Aller au contenu

[actualitté] Méfiez-vous de l'ordinateur de votre bibliothèque


stef

Messages recommandés

Citation

Au Danemark, pas moins de 15 bibliothèques ont signalé des cas de piratages dans leur enceinte. À partir du moment où les usagers se sont connectés à leurs comptes personnels ou bancaires, leurs mots de passe ont été immédiatement transmis à des hackers. 

source : https://www.actualitte.com/article/monde-edition/mefiez-vous-de-l-ordinateur-de-votre-bibliotheque/88469

Lien vers le commentaire
Partager sur d’autres sites

Oui, de plus en plus courant.

 

Pour info, un keylogger (capteur de touches/frappes utilisateur), c'est un logiciel ou ça

Keyloggers.jpg

 

 

On en trouve différents modèles ici

https://www.keelog.com/

avec Wi-Fi incorporée, pour faciliter la récupération des données.

 

Encore que 8 GB, ça permet de stocker plusieurs dizaines d'encyclopédies, alors quelques frappes clavier d'un utilisateur, on peut en stocker des mois et des mois.

(pour être exact, sur 8 Go, on peut stocker environ 5 ans d'une secrétaire tapant 400 caractères minute, non stop 24/24)

 

Facile à installer, facile à désinstaller. Et invisible, même par un antivirus.

Que du bonheur pour récupérer des données ni vu ni connu.

 

Sauf s'il y a un chieur pour vérifier régulièrement les machines et contrôler que les claviers USB sont bien branchés directement à l'ordinateur.

Evidemment, on contrôle les postes publics ET les postes pro.

 

 

Pour le reste, on peut encore regarder ceci :

http://www.lecspartners.com/upload/retombees/lec_cap10224_guide_espion-copier.pdf

(j'aime bien la fonctionnalité de perfect keylogger, typique d'un cheval de Troie.)

 

Autrement dit, chercher des traces dans un ordinateur, c’est comme fouiller les poches de son conjoint. C’est sans doute

moralement répréhensible, mais, si la poche n’est pas fermée par un cadenas que vous devez forcer, pénalement il n’y a aucun problème…

 

Les poches du conjoint ou les poches d'un ordinateur public, c'est bien pareil.

Là, on pourrait presque se poser la question suivante : y a-t-il des sanctions prévues pour celui qui fouillerait les cookies ou l'historique des précédents utilisateurs ?

Quand on regarde les chartes d'usage des postes, ce n'est pas interdit.

 

Et dire que bientôt, comme le précise Ferris, tout se fera par Internet, de manière obligatoire.

Lien vers le commentaire
Partager sur d’autres sites

Le 21/04/2018 à 13:42, B. Majour a dit :

Là, on pourrait presque se poser la question suivante : y a-t-il des sanctions prévues pour celui qui fouillerait les cookies ou l'historique des précédents utilisateurs ?

 

J'aurais tendance à dire que si tu (générique, hein, DSI, directeur de bib) laisses à disposition du public des machines qui permettent de faire ça, la question de l'insuffisance professionnelle pourrait se poser.

Modifié par olivierH
typo
Lien vers le commentaire
Partager sur d’autres sites

Surement pas. On ne peux pas reprocher d'insuffisance professionnelle à un agent en dehors des critères qui fondent sa profession. Et que l'on peut retrouver sur sa fiche de poste, elle-même issue de la fiche génerique "bibliothécaire", dite "fiche métiers". Encore moins quand la fonction en question est déja dévolue à un Service informatique qui gère la maintenance , la mise à jour et d'une façon generale la conformité des postes offerts au public, tous services confondus (écoles etc...). Que je sache il n'existe pas encore de "bibliothécaire-informaticien" dans la filière culturelle.

J'ai une obligation de moyens, prévue au règlement intérieur des bibliothèques, (offrir un accès internet au public) mais certainement pas une obligation de résultats à ce niveau. De même que je ne suis pas en charge de la conformité des locaux (il y a un architecte, un DST, une commission de sécurité etc..missionnés pour cela). De plus je n'ai pas le droit de modifier mes machines. Et s'il y a un Keylogger, ou un mouchard quelconque d'installé, c'est au DSI de le voir et d'agir en conséquence.

En gros si je ne fais jamais d'exercice d'évacuation ou d'incendie, mais qu'il n'y a pas d'escalier de secours ni d'extincteurs ou d'alarme, ma responsabilité n'est pas engagée. A condition toutefois, en tant que responsable d'ERP,  que j'aie informé de ces manquements les services responsables.

Et cela fait des mois que j'informe le DSI que ses antivirus sont des passoires, jamais mis à jour, et ils ne sont de toutes façon accessibles et paramétrables qu'a partir de sa session sécurisée, à laquelle je n'ai pas accès. Tout ce que je peux faire c'est installer sur ma session, ou sur la session publique, des versions "free", chargées sur internet, et dont la durée de vie est aussi faible que la fiabilité.

Modifié par Ferris
Lien vers le commentaire
Partager sur d’autres sites

Il y a 14 heures, Ferris a dit :

Surement pas. On ne peux pas reprocher d'insuffisance professionnelle à un agent en dehors des critères qui fondent sa profession.

 

Oui, c'est bien ce que voulait dire @olivierH je pense, étant donné que le "tu" étais générique (non ?). Donc insuffisance professionnelle pour le service informatique s'ils en ont un, à moins qu'ils aient fait remonter le manque de moyens au DGS / maire pour justifier leur incapacité à pouvoir garantir la sécurité des données des usagers. Après, une insuffisance professionnelle pour le maire, ça existe :sweat: ? Parce qu'on peut remonter loin comme ça, le maire peut se retourner contre l'Etat qui a baissé les dotations par exemple :D

 

Epsy.

