Sécuriser la donnée et protéger la vie privée, une nécessité avant tout

[vc_row][vc_column width="2/3"][vc_column_text]

Un des enjeux de la gestion de la relation usagers est notamment degarantir une politique de sécurité adéquate. Cette politique de sécurité éthique des données devra garantir la souveraineté des données de l’ensemble du patrimoine informationnel.

Des mesures de sécurité seront mises en œuvre pour garantir la disponibilité, l’intégrité, la confidentialité des données et l’évaluation permanente des risques. L’identité numérique garantit l’accès aux services numériques à l’ensemble des publics sans distinction de leur statut, de leur localisation et de leur capacité en toute impartialité. Le SICTIAM, en tant que tiers de confiance reconnu par l’état, va accorder une place particulière dans la gestion des identités des citoyens par les actions suivantes :

  • Connecter le dispositif avec les nouveaux projets de l’état plateforme comme France Connect Usager et France Connect Agent quand il sera disponible.
  • Gérer l’étanchéité des données entre les bases de données des collectivités territoriales, tout en permettant à l’usager final des croisements de données, dans le respect des contraintes CNIL.
  • Déployer cette identité numérique auprès des acteurs publics et privés sur l’ensemble du territoire (interopérabilité des identifications entre systèmes non connectés nativement).

Cette politique permettra également une diffusion de l’information et un partage des connaissances pour accompagner l’innovation de tout porteur de projet, quel qu’il soit.

Il s’agit de s’assurer que la politique de sécurité ne puisse en aucun cas et à aucun moment priver l’utilisateur de ses libertés individuelles ou de ses droits fondamentaux, tout en lui facilitant la vie quotidienne et en lui évitant les ressaisies.

Retour à la première page du dossier.

[/vc_column_text][/vc_column][vc_column width="1/3"][vc_column_text]

DOSSIER OPEN DATA

Des données précieuses mais difficilement exploitables

Le projet Open Data du SICTIAM

Un partenariat avec Ozwillo, plateforme open-source de données liées

Traitement des données internes aux collectivités

L’ambition du projet : un service de la données au service des usages citoyens

Sécuriser la donnée et protéger la vie privée, une nécessité avant tout[/vc_column_text][vc_single_image media="18392" media_width_percent="100" media_link="url:https%3A%2F%2Fwww.ozwillo.com%2Ffr%2F|||"][vc_single_image media="18393" media_width_percent="100" media_link="url:https%3A%2F%2Fopendata.data-ozwillo.org%2Forganization%2Fsictiam|||"][vc_raw_html]JTNDaWZyYW1lJTIwaGVpZ2h0JTNEJTIyMzAwcHglMjJzcmMlM0QlMjJodHRwcyUzQSUyRiUyRnd3dy55b3V0dWJlLmNvbSUyRmVtYmVkJTJGYUh4dl8yQk1KZnclMjIlMjBmcmFtZWJvcmRlciUzRCUyMjAlMjIlMjBhbGxvd2Z1bGxzY3JlZW4lM0UlM0MlMkZpZnJhbWUlM0U=[/vc_raw_html][/vc_column][/vc_row]


Les drones : quels usages pour les collectivités territoriales ?

8725078749_00627cd860_oLe drone, cette machine volante télécommandée qui ressemble à un jouet, s'utilise désormais et depuis quelques temps déjà dans le cadre professionnel. Le SICTIAM, dans sa mission de veille technologique, a lancé depuis  2014 une expérimentation de drones pour les collectivités territoriales. Un premier projet s'est concrétisé pour l'aménagement du territoire de la commune du Bar-sur-Loup (06) sur laquelle une falaise menace de s'effondrer en bord de route. L'objectif, à terme, et si d'autres besoins émergent dans les territoires, est de proposer un service mutualisé aux adhérents du SICTIAM.

Des données géospatiales sont acquises par le vol de deux drones au-dessus de la falaise puis automatiquement traitées pour la modélisation d'une maquette numérique en 3 dimensions. L'orthophotographie (le même type de photos utilisées par Google Earth) réalisée permet d'analyser le paysage et d'anticiper les risques sans mise en danger du personnel technique. Cette opération s'est réalisée en une demi-journée pour un coût total de 5844€ (prise de vue, traitement des images et montage d'un film).

