Parad’IT : L’Algorithme de Google ou comment prévoir la fuite des cerveaux de son entreprise !

28 juin 2009

Travaillez-vous chez Google ? Avez-vous l’intention de quitter votre emploi ? Peu importe Google le découvrira ! Et ce, grâce à son algorithme.

En effet, selon le Washington post, la petite start-up devenue grande, a mis au point un algorithme conçu pour son service de ressources humaines lui permettant de détecter les employés susceptibles de quitter l’entreprise. Cette idée lui est venue suite au départ de plusieurs de ses cadres importants, partis travailler pour la concurrence. Ces derniers trouvant l’importance du numéro un des moteurs de recherche telle, « qu’y travailler est devenu moins excitant », dans la mesure où ils n’ont plus d’impact sur les décisions de l’entreprise.

L’algorithme, se basant sur la base de données des employés, prend en compte l’historique des promotions et salaires obtenus par les salariés. Après avoir passé au crible ses 20 000 salariés, la firme pourra prédire le degré de satisfaction de ses derniers et ainsi tenter de conserver ses meilleurs ingénieurs. Ils n’ont pas encore communiqué sur la manière dont ils les fidéliseraient.

L’utilisation d’un tel algorithme dans ce sens permettrait d’éviter les problèmes de sécurité causés par les employés. C’est-à-dire qu’en anticipant leur comportement, quitter la société par exemple, on pourrait éviter qu’il n’y ait une fuite des données, un acte de concurrence déloyale, le vol de portefeuille client, de matériel stratégique, mais aussi conserver le savoir faire.

Beaucoup d’entreprises pourraient bientôt faire appel à la méthode de modélisation appliquée aux salariés. Certaines utilisent le courrier électronique comme paramètre d’évaluation de leurs employés… les moins performants feront l’objet de la prochaine vague de licenciement…

Encore un débat sur la sécurité des entreprises et la protection de la vie privée. Qu’en pensez-vous ?

Publicités

Parad’IE cite le texte! HADOPI

22 juin 2009

Art. L. 33125 :

(…) la commission peut envoyer à l’abonné, sous son timbre et pour son compte, par la voie électronique et par l’intermédiaire [d’un FAI]une recommandation lui rappelant les prescriptions de l’article L. 3363, lui enjoignant de respecter cette obligation et l’avertissant des sanctions encourues en cas de renouvellement du manquement.

« En cas de renouvellement, dans un délai de six mois (…), la commission peut assortir l’envoi d’une nouvelle recommandation, par la voie électronique, d’une lettre remise contre signature ou de tout autre moyen propre à établir la preuve de la date d’envoi de cette recommandation et celle sa réception par l’abonné.

« Art. L. 33126.

En cas de manquements répétés à l’obligation définie à l’article L. 3363, la commission peut ordonner la suspension de l’accès au service pour une durée d’un an assortie de l’impossibilité, pour l’abonné, de souscrire pendant la même période un autre contrat.

« Art. L. 33133.

La Haute Autorité établit, sous sa responsabilité, un répertoire national des personnes dont l’accès à un service de communication au public en ligne a été suspendu

Voici quelques extraits de la loi HADOPI, devenu inefficace suite à la décision du Conseil Constitutionnel du 10/06/08. (La décision)

Du point de vue de certains particuliers, cette décision est apparue comme un soulagement mais que dire des entreprises. Parad’IE a souhaité vous présenter les raisons pour lesquelles le Conseil Constitutionnel a censuré certaines dispositions et surtout mettre en évidence les difficultés techniques qui auraient été engendrées par une telle loi !

I) Les dispositions juridiquement inconciliables

Qu’en l’état actuel des moyens de communication et eu égard au développement généralisé des services de communication au public en ligne ainsi qu’à l’importance prise par ces services pour la participation à la vie démocratique et l’expression des idées et des opinions, ce droit implique la liberté d’accéder à ces services.