Lien vers le commentaire
Partager sur d’autres sites

Il y a 2 heures, Epsy a dit :

 

Oui, c'est bien ce que voulait dire @olivierH je pense, étant donné que le "tu" étais générique (non ?). Donc insuffisance professionnelle pour le service informatique s'ils en ont un, à moins qu'ils aient fait remonter le manque de moyens au DGS / maire pour justifier leur incapacité à pouvoir garantir la sécurité des données des usagers. Après, une insuffisance professionnelle pour le maire, ça existe :sweat: ? Parce qu'on peut remonter loin comme ça, le maire peut se retourner contre l'Etat qui a baissé les dotations par exemple :D

 

Epsy.

 

En effet, merci Epsy.

Lien vers le commentaire
Partager sur d’autres sites

Il y a 17 heures, Ferris a dit :

Surement pas. On ne peux pas reprocher d'insuffisance professionnelle à un agent en dehors des critères qui fondent sa profession. Et que l'on peut retrouver sur sa fiche de poste, elle-même issue de la fiche génerique "bibliothécaire", dite "fiche métiers". Encore moins quand la fonction en question est déja dévolue à un Service informatique qui gère la maintenance , la mise à jour et d'une façon generale la conformité des postes offerts au public, tous services confondus (écoles etc...). Que je sache il n'existe pas encore de "bibliothécaire-informaticien" dans la filière culturelle.

 

C'est un tort (prévoir le régime indemnitaire de la filière technique, catégorie A, merci beaucoup. Mon CV suivra).

 

 

Il y a 17 heures, Ferris a dit :

J'ai une obligation de moyens, prévue au règlement intérieur des bibliothèques, (offrir un accès internet au public) mais certainement pas une obligation de résultats à ce niveau. De même que je ne suis pas en charge de la conformité des locaux (il y a un architecte, un DST, une commission de sécurité etc..missionnés pour cela). De plus je n'ai pas le droit de modifier mes machines. Et s'il y a un Keylogger, ou un mouchard quelconque d'installé, c'est au DSI de le voir et d'agir en conséquence.

En gros si je ne fais jamais d'exercice d'évacuation ou d'incendie, mais qu'il n'y a pas d'escalier de secours ni d'extincteurs ou d'alarme, ma responsabilité n'est pas engagée. A condition toutefois, en tant que responsable d'ERP,  que j'aie informé de ces manquements les services responsables.

Et cela fait des mois que j'informe le DSI que ses antivirus sont des passoires, jamais mis à jour, et ils ne sont de toutes façon accessibles et paramétrables qu'a partir de sa session sécurisée, à laquelle je n'ai pas accès. Tout ce que je peux faire c'est installer sur ma session, ou sur la session publique, des versions "free", chargées sur internet, et dont la durée de vie est aussi faible que la fiabilité.

 

A ce niveau d'incompétence (pas toi, hein...) on est dans le danger "grave et immédiat".

 

Déjà, le fait d'avoir une session "publique" et pas une session par utilisateur, ça ne devrait pas être possible. Le minimum, c'est une session par utilisateur, avec comptes en provenance du SIGB, et possibilité de créer des comptes temporaires pour les bibliothécaires.

 

Si il n'y a pas ça, c'est impossible de garantir une sécurité même seulement décente. Cela met en danger les utilisateurs loyaux. Je pense que si j'arrivais dans un établissement qui aurait un tel fonctionnement, je couperais tout accès à Internet, enlèverais les machines, et demanderais un rendez-vous urgent au DSI, et sinon, au maire.

 

Ton DSI est un gros nul, mais les usagers ne doivent pas payer ça.

 

 

 

Lien vers le commentaire
Partager sur d’autres sites

Le 20/04/2018 à 19:22, Ferris a dit :

ce qui est inquiétant c'est que toute l'administration française est en train de pousser les usagers à utiliser le dématérialisé

très inquiétant pour les victimes de l'ex fameuse fracture numérique dont on n'entend plus trop parler... mais elle existe toujours d'après le défenseur des droits :

https://www.caissedesdepotsdesterritoires.fr/cs/ContentServer?pagename=Territoires/Articles/Articles&cid=1250280934705

"Le Défenseur des droits tire en particulier la sonnette d'alarme sur "le recul de l’accueil dans les services publics 
à l’ère de la dématérialisation", constituant "une énorme difficulté pour le public et particulièrement pour les personnes âgées, précaires, en situation de handicap ou étrangères". La confiance entre les usagers et les administrations "s'est dégradée", ce qui conduirait des usagers à renoncer à faire valoir leurs droits ou à recourir au Défenseur des droits - "là où un simple échange avec l’administration aurait pourtant suffi à résoudre le problème".

 

Au passage j'ai découvert que les délégués en régions du défenseur des droits étaient... bénévoles. Décidément !

Lien vers le commentaire
Partager sur d’autres sites

Insuffisance ou méconnaissance professionnelle ?

 

Le premier rempart contre les pirates, ce sont les utilisateurs eux-mêmes, et en particulier les personnels vigilants.

 

15 bibliothèques au Danemark, ce n'est pas anodin.

Combien en France ?

 

Si on regarde ça

https://db.ifla-world-report.org/home/map#/2/2/SM9PUTHXFRP1BUI

There are 510 public libraries in Denmark, according to the Danish Agency for Libraries and Media’s official statistics for 2008.

15/510 = 2,94 %

 

On pourrait avoir 470 bibliothèques françaises impactées.

 

Ferris rapproche le problème d'un défaut de conception d'un bâtiment, sauf que là, il s'agit d'un début d'incendie.

Normalement, on doit tous être vigilants contre les risques d'incendie.