Si cette opération de gestion des risques est un exemple d'usage du drone dans le domaine public, il en existe une multitude d'autres. Les drones peuvent être exploités par les collectivités territoriales dans les domaines de l'urbanisme pour les relevés topographiques et les grands projets urbains, pour la gestion des risques et la veille environnementale. Les drones offrent également de très belles prestations aux domaines du tourisme, de la communication et de l'événementiel dont les images époustouflantes transforment les traditionnelles vidéos promotionnelles, reportages ou autres films cinématographiques.


Nice Matin : Vol au-dessus de la Sarrée

C'est une première ! Et vous l'aurez peut-être aperçu, si, hier vous avez levé les yeux au ciel ! Pendant toute la matinée, un drone a survolé le plateau de la Sarrée et le village du Bar-sur-Loup.

: LOC GRASSE : GRA-S1

Publié dans Nice Matin, édition du Pays Grassois le 20 septembre 2016

Auteur : Lily Sèbe


Le virus Zepto : comment s'en prémunir ?

Une nouvelle vague de cybermenaces déferle actuellement sur les ordinateurs des agents en collectivité. Depuis quelques jours, un nouveau virus "ransomware" du nom de ZEPTO a fait son apparition dans plusieurs collectivités. Afin de vous prémunir de toute attaque, le SICTIAM vous rappelle quelques règles de bon usage à suivre et faire suivre à vos agents.

stature-935621_1920Le virus ZEPTO

Ce dernier se propage principalement par email et, comme son ancêtre Locky, il crypte la totalité de vos fichiers de travail sur votre ordinateur mais aussi sur tous les serveurs de l’établissement. Tous les fichiers sont renommés avec des caractères aléatoires et une terminaison (ou extension en .zepto). A partir de là, plus aucun document n’est exploitable.

La solution si vous êtes infecté

La seule solution viable est de restaurer les documents à partir de vos sauvegardes. Vérifiez qu'elles fonctionnent !

Comment vous protéger ?

La meilleure des protections est la vigilance des utilisateurs lorsqu'ils utilisent l'outil informatique. Attention particulièrement à l’ouverture des emails et de leurs pièces attachées. Si vous suspectez un email frauduleux, surtout, n'ouvrez pas la pièce jointe, même si l’expéditeur vous semble être un tiers de confiance.

Quelles consignes de prévention ?

Nous vous l'avions indiqué lors des infections massives par le cryptolocker, la méfiance envers les mails frauduleux, la tenue régulière de vos sauvegardes et la mise à jour de votre antivirus constituent les règles de base à suivre pour vous prémunir contre les virus.

Oui mais, comment détecter un email frauduleux ?

[themify_box ]Si vous avez un doute, contactez immédiatement les services du SICTIAM au 04 92 96 80 80 ou par mail à exploitation@sictiam.fr[/themify_box]

 


Cyber-menaces : quelles pratiques de sécurité des collectivités en France ?

eye-319668_1280Le CLUSIF, Club de la sécurité de l’information français, publie un rapport sur les menaces informatiques et les pratiques de sécurité en France. Le rapport concerne les entreprises de plus 200 salariés, les collectivités territoriales et les particuliers internautes. L'étude menée auprès des collectivités montre les résultats des investissements engagés dans la sécurité informatique (augmentation des contrôles d'accès par badge, des certificats électroniques, de la gestion des droits d'accès) mais également les disparités des moyens et des pratiques de sécurité. Les communautés de communes notamment, après une réforme territoriale leur déléguant d'avantage de compétences, n'ont pas encore atteint le niveau de maturité suffisant à l'investissement dans la sécurité de leur système d'information. La réforme SVA/SVE, obligeant les collectivités à répondre sous deux mois aux saisines par voie électronique, demandera un effort supplémentaire de disponibilité et d'intégrité des systèmes informatiques afin d'éviter les risques de contentieux.

Consulter le rapport sur clusif.fr


Cybersécurité : Trustech s'installe à Cannes

Trustech est un événement à dimension internationale dédié aux technologies de la sécurité et de la confiance. Traditionnellement organisé à Paris, le salon se déplace à Cannes pour les cinq prochaines années. Regroupant près de 20 000 participants par an en trois jours, la première édition cannoise aura lieu au Palais des Festivals et des Congrès du 29 novembre au 1er décembre 2016.