Que le législateur ne pouvait, quelles que soient les garanties encadrant le prononcé des sanctions, confier de tels pouvoirs à une autorité administrative dans le but de protéger les droits des titulaires du droit d’auteur et de droits voisins

En reprenant, les principes de l’amendement 138/46 dit Bono, du nom du célèbre… eurodéputé, le conseil constitutionnel confirme la position du droit européen : l’accès à Internet est un droit fondamental, dont l’accès ne peut être interdit que suite à une sanction judiciaire suite à une procédure contradictoire. Or, la Haute Autorité est administrative ! La décision du conseil constitutionnel confirme cet amendement et le fait entrer directement dans la hiérarchie des normes françaises. Il s’impose donc désormais. Le gouvernement ne se décourage pas et va faire une proposition prochainement pour que le juge s’occupe de la suspension du droit d’accès. En attendant, la Haute Autorité dispose d’un simple pouvoir d’avertissement !!

La justice française repose sur un principe clair : toute personne est innocente tant qu’il n’y a pas de preuve de sa culpabilité. Où est donc la présomption d’innocence, lorsque la charge de la preuve contraire incombe à l’utilisateur incriminé ?! Or, on sait très bien qu’il est impossible de pirater une adresse IP… Oups ! (qu’ils font valoir, en outre, que les conditions de cette répression institueraient une présomption de culpabilité et porteraient une atteinte caractérisée aux droits de la défense)

L’enrichissement sans cause. Un internaute qui paie un service alors qu’il n’en bénéficie plus voilà un bon moyen pour les fournisseurs de continuer à gagner leur vie et ce au dépend d’un « délinquant » qui peut en plus être innocent. Et pourquoi ne pas imaginer des FAI qui fourniraient de nouveau un accès à un internaute condamné (et fiché) pour profiter de paiements ultérieurs en cas de récidive !

II)  Les contraintes et innovations technologiques empêchant une application juste de la loi !

Comment expliquer que les autorités rencontrent des difficultés majeures dans la répression des fraudes sur Internet (cybercriminalité, pédophilie, fraudes bancaires, spams,….) si ce n’est que certains ont d’ores et déjà les moyens d’avoir une adresse IP anonyme. Déjà que la remontée des réseaux était difficile, HADOPI aurait surement encouragé le développement de systèmes permettant d’évoluer caché sur le net.

Les novices seront plus injustement sanctionnés car, pour les internautes chevronnés :

HADOPI : c’est la création d’un nouveau marché. Celui des sites vendant un abonnement à une adresse anonyme. Le Pirate Day suédois s’est terminé par l’élection des pirates au parlement européen alors pensions nous sincèrement pouvoir échapper longtemps à ce commerce. IPODAH a vu le jour proposant de tel service !!!

Un site frauduleux est plus facilement détectable. Combien d’entre-nous ont téléchargés un logiciel en pensant son accès gratuit et fiable et se sont retrouvés contaminé par un virus ensuite ?!!!

Un internaute télécharge, et sa communication est coupée. Désolé pour ses proches utilisateurs de la même connexion. Mais imaginez maintenant, que cet internaute appartient à une entreprise, employant plusieurs milliers de personnes et que notre « pirate inconscient » télécharge à plusieurs reprises musiques et film de son lieu de travail. On va couper 10 – 100 – 1000 …. Connections. Dans le cas où la Haute Autorité profite de sa prérogative pour sanctionner, ou non par une coupure de l’accès. On peut imaginer que tous les téléchargements auront désormais lieu dans des lieux publics ou dans des entreprises !

J’attendais de voir cela ! Heureusement que le Conseil constitutionnel a fait preuve de sagesse. En même temps cela aurait pu être drôle, notamment dans certains ministères !!!

HADOPI proposait de mettre en place des systèmes de filtrage. Or, aujourd’hui, on constate régulièrement que les entreprises ne mettent pas à jour leurs logiciels anti-virus. Difficile de croire que toutes auront les moyens, le temps et l’initiative de mettre en place ce type de filtrage.

