande partie des incidents sont liés à une faille humaine. Une étude de l’Université Friedrich-Alexander d’Erlangen-Nuremberg menée par le professeur Zinaida Benenson et publiée mi-août a d’ailleurs révélé que 56% des personnes cliquent sur des liens présents dans des mails envoyés par des inconnus. Et ce, même si celles-ci ont conscience du danger qu’elles encourent. La curiosité est la principale raison de cette prise de risque.

Ce test effectué auprès de 1700 étudiants, Laurent Charveriat l’a relayé au cours d’un colloque organisé le 15 septembre à Puteaux par la Mission Ecoter. Le thème de celui-ci : « Sécurité des lieux, sécurité des usagers. » Le directeur d’I-Tracing, une société notamment spécialisée dans la sécurité des systèmes d’information, souhaitait par ce biais faire comprendre aux collectivités territoriales qu’elles sont d’abord rendues vulnérables par le comportement de leurs agents.

Les agents en première ligne

Contrairement à ce que beaucoup d’entre elles pensent encore, comme l’a révélé en 2015 une étude de Primo France, les collectivités territoriales sont des cibles, à l’instar des particuliers ou des entreprises. Et elles le seront d’autant plus à l’avenir avec la place croissante prise par le numérique.

De l’atteinte à la vie privée au vol de données sensibles en passant par ...

[70% reste à lire]

Article réservé aux abonnés

Gazette des Communes, Club Prévention-Sécurité

Mot de passe oublié

VOUS N'êTES PAS ABONNé ?

Testez notre Offre Découverte Club Prévention-Sécurité pendant 30 jours

J’en profite

Cet article fait partie du Dossier

Sécurité informatique : comment se protéger ?

1 Réagir à cet article Vous avez une question ? Posez-la à notre juriste
Prochain Webinaire

PLFSS 2022 : qu’est-ce qui change pour les collectivités ?

--
jours
--
heures
--
minutes
marche online

Aujourd'hui sur le Club prévention-sécurité

Nos services

Prépa concours

CAP

Évènements

Gazette

Formations

Gazette

Commentaires

Former et sensibiliser les agents à la sécurité informatique pour réduire les risques

Votre e-mail ne sera pas publié

SQLpro

25/02/2021 09h26

Sans entrer dans les détails techniques, en matière de sécurité des données, l’usage des systèmes d’exploitation « libres » que sont les Linux, ou bien les bases de données « libres » que sont MySQL, MariaDB ou PostGreSQL sont de véritables passoires faciles à attaquer.

En effet, sous Linux, il est impossible de verrouiller les fichiers de données de la base contrairement à l’OS Windows. Le fait de verrouiller les fichiers empêche toute lecture, copie, ou modification de ces fichiers. Par exemple, les fichiers des bases Microsoft SQL Server sous Windows sont verrouillés par le système de bases de données et ne peuvent pas être attaqués. Ce type de verouillage est impossible sous Linux… Il est alors très facile, une fois le système Linux pénétré, de voler ou modifier les fichiers des bases de données…

De plus, MySQL, MariaDB ou PostGreSQL (systèmes de bases de données « libre ») ayant été développé avec un modèle de gestion du stockage des données qui confie à l’OS les accès aux fichiers, reproduit l’approche Linux sous Windows. Il en résulte le même problème sous Windows pour ces systèmes de bases de données.

Or que trouve t-on chez la plupart des victimes d’attaques, comme par exemple la récente attaque de l’éditeur Dedalus de solution de labo d’analyse médicale ?
– L’utilisation de Linux Debian comme OS
– Une base de données Oracle
– Des bases de données MySQL/MariaDB (pour la partie Web)
Bref toutes les passoires possibles !
En sus, le chiffrement des données dans les systèmes de bases de données que sont MySQL, MariaDB ou PostGreSQL n’est pas intégré à la base comme le font Oracle Database ou Microsoft SQL Server. Pour que le chiffrement des données fonctionne, il faut, dans MySQL, MariaDB ou PostGreSQL, à un moment donné, dans des fichiers côté serveur ou dans le
code des applications, exposer la clé de chiffrement en clair. Ce n’est pas le cas dans Oracle ou SQL Server dont les clés de chiffrement sont stockées dans la base, masqués, chiffrées, et dépendante d’une hiérarchie de chiffrement qui remonte au moteur du SGBD, ce qui interdit le déchiffrement des données chiffrées si l’on ne peut reproduire l’ensemble de l’architecture de chiffrement depuis le plus haut niveau (il faudrait voler les binaires du server et les réinstaller, chose pratiquement impossible…

Dans les bases de données que sont MySQL, MariaDB ou PostGreSQL (pg_crypto) la sécurité du chiffrement est équivalente à celle d’une voiture fermée à clé, mais dont la clé serait laissée sur une des serrures de portière ! Bref, dans ces SGBDR, le chiffrement n’est que cosmétique et non réfléchis.

Dans toutes les récentes attaques, dans les hôpitaux, comme pour cet éditeur de solutions de laboratoires Dedalus on retrouve ces mêmes logiciels passoire ! Et il en est souvent de même chez les collectivités locales, friandes de PostGreSQL notamment pour des raisons de stockage de données spatiales (PostGIS)…

Ajoutons à cela que le code source du logiciel libre étant disponible, il en plus facile d’en trouver les failles que celui dans celui des grands éditeurs qui ne le rende pas public.

Enfin, de récentes études ont montré que dans le libre, le nombre de bugs et de vulnérabilité était souvent beaucoup plus important que dans les systèmes de bases de données commerciaux, et la correction bien moins rapide…

Ceux qui ont prôné le logiciel libre sans en mesurer les conséquences ont une grave responsabilité dans ces affaires !

Commenter
Club prévention sécurité

Déjà inscrit(e) ?

Mot de passe oublié ?

Identifiant et/ou mot de passe non valides

Nous n’avons pas reconnu votre email, veuillez indiquer un email valide, utilisé lors de la création de votre compte.

Un message avec vos codes d'accès vous a été envoyé par mail.

Pas encore inscrit(e) ?

Inscrivez-vous pour accéder aux services de LaGazette.fr et à la gestion de vos Newsletters et Alertes.

M'inscrire gratuitement