J’accepte le risque (évolutif)

Pendant plusieurs années, la sécurité informatique était considérée comme un domaine technique obscur et souvent une opération parmi tant d’autres, car les grands systèmes informatiques d’autrefois n’étaient qu’accessibles que par certains individus – eux reliés directement aux administrateurs et certains autres utilisateurs particuliers.

De plus, ce qui simplifiait d’autant plus la situation, était le fait que ces grands systèmes informatiques centraux étaient limités à un rayon d’action plus simple à déterminer qu’aujourd’hui (une salle, un étage, une bâtisse), et donc, plus simple à contrôler.

Avec la venue de réseau étendu comme Internet ainsi que le nombre grandissant d’échanges électroniques et d’utilisateurs, le rayon d’action des systèmes informatiques devient de plus en plus complexe à contrôler, gérer et naturellement, sécuriser.

Avec cette complexité grandissante, la gestion de la sécurité de l’information et les interactions contenues avec ces systèmes devient donc beaucoup plus complexe. Pour ces différentes raisons, des postes de spécialistes, analystes et architectes en sécurité de l’information sont de plus en plus communs dans les entreprises.

Ces experts ont souvent comme mission de faire l’analyse, la planification ou même l’architecture des solutions (affaires et technologiques) répondant le mieux aux besoins et circonstances d’affaires des entreprises. Suivant ces études, des recommandations sont remises aux gestionnaires qui sont responsables de prendre les décisions.

Naturellement, certaines de ces recommandations provoquent des modifications qui à leurs tours peuvent potentiellement apporter des couts additionnels; pas nécessairement prévus dans les budgets initiaux. Voilà où débutent généralement les préoccupations de gestion; ex.: devrais-je effectuer les changements identifiés et si oui à quel point devrais-je accepter le risque et donc, n’implanter que les recommandations critiques et non significatives?

Dans cette situation, voyant l’impact des couts au niveau des budgets et l’ajout de travail possible, certains gestionnaires acceptent les risques et vont de l’avant avec le projet; malgré les recommandations de sécurité présentés et les risques potentiels.

Avec une approche trop rapide, il est toutefois possible que ces gestionnaires acceptent un niveau de responsabilité et de risque trop élevé. Que cela soit des données personnelles ou financières, leur appartenant ou pas, plusieurs gestionnaires acceptent ou non les recommandations ainsi que le niveau de protection qu’ils jugent adéquat suivant des analyses.

Sur ce, à quel moment devrions-nous nous interroger sur le niveau de protection de notre information personnelle et surtout à quel point une entreprise ou une organisation possède-t-elle la capacité de faire un jugement éclairé sur cette situation. Ajouté à cela des contrats d’impartition complexes, des clients exigeants, des niveaux de services parfaits…

Plus loin dans la réflexion, à quel point savons-nous où est notre information et à quel point devrions-nous avoir la capacité de faire la vérification de nos données personnelles pour s’assurer qu’elles sont bien protégées?

C’est pourquoi toute entreprise de doit pas simplement effectuer une évaluation externe des risques, mais de bien prendre le temps d’inclure les joueurs les plus connaissants des affaires internes; vos employés. Comme plusieurs gestionnaires nous ont indiqués dans les dernières années, il n’est pas nécessaire de faire l’embauche de consultant pour répondes à tous nos besoins, mais bien s’assurer que nos employés sont correctement formés pour répondes à ces besoins et plusieurs autres.

La sécurité et la gestion des risques n’a rien de complexe si l’on dispose d’un gros bon sens de gestion et d’un niveau de curiosité suffisant. Certes il existe des enjeux et technologies complexes et particulière que d’autres qui nécessitent une aide externe. Mais cette approche devrait être minimisée au maximum pour garantir la continuité de votre organisation et la saine gestion de vos environnements.

Sur une note plus philosophique, je tiens à rappeler à tous et à toutes qu’un tournant du 20e siècle, il existait dans plusieurs grandes organisations des postes de gestionnaire d’électricité et un vaste réseau de spécialiste et analyste dédié à ce domaine d’intérêts (très similaire aux réseaux, à la sécurité, au développement, etc.).

Donc pour ceux qui croient que la sécurité et la gestion des risques sont un domaine central à une organisation, je pose cette coquille : connaissez-vous un gestionnaire d’électricité dans votre groupe d’ami actuel? Si la réponse est non, je vous confirme que toute expertise passe, avec le temps, de mains en mains pour finalement se diriger vers un niveau de commodité.

Importante, la sécurité et la gestion des risques est un domaine qui doit être gérée par votre organisation interne, vos employés et vos partenaires et par nul autre.