 

@olivierH

Waow, c'est de l'expéditif. Mais tu passeras juste pour un chieur et la leçon ne passera pas.

 

La vraie leçon, c'est d'installer un keylogger sur le poste des personnels et de leur envoyer tout ce qu'ils ont fait durant la semaine.

Ou alors, on change leurs mots de passe sur leurs sites favoris, ou à l'accès à la machine.

C'est ce que fera un pirate, avant de réclamer une rançon, ou de vendre leur compte mail à des nigériens, par exemple.

 

Leçon très efficace pour tous ceux qui laissent leur machine ouverte et accessible entre midi et deux, sans verrouillage par mot de passe.

Et qu'ils doivent appeler le service informatique pour déverrouiller. On les prend une fois en faute, rarement deux, jamais trois.

La honte de devoir téléphoner, et aussi que ça remonte au supérieur hiérarchique la troisième fois joue à plein.

 

Dans certains services la sécurité informatique n'est pas un jeu laissé au hasard.

 

Maintenant, je comprends Ferris. A partir de quelle taille de population y a-t-il vraiment une DSI compétente et disponible ?

Quand je vois les parcs informatiques ici et là, ça fait peur.

 

Et dire qu'un bon juriste pourrait porter plainte contre la bibliothèque pour non sécurisation de l'accès (et des données personnelles ?).

En particulier si rien n'est pas indiqué dans la charte d'utilisation d'Internet.

(dommage qu'il n'y ait pas plus d'infos sur le problème au Danemark. Pour que ça sorte au grand jour, c'est peut-être que la responsabilité de la bibliothèque a été engagée)

 

 

@Isalabib

Oui, les défenseurs des droits, bénévoles, mais avec indemnité forfaitaire.

 

Bénévoles, elles/ils perçoivent chaque mois une indemnité forfaitaire représentative de frais.

https://www.defenseurdesdroits.fr/fr/recrutement/devenir-delegue

 

 

Lien vers le commentaire
Partager sur d’autres sites

Le 23/04/2018 à 14:07, olivierH a dit :

(générique, hein, DSI, directeur de bib)

 

Générique au sens responsable informatique, j'avais compris, mais j'ai réagi à "Directeur de bib", quel qu'en soit le grade par ailleurs, puisque le grade ne définit pas la fonction.

Mais le sujet que tu soulèves soulevé est intéressant,  (et te concerne au premier chef) car certains profils de poste peuvent donner froid dans le dos tant  les exigences en capacités informatiques sont élevées. Et pourtant, si élevées soient-elles, elles ne définiront jamais un niveau de responsabilité équivalent à celui d'un DSI.

Et heureusement.

Ce qui pose la question d'un bib chargé de fonctions de webmaster (il a une mission et doit l'assumer) qui ne s'entend pas avec le DSI, situation maintes fois évoquées sur ce forum; Et pourquoi c'est le DSI qui l'emportera presque toujours : parce que lui porte la responsabilité globale du système.

 

 

Modifié par Ferris
Lien vers le commentaire
Partager sur d’autres sites

bon je ne pensais pas provoquer tant de réactions avec cet article d'actualitté...

 

je suis quand même dubitatif, dans nos campagnes certaines villes n'ont tout simplement pas de services informatique, les logiciels qui se synchronisent avec le SIGB, vous voulez pas qu'on gère les impressions avec un porte-feuille virtuel pendant que vous y êtes ? ;)

 

quand on voit les keyloggers que nous montre B.Majour je vois mal comment y échapper à moins d'interdir complètement les clés usb.

Chez nous la solution de configurer une session invité sous linux mint nous convient bien. Evidemment aucun historique/mot de passe n'est conservé. Mais je ne me vois pas interdir l'accès aux ports usb, c'est trop important pour nos utilisateurs, d'ailleurs je n'ai pas de meubles pour interdir l'accès physique au machine. 

 

Autant je suis d'accord qu'il faut un minimum de sécurité, mais ça me parait difficile d'être 100 % sécurisé à un coût raisonnable, (à moins de retirer le service?).

avec le resserrement des budgets municipaux pas évident en ce moment...

Lien vers le commentaire
Partager sur d’autres sites

il y a 59 minutes, Ferris a dit :

 

Générique au sens responsable informatique, j'avais compris, mais j'ai réagi à "Directeur de bib", quel qu'en soit le grade par ailleurs, puisque le grade ne définit pas la fonction.

 

Mais le sujet que tu soulèves est intéressant,  (et te concerne au premier chef) car certains profils de poste peuvent donner froid dans le dos tant  les exigences en capacités informatiques sont élevées.

 

 

 

Haha, m'en parle pas, je ne sais pas si je pourrais retrouver un poste équivalent au mien, 5 ans après.

 

Pour info à Versailles :

http://www.enssib.fr/offre-d-emploi/139382-bibliothecaire-responsable-de-linformatique-documentaire-des-outils-numeriques

 

Y avait un poste délirant aussi à Toulon, je ne le retrouve pas.

 

Citation

(...)

 

Tant qu'ils nous laissent choisir notre SIGB...

 

Même pas. Et en plus après ils se plaignent et menacent de résilier les marchés, les DSI. Been there, done that.

 

Citation

 

Bon j'arrête parce que je vois que le Révérend Majour vient de monter en chaire. Ecoutons-le religieusement....:angel:

 

J'écoute.

Lien vers le commentaire
Partager sur d’autres sites

Oh bin moi mon DSI avait une solution toute trouvée: réduire les services!

 

Autant vous dire que j'étais au bord de l'apoplexie et que j'ai du prendre sur moi pour éviter un dérapage incontrôlé vis-à-vis de sa personne!

