Déclaration de l'installation d'un Firewall

[DEDIEU]

Bonjour,

Lors du salon de la sécurité informatique, cabinet LEXSI (excellement cabinet) m'a signalé que tous firewall installé ( dans mon cas c'est du IPCOP) doit faire l'objet d'une déclaration à la CNIL. Car l'adresse IP d'un poste du réseau est considéré comme un identifiant.... comme les firewall permettent de tracer (via des logs stockés) les va et viens sur internet du personnel d'un société, une déclaration s'impose.
Je ne mets surtout pas en doute les dire de ce cabinet.... Je reviens du site de la CNIL, aucune info, sur le web non plus.
Quelqu'un aurait-il entendu (ou un article) parlé de cette démarche ?

merci

[nemesis]

Tu fais un traitement automatisé des donnée de ton firewall?

Si oui déclaration sinon....

Par contre ce qui est obligatoire effectivement c'est l'information des employés sur les moyens mis en oeuvre pour la sécurité de l'entreprise et notamment ce qui est enregistré et l'utilisation qui en est faite.

Et leur donner acces à ces informations les concernant si ils en font la demande pour le reste ce cabinet me semble proposer des package tout fait genre on s'occupe de tous dormez bien et surtout PAYEZ

Nem.

[DEDIEU]

[quote="nemesis"]Tu fais un traitement automatisé des donnée de ton firewall?

Si oui déclaration sinon....

Nem.[/quote]

qu'entends tu par " traitement automatisé ", je regarde le logs pour les analyser ( firewall IPCOP). C'est donc un traitement manuelle, non ?

[nemesis]

Ce que j'entends par traitement automatisé ça serait un script ou un programme qui te sortirait les infos contenues dans tes logs par rapports aux ip genre telle ip a vu telles pages telles téléchargements etc...

Si c'est un bonhomme qui est devant le pc qui regarde c'est pas un traitement automatisé.

De plus l'allégation une ip = un iddentifiant est assez biscornue vu que tu ne sais pas qui est derrière le pc qui a telle ip à un instant T.

Tu peux juste dire qui est habituellement derrière tel pc et peut être si ip fixes derriere telle ip.

Voilà pourquoi je pense que leur discours commercial tiens pas trop si on gratte un peu (fort?).


Cdt
Nem

[ouYa]

Bonjour,
je me permet de relancer le sujet car je suis récemment tombé la-dessus

http://www.cnil.fr/index.php?id=1231

On y trouve notamment un passage qui irait dans le sens de la déclaration du firewall :

mise en œuvre de dispositifs destinés à assurer la sécurité et le bon fonctionnement des applications informatiques et des réseaux, à l’exclusion de tout traitement permettant le contrôle individuel de l’activité des employés ;

Ne peut on inclure les firewall dans cette définition?

et quand Nemesis dit que

Ce que j'entends par traitement automatisé ça serait un script ou un programme qui te sortirait les infos contenues dans tes logs par rapports aux ip genre telle ip a vu telles pages telles téléchargements etc...

cela doit inclure les logs du proxy, tel qu'inclus dans Ipcop 1.4.6 ou dans des addons comme squint par exemple, puisque l'on peut trier les logs en fonction des IP.
Et ces addons ne rentre il pas dans "le traitement permettant le contrôle individuel de l'activité des employés" et seraient par conséquent illégaux?)

A mon sens ce serait plutôt les addons et le proxy qui devrait être déclaré mais j'aimerai bien avoir d'autres avis sur la question.

[ouYa]

Bon et bha je me répond
ca peut toujours être utile à quelqu'un.

En trainant un peu plus sur le forum j'ai trouvé ce lien http://www.jurisexpert.net/site/fiche.cfm?id_fiche=1380

qui dit notamment:

La mise en place d'un dispositif de contrôle individuel destiné à produire, poste par poste, un relevé des durées de connexion ou des sites visités doit s'analyser en un traitement automatisé d'informations nominatives qui doit être déclaré à la CNIL

Pour confirmer j'ai appelé la CNIL et donc il en ressort que il faut déclarer les addon genre squint ou n'importe quel proxy si il est couplé à un traitement permettant de voir le detail des connexions poste par poste (ce qui est le cas dans ipcop si on active les logs du proxy puisqu'on peut trier par IP).

Si ce traitement n'a pas pour but de surveiller l'activité des utilisateurs mais d'assurer la sécurité du réseau alors il est déclarable via la norme 46 http://www.cnil.fr/index.php?id=1231.

Si le but est de fliquer les utilisateurs ca doit aussi être déclaré mais ce sera plus compliqué vu l'objectif.

En cas de contrôle global, pas besoin de déclarer à la CNIL, mais faut en informer les utilisateurs.

Donc le firewall en tant que tel ne doit pas être déclaré mais certains de ces appendices (dans le cas d'Ipcop) eux doivent l'être.

