WOW !! MUCH LOVE ! SO WORLD PEACE !
Fond bitcoin pour l'amélioration du site: 1memzGeKS7CB3ECNkzSn2qHwxU6NZoJ8o
  Dogecoin (tips/pourboires): DCLoo9Dd4qECqpMLurdgGnaoqbftj16Nvp


Home | Publier un mémoire | Une page au hasard

 > 

L'interception SSL/TLS : le fonctionnement, entre enjeux et risques, les bonnes pratiques

( Télécharger le fichier original )
par Edouard Petitjean
Université de Bordeaux - MIAGE SIID 2017
  

précédent sommaire suivant

Bitcoin is a swarm of cyber hornets serving the goddess of wisdom, feeding on the fire of truth, exponentially growing ever smarter, faster, and stronger behind a wall of encrypted energy

Chapitre 10

Informations et obligations légales

10.1 Vis à vis des utilisateurs

-- L'employeur a un devoir de transparence et loyauté envers ses salariés. Pour cela, le comité d'entreprise doit être « informé et consulté, préalablement à la décision de mise en oeuvre dans l'entreprise, sur les moyens ou les techniques permettant un contrôle de l'activité des salariés » 1.

-- Le contexte précis (finalités, moyens, populations ciblées, etc...) de l'interception TLS doit être inscrit dans une charte informatique. Celle-ci doit être imposable aux salariés.

-- Il est important que l'interception TLS soit nécessaire et proportionnelle au but recherché comme la sécurité du réseau2.

-- Pour les déclarations auprès de la CNIL, l'interception TLS n'est pas une finalité mais un moyen. Par conséquent, il n'y a pas de déclaration spécifique à faire. Néanmoins, toutes les déclarations précédentes où l'interception TLS va agir (journalisation, dispositif de sécurité, etc...) devront être refaites pour être mises à jour.

-- Prévoir la gestion des accès aux outils de chiffrement (qui? comment? quand?) et les contrôles qui en découlent ainsi qu'une journalisation de ces accès et contrôles.

10.2 Rappel sur l'obligation des administrateurs

-- Dans leurs missions, les administrateurs sont susceptibles d'accéder à des informations confidentielles et/ou personnelles. Par conséquent, ils sont soumis à une obligation de confidentialité sur les informations dont ils auraient pu prendre connaissance dans le cadre de leurs fonctions. Il est par conséquent interdit de dévoiler toute information, ni même de les fournir sur demande de la hiérarchie.

-- Néanmoins, l'accès à ces informations est uniquement valable dans les cas suivants:

· Nécessité de maintenir le bon fonctionnement du réseau

· Assurer la sécurité du réseau

· Il n'a pas été possible d'assurer les deux points précédents sans avoir eu recours à un moyen moins intrusif

· Si dans les données portées à la connaissance de l'administrateur, certaines sont explicitement identifiées comme personnelles, alors l'auteur de ces données doit être appelé et présent pendant le traitement de ses données3.

-- Pour les fonctionnaires et agents publics contractuels, si dans le cadre de ses fonctions, un administrateur détecte un comportement délictueux d'un utilisateur, il est dans l'obligation de dénoncer ce comportement 4.

1. Article L2323-32 du Code du travail

2. Article L1121-1 du Code du travail

3. Cass, Soc., 17 juin 2009, n° pourvoi 08-40274 et Cass, Soc., 17 mai 2005, n° pourvoi 03-40017

4. Article 40-2 du Code de la procédure pénale

Edouard Petitjean M2 MIAGE SIID 54

précédent sommaire suivant






Bitcoin is a swarm of cyber hornets serving the goddess of wisdom, feeding on the fire of truth, exponentially growing ever smarter, faster, and stronger behind a wall of encrypted energy







© Memoire Online 2000-2023
Pour toute question contactez le webmaster

"Ceux qui rêvent de jour ont conscience de bien des choses qui échappent à ceux qui rêvent de nuit"   Edgar Allan Poe