Lire la news sur www.webtimemedias.com

trustech


L'Education Nationale signe un partenariat avec la CNIL pour protéger les données des élèves et enseignants

Niños jugando y comunicandose con tabletas digitalesLors du salon Educatec-Educatice les 9, 10 et 11 mars derniers, la ministre de l'Education Nationale a annoncé avoir signé un partenariat avec la Commission Nationale Informatique et Libertés (CNIL) pour la protection des données personnelles des élèves et des enseignants. Une convention encadre ce partenariat qui définit les "usages responsables et citoyens du numérique à l'Ecole". Cette collaboration renforcée permettra de continuer le développement des usages numériques à l'école tout en protégeant les données personnelles des acteurs concernés.

Lire la news sur www.localtis.info


Alerte sécurité : un virus à haut risque

En cette période de fêtes de fin d'année c'est un cadeau peu agréable qu'ont reçu certains de nos adhérents : un mail d'apparence anodine, parfois envoyé à partir d'une adresse (presque) similaire à l'un de leurs contacts, contenant une pièce jointe d'apparence tout aussi innocente (souvent un fichier compressé avec u n nom insignifiant). virusVVVMalheureusement pour ceux qui l'ont alors ouverte, s'est ensuivi une catastrophe irréversible : le cryptage immédiat et complet de TOUS leurs fichiers sur leur ordinateur... Il n'est alors plus possible de rien faire, si ce n'est, pour ceux qui ont les bons réflexes et notamment celui de sauvegarder régulièrement leurs données sur un support externe, de rétablir une sauvegarde précédente de leurs documents. Pour les autres, tout est définitivement perdu...

Comment fonctionne ce virus ?

Il s'agit en quelque sorte d'une prise d'otage numérique : le virus infecte la machine par simple ouverture d'une pièce jointe associée à un email frauduleux, qui contient un programme logiciel malveillant. Le virus ainsi exécuté sur la machine va alors encrypter tous les fichiers s'y trouvant, qu'il s'agisse de fichiers audio, vidéo, image ou texte. La seule possibilité de décrypter les fichiers est alors de payer une rançon à l'auteur du virus, qui pourra vous transmettre en retour après paiement une clé de décryptage...enfin, ça, c'est dans le monde idéal, car bien entendu les pirates qui utilisent de tels méthodes sont loin d'être honnêtes, et celui qui paye ne recevra bien évidemment rien du tout, si ce n'est le sentiment de s'être fait avoir jusqu'au bout !!

Ce virus est connu sous le nom de Ransomware, ou encore Teslacrypt et plus récemment VVV. Après ouverture du mail infecté et installation du virus sur la machine, voici donc ce que la personne verra apparaître sur son ordinateur :

File-.VVV-virus

En français : "tous vos fichiers importants sont cryptés".

Comment se prémunir de ce type de virus ?

On ne rappellera jamais assez les règles de prudence de base pour toute personne utilisant un compte email, et notamment LA règle d'or : ne jamais ouvrir d'email a priori "louche" et encore moins une pièce jointe. Oui, un simple clic sur une pièce jointe d'un email peut dévaster votre ordinateur en quelques secondes. Et oui, on sait, vous avez un antivirus, mais il n'est pas là pour réfléchir à votre place car il en est incapable, et il ne peut pas vous protéger si vous autorisez vous-même l'exécution de fichiers malveillants en cliquant dessus !!

Comment savoir qu'un email est potentiellement dangereux ?

D'abord il faut être vigilant lorsque vous consultez vos emails, et rester en alerte sur chaque détail. Si le mail vous semble "bizarre", si vous avez un doute, vérifiez les points suivants avant d'aller plus loin et de cliquer sur la pièce jointe :
- est-ce que je connais l'expéditeur ?
- si oui, est-ce bien son adresse exacte, notamment ce qui se trouve après le @ ? (en effet certains pirates sont capables d'identifier des noms parmi vos contacts, et de vous envoyer le virus en se faisant passer pour l'un d'eux avec une adresse qui ressemble à la sienne)
- le contenu du mail est-il cohérent avec mes échanges habituels avec cet interlocuteur ? (est-ce son style habituel ? Si c'est quelqu'un qui s'exprime toujours très correctement et que là vous avez sous les yeux un mail bourré de fautes d'orthographe, c'est un signe ; de même si c'est une enseigne commerciale auprès de laquelle vous avez l'habitude  de commander, est-ce que la charte graphique et le contenu du mail sont exactement similaires à ceux que vous recevez d'habitude ? )
- pourquoi cet interlocuteur m'envoie-t-il une pièce jointe ? Si vous n'en attendiez pas de sa part, ou si c'est inhabituel (les enseignes commerciales envoient rarement des pièces jointes lorsqu'elles vous confirment une commande), ne cliquez pas.
- le nom de la pièce jointe est-il cohérent ? Les noms bizarres sont un signe (voir l'exemple ci-dessous).