Le CIGREF et le CLUSIF, contacté par 01net, n’ont d’ailleurs pas chiffré le montant de ces investissements tant que la loi n’était pas validée. Au moins ils n’ont pas perdu leur temps !

De plus, quand on sait les problèmes de compatibilité entre les systèmes d’exploitations et certains de nos logiciels, il est peu probable que le logiciel de filtrage soit effectif sur toutes nos machines. Ce sera donc à nous de trouver le bon logiciel de filtrage ou de changer de système d’exploitation.

III) Conclusion

Grâce aux sages, la seule prérogative détenue aujourd’hui par la Haute Autorité est : de vous avertir que vous avez téléchargé du contenu illégalement. Et ???

En attendant, les téléchargeurs compulsifs seront ravis de cette décision. Parad’IE se doit de rappeler que le téléchargement de contenu, notamment sur les sites P2P est un des moyens le plus sur d’attraper un virus.

Et pour vous cette censure, bonne ou mauvaise  nouvelle?


Parad’IT : Le Cloud Computing, révolution ou menace pour les entreprises ?

21 juin 2009

Le Cloud Computing, littéralement « l’informatique dans les nuages » est un procédé de stockage et de calcul en ligne. Il s’agit plus précisément de l’utilisation de la mémoire et des capacités de calcul d’ordinateurs et de serveurs répartis dans le monde, liés à par un réseau (Internet). Ce qui permet aux utilisateurs du nuage d’augmenter considérablement leur puissance informatique et de décentraliser leurs données, à l’instar de la virtualisation. Les données et les applications des entreprises ne sont plus sur le serveur local mais dans plusieurs serveurs distants interconnectés, d’où le concept de « nuage ». Cela fonctionne sous forme d’externalisation. Plusieurs prestataires proposent déjà leurs services dans le domaine, tel qu’Amazone et son outil S3 (Simply Storage Service), ou encore Google 101…

Quels sont les avantages d’un tel procédé ?

  • Il permet aux entreprises de ne plus avoir leur propre serveur
  • Les entreprises disposent d’une puissance de calcul et de stockage à la demande
  • Economie : réduction des coûts par la délocalisation des contenus

Cependant, beaucoup de RSSI s’accordent pour dire que le cloud computing présente de réels risques et peut constituer une menace pour la sécurité des entreprises. Quels sont ces risques ? Etant un pendant de la virtualisation, le cloud computing présent les mêmes dangers, auxquels s’ajoutent d’autres facteurs risques :

  • Sécurisation de données de l’entreprise
  • Problème de la confidentialité des données
  • Pertes du suivi des données
  • Protection du réseau : aucune vue pour l’entreprise des menaces de malwares ou tentatives d’intrusion, puisque tout cela sera géré par le fournisseur de cloud computing
  • Panne de serveur
  • Problème juridique dépassant les frontières françaises

Alors concept révolutionnaire ou vulnérabilité possible pour les entreprises ? Attendons les premiers retours d’expérience…


Parad’UE : La Commission Européenne et la sécurité des entreprises

17 juin 2009

Depuis le Conseil Européen de Stockholm en 2001, la Commission Européenne s’évertue à essayer de rendre internet plus sûr pour les particuliers et les entreprises. Ce qui est passé par des recommandations, des forums et textes sur la cybercriminalité, puis la création de l’ENISA que nous avons vu le mois dernier.

Le premier fer de la Commission dans ce domaine fut la lutte contre le Spam. En juillet 2002, l’UE adopte la directive 2002/58/CE relative à la vie privée dans les communications électroniques qui interdit l’envoi de toutes communications commerciales non sollicitées à des personnes physiques sur le territoire de l’Union européenne. Avec les mêmes mots d’ordre : sensibilisation, coopération et communication.