 

Bon, maintenant que les services informatiques sont mutualisés avec l'agglo, il y a un DRI donc au dessus de lui. Quelqu'un de plus ouvert, avec qui on peut discuter et qui ne part pas du principe qu'une nana est forcément incompétente en informatique qui plus est quand elle travaille en bib.

Mais que de temps perdu!

 

Lien vers le commentaire
Partager sur d’autres sites

Il y a 3 heures, B. Majour a dit :

Ferris rapproche le problème d'un défaut de conception d'un bâtiment, sauf que là, il s'agit d'un début d'incendie.

Normalement, on doit tous être vigilants contre les risques d'incendie.

 

NON ! justement, et c'est bien là le problème, et je l’expliquais pourtant bien : il ne s'agissait pas d'un début d'incendie mais des exercices que nous sommes astreints à pratiquer, incendie ou non (en général il  n'y a rien du tout, mais nous devons faire la preuve que nous sommes prêts à intervenir dans les normes? Il s'agit donc d'un exercice, qui fait partie de nos fonctions. Nous PRATIQUONS. Mais nos ne sommes pas responsables des moyens mis à notre disposition pour le faire.

 

La réflexion de stef, que j'approuve totalement, (et  dont je relève en bon littéraire la formule digne de d’Alphonse Allais "dans nos campagnes certaines villes  ", lui qui voulait mettre les villes à la campagne....) reflète la triste réalité de la plupart d'entre nous. Celle de Louve aussi., comme le dit Stef " mais ça me parait difficile d'être 100 % sécurisé à un coût raisonnable, (à moins de retirer le service?"). Exemple simple : interdire l'utilisation des clés USB (qui sont des bombes ambulantes, chacun le sait). Facile à décider autour d'un bureau de DSI en nous conseillant d'utiliser un poste spécifique pour "tester la clé". En réalité nous viderons bien vite nos bibliothèque de nos utilisateurs. Ce dont se fout totalement le DSI. Qui n'aura qu'une obsession : réduire les risques, au risque de réduire le service public.

Et vous m'excuserez de mon ignorance mais sais je ne sais pas "tester une clé, sauf celle de ma serrure.

 

Bref, il faut cesser avec ce sujet : mon expérience : mon DSI ne dirige plus que lui en connexion avec une boite privée sous contrat qui passe l'essentiel de son temps auprès des services administratifs (très importants, les services administratifs, alors qu'ils ont déja une maintenance logicielle par contrat). Sa collaboratrice directe vient de nous quitter. Elle a trouvé plus cool ailleurs. Le côté sexiste que tu soulèves, ma Louve, n'y est d'ailleurs peut-être pas étranger....mais je ne peux en dire plus.

 

Et en plus ces cons là s'opposent aux logiciels libres alors que cela les déchargerait d'une partie de leurs responsabilités. Et nous impliquerait davantage. Mais on n'est pas contre. Ce qu'on voudrait c'est qu'on nous foute la paix, tant qu'on maîtrise, et qu'on nous aide quand on ne maîtrise pas. Simple, non ?

Modifié par Ferris
Lien vers le commentaire
Partager sur d’autres sites

il y a 8 minutes, Ferris a dit :

Et en plus ces cons là s'opposent aux logiciels libres alors que cela les déchargerait d'une partie de leurs responsabilités. Et nous impliquerait davantage. Mais on n'est pas contre. Ce qu'on voudrait c'est qu'on nous foute la paix, tant qu'on maîtrise, et qu'on nous aide quand on ne maîtrise pas. Simple, non ?

 

Du libre????

Non mais oh! On va où là? Du libre!

Ah mais non, mais non, nous sommes de vrais informaticiens nous, et puis au moins avec du propriétaire, on paie une presta et on est tranquille.

 

Voilà ce que me disait mon DSI.

Le DRI lui n'a pas le même discours: en interne, je ne pourrai pas assurer, il faudra dans tous les cas que nous fassions appel à des presta. Et puis c'est un peu le binz le système, tout a été fait pour que personne n'y comprenne rien.

 

Moi:

OK, donc là on est face à un gros bordel à nettoyer sans forcément avoir les gars et les filles qui peuvent/veulent le faire?

J'ai une furieuse envie de mettre un bon coup de pied, de tout mettre à terre et de repartir sur de bonnes bases. Sauf que vu l'ampleur du bordel, je ne pourrai pas, non?

 

Le DRI contrit: euh.. oui, c'est tout à fait ça.

 

J'a gardé pour moi le chapelet de jurons que je m'apprêtais à déverser mais ait quand même dit que j'étais TRES en colère que l'on ait laissé autant de champ libre (bon dans d'autres  domaines aussi, 3 ans et demi que je suis en poste et je trouve encore des horreurs à tous niveaux) à un gars qui est tranquillement installé dans son fauteuil et n'en bougera pas...

Lien vers le commentaire
Partager sur d’autres sites

En fait on est un peu à la croisée des chemins. D'un côté on a une demande locale d'informatique public qui augmente, notamment dans le social (Maisons de services etc...), des tranches d'âge de plus en plus nombreuses prises en otage par les administrations, banques et autres, des services comme les nôtres qui augmentent et diversifient leur offre de services liés à l'informatique (portails, jeux vidéos, tablettes, formation des usagers...) et vont se voir, Orsenna oblige, chargés de tâches nouvelles qui passeront en partie aussi par l'informatique,  et de l'autre un parc qui n'est pas à la hauteur des besoins, gérés par des personnels non formés, et parfois carrément inexistants, comme le souligne Stef, et la fin des "bidouilleurs géniaux" que nous avons pu avoir dans nos services à certains moments et qui, à l'époque, pouvaient suffire à nos besoins. Aujourd'hui, surtout en réseaux, nos besoins en professionnalisme augmentent. La demande sécuritaire aussi. Par contre les budgets diminuent et donc les possibilités d'externalisation aussi. Et nous on continue à embaucher dans la filière culturelle...et à bidouiller comme il y a 20 ans, avec des matériels qui ont le même âge (j'exagère à peine).