Un exemple

Voici l'email que l'un de nos adhérents infectés par le virus a reçu :

Virus-vvv1

 

  1. Le nom de l'expéditeur était connu de notre adhérent, et son orthographe correspondait exactement. Mais il n'a pas vérifié qu'il s'agissait bien de la bonne adresse email, et notamment ce qui se trouvait après le @, qui aurait dû tout de suite l'alerter !
  2. De même, la pièce jointe, un simple .zip, portait un nom étrange, ce qui était un 2ème élément probant.
  3. Par ailleurs, 3ème élément "louche" : le mail ne contenait pas de message, seulement la pièce jointe. Qui fait cela ? A moins d'avoir convenu avant avec votre interlocuteur d'un tel envoi qui explique l'absence de notification écrite dans le corps de texte, la moindre des politesses lorsque vous envoyez une pièce jointe c'est d'écrire un petit quelque chose dans le corps du mail.
  4. Et le plus important, notre adhérent n'attendait pas de message et encore moins de pièce jointe de cet interlocuteur.

Virus-vvv3
 Petit rappel des règles de base lorsqu'on utilise un ordinateur

  • Ne pas parcourir les sites Internet douteux. Ces sites sont généralement remplis de contenus publicitaires et autres pop-ups à risque.
  • Ne pas télécharger de logiciels sur n'importe quel site, sinon vous risquez que ces téléchargements contiennent des programmes malveillants.
  • Ne pas ouvrir les emails et pièces jointes provenant d'utilisateurs inconnus.
  • Lorsque vous installez un logiciel sur votre ordinateur, faites-le avec précaution : soyez vigilant(e) à chaque étape de l'installation, lisez les conditions générales d'utilisation et notamment la politique de confidentialité des documents, et choisissez le mode d'installation sécurisé. Ce mode correspond à l'option "Avancé" ou "Personnalisé" : ces options permettent de désélectionner les programmes additionnels éventuellement ajoutés au logiciel que vous souhaitez installer, et qui peuvent être un problème pour votre machine par la suite. Donc si vous voyez une liste de suggestions de programmes supplémentaires à installer, décochez-les.

Le SICTIAM est votre meilleur allié

Nous avons mis en place un niveau de sécurité maximal sur nos serveurs et nous sommes constamment en hyper-vigilance pour faire en sorte que ce type d'email dangereux soit intercepté avant même qu'il n'arrive dans vos boîtes mails. Nos filtres anti-spam et anti-virus sont extrêmement puissants, et nous les mettons à jour régulièrement. Toutefois certains peuvent passer à travers les mailles du filet, notamment lorsqu'ils proviennent de l'un de vos contacts identifié dans votre carnet d'adresses. Restez donc vigilants !

De plus, nous avons une équipe d'agents spécialisés à votre service : en cas de doute, ou pour en savoir plus, n'hésitez pas à les contacter (04 92 96 80 80).


Vers la fin des mots de passe

Les mots de passes sont devenus une vraie plaie pour les internautes. Il en faut pour tout, que ce soit sa messagerie, les applications que l’on utilise au quotidien, l’accès à votre compte bancaire, les sites d’e-commerce…

Ces mots dkeys-525732_640e passes doivent tous être différents, comporter des caractères spéciaux (&é »’-è_çà$ù*…), des chiffres, des lettres en minuscules et en majuscules. Au moins vous suivez ces recommandations, au plus vous avez de chances de vous faire hacker votre compte. Bref un calvaire.

Pour pallier à ces problèmes, il existe plusieurs solutions comme des logiciels de gestion de mot de passe ou avoir une très bonne mémoire.

Au SICTIAM, on aime chercher des solutions pour vous rendre la vie plus simple. Imaginez un monde sans mot de passe et complètement sécurisé, un monde où vous vous identifierai une fois pour avoir accès à tous nos services.