Rapport sur la criminalité virtuelle 2009 (McAfee)

Voici les grandes lignes du rapport de McAfee (entreprise américaine en sécurité de l’information) sur la cybercriminalité et le potentiel de guerre technologique durant les prochaines années. Intéressant, il est important de saisir que ces points ne sont que des extraits, ceux qui me semblent les plus marquants…

McAfee a demandé au bureau d’études Good Harbor Consulting de mener des recherches et d’élaborer ce rapport.

Il a été préparé par Paul B. Kurtz, expert en cybersécurité renommé qui a occupé divers postes clés, notamment au sein du National Security Council (Comité pour la sécurité nationale) et du Homeland Security Council (Comité pour la sécuritÉtats-Uniseure) des Etats-Unis, sous les présidents Clinton et Bush, ainsi que par David W. DeCarlo, avec l’aide de Stacy Simpson.

Les trois phénomènes importants du rapport sont :

• il est indéniable que divers Etats-nations sont impliqués à divers niveaux d’un cyberconflit
• tout porte à croire que le secteur privé se retrouverait dans la ligne de mire
• il est regrettable que la plupart des discussions se déroulent dans le plus grand secret

Aux États-Unis

Le weekend du 4 juillet 2009, pendant que des millions d’Américains célébraient partout dans le monde l’indépendance de leur pays, divers sites web pentrainantantsaient bombarder de demandes, entraînant un ralentissement voire un blocage total des accès à ces sites.

Pendant que ces sites subissaient un feu nourri, le pays tout entier faisait la fête en famille et entre amis. Très peu de gens ont donc pris conscience qu’il était devenu impossible de se connecter au site de la FTC ou du aoutstère des Finances…

À l’international

En août 2008, la Russie a déclenché une opération militaire contre la Géorgie à la suite d’un litige concernant l’Ossétie du Sud, une province géorgienne rebelle. Tandis que l’armée russe lançait son offensive aérienne et terrestre, un groupe de nationalistes russes se chargeait du front du cyberespace.

Tout civil, d’origine russe ou autre, désireux de devenir un « cyberguerrier » pouvait visiter des sites web pro-russes afin de télécharger un logiciel et les instructions nécessaires au lancement d’attaques par déni de service contre la Géorgie.

Sur un site web appelé StopGeorgia, les internautes pouvaient télécharger une liste des sites web visés ainsi qu’un utilitaire logiciel automatisé.
Il leur suffisait ensuite d’entrer l’adresse web d’une cible et de cliquer simplement sur un bouton « Start Flood » (Lancer l’attaque par inondation).

Les gouvernements du monde entier multiplient les efforts pour se préparer à de futures attaques informatiques. L’OTAN a mis sur pied un « Centre d’excellence » de cyberdéfense en Estonie afin d’étudier les cyberattaques et de déterminer dans quelles circonstances celles-ci répondent au principe de solidarité mutuelle ddevienneres de l’Alliance, qui veut qu’une attaque contre l’un de ses membres devient une attaque dirigée contre tous.

Le gouvernement britannique a récemment annoncé son intention de créer une Agence centrale de la cybersécurité (Office of Cyber Security) pour se protéger contre l’augmentation des attaques en ligne. Cette agence sera chargée de coordonner la capacité offensive et, dans des cas extrêmes, de monter une cyberattaque en réponse aux intrusions perpétrées dans les réseaux britanniques.

« Au cours des vingt à trente prochaines années, le rôle des cyberattaques dans un conflit va prendre de plus en plus d’importance », a déclaré William Crowell, ancien directeur adjoint de la NSA, une agence du renseignement américaine.

« Il est cependant impossible de prévoir si l’omniprésence et l’absence de protection des réseaux seront telles que des offensives informatiques pourront être menées de façon indépendante. »

Certains Etats considèrent les organisations criminelles comme des alliés utiles. Ces Etats ont déjà démontré qu’ils étaient prêts à tolérer, à encourager et même à canaliser les agissements d’organisations criminelles et de citoyens privés qui s’en prennent à des cibles ennemies.

« Ainsi, n’importe qui peut faire appel aux services d’un groupe criminel et louer un réseau de robots (botnet). Nous avons atteint un stade où il suffit d’avoir de l’argent, et pas nécessairement les compétences, pour causer des problèmes et provoquer des perturbations. C’est une question qui doit être débattue. »

Pendant la conférence Black Hat 2009 sur la cybersécurité, Dmitri Alperovitch, vice-président de la division Threat Research de McAfee, a expliqué que certains membres des cybergangs russes sont animés par des sentiments nationalistes et une attitude critique envers l’Occident. Ces valeurs morales sont parfois proclamées dans des forÉtats-Unisis. Dans l’un d’eux, une bannière indique clairement la mission du groupe, à savoir « rétablir la justice historique et ramener les Etats-Unis à leur niveau des années 1928 à 1933 ».

« Les adversaires accumulent tous les renseignements possibles sur les réseaux de distribution d’électricité et d’autres systèmes, et ils laissent parfois derrière eux des petits composants logiciels susceptibles de les aider à lancer ultérieurement une attaque », affirme Mike Jacobs.