 

Je répondais ce jour à un collègue sur un autre topic, qui souhaitait se doter d'un intranet pour communiquer entre collègues et bénévoles en réseau. Solution mise à part, j'ai oublié de lui dire qu'il ferait mieux d'avoir l'avis de son DSI sur le sujet, surtout qu'il veut un truc gratuit. Il est fort possible que la Bête s'oppose à son projet.

 

En plus on ne peut pas discuter. Chez moi, dès que je pousse le loup hors du bois, au lieu de venir me parler, comprendre mes besoins réels, il me répond que le mieux serait qu'il prenne le contrôle de mon poste par TeamViewer. Du coup d'une part je suis officiellement largué et d'autre part il y a des choses qu'il ne verra pas, comme l'énorme bordel de la baie de brassage dans laquelle chaque service (Une baie pour 3 services) a rajouté son petit matos au fil des ans. Il sait très bien qu'en dehors d'une intervention ponctuelle sur un poste, il faudra s'attaquer un jour au gros morceau, mais il recule l'échéance.

 

Quand je veux cauchemarder je vais jeter un coup d’œil à cette armoire de malheur, même pas fermée à clé, où ça clignote de partout. L'Enfer de Dante, à côté c'est une bluette pour enfants. Si un môme pouvait venir arracher tout ça.....

Lien vers le commentaire
Partager sur d’autres sites

Il y a 15 heures, Isalabib a dit :

très inquiétant pour les victimes de l'ex fameuse fracture numérique dont on n'entend plus trop parler... mais elle existe toujours d'après le défenseur des droits :

https://www.caissedesdepotsdesterritoires.fr/cs/ContentServer?pagename=Territoires/Articles/Articles&cid=1250280934705

"Le Défenseur des droits tire en particulier la sonnette d'alarme sur "le recul de l’accueil dans les services publics 
à l’ère de la dématérialisation", constituant "une énorme difficulté pour le public et particulièrement pour les personnes âgées, précaires, en situation de handicap ou étrangères". La confiance entre les usagers et les administrations "s'est dégradée", ce qui conduirait des usagers à renoncer à faire valoir leurs droits ou à recourir au Défenseur des droits - "là où un simple échange avec l’administration aurait pourtant suffi à résoudre le problème".

 

Au passage j'ai découvert que les délégués en régions du défenseur des droits étaient... bénévoles. Décidément !

 

Tous les jours, je passe devant Pôle Emploi.

Il y a une affiche sur la boîte aux lettres indiquant que désormais, toutes les démarches sont à faire en numérique : plus de docs sur papier.

 

Quand je vois la queue à leurs guichets tous les jours, et que chacune des personnes a dans la main une pochette que je devine remplie de paperasse ; quand je vois un grand nombre de mes usagers qui regardent nos PCs comme si c'était une tablette écrite en sumérien ; quand je vois le regard perdu du lecteur que j'inscris quand je lui explique rapidement notre portail et les services en ligne disponibles ; quand j'entends le silence lourd au téléphone quand j'essaie d'expliquer au lecteur paumé comment faire une réservation sur le portail... Enfin, quand je réalise que je passe mon temps à dire à tout ce beau monde "Il y a toujours un bibliothécaire en salle, n'hésitez pas à nous demander" "N'hésitez pas à nous appeler en cas de soucis, on réglera ça ensemble"...

 

Le numérique est un outil, comme un marteau.

Avant d'obliger tout le monde à utiliser des marteaux, il faudrait peut-être vérifier que tout le monde en a un, qu'il n'est pas en plastique, et que tout le monde sait s'en servir.

 

Mais tant qu'on continuera à raisonner selon l'équation "numérique = moins de personnel = moins de dépenses", ça ne marchera pas

(NB : je ne parle pas que des administrations, les entreprises font exactement la même chose)

Lien vers le commentaire
Partager sur d’autres sites

Le post de BiblioEdualk nous parle à tous n'est-ce pas ? Et bien ça ne risque pas d'aller en s'améliorant quand on additionne les politiques annoncées :

 

1 programme "Action Publique 2022" : 3 objectifs, 6 principes clés dont "objectif 100 % de services publics dématérialisés à horizon 2022."

http://www.gouvernement.fr/action/action-publique-2022-pour-une-transformation-du-service-public

+

des "schémas départementaux d'amélioration de l'accessibilité des services au public" qui se profilent (dispositif issu de la loi Notre)
On est en retard dans leur élaboration mais on sait déjà qu'ils feront sans doute la part belle aux maisons de services aux publics, car il y a et il va y avoir de gros besoins d'accompagnement cf. fin de l'article :

"Le ministre de la Cohésion des territoires a eu l'occasion de manifester son attachement aux maisons de services au public dont il souhaite poursuivre le déploiement. Mais on ne sait quelle attention sera portée à ces schémas, sachant qu'entretemps, le gouvernement a lancé son projet Action publique 2022 qui fixe un objet de 100% de services dématérialisés d'ici à 2022. Ce programme vise à "améliorer la qualité de services" et à "accompagner la baisse des dépenses publiques". Dans le droit fil de la RGPP et de la MAP des deux précédents quinquennats. Si la quasi-totalité des schémas ont fait du numérique un enjeu d'avenir, ils pointent aussi le risque de couper une partie de la population. A cet égard, l'Allier veut conforter la mairie comme "lieu du primo-accompagnement" du public. "L'accompagnement sera un enjeu important", insiste Sylvie Cabassot."

