Déjà inscrit(e) ?

Mot de passe oublié ?

Identifiant et/ou mot de passe non valides

Nous n’avons pas reconnu votre email, veuillez indiquer un email valide, utilisé lors de la création de votre compte.

Un message avec vos codes d'accès vous a été envoyé par mail.

Pas encore inscrit(e) ?

Inscrivez-vous pour accéder aux services de LaGazette.fr et à la gestion de vos Newsletters et Alertes.

M'inscrire gratuitement
Télécharger le guide utilisateur du site Se connecter Créer un compte

Mon compte Gazette

Mon profil Mes abonnements Mes Newsletters Télécharger le guide utilisateur du site Mon espace candidat Me déconnecter
Club prévention sécurité

Déjà inscrit(e) ?

Mot de passe oublié ?

Identifiant et/ou mot de passe non valides

Nous n’avons pas reconnu votre email, veuillez indiquer un email valide, utilisé lors de la création de votre compte.

Un message avec vos codes d'accès vous a été envoyé par mail.

Pas encore inscrit(e) ?

Inscrivez-vous pour accéder aux services de LaGazette.fr et à la gestion de vos Newsletters et Alertes.

M'inscrire gratuitement
Télécharger le guide utilisateur du site Se connecter Créer un compte

Mon compte Gazette

Mon profil Mes abonnements Mes Newsletters Télécharger le guide utilisateur du site Mon espace candidat Me déconnecter

icon Club prévention sécurité

Numérique

Former et sensibiliser les agents à la sécurité informatique pour réduire les risques

Publié le 20/09/2016 • Par Pierre-Alexandre Conte • dans : Actu experts prévention sécurité, Dossiers d'actualité

Computer Works. Hand on Laptop Keyboard Closeup. Computer Technologies.
Fotolia
Lorsque le sujet de la sécurité numérique est mis sur la table, les agents, qui adoptent encore trop souvent des comportements à risque, ont tendance à être exclus de l'équation. A tort, comme l'ont rappelé la plupart des intervenants du colloque organisé par la Mission Ecoter le 15 septembre, qui invitent les collectivités territoriales à former et sensibiliser leur personnel sur cette question.

Ma Gazette

Sélectionnez vos thèmes et créez votre newsletter personnalisée

Cet article fait partie du dossier

La cybersécurité, l'affaire de tous

Les acteurs du monde de la sécurité informatique s’accordent à le dire : une grande partie des incidents sont liés à une faille humaine. Une étude de l’Université Friedrich-Alexander d’Erlangen-Nuremberg menée par le professeur Zinaida Benenson et publiée mi-août a d’ailleurs révélé que 56% des personnes cliquent sur des liens présents dans des mails envoyés par des inconnus. Et ce, même si celles-ci ont conscience du danger qu’elles encourent. La curiosité est la principale raison de cette prise de risque.

Ce test effectué auprès de 1700 étudiants, Laurent Charveriat l’a relayé au cours d’un colloque organisé le 15 septembre à Puteaux par la Mission Ecoter. Le thème de celui-ci : « Sécurité des lieux, sécurité des usagers. » Le directeur d’I-Tracing, une société notamment spécialisée dans la sécurité des systèmes d’information, souhaitait par ce biais faire comprendre aux collectivités territoriales qu’elles sont d’abord rendues vulnérables par le comportement de leurs agents.

Les agents en première ligne

Contrairement à ce que beaucoup d’entre elles pensent encore, comme l’a révélé en 2015 une étude de Primo France, les collectivités territoriales sont des cibles, à l’instar des particuliers ou des entreprises. Et elles le seront d’autant plus à l’avenir avec la place croissante prise par le numérique.

De l’atteinte à la vie privée au vol de données sensibles en passant par ...

[70% reste à lire]

Article réservé aux abonnés

Gazette des Communes, Club Prévention-Sécurité

Mot de passe oublié

VOUS N'êTES PAS ABONNé ?