Le secteur privé dans la ligne de mire

Avant l’invasion américaine de l’Irak en 2003, les services de renseignements du gouvernement et de l’armée ont préparé une attaque informatique contre le système financier irakien. L’attaque aurait permis de geler des milliards de dollars sur les comptes personnels de Saddam Hussein et bloqué les paiements destinés aux soldats irakiens et au matériel militaire. Tout était en place. Les systèmes étaient prêts, attendant le feu vert.

L’administration Bush n’a pas donné l’ordre nécessaire. Des sources au sein de l’ancienne administration ont déclaré que cÉtats-Unisisonsables s’inquiétaient des éventuelles répercussions de cette cyberattaque du système financier irakien sur d’autres banques au Moyen-Orient, en Europe et aux Etats-Unis.

D’après Kim Kwang Choo, expert en sécurité de l’information à l’Australian Institute of Criminology, « Dans lesaccentues développées, pratiquement toutes les entreprises utilisent Internet. L’expansion des activités commerciales par voie électronique des entreprises et des gouvernements accentuent les phénomènes de mondialisation et d’interconnexion »

« L’utilisation généralisée des technologies informatiques et des infrastructures de communication crée diverses interdépendances entre des secteurs clés, qui sont exposés à la plupart des mêmes risques propres aux technologies. Les conséquences d’une cyberattaque pourraient ainsi continuer à se faire sentir bien après les dommages directs. »

En dépit de la difficulté à identifier les vulnérabilités des systèmes, il est prouvé qu’une telle opération est réalisable et qu’il est possible de mener à bien des attaques sur des services publics.

« Dans de nombreux secteurs, les entreprises capables de résister plus efficacement aux cyberattaques que leurs concurrents ont toutes les chances de gagner une part de marché considérable pendant une vague d’attaques », a-t-il ajouté. « Et elles sortira de la crise avec une meilleure réputation que les entreprises moins bien préparées. »

Le partage des informations joue un rôle crucial dans l’identification d’une infiltration grave des réseaux.

Certains Etats pourraient vouloir aller plus loin, en réquisitionnant ou en demandant l’aide de sociétés de télécommunications et d’éditeurs deentrainéls au nom des intérêts de la sécurité nationale ouÉtant données étrangères. Ainsi, au mois de juin, au moment de l’élection présidentielle en Iran, Twitter avait planifié une mise à jour de son site web qui aurait entraîné une interruption de service en journée pour ce pays.

Etant donné que les opposants au régime comptaient sur Twitter, en tant que service de réseau social, pour diffuser leurs messages de protestation contre les résultats des électionsévènementsmuniquer des messagÉtats-nationses ralliements et pour communiquer avec le monde extérieur, le ministère des Affaires étrangères américain a pris acte et a contacté Twitter pour lui demander de reporter la mise à jour prévue.

Ces événements suggèrent que les Etats-nations pourraient briguer l’assistance des sociétés privées, et peut-être même les obliger à prendre parti en cas de crise.

Note personnelle : Malgré les données présentent dans ce rapport, il est clair que la situation peut sembler incroyable, voir insurmontable. Il est toutefois d’intérêt de savoir que chacun d’entres-nous possèdent la capacité de diminuer les impacts en établissant une sécurité juste, tout en répondant aux besoins d’affaires des organisations et individus de la société.

La sauvegarde des données

Voici une courte explication pour aider à la compréhension de la sauvegarde des données. Certaines références telles Wikipédia et autres sont utilisées pour simplifier la création du document.

Définition primaire
La sauvegarde de données (backup en anglais) est l’opération qui consiste à dupliquer et à mettre de côté, idéalement en sécurité, les données contenues dans un système informatique.

Simplement, la sauvegarde est l’enregistrement des données dans un autres système, solution ou support permettant d’enregistrer et retrouver (pourvoir restaurer les données) l’information dans un délai raisonnable pour l’organisation. Sur ce, la sauvegarde enregistre des données, mais pas nécessairement dans un but d’archivage. Ce dernier demande un autre processus ainsi qu’une autre solution en lien éventuellement avec la sauvegarde.

La méthode, l’approche ainsi que la solution doivent être en lien avec les besoins d’affaires que ceux-ci soient reliés à des fins légales, historiques ou même purement statistiques, dans certains cas.