+

1 proposition (la 6) du Rapport Orsenna :

"Proposition n°6 : lors de la rénovation ou construction de nouvelles bibliothèques, privilégier (surtout dans les villes petites et moyennes) la mutualisation d’espaces avec des services intervenant dans le champ de la cohésion sociale (PMI, CCAS Pôle emploi) et les maisons de services au public."

+

un "plan bibliothèques" du MCC, avec un discours de F Nyssen le10 avril dernier qui reprend également cette piste :

"Pour adapter les horaires, le soutien financier n’est pas la seule solution. La mutualisation des locaux peut en être une, pour élargir ou adapter à moindre coût : Je pense au rapprochement avec des structures locales, comme les bureaux de Poste, les espaces numériques, ou encore les mairies. J’ai aussi demandé au ministère de la Cohésion des territoires d’étudier systématiquement la possibilité d’implanter ses nouvelles Maisons de service au public dans les bibliothèques des communes concernées."

http://www.culture.gouv.fr/Presse/Discours/Discours-de-Francoise-Nyssen-ministre-de-la-Culture-prononce-a-l-occasion-de-la-Journee-des-bibliotheques-Ouvrir-plus-ouvrir-mieux-le-mardi-10-avril-2018

(vous noterez le "moindre coût" et l'étude systématique de l'implantation de ses maisons dans les bibliothèques... )

 

= préparez-vous à la pression qui est en train de nous tomber dessus. On va être entre le marteau (dématérialisation et raréfaction/disparition des guichets à visage humain) et l'enclume (le besoin d’accompagnement des citoyens, usagers). A moindre coût et en mutualisant.

Au nom de la modernité et de la solidarité territoriale (pour ceux qui pourront).

 

Modifié par Isalabib
Lien vers le commentaire
Partager sur d’autres sites

En résumé : l'Etat réduit ses coûts et transfère ce qu'il supprime aux collectivités locales en leur faisant la morale. On sait qu'elles sont hyper-dépensières, donc si elles augmentent encore leurs dépenses et leurs impôts pour payer tout ce que l'Etat abandonne, ce sera parce qu'elles ne sont pas gérées correctement.

 

Le pire, c'est que ce n'est même pas original. Ca fait des années que ça dure, ce jeu de c... entre l'Etat et les collectivités : "Voyez, nous l'Etat, on réduit le personnel et les dépenses. C'est ces escrocs des collectivités qui continuent à couler la baraque en dépensant de plus en plus ! Salauds !" :blink:

 

Il y a 229 ans, on a collé les aristocrates à la lanterne.

J'ai bien envie de faire pareil avec les comptables publics et les fanatiques de la réduction de la dépense publique incapable de voir plus loin que leur calculatrice et leurs méthodes d'escrocs. :bug:

 

Par contre, j'aimerais bien qu'on me dise où on va mettre tous ces nouveaux services, dans nos bibs. Parce que l'espace, c'est pas forcément ce qu'on a en trop.

Lien vers le commentaire
Partager sur d’autres sites

il y a 42 minutes, Isalabib a dit :

Au nom de la modernité et de la solidarité territoriale (pour ceux qui pourront).

 

Même pas!

Le but clairement affiché c'est: E-CO-NO-MIES!!!

Le discours est aussi: nous allons vous expliquer ce qu'il faut faire à vous pauvres provinciaux égarés qui n'avaient aucune idée, aucune vision. Et vous allez le faire, si vous le faites pas ce sera preuve  de  très mauvaise volonté.

 

Il sont hors-sol, n'ont pas connaissance de nos réalités si différentes et si semblables à la fois.

 

Et puis non en fait, ils savent : la dématérialisation à outrance c'est une sélection, seuls les plus forts, les pus doués, les plus chanceux  s'en sortiront,. Après tout pour grimper en haut de l'Everest, de l'Anapurna... on utilise des sherpas payés au tarif local et dont on ignore le nom. En acceptant tout au niveau des bibliothèques (et des services publics en général) , nous acceptons également de créer des générations de sherpas...

 

Louve_désabusée_pessimiste

Lien vers le commentaire
Partager sur d’autres sites

Il y a 16 heures, stef a dit :

quand on voit les keyloggers que nous montre B.Majour je vois mal comment y échapper à moins d'interdire complètement les clés usb.

 

Pour précision, ça se branche sur le fil du clavier, et pas juste sur un port USB.

Tu peux interdire les clefs USB, ça n'empêchera pas un keylogger de venir se greffer entre l'ordi et le fil du clavier. Un clavier, c'est juste indispensable pour saisir des données.

Enfin, pour l'instant, la commande vocale commence à tracer son chemin.

 

 

Il y a 16 heures, stef a dit :

Autant je suis d'accord qu'il faut un minimum de sécurité, mais ça me parait difficile d'être 100 % sécurisé à un coût raisonnable, (à moins de retirer le service?).

 

La sécurité à 100 %, c'est strictement impossible.

Même si tu fais passer des hackers pour "tester" ta sécurité, pourtant blindé, ils y arrivent... parce qu'ils utilisent le maillon faible. Le maillon faible, c'est l'humain.

Souvent la secrétaire ou le/la stagiaire, l'agent qui n'a pas été averti, ni formé, et qui balance son mot de passe au téléphone parce que le "service informatique" le lui demande.

 

 

Un bon DSI devrait former régulièrement les personnels à la sécurité informatique.

On voit bien ce qu'il en est. Combien de bibliothécaires formés à cette problématique ?

 

 

Les hackers ont volé jusqu'à sept millions de dollars aux Danois en utilisant des keyloggers, d'après le reportage  'The Hackers Attack Us'.