Aujourd’hui où en sommes nous ? Viviane Redding, la Commissaire européenne en charge de la Société de l’information et médias veut poursuivre les investissements en matière de lutte contre le Spam, le piratage des ordinateurs, et les virus, malgré la crise. C’est ainsi que le 30 mars 2009, la Critical information Infrastructure Protection (CIIP), plan de travail de coopération international et inter-acteurs, a été mis en place pour réfléchir à des moyens de protéger la société de l’information tout en garantissant le respect de la vie privée. Aussi, voulant protéger les particuliers, la Commission a lancé un guide en ligne sur les droits numériques « eYouGuide ».

Concernant les entreprises, après avoir constaté que seulement 5 à 13% des dépenses technologiques étaient liées à la sécurité, la Commission se remet à nouveau en cause concernant la problématique et, table sur le dialogue et la communication (encore !!!) afin de faire prendre conscience aux entreprises du danger. La mission de l’ENISA se voit donc renforcée : essayer de dégager les meilleures pratiques en termes de politique de sécurité et étudier la mise en place d’un système de partage d’informations et d’alerte commun. La suite ?

Et pourquoi pas le « eBusinessGuide » pour les entreprises ?


Le mois de Parad’IE

16 juin 2009

Les chiffres du mois :

Une étude sur NetPme.fr :

  • 80 % des ces menaces proviendraient de l’intérieur du réseau de l’entreprise
  • 25% utilisent le P2P durant leurs heures de travail,
  • 17 % se servent de sites de téléchargement de logiciels gratuits au bureau,
  • 46 % des salariés avouent un comportement à risque sur Internet, en visitant des sites pornographiques ou des réseaux sociaux aussi populaires que MySpace et Facebook. (l’étude étant réalisée sur une base déclarative, il est envisageable que le taux réel soit plus élevé)
  • 6 % des PME empêchent le raccordement de périphériques USB et iPod,
  • 22 % bloquent le lancement des applications P2P,
  • 30 % interdisent les pièces jointes aux messages instantanés
  • 31 % bloquent l’accès aux sites de « phishing »

Les autres chiffres du mois :

  • Pour 67% des personnes interrogées (300 personnes chargées d’audit dans des entreprises et associations de taille et dans des lieux variés), le budget est la principale limite à la mise en place de systèmes de sécurité efficaces contre la cybercriminalité.

50% des responsables de la sécurité informatique estiment que les entreprises sont insuffisamment protégées contre les « malwares ».

  • 160 000 étudiants de l’université américaine de Berkeley ont été victime de vols de données personnelles par des pirates informatiques. Les faits qui ont eu lieu le 9 Avril ont été révélé récemment. Une enquête du FBI est en cours.
  • 35% des responsables informatiques ont admis fouiner dans les affaires de leurs collègues et 74% ont reconnu avoir accès à des informations ne relevant pas de leurs responsabilités. (Etude Cyber Ark)

Le mois de Parad’IE

16 juin 2009

Les liens du mois :

Un article de ZoneBourse qui aborde la problématique croissante de la sécurité d’information. L’article est assez court et il prend le temps d’aborder les thématiques suivantes :

  • Des ressources jugées insuffisantes pour la sécurité des SI des entreprises
  • La gestion des sites internet infectés.
  • Les applications accessibles depuis Internet, des zones sensibles de l’infrastructure informatique.
  • La crise et la cybercriminalité
  • Les extraits de l’étude Websense, reprise par Global Security Mag, sur les pratiques du Web2.0 en entreprise et les dangers en termes de sécurité.
  • La rencontre entre Zataz et Hacker Croll, le pirate de Twitter. Intéressant !

Le mois de parad’IE

16 juin 2009

Ils ont fait la une des médias, des blogs et de nos flux le mois dernier et méritaient une attention particulière !