Critères de choix

La sauvegarde doit minimalement tenir compte des points suivants :

• les besoins d’affaires
• les enjeux de l’organisation et du marché dans lequel elle se trouve
• le cadre normatif ainsi que la classification des données et des actifs
• les types de données (transactions, documents, textes, images…)
• la quantité de données
• la capacité de stockage
• la vitesse de sauvegarde
• la fiabilité du support
• la facilité à restaurer les données
• le cout de l’ensemble

Lorsque vous calculerez le cout de votre système de sauvegarde, incluez toujours :

• le cout de la solution (infrastructure, logiciels, maintenance…)
• le cout des supports utilisés
• le cout de la sortie de la sauvegarde sur un autre site (transport physique)

Enfin pour les grands systèmes de sauvegarde, il faut tenir compte des critères physiques tels que le volume physique des supports de stockage, le poids, la sensibilité à la température, à l’humidité, à la poussière, à la lumière (ex.: une cassette au soleil).

Méthodes de sauvegarde

Complète
La méthode la plus simple est la sauvegarde complète ou totale (appelée aussi “full backup”) ; elle consiste à copier toutes les données à sauvegarder que celles-ci soient récentes, anciennes, modifiées ou non.

Lors d’une sauvegarde complète, tous les fichiers sont sauvegardés, indépendamment de la version ou des changements effectués avec les données. Cette méthode est aussi la plus fiable, mais elle est longue et très couteuse en termes d’espace disque, ce qui empêche de l’utiliser en pratique pour toutes les sauvegardes à effectuer.

Non complète alors…
Afin de gagner en rapidité et en temps de sauvegarde, il existe d’autres méthodes qui procèdent seulement à la sauvegarde des données modifiées et/ou ajoutées entre deux sauvegardes totales, dont une des plus communes, la sauvegarde incrémentale ou incrémentielle.

La restauration d’un disque avec ces méthodes s’avère plus longue et plus fastidieuse puisqu’en plus de la restauration de la sauvegarde différentielle ou des sauvegardes incrémentielles, on doit également restaurer la dernière sauvegarde complète.

Il est important, mais de savoir que dans une sauvegarde complète de base, les fichiers supprimés entretemps soient également restaurés. Ceci implique une saine gestion de ce type de sauvegarde sachant qu’elle possède bien des données qui ne seront jamais utilisées.

Sauvegarde incrémentale ou incrémentielle
Cette technique permet de sauvegarder les fichiers par comparaison. Seuls les nouveaux fichiers et ceux qui ont été modifiés depuis la dernière sauvegarde seront copiés. L’avantage de cette méthode incrémentale est double : réduction du volume de données sauvegardées et temps de sauvegardes raccourcis).

Cette méthode donc consiste à sauvegarder les fichiers créés ou modifiés depuis la dernière sauvegarde quel que soit son type (complet, différentiel ou incrémentiel).

Techniques complémentaires
La sauvegarde de données peut être réalisée en utilisant des techniques plus ou moins sophistiquées. La méthode la plus simple est de parcourir les répertoires et les fichiers d’un poste de travail ou d’un serveur, mais on se trouve vite limité par le nombre de fichiers et par le volume de données, qui ont un impact direct sur le temps de sauvegarde.

Cette approche possède également l’inconvénient de faire un grand nombre de dédoublements des données ce qui peut représenter un pourcentage important des données conservées. Pour limiter ou contourner les plusieurs limitations, plusieurs approches sont envisageables:

• compression des données sauvegardées
• technique de snapshot (ex.: dans un SAN – prise d’image instantanée d’un disque)
• sauvegarde en mode bloc
• technique de réduplication pour limiter les doublons
• une combinaison de ces différentes techniques

Présentation simpliste et de haut niveau, mais je crois que celle-ci pourra illuminer les plus novices carce sujet peut rapidement devenir très complexe.

Sécurité & vie privée

Trouver le juste équilibre entre la sécurité, les solutions associées et la vie privée n’est nécessairement quelque chose de très simple. Outre les connaissances des différents impacts d’affaires, techniques et humains, il est important d’identifier et comprendre les impacts potentiellement légaux.

Comme notre pays possède une approche qui lui appartient, nous croyons juste de regarder ailleurs pour mieux comprendre les enjeux et solutions possibles. Pour ce, j’ai tourné mon attention vers le territoire de nos cousins Français, plus particulièrement vers la Commission nationale de l’informatique et des libertés (CNIL) de France. Instituée en 1978, celle-ci est une institution indépendante chargée de veiller au respect de l’identité humaine, de la vie privée et des libertés dans un monde numérique.

Aux fins de supporter les efforts de compréhension des enjeux légaux potentiels et plus particulièrement en lien avec les impacts, j’ai effectué l’étude du rapport thématique de la CNIL déposé en 2004 et intitulé : la cybersurveillance des salariés.

Certes non totalitaire et interprétable de notre point de vue américain, ce rapport donne une vue d’ensemble sur la situation qui devrait préoccuper les employeurs de la planète, durant les prochaines années d’affaires. Voici donc la grande ligne de celui-ci et les trouvailles les plus intéressantes avec l’aide de citations précisent et en lien avec nos préoccupations.