 

Et le Danemark n'est pas un cas isolé.

 

https://www.scmagazineuk.com/keyloggers-found-plugged-into-library-computers/article/561504/

“My second thought is that in the USA (my country of origin), a lot of folks use the public library because they cannot afford a computer. Or, the rural area in which they live doesn't offer high-speed broadband. So the library becomes a very popular place.

 

Là, ça rejoint en plein la crainte de Ferris sur la fracture numérique. Ceux qui n'ont pas les moyens seront obligés d'utiliser les ordinateurs publics, et ils seront les premières victimes.

 

https://nakedsecurity.sophos.com/2011/02/14/hardware-keyloggers-discovered-public-libraries/

https://www.mcgill.ca/channels/news/using-public-computer-check-keyloggers-first-259849

 

https://www.theregister.co.uk/2011/02/15/hardware_keyloggers_manchester_libraries/

Library staff have been advised to keep a close eye on computers to help prevent the reccurrence of similar incidents in future. In addition, rules have been revised so that USB keyboards are plugged into the more visible front ports of a computer rather than its rear.

 

J'adore l'expression anglaise "keep a close eye". Et leur solution de brancher le clavier devant... même si ça peut être très gênant pour les clefs USB un peu épaisse.

 

 

Lien vers le commentaire
Partager sur d’autres sites

Il y a 8 heures, BiblioEdualk a dit :

Le numérique est un outil, comme un marteau.

Avant d'obliger tout le monde à utiliser des marteaux, il faudrait peut-être vérifier que tout le monde en a un, qu'il n'est pas en plastique, et que tout le monde sait s'en servir.

 

Attention à ne pas caricaturer. Il y a en France des Maisons de Services au public. D'ailleurs Isalabib en parle dans sa phrase  ""schémas départementaux d'amélioration de l'accessibilité des services au public" qui se profilent". Sauf qu'elles sont déja bien là. La Loi NOTRE n'a fait que changer leur nom (passant de services publics à services AU public), mais leur a donné un peu plus d'importance.

 

une structure qui combine accueil physique et accompagnement numérique, et qui regroupe en un même lieu plusieurs services.L’objectif est de permettre à l’ensemble des habitants d’accéder à un service de proximité et/ou de bénéficier d’un accompagnement administratif sur de nombreuses thématiques de la vie quotidienne : emploi, retraite, famille, social, santé, logement, énergie, services postaux, accès au droit, etc.

 

Depuis 2015 elles sont labellisées (317) et on visait à arriver à 1000 en 2017.. Mais moi, fonctionnaire, je n'étais pas apte à délivrer des actes ou des actions à caractère social relevant de l'Assurance retraite ou relevant de Pôle emploi ou de la CNAF etc...

Alors que des bénévoles  ou des gens relevant d'autres activités le pouvaient, et le pourront encore, comme le signalait quelqu'un plus haut. : La loi permet depuis 2005 à des personnes dont l'activité ne relève pas d'une mission de service public (commerces alimentaires, bureaux de tabac, DAB, …) de participer à une maison des services publics.

 

Avec la nouvelle loi en 2016, Elles peuvent rassembler des services publics relevant de l'Etat, des collectivités territoriales ou de leurs groupements, d'organismes nationaux ou locaux chargés d'une mission de service public.

 

Voir davantage sur https://www.caissedesdepotsdesterritoires.fr/cs/ContentServer?pagename=Mairie-conseils/MCQuestRep/FicheReponse&cid=1250270063102

 

Donc les cyberlieux en général et nous-même, les bibliothèques, n'interviendrions en principe qu'en soutien de ces structures, qui par ailleurs ont des partenaires d'Etat, dont 7 operateurs nationaux et une gestion par la Caisse des dépôts. Et qui n'agissent que dans le cadre de conventions bien précises. "Pour chaque maison, une convention-cadre conclue par les participants doit définir les services rendus aux usagers, la zone dans laquelle la maison de services au public exerce son activité, les missions qui y sont assurées et les prestations qu'elle peut délivrer."

 

Voir plus  sur https://www.maisondeservicesaupublic.fr/

 

Après il faut regarder de près leurs moyens réels. Leurs horaires aussi. Et se demander pourquoi le public vient de préférence à la bibliothèque pour s'actualiser chaque mois à Pôle Emploi pour toucher ses allocs. Et enfin, si nous avons le droit de nous substituer à la Maison de services, en termes de prestations, quand celle-ci est fermée....C'est un point que je suis en train d'éclaircir actuellement avec la MSAP qui jouxte la bibliothèque, et dont les horaires sont inadaptés, au point que le public déboule chez moi, de plus en plus.

 

On verra effectivement quel rôle nous sera dévolu, comme le dit Isalabib, dans le cadre du developpement de ces services. Mais là encore les choix seront locaux.

 

Modifié par Ferris
Lien vers le commentaire
Partager sur d’autres sites

  • 2 weeks later...
Le 25/04/2018 à 04:26, Ferris a dit :

En plus on ne peut pas discuter. Chez moi, dès que je pousse le loup hors du bois, au lieu de venir me parler, comprendre mes besoins réels, il me répond que le mieux serait qu'il prenne le contrôle de mon poste par TeamViewer. Du coup d'une part je suis officiellement largué et d'autre part il y a des choses qu'il ne verra pas, comme l'énorme bordel de la baie de brassage dans laquelle chaque service (Une baie pour 3 services) a rajouté son petit matos au fil des ans. Il sait très bien qu'en dehors d'une intervention ponctuelle sur un poste, il faudra s'attaquer un jour au gros morceau, mais il recule l'échéance.

 

L'échéance, elle arrive.

 

J'ai contacté la CNIL pour avoir des infos sur la responsabilité du bibliothécaire en cas de keylogger.