Testez notre Offre Découverte Club Prévention-Sécurité pendant 30 jours

J’en profite

Cet article fait partie du Dossier

La cybersécurité, l'affaire de tous

article précédent

20 / 24

article suivant

Sommaire du dossier

  1. La cybersécurité, l’affaire de tous
  2. Comment le CIG grande couronne a traversé la crise d’une cyberattaque
  3. Comment se prémunir contre les rançongiciels
  4. Formation des élus à la cybersécurité, pas de temps à perdre
  5. Cybersécurité : les centres de réponse se déploient, sous la houlette des régions
  6. Cybersécurité : les collectivités territoriales, des cibles potentielles sous surveillance
  7. « Il est important de ne pas réduire la cybersécurité à des questions techniques »
  8. Cybercriminalité : « Nous ne voulons plus qu’un élu nous dise qu’il ne savait pas »
  9. Les données personnelles d’agents du Grand Annecy diffusées cinq mois après la cyberattaque
  10. Cyberattaques : les collectivités de plus en plus transparentes
  11. Cybersécurité : quand les collectivités prennent la mesure du problème
  12. Fuite de données six mois après la cyberattaque contre la métropole d’Aix-Marseille-Provence
  13. Le responsable de la sécurité des SI, aux avant-postes de la lutte contre les cyberattaques
  14. Ces spécialistes de la cybersécurité que l’on s’arrache
  15. Quelles solutions mettre en place pour une sécurité informatique accrue ?
  16. Les failles de la smart city mises en lumière par deux ingénieurs
  17. Sécurité informatique : les collectivités peuvent mieux faire
  18. Les 10 chapitres du guide d’hygiène informatique de l’Anssi
  19. Sécurité informatique : les petites communes à la traîne
  20. Former et sensibiliser les agents à la sécurité informatique pour réduire les risques
  21. « Cloud » et souveraineté numérique : le débat fait rage
  22. Plusieurs milliers de sites Internet de communes mal sécurisés
  23. Cloud souverain : « Google et Amazon ont annoncé la création de data centers en France »
  24. Inculquer le virus de la sécurité informatique

Dossiers d'actualitéAccueil du dossier

Thèmes abordés

Indicateurs Sécurité

Accédez à vos indicateurs Sécurité pour analyser votre territoire et vous comparer.
1 Réagir à cet article Vous avez une question ? Posez-la à notre juriste

Sur le même sujet

marche online

Aujourd'hui sur le Club prévention-sécurité

Nos services

Prépa concours

CAP

Contrôleur principal des finances publiques – septembre 2022

Catégorie ,

Préparer ce concours

Directeur des services de la protection judiciaire de la jeunesse – septembre 2022

Catégorie ,

Préparer ce concours

Infirmier de l’Etat – septembre 2022

Catégorie ,

Préparer ce concours

Évènements

Gazette
23Nov

Paris

Les Prix Territoriaux - 23e édition

Information & inscription

06Déc

100% digital , live et replay

CLUB FINANCES – RENCONTRE D’ACTUALITE

Information & inscription

08Déc

Grenoble

7e TROPHÉES DE LA PARTICIPATION ET DE LA CONCERTATION

Information & inscription

Formations

Gazette
17Jan

RGPD : protection des données (1 jours)

Information & inscription

24Jan

Communes nouvelles et fusion des communes (1 jours)

Information & inscription

26Jan

CYCLE LOI ASAP : les impacts sur les règles de la commande publique et de l’urbanisme (1 jours)

Information & inscription

Commentaires

Former et sensibiliser les agents à la sécurité informatique pour réduire les risques

Votre e-mail ne sera pas publié

SQLpro

25/02/2021 09h26

Sans entrer dans les détails techniques, en matière de sécurité des données, l’usage des systèmes d’exploitation « libres » que sont les Linux, ou bien les bases de données « libres » que sont MySQL, MariaDB ou PostGreSQL sont de véritables passoires faciles à attaquer.