Nous croyons que la mise en contexte de tels travaux permet non seulement une meilleure compréhension de notre situation, mais également la mise en pratique de solutions reconnues; souvent nommés meilleurs pratiques.

Impact de la sécurité sur la vie privée
Surtout intéressé par les employeurs et les employés de nos clients et partenaires, le but de cette présentation est de faire la lumière sur ce sujet qui touche autant de vie. Que ce soit du côté personnel ou professionnel, il est capital de s’entendre sur la saine gestion des contrôles et de la sécurité qui en découle.

Comme bien d’autres organisations, le CNIL présente le point fondamental suivant, en plus d’être renforcé par la loi française : « Nul ne peut apporter aux droits des personnes et aux libertés individuelles et collectives de restrictions qui ne seraient pas justifiées par la nature des tâches à accomplir ni proportionnées au but recherché ». Cette citation du Code du travail français nous permet de déduire que l’application des contrôles en sécurité devrait être graduelle et en lien avec les règles et tâches concernées; donc, la recherche de l’équilibre entre la sécurité et le respect des parties.

En lien avec cette base, le professeur Gérard Lyon-Caen confirmait que « La ligne de partage entre liens de subordination et la vie privée ne sauraient plus être tracées à la sortie des lieux de travail et à l’expiration de l’horaire. Tout est devenu plus complexe et plus flou ».

Pour épauler les efforts nécessaires à la sensibilisation et la clarification des enjeux, le CNIL devient en 1978 la référence pour accepter, centraliser et informer les employés et les employeurs sur le traitement des données personnelles, les préoccupations et les règles reliées à celles-ci. Cette centralisation a également comme mission de donner accès à ces informations pour maximiser la sensibilisation et la compréhension dans ce domaine toujours très sensible.

De plus, le CNIL répète et confirme l’importance qu’aucune mesure ne devrait être implantée sans avoir préalablement informé et sensibilisé les employés concernés par des mesures de contrôles. Donc, l’utilisation de différents types de dispositifs de contrôles, quels qu’ils soient, doit être faite de façon transparente et surtout pas à l’insu des employés ou groupes concernés.

Comme les technologies permettent de plus en plus de communications de façon quasi transparente et sur différentes plateformes, il est important d’être conscient des impacts possibles envers les employeurs. Aujourd’hui, l’entreprise n’est plus un lieu hermétique touchant un groupe de gens relativement défini.

Les outils connectés par Internet et autres types de réseau permettent des échanges informationnels en faisant la création de pont virtuel clairement à l’extérieur des murs d’une organisation. Ces liens pourraient donc faciliter, de façon intentionnelle ou non intentionnelle, l’échange de données potentiellement sensibles; surtout lorsque notre société se dit comme étant : connectée.

Présent au cœur de notre travail et au centre de nos relations humaines et numériques, les technologies doivent posséder des contrôles pour assurer un suivi de la performance, diminuer les risques et abus possiblement reliés aux échanges transparents, peu contrôlés et à distance.

Étroitement est liée cette mention du document du CNIL : « Ce contrôle de productivité du « cybertravailleur » s’exercera d’autant plus que toute architecture en réseau a pour effet d’éloigner géographiquement le salarié de sa hiérarchie. »

Réponse des entreprises envers ces préoccupations
Afin de diminuer les risques, améliorer le contrôle et l’utilisation et minimiser les interprétations erronées envers la vie privée, plusieurs entreprises font le développement de politiques et chartes d’entreprise. Couramment intitulé « l’utilisation des actifs informationnels », ce type de document n’est souvent pas en lien avec les normes et lois régissant les territoires ou organisations concernés.

Dans la création de ces documents de références, il est donc important de faire le lien avec une entité qui est mesure de nous communiquer et confirmer les meilleures pratiques et lois concernées. Ceci aura comme effet de se préoccuper des points critiques et importants, tout en laissant tomber les interprétations personnelles et professionnelles utilisées comme fondation.
Tel que renforcé par la CNIL : « cependant, de telles « chartes » […] cumulent les prohibitions de toutes sortes y compris celles des usages généralement et socialement admis de la messagerie et d’internet à des fins privées. Les salariés demeurent encore largement ignorants des possibilités de traçage, notamment par accumulation et recoupement de traces multiples, que les nouvelles technologies offrent à l’employeur et, de fait, l’équilibre nécessaire entre contrôle légitime exercé par l’entreprise et respect des droits des salariés ne parait pas assuré dans bien des cas. »
Cette dernière citation ne fait que renforcir l’importance de contacter et suivre des ressources légales ayant une expérience connue et reconnue dans le domaine de la vie privée et des technologies de l’information qui les traites.

Recherches du CNIL
Pour répondre aux différentes préoccupations, le CNIL a effectué des recherches et consultations avec plusieurs experts et groupes reconnus dans la matière et ont en même temps tenté de répondre aux questions les plus courantes du sujet. Voici donc un extrait de ces quatre questions clés.