 

Vous nous avez contactés afin de connaître votre responsabilité quant à des postes informatiques accessibles au public.

Je vous informe que tout responsable de fichiers est tenu de prendre les précautions utiles pour assurer la sécurité des données qu'il détient et notamment empêcher que des tiers non autorisés y aient accès (article 34 de la loi du 6 janvier 1978 modifiée).

En cas d'intervention d'un sous-traitant ou d'un prestataire, le contrat conclu avec le responsable des fichiers concernés doit prévoir les mesures de sécurité à prendre. En effet, le sous-traitant ou prestataire intervient pour le compte du responsable des fichiers (article 35 de la loi du 6 janvier 1978 modifiée).

Afin d'augmenter votre niveau de sécurité, je vous invite à prendre connaissance de notre nouveau guide pratique sur la sécurité des données personnelles.

A toutes fins utiles, je vous invite également à consulter notre article en ligne intitulé "Internet et wi-fi en libre accès : bilan des contrôles de la CNIL".

 

Signature

 

 

 

Dans le panel des choses à faire :

 

https://www.cnil.fr/fr/securite-informatique-sensibiliser-les-utilisateurs

=> Rédiger une charte informatique et lui donner une force contraignante (ex. annexion au règlement intérieur).

 

=> Prévoir la signature d’un engagement de confidentialité (voir modèle de clause ci-dessous), ou prévoir dans les contrats de travail une clause de confidentialité spécifique concernant les données à caractère personnel.

Cf. cadre "Exemple d’engagement de confidentialité pour les personnes ayant vocation à manipuler des données à caractère personnel :"

Avec une gentille information pour finir : J’ai été informé que toute violation du présent engagement m’expose à des sanctions disciplinaires et pénales conformément à la réglementation en vigueur, notamment au regard des articles 226-16 à 226-24 du code pénal.     

 

Pour info articles 226-16 à 226-24 du code pénal

http://www.jurizine.net/2005/09/21/44-articles-226-16-a-226-24-du-code-penal-fichiers-informatiques-illicites

« Article 226-16. - Le fait, y compris par négligence, de procéder ou de faire procéder à des traitements de données à caractère personnel sans qu'aient été respectées les formalités préalables à leur mise en oeuvre prévues par la loi est puni de cinq ans d'emprisonnement et de 300 000 Euros d'amende.
   « Est puni des mêmes peines le fait, y compris par négligence, de procéder ou de faire procéder à un traitement qui a fait l'objet de l'une des mesures prévues au 2º du I de l'article 45 de la loi nº 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ».

 

On retrouve la trace de ce problème ci-dessous.

 

https://www.cnil.fr/sites/default/files/atoms/files/cnil_guide_securite_personnelle.pdf

p4

3. Identifier les menaces réalisables (qu’est-ce qui pourrait permettre que chaque évènement redouté survienne ?). Ces menaces se réalisent via les supports des données (matériels, logiciels, canaux de communication, supports papier, etc.), qui peuvent être :

- utilisés de manière inadaptée (ex : abus de droits, erreur de manipulation) ;
- modifiés (ex : piégeage logiciel ou matériel – keylogger, installation d’un logiciel malveillant) ;
- perdus (ex : vol d’un ordinateur portable, perte d’une clé USB) ;
- observés (ex : observation d’un écran dans un train, géolocalisation d'un matériel) ;
- détériorés (ex : vandalisme, dégradation du fait de l’usure naturelle) ;
- surchargés (ex : unité de stockage pleine, attaque par dénis de service).

 

Le RGPD introduit la notion d’ « analyse d'impact relative à la protection des données » et précise que celle-ci doit au moins contenir « une description du traitement et de ses finalités, une évaluation de la nécessité et de la proportionnalité, une appréciation des risques [...] et les mesures envisagées pour traiter ces risques et se conformer au règlement » (voir article 35.7). La réflexion sur les risques dont il est question dans la présente fiche permet d’alimenter le volet sur l’appréciation des risques de l’analyse d’impact.

 

Ton DSI ne va pas pouvoir se cacher longtemps dans son antre.

Il doit au minimum passer pour remplir le tableau de la page 4 :  5) Estimer la gravité et la vraisemblance

 

Puis, voir p10, mettre en place les journaux de logs. (avec juste les infos nécessaires)

Et les vérifier régulièrement.

 

p13

Gérer les réseaux Wi-Fi. Ils doivent utiliser un chiffrement à l’état de l’art (WPA2 ou WPA2-PSK avec un mot de passe complexe) et les réseaux ouverts aux invités doivent être séparés du réseau interne.  (Note : les invités, ce sont les usagers)
Imposer un VPN pour l’accès à distance ainsi que, si possible, une authentification forte de l’utilisateur (carte à puce, boitier générateur de mots de passe à usage unique (OTP), etc.).
• S’assurer qu’aucune interface d’administration n’est accessible directement depuis Internet. La télémaintenance doit s’effectuer à travers un VPN. (=> tiens, rigolo ça, si ce n'est pas le cas, ton DSI doit venir sur place.)
[...]

 

A remarquer que c'est un sacré chantier pour les DSI !

Enfin, pour les imprévoyants.

  Bernard

Lien vers le commentaire
Partager sur d’autres sites

Intéressant tout ça. On a une charte signée par chaque utilisateur. Quant à moi je supprime régulièrement toutes les fiches lecteur dont le dernier retour date de plus d'un an. Sur les ordis les historiques ne sont pas supprimés. De toutes façons je suis en Réseau, et c'est donc la responsable du Réseau qui doit assumer. Et je sais qu'elle n'a même pas déclaré l'existence de notre fichier à la CNIL...

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Restaurer la mise en forme

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...