En effet, sous Linux, il est impossible de verrouiller les fichiers de données de la base contrairement à l’OS Windows. Le fait de verrouiller les fichiers empêche toute lecture, copie, ou modification de ces fichiers. Par exemple, les fichiers des bases Microsoft SQL Server sous Windows sont verrouillés par le système de bases de données et ne peuvent pas être attaqués. Ce type de verouillage est impossible sous Linux… Il est alors très facile, une fois le système Linux pénétré, de voler ou modifier les fichiers des bases de données…

De plus, MySQL, MariaDB ou PostGreSQL (systèmes de bases de données « libre ») ayant été développé avec un modèle de gestion du stockage des données qui confie à l’OS les accès aux fichiers, reproduit l’approche Linux sous Windows. Il en résulte le même problème sous Windows pour ces systèmes de bases de données.

Or que trouve t-on chez la plupart des victimes d’attaques, comme par exemple la récente attaque de l’éditeur Dedalus de solution de labo d’analyse médicale ?
– L’utilisation de Linux Debian comme OS
– Une base de données Oracle
– Des bases de données MySQL/MariaDB (pour la partie Web)
Bref toutes les passoires possibles !
En sus, le chiffrement des données dans les systèmes de bases de données que sont MySQL, MariaDB ou PostGreSQL n’est pas intégré à la base comme le font Oracle Database ou Microsoft SQL Server. Pour que le chiffrement des données fonctionne, il faut, dans MySQL, MariaDB ou PostGreSQL, à un moment donné, dans des fichiers côté serveur ou dans le
code des applications, exposer la clé de chiffrement en clair. Ce n’est pas le cas dans Oracle ou SQL Server dont les clés de chiffrement sont stockées dans la base, masqués, chiffrées, et dépendante d’une hiérarchie de chiffrement qui remonte au moteur du SGBD, ce qui interdit le déchiffrement des données chiffrées si l’on ne peut reproduire l’ensemble de l’architecture de chiffrement depuis le plus haut niveau (il faudrait voler les binaires du server et les réinstaller, chose pratiquement impossible…

Dans les bases de données que sont MySQL, MariaDB ou PostGreSQL (pg_crypto) la sécurité du chiffrement est équivalente à celle d’une voiture fermée à clé, mais dont la clé serait laissée sur une des serrures de portière ! Bref, dans ces SGBDR, le chiffrement n’est que cosmétique et non réfléchis.

Dans toutes les récentes attaques, dans les hôpitaux, comme pour cet éditeur de solutions de laboratoires Dedalus on retrouve ces mêmes logiciels passoire ! Et il en est souvent de même chez les collectivités locales, friandes de PostGreSQL notamment pour des raisons de stockage de données spatiales (PostGIS)…

Ajoutons à cela que le code source du logiciel libre étant disponible, il en plus facile d’en trouver les failles que celui dans celui des grands éditeurs qui ne le rende pas public.

Enfin, de récentes études ont montré que dans le libre, le nombre de bugs et de vulnérabilité était souvent beaucoup plus important que dans les systèmes de bases de données commerciaux, et la correction bien moins rapide…

Ceux qui ont prôné le logiciel libre sans en mesurer les conséquences ont une grave responsabilité dans ces affaires !

Répondre
Commenter
club-prevention-securite

Club Prévention sécurité :Contenus et services dédiés aux professionnels de la prévention sécurité

Offre d’abonnement 1 accès : Abonnez-vous et accédez à l’intégralité des contenus et services

Je m'abonne

Offre multi accès sur mesure : Abonnez plusieurs personnes de votre service et profitez de tarifs dégressifs

Je m'abonne
Une marque du groupe Infopro Digital
Tout savoir sur la Gazette Contacts Mentions légales RGPD Paramétrage Cookie Licence numérique multi-utilisateurs
Club prévention sécurité
Partager

Déjà inscrit(e) ?

Mot de passe oublié ?

Identifiant et/ou mot de passe non valides

Nous n’avons pas reconnu votre email, veuillez indiquer un email valide, utilisé lors de la création de votre compte.

Un message avec vos codes d'accès vous a été envoyé par mail.

Pas encore inscrit(e) ?

Inscrivez-vous pour accéder aux services de LaGazette.fr et à la gestion de vos Newsletters et Alertes.

M'inscrire gratuitement
Télécharger le guide utilisateur du site Se connecter Créer un compte

Mon compte Gazette

Mon profil Mes abonnements Mes Newsletters Télécharger le guide utilisateur du site Mon espace candidat Me déconnecter