• En quoi les technologies en réseau seraient-elles de nature différente de celle des précédents outils mis en place dans les entreprises?
• Quelle est la part de la vie privée et des libertés individuelles garanties aux salariés qui sont liés à l’employeur par un contrat de travail qui est d’abord lien de subordination?
• Quel usage à des fins privées d’outils mis à la disposition des salariés par leur employeur est-il admis?
• Y a-t-il des limites au contrôle et à la surveillance que les employeurs peuvent exercer sur les salariés?

Suivant ces consultations et trouvailles, il fût décidé que les conclusions sortantes de cette étude soient appliquées autant aux entreprises ne respectant pas ces lignes directrices, mais également aux administrateurs de ces mêmes organisations.

Les trouvailles des différentes recherches effectuées par le CNIL sont vastes, toutefois il est possible de survoler celles-ci, en voici quelques extraits :

« Le salarié a droit, même au temps et au lieu de travail, au respect de sa vie privée ; celle-ci implique en particulier le secret de ses correspondances ; l’employeur ne peut dès lors, sans violation de cette liberté fondamentale, prendre connaissance des messages personnels émis par le salarié ou reçus par lui grâce à un outil informatique mis à sa disposition pour son travail, et ceci même au cas où l’employeur aurait interdit une utilisation non professionnelle de l’ordinateur. »

« Qu’il s’agisse d’assurer le bon fonctionnement du service informatique, la sécurité numérique de l’entreprise ou le confort de l’usager, ces « traces » sont intrinsèquement liées à la mise à disposition d’une telle technologie. Aussi n’est-ce pas leur existence, mais leur traitement à des fins autres que techniques qui doit être proportionné au but recherché. »

« Aucune information concernant personnellement un salarié ou un candidat à un emploi ne peut être collectée par un dispositif qui n’a pas été porté préalablement à la connaissance du salarié ou du candidat à l’emploi. »

« […] Il résulte clairement de ces textes qu’une information individuelle des salariés ou agents publics ne saurait dispenser les responsables concernés de l’étape de la discussion collective, institutionnellement organisée, avec les représentants élus du personnel. »

Les quelques extraits ci-dessus représentent les grandes trouvailles des différentes recherches du CNIL durant les dernières décennies. Riche de cette information, il est donc important de faire ressortir des fausses idées toujours véhiculées par des employés et employeurs mal informés sur le sujet. La prochaine section fait état des deux grandes perceptions véhiculées dans le domaine de la vie privée.

Les perceptions
Les fausses idées suivantes sont directement citées du document de la CNIL. Celles-ci doivent faire partie des présentations et documents de sensibilisation des employés et gestionnaires des organisations.

Première idée
« L’ordinateur personnel mis à la disposition des utilisateurs
sur leur lieu de travail serait, en tant que tel, protégé
par la loi “Informatique & libertés” et relèverait de la vie privée du salarié. »

Réponse de la CNIL : Il n’en est rien. Un ordinateur mis à la disposition d’un salarié ou d’un agent public dans le cadre de la relation de travail est la propriété de l’entreprise ou de l’administration et ne peut comporter que subsidiairement des informations relevant de l’intimité de la vie privée.

Deuxième idée
« Une information préalable du personnel suffirait »

Réponse de la CNIL : Une telle manière de procéder n’est pas suffisante dès lors que les finalités seraient mal définies ou mal comprises. De nombreuses entreprises imaginent qu’une information préalable des salariés suffirait à se prémunir de tout problème et à autoriser l’emploi de tous les modes de surveillance et de contrôle. Elle peut nourrir, à tort, le sentiment des utilisateurs qu’ils se trouveraient sous un contrôle constant de l’organisation alors que les mesures prises, dans bien des cas, se bornent à assurer la sécurité du système ou celles des applications et non pas un contrôle individuel ou nominatif de leur activité.

Équilibre dans la mise en œuvre
Pour répondre aux besoins les plus communs, le CNIL a également confirmé les approches en lien avec les services retrouvés dans la vaste majorité des organisations. Des services tels que l’accès et l’utilisation d’Internet et la messagerie électronique (courriel) sont clairement documentés et le lien avec la vie privée, confirmé. Voir ces services et les enjeux ci-dessous :

Contrôle d’internet
Certainement un des sujets les plus chauds depuis quelque temps, l’usage personnel d’Internet de façon raisonnable et avec un minimum d’impacte est généralement permis par la majeure partie des entreprises. Plus précisément, il n’existe aucune loi ou règlement qui empêche un utilisateur de faire ceci ou d’un employeur d’éliminer cette utilisation en totalité.

Il est donc important de considéré que nuls n’a par défaut raison, d’une extrémité à l’autre (pour ou contre cette utilisation). Toutefois, trouver le juste équilibre entre une utilisation appropriée et l’implantation de contrôles pour en minimiser les impacts est nécessaire.