Derrière ce doux rêve, se cache des noms barbares comme OTP (One Time Password), OTA (One Time Access), shibboleth, ou encore InWebo.

Le principe est simple, vous vous connecter avec un identifiant et votre mot de passe vous est envoyé par mail, SMS, ou encore via une application. Ce mot de passe sera unique, avec une durée limitée, donc même si il tombe entre de mauvaises mains, il sera inutile.

Bien sûr de grands noms du web ont déjà avancé sur ce type de projets tels que Google ou Twitter. La première des craintes est que les temps de connexion vont être rallongés. Mais les mots de passe devront être toujours plus compliqué et donc toujours plus difficile à retenir. Le calvaire du mot de passe ne pourra donc cesser qu’avec des solutions innovantes.


Le projet de loi pour une République Numérique cible les données personnelles

Le samedi 26 septembre 2015, le projet de loi pour une République numérique a été mis en ligne. Ce texte, conçu après de nombreuses consultations populaires organisées à l’aide d’un outil de participation en ligne, a été soumis, durant près de trois semaines, à l’avis du grand public afin de permettre aux citoyens de le consulter et aussi de l’amender via une plateforme participative. Ce projet de loi se concentre sur les données personnelles et sur le développement des usages.

antCette loi sera donc bâtie autour de trois axes :

Economie de la donnée

Il s’agit du principe de « l’open data », ou données ouvertes. Cela signifie que les administrations, les services publics industriels et commerciaux et les établissements publics à caractère industriel et commercial doivent rendre publiques toutes les informations demandées et ce, sous un format réutilisable. Il s’agira par exemple de chiffres de Pôle emploi, de données cartographiques de l’IGN ou encore des horaires précis de la SNCF.

Protection et confiance

Cet axe consacre les principes de protection pour redonner confiance aux citoyens. Parmi les mesures phares, la portabilité des données : un principe qui permet de transférer tous les fichiers personnels stockés dans un service (Facebook, Gmail…) vers un autre. Il est également prévu un droit à l’oubli pour les mineurs. Ces fichiers devront être supprimés « dans les meilleurs délais » si une demande est faite en ce sens. Autre point délicat abordé, celui de la mort numérique : les services Internet devront demander à leurs utilisateurs de laisser des instructions de gestion de leurs comptes après leur mort, et ce, dès l’inscription. Cette disposition concerne tout particulièrement les réseaux sociaux.

Accessibilité

Il s’agira, par exemple, que les sites Internet ou les applications des grandes administrations soient mieux adaptés aux aveugles et aux malentendants, sous peine d’amende. Par ailleurs, en cas de non-paiement des factures, le maintien d’un service « téléphonique restreint et un service d’accès à Internet devra être garantit jusqu’à ce qu’il ait été statué sur la demande d’aide ». Dans le but d’étendre au domaine des services numériques collectifs la démarche de concertation et de définition des besoins locaux engagés pour le déploiement des réseaux, le projet de Loi propose (dans son article 23) la création d’un article 1425-3 dans le Code Général des Collectivités Territoriales.

Partant du postulat que les schémas directeurs territoriaux d’aménagement numérique (SDTAN) ont contribué à structurer l’intervention des collectivités territoriales pour le déploiement du très haut débit et concernent désormais la quasi-totalité des départements français, l’extension de cette démarche au domaine des services numériques permettra aux collectivités territoriales de mettre en adéquation leurs ambitions en matière de déploiement d’infrastructures et leurs stratégies de développement des services numériques de proximité.

L’arrivée du très haut débit s’inscrira donc dans une stratégie globale au service de la population, pour l’e-santé, l’e-éducation, le développement économique, la ville intelligente et l’amélioration des services locaux.

sdusnPrécurseur dans ce domaine, le SICTIAM s’est doté dès 2014 d’un schéma des usages et services numériques (SDUSN) dont les premières actions sont déjà en cours de réalisation.

 

 

 

 

[themify_box ]

portrait_ca-ginesy

Pour le Député-Président du SICTIAM, Charles Ange GINESY, « ce schéma va permettre à nos territoires de se développer et de moderniser les services locaux. Il constitue un formidable outil destiné à encourager et promouvoir tous les potentiels de croissance de l’économie liée au numérique. C’est pourquoi les agents du SICTIAM accompagnent les collectivités adhérentes pour migrer vers l’e-administration ».

[/themify_box]