Les attaques informatiques et la prévention contre les fuites de données au cœur du mois

  • Quand Zataz met en avant les manques de sécurité des données :
  • 500 000 dossiers en accès libre via le site du TESE (Titre emploi service) en a fait les frais. Après avoir été alerté par un lecteur et validé que les informations confidentielles étaient facilement accessibles, Zataz a prévenu les responsables du site emploitpe.fr, qui après bien des difficultés a été fermée.
  • Virgin Mobile a également été mis en cause. Une simple modification d’Url permettait d’accéder aux données personnelles des abonnées.
  • La mise en garde de Trend Micro sur l’augmentation des failles durant l’été. Les pirates s’adaptent aux saisons et aux occasions, et profitent de la baisse de vigilance liée à la baisse de vigilance.
  • Une étude de Deloitte indique que les entreprises ont bel et bien diminué leur budget consacré à la sécurité informatique. Au-delà des risques auxquels elles s’exposent, le cabinet de conseil craint que les entreprises ne cumulent un grand retard vis-à-vis des nouvelles technologies.
  • Une responsabilisation plus forte des entreprises et des dirigeants lors des fuites de données a été abordée dans le cadre d’une étude menée par Websense auprès d’une centaine de professionnels de la sécurité. (Etude à lire sur le site Zataz)
  • Christian Engström est un suédois de 49ans. Qui est ce ? Un député européen, qui vient de gagner les élections. Sa particularité ? Il dirige un parti politique pro-pirate, qui prône plus de liberté sur la toile. Il a été élu par un suédois sur 4, et siègera donc prochainement à Strasbourg. Vous pouvez lire la profession de foi du parti ici.

Dans le reste de l’actualité :

  • L’association Transparency International confirme la méfiance des citoyens face à la corruption des administrations et des entreprises publiques. Mais elle précise également un accroissement de la suspicion vis-à-vis des entreprises privées.
  • Alors que vient de s’ouvrir le salon du Bourget, les services de l’organisation et les entreprises présentes devront redoubler de vigilance face aux risques d’espionnage. Les Services de Renseignements intérieurs ont prodigué des conseils pratiques et sensibilisé les exposants aux dangers de certaines visites.
  • Les sanctions pour les actes de malveillance chez ERDF seront-elles appliquées ? Les auteurs de ces agissements risquent de nombreuses mesures disciplinaires et pénales puisque la justice a été saisie du dossier. (Cliquez ici pour retrouver le détail du statut des agents)
  • Les défenseurs de la cause animale ont pris à parti des cadres de Novartis, et ont dégradé leurs domiciles et véhicules. Des menaces terroristes ont également été prononcées. Si ces menaces ont été écartées, les craintes subsistent puisque les auteurs de ces délits souhaitent que Novartis stoppe son partenariat avec une entreprise spécialisée dans les tests sur les animaux. Affaire à suivre !
  • L’Allemagne est encore touchée par l’espionnage des salariés avec le cas Deutsch Bank ! La direction vient d’annoncer une « tolérance zéro » vis-à-vis des personnes responsables des vols d’informations.
  • Les entrepôts de l’entreprise Lys Restauration, liée à API restauration, spécialiste de la restauration collective ont brûlé. Ce sont 2500m² de locaux, des camions frigorifiques et des repas qui sont partis en fumée. Les conséquences immédiates sont des produits non distribués (donc une perte de chiffres d’affaires) et des salariés risquant le chômage technique.
  • Le site les affaires propose une série d’article sur les vulnérabilités humaines dans l’entreprise : Social Engineering, déplacements, déjeuners, les instants de la vie de l’entreprise où il faut être encore plus vigilant.
  • Spyworld complète cette initiative de sensibilisation en redonnant les clés pour le passage d’un ordinateur à la douane, notamment en Chine.
  • Le premier procès aux Etats Unis pour espionnage économique a commencé. C’est le premier cas depuis 1996 et l’édiction de la loi qui ne se termine pas par un accord amiable.