Une des grandes questions dans ce type de service est lorsque l’employeur désire faire la vérification individuelle (un utilisateur en particulier). En cas de besoins spécifiques ou lors d’une vérification, il est capital de que les parties concernées trouvent un terrain d’entente. Pour ce, autant l’administration de l’organisation et le représentant du côté des employés doivent déterminer les enjeux, besoins et le but de la vérification en question.

Tel que décrit par le CNIL : « Lorsque l’entreprise ou l’administration met en place un dispositif de contrôle individuel destiné à produire, poste par poste, un relevé des durées de connexion ou des sites visités, le traitement automatisé d’informations nominatives ainsi mis en œuvre doit être déclaré à la CNIL. »

Contrôle de la messagerie
Tel que l’accès à Internet, les mêmes règles touchent l’utilisation de la messagerie. Si possible, il est idéal que le message considéré comme étant personnel soit identifié dans le sujet ou à même le corps.
Le CNIL indique précisément : « Il a ainsi été jugé que constitue une violation du secret des correspondances privées la lecture par l’employeur d’un message qui, bien que ne comportant pas expressément dans son objet la mention « personnel », est classé automatiquement dans un dossier qualifié de « personnel » et fait référence dans son objet aux vacances, avec une formulation et une orthographe familière. Avant d’accéder à un courriel, l’employeur doit donc vérifier que l’objet du message ne lui confère pas un caractère manifestement personnel. »

Comme les messages peuvent être autant, enregistrer par l’émetteur que par le récepteur, il est important de considérer qu’outre les contrôles de sécurité, des traces seront disponibles dans plusieurs actifs technologiques. Sur ce, la sensibilisation des utilisateurs sur les réceptions et les envoies doit minimalement confirmer les contrôles plus spécifiques, mais ne peut toutefois pas garantir les sources externes (ex. : serveur qui effectue la réception d’un message personnel).

Rôle des administrateurs
Pour mieux gérer les environnements ainsi que le niveau de qualité des services de l’organisation, les groupes techniques effectuent l’implantation de différents outils. Il est donc possible que ces outils effectuent de façon non ciblée, l’accumulation de données potentiellement personnelles et ceci devraient être considérés dès la phase de conception des solutions.

De plus, pour non seulement mieux supporter les environnements, les tâches, les responsabilités, les limites ainsi que les rôles des administrateurs de ces mêmes solutions sont clairement définis et documentés systématiquement et officiellement, à même leur contrat de travail. Celles-ci doivent également tenir compte des responsabilités reliées aux tâches professionnelles, dont l’accès possible à de l’information privée et l’importance de la confidentialité de ces informations et les impacts reliés à leurs échanges avec d’autres personnes, internes ou externes.

Les fichiers de journalisation
Similaires aux rôles administrateurs et tel que confirmé par le CNIL : « les fichiers de journalisation des connexions destinées à identifier et enregistrer toutes les connexions ou tentatives de connexion à un système automatisé d’informations constituent une mesure de sécurité, généralement préconisée par la CNIL dans le souci que soient assurées la sécurité et la confidentialité des données à caractère personnel, lesquelles ne doivent pas être accessibles à des tiers non autorisés ni utilisés à des fins étrangères à celles qui justifient leur traitement. Ils n’ont pas pour vocation première le contrôle des utilisateurs.

De façon normale, ces solutions n’ont pas à spécifiquement entérinées par la direction, à moins que celles-ci soient utilisées pour d’autres besoins. Surtout si ces besoins sont en lien avec une vérification des données d’un utilisateur en particulier. Peut importe la solution, il est hautement recommandé de confirmer l’utilisation de ces outils et les rôles que les données qui y seront recueillies.

Finalement
Pour améliorer l’échange, la compréhension et la sécurisation des données privée dans un environnement professionnel, je recommande (tout comme le CNIL) de suivre – minimalement – les étapes suivantes:

• Réaliser la réalisation d’un bilan annuel
• Confirmer la désignation d’un responsable officiel à la protection des données
• Effectuer le renforcement de la formation des employeurs et des employés

Outre ces efforts considérés comme la base de la sécurité et de la saine gestion d’un environnement technologique, je vous recommande de faire affaires avec un contentieux ou minimalement avec des joueurs reconnus dans le domaine de la vie privée. Les conseils apportés par des spécialistes similaires en amont des différents projets de votre organisation vont apporter une valeur certaine par leur grande utilité et leur profondeur dans la matière.

Finalement, le domaine la vie privée est vaste et gris intrinsèquement, sur ce, il est nécessaire de se remettre en considération sur une base régulière et définie. Cette remise en question doit considérer différents joueurs dans le monde des affaires, du technicien jusqu’au président de l’organisation. Ce mélange de niveaux, de compétences et d’intérêts vous permettra de sainement gérer la situation et minimiser les risques à un niveau acceptable.

Snow Leopard + Time Machine = problèmes?

Quand Apple a fait l’annonce de la nouvelle application MAC nommée Time Machine, plusieurs d’entres nous étaient excessivement réjouit de la possibilité de faire des sauvegardes en temps réel sans avoir à ne prendre aucune action particulière sur nos postes MAC.

Rapidement, Time Machine est un logiciel propriétaire de sauvegardes incrémentales automatiques et de restaurations offertes par Apple et intégrées à la version 10.5 de Mac OS X sortie le 26 octobre 2007 (Leopard).

Nécessitant un disque dur externe comme réceptacle des données de sauvegarde, son interface graphique permet de naviguer « dans le temps », les différents dossiers et fichiers étant représentés dans des fenêtres successives présentées dans l’espace les unes derrière les autres.

Il est important de noter qu’à la base et selon la documentation technique d’Apple, un fichier qui vivra moins de 23 heures dans votre poste sera effacé des sauvegardes de Time Machine dès lendemain. Pour un fichier qui vivra moins d’une semaine, celui-ci sera effacé le mois prochain.

Finalement, seuls les fichiers « stables » qui resteront dans votre poste pendant plus d’une semaine resteront jusqu’à la saturation du disque dur externe ou plus précisément la partition de ce même disque dur externe.

À première vue un ajout hyper intéressant, je dois vous confirmer que celui-ci peut devenir un outil quelque peu agressant si vous ne prenez pas le temps de faire attention à qu’est-ce qui se passe derrière cette interface colorée.

Le problème

Simplement, il y a quelques semaines, comme plusieurs d’entres-vous, j’ai fait la mise à jour de Leopard (10.5) pour Snow Leopard (10.6). Je vous confirme aujourd’hui que cette mise à jour m’a causé beaucoup plus de problèmes qu’auparavant et même que je me demandais bien pourquoi j’avais mis à jour mon système d’opération…

Qu’est-ce qui c’est passé est relativement simple, une fois ma mise à jour effectuée, j’ai commencé, à vivre des problèmes majeurs avec Snow Leopard. Non seulement certaines incompatibilités avec des applications qui n’étaient pas encore correctement supportées dans 10.6, mais plusieurs « crashs » applicatifs qui rendaient mon utilisation de ce nouveau système d’opération très complexe, je dirais même agressante.

L’analyse

Avec cette situation, mon premier réflexe fut de simplement refaire une installation du système d’opération suivant une destruction de mes données locales ainsi qu’une partition fraiche pour la tâche. Je me disais bien que ceci allait régler la majeure partie de mes problèmes, rien n’est pire qu’une mise à jour d’un système d’opération dans de telles situations.

Une fois ma réinstallation effectuée je suis heureux de procéder au retour de mes données locales avec l’aide de notre ami Time Machine. Cette procédure est tellement simple qu’il est pratiquement impossible de dire non, il ne s’agit que de cliquer et toutes nos données reprennent leur vie en moins de trente minutes (j’avais environ pour 100 gigs de données, le temps est naturellement variable et en lien avec la dimension de votre compte utilisateur).

Donc une heure après la réinstallation de mon système d’opération, tout est de retour à la normale, mes données sont de retour, mon réseau est parfaitement fonctionnel et tout semble nickel pour l’instant. Avec une grande fierté, je démarre alors vmware fusion pour m’assurer que mes VM sont toujours fonctionnelles et bang. Vmware fusion croule sous la pression et à peine deux minutes que je suis exactement de retour ou j’en étais depuis les derniers jours… Incroyable.

Je comprends très bien que certaines applications ne seraient pas parfaites pour le nouvel environnement d’Apple, mais dans ce cas précis je m’étais assuré de mettre à jour vmware fusion à la version 3 pour minimiser les impacts potentiels sur 10.6. À ma grande surprise, même avec cette mise à jour et plusieurs autres (Firefox, etc.) je vivais continuellement des « crashs » applicatifs, et ce, plusieurs fois par jour…

Là, je devais trouver une solution… Mon MacBook Pro est un unibody de quelques mois avec 4 gigs de RAM, serait-ce possible que celui-ci est un défaut de fabrication ou autre… Les choses n’allaient pas très bien.

Les solutions possibles

Je me suis donc mis à la recherche de solutions, pendant plusieurs soirées j’ai cherché sur les différents forums habituels sans faire de trouvailles particulières… Je voyais toutefois plusieurs utilisateurs vivres les mêmes problèmes que mois sans jamais avoir de solution.

Voyant que cette avenue me menait dans un trou noir, j’ai donc commencé à faire la revue de mon installation. J’ai donc commencé par la console (sur mon 10.6 Anglais, le chemin de cette