[Franck78]

Il y a juste en petit problème de taille. Avec Ipcop, il n'y a pas d'association IP<->utilisateur.



bye

[ouYa]

Il y a juste en petit problème de taille. Avec Ipcop, il n'y a pas d'association IP<->utilisateur.

oui effectivement c'est ce que je pensais,
mais si j'en crois la définition de la loi de 78 dispo sur le site de la CNIL :

Constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne

et la suite de la norme 46 qui définit les données qui sont concernées par ladite norme :

- annuaires informatiques permettant de définir les autorisations d’accès aux applications et aux réseaux ;
- données de connexion enregistrées pour assurer la sécurité et le bon fonctionnement des applications et des réseaux informatiques, à l’exclusion de tout traitement permettant le contrôle individuel de l’activité des employés ;

et la je pense que les adresses IP tombent en plein dedans, non ?

Donc de ce que je comprend, bien qu'indirectement nominative, les adresses IP permettent qd même d'identifier des gens.
Certes tu as la possibilité de changer de poste ou d'ip et là ca dépend beaucoup des différentes configuration de réseau et des postes client (DHCP, droit suffisant ou non pour change l'ip sur les postes clients, etc... ) mais la probabilité de dire que X est derrière l'ip X sans trop se tromper est assez importante.

Donc ipcop (ou les autres add-on) de part la petite fonction lui permettant de trier les logs du proxy en fonction des Ip tomberait dans le cadre de la norme. Donc a mon sens, je pense qu'il faudrait déclarer, mais je reconnais que c'est super ambigu et c'est pour ca que je pose la question.

[micjack]

Ben tu fais comme la plus part, et justement en utilisant ton terme "super ambigu"

Pour mon marketing, j'ai appelé la CNIL pour ne pas etre considéré comme un spameur, il n'on pas été capable de me repondre si je pouvais faire du marketing direct par mail, alors que j'ai lu certains articles disant que "la CNIL autorise le demarchage par mail, à condition que le but concerne un demarchage ayant un but avec l'activité ou en relation avec l'entreprise" Une autorisation meme si c'est adressé à la personne physique, genre ducon.durant @entreprise.....

Si toutes les reponses de personnes habilités sont meme genre, ........?

[ouYa]

J'ai cherché un petit peu si la CNIL c'etait prononcé sur le caractère nominatif ou non des adresses IP. Elle ne l'a fait que pour l'usage d'Internet et vis à vis des FAI (avec l'offensive des majors contre le peer-to-peer), du moins je n'ai rien trouvé sur le caractère nominatif ou non au sein d'une entreprise.

Dans ce contexte très précis, elle a déclarée que l'IP était une donnée à caractère personnelle en se basant sur la loi de 78 et sur une directive européenne de 95 (les deux textes son disponibles sur le site de la cnil et voir cet article http://www.01net.com/article/202437.html )

Le contexte est assez différent, mais bon ca peut apporter une piste de réflexion.
Mais je vais continuer à fouiner parceque ca me turlupine cette histoire.

Merci de vos réponse en tout cas

[Franck78]

Mais il n'y a pas à se turlupiner. Une adresse IP est attribuée à une machine. Point à la ligne. Devant cette machine, n'importe qui peut s'assoir devant. Et si aucun système d'authentification ailleurs que sur la machine n'est en place, tu ne pourras jamais garantir qui a utiliser la machine. Et si le système d'authentif est faible (login+mdp et mots de passe connus de tous), adieu la preuve. Seulement des présomptions.

[ouYa]

Je suis d'accord avec toi sur le principe de tu peux pas savoir qui est derrière un pc ou pas. Et c'est bien pour ca que je trouve le tt ambigu.

Parceque qd je lis les différentes définitions que la cnil et ses normes ou que la loi de 78 donnent aux données à caractères personnelles, ou aux systèmes devant être déclarés, bha je trouve pas que se soit aussi clair d'où mes questions.

Je vais même pousser le vice plus loin, et embeter encore un peu le monde, mais quelle est la différence entre Monsieur X qui utilise ton pc au boulot pendant que tu n'es pas a ton poste et ton pote Y qui en venant nourir le chat pendant tes vacances se sert de ton pc?

Dans le cas du FAI, il est clairement noté dans un fichier IP = abonné. Mais dans une entreprise en dhcp avec ip fixe par exemple, avec interdiction aux users de changer leur ip, le cas serait preque le même. Tu sais que derriere tel poste il doit ya avoir Monsieur X vu que c'est son poste. Comme chez toi c'est ta ligne, ton ip donc c'est toi.

Y'a ptet pas de fichier en interne qui dis clairement que ipX = monsieur X, mais tt le monde sait que c'est le poste de X. Faut pas perdre de vue la partie de la loi où une donnée nominative est une donnée qui pemet meme très indirectement d'identifier quelqu"un. Ensuite quelqu'un peut utiliser son pc pdt son absence comme ton pote pdt tes vacances.

Mais dans un cas ton ip est déclarée comme donnée nominative, et les traitements effectués dessus doivent être déclarés et pas dans l'autre?

Mon raisonnement tombe à l'eau dans une entreprise ou tt le monde change en permanence de poste, ou bien que les utilisateurs peuvent changer d'ip comme bon leur semble. Mais y'a qd même des cas où le contexte rend la chose ambigu.


Bref tout est affaire d'interpretation mais je pense vraiment pas qu'on puisse être aussi catégorique dans un sens comme dans l'autre d'ailleurs.