Sécurité de l'information

Dès lors que l'on veut protéger des informations, la toute première étape est de savoir quelles sont les informations à protéger, et quel niveau de protection l'on souhaite avoir. On pourra voir la manière de le faire plus tard (même si j'ai déjà ma petite idée ;-) )

Je vous propose de partir sur ces niveaux de protection (ou classification) suivants pour nos informations:

1- L'information est publique. N'importe qui à travers le monde peut/doit y avoir accès.

2- L'accès à cette information est limité aux personnes demandant explicitement d'y avoir accès (par exemple: les membres de ce site Framavox).

3- L'accès à cette information est limité aux membres de l'association LaboGn

4- L'accès à cette information est limité à des personnes précises en fonction de leur mandat

Dans le cadre de l'organisation horizontale, les trois premiers niveaux sont peut-être suffisants. A voir par exemple si les informations bancaires, ou les comptes pour gérer le site web sont accessibles qu'à une partie des membres de l'association, ou à tous le monde.

Question que je me pose par rapport aux trucs déjà écrits sur Framavox et qui peuvent poser problème : est-ce qu'éditer les messages suffit ? Est-ce qu'il faut supprimer les messages ? Supprimer les conversations entières ? @romainferet1 ?

J'ai fait des tests de mon côté sur framavox. Il est possible de modifier les paramètre du groupe LaboGN pour rendre privé certaines discussions, qui ne seront alors visibles que par les membres inscrits sur framavox, et non plus à la terre entière. Pour pouvoir faire ce paramétrage, il me faudrait être coordinateur de ce groupe (et me donner en privé la liste des discussions à restreindre).

Sinon, il est possible de supprimer les messages. Dans les deux cas, ce qui a déjà été indexé par les moteurs de recherches ne pourra pas être complètement effacé, il sera toujours possible d'en retrouver une trace.

Les deux sujets les plus urgents en termes de sécurité sont les suivants je pense:
-Avoir un coffre-fort numérique pour stocker les mots de passe importants
-Rendre privé certaines conversation sur Framavox

Pour la privatisation des conversations sur Framavox, c'est très facile à faire. Qui possède les droits d'administration de cet espace Framavox ?

Pour le coffre-fort numérique (c'est un outil dans lequel on stocke tous les logins et mots de passe importants, on n'a besoin de ne connaitre qu'un seul mot de passe maître pour y accéder), on peut soit en avoir un gratuit possédant un seul login/mot de passe maitre (tout le monde se connecte avec le même), ou un payant (4€ par mois) avec jusqu'à 6 logins/mots de passe maître différents qui se partagent les mots de passe. On peut tout à fait passer du gratuit au payant n'importe quand (pour ceux qui connaissent, je pense aux solutions LastPass Premium et LastPass Families). Il en existe des encore plus puissants, mais les tarifs ne sont pas les mêmes, et ce n'est sans doute pas justifié pour nous.

Qui, parmi les membres du collège dirigeant, est sensé avoir accès au compte bancaire, compte hello-asso, etc ? Je peux voir avec iels pour tester LastPass Premium pour sécuriser ce qu'il y a dans le fichier drive.

Autant pour moi, la version 1 utilisateur de LastPass est à 2€ par mois et non complètement gratuite (j'ai une version d'essaie valable un mois)

Je dois avouer qu'étant informaticien de métier, je n'ai qu'une confiance relative dans les solutions en ligne de gestion de mots de passe. Toutefois, avec une gestion collégiale d'asso, on est bien obligés de se confronter au problème, d'autant que c'est à mon sens la priorité n°1 de définir le degré de confidentialité des informations relatives à la vie de l'asso et les accès sensibles comme ceux aux comptes bancaires.
@mathieulabiche, est-ce que tu avais fait une étude de marché avant de choisir LastPass comme coffre-fort numérique? Est-ce qu'il y a d'autres outils à d'autres tarifs et proposant d'autres fonctionnalités?

Salut à tous.

Avant toute chose, je suis heureux de voir la conversation autour de ce sujet prendre corps, toutefois j'apprécierais beaucoup que l'on attende au moins l'avis des 2 autres autres personnes qui on déclaré pendant l'AG leur souhait de s'impliquer dans ce Comité Sécurité de l'Information c-a-d Rémi S. et Clément C. avant tout choix critique d'une solution ou d'un outil, surtout lorsque son utilisation implique un coût pour l'association.

Deuxièmement vu la diversité des sujets à traité je pense que tout faire sur une unique conversation risque de la rendre illisible. Je suis plus pour la création d'un groupe dédié aux activités et sujets du Comité Sécurité de l'Information. (Je peut m'en charger au besoin).

Au sujet des messages postés ici visibles sur internet (cc @zandera @mathieulabiche ) :

Je rejoint Mathieu sur le plan technique au sujet de ce qu'il est possible de mettre en place ici pour limiter la visibilité.

Toutefois comme je le craignais, après vérifications, toutes nos conversations publiques on déjà été archivés par Google, par contre on à rien sur web.archive.org par exemple. Par nature tout internet à pu avoir accès et a pu archiver nos conversation. Aujourd'hui ce type de traces n'est dans la majorité des cas pas reconnue comme une preuve au sens juridique mais il est très probable que leur reconnaissance devienne de plus en plus courante dans le futur, avec possible effet rétroactif (cf. https://www.village-justice.com/articles/force-probante-des-archives-Net-archive-org,23251.html par exemple).

Donc il n'y a plus grand chose à faire à ce sujet, à part être vigilent et adopter un code de conduite clair pour nos conversations numériques dans le futur (d'autant plus lorsqu'elles sont publiques).

Finalement, au sujet de la nécessité d'un coffre fort numérique pour conserver de manière sécurisé nos identifiants je rejoint totalement @mathieulabiche .
Cependant je suis plus pour l'utilisation d'une solution gratuite reposant si possible sur des logiciels libres.
Par exemple chez Les Enfants de Pandore nous utilisons le logiciel libre et gratuit keepass que je recommande sans réserve, largement testé et certifiés par des agences gouvernementales ou européennes compétentes en termes de sécurité informatique. Nous stockons actuellement notre fichier base de mot de passe sur Google Drive mais si LaboGN désire l'héberger sur un espace de stockage de fichier plus libre ou indépendant je suis sur que c'est possible d'en trouver sur FramaSoft ou ailleurs pour des fichiers si petit ( <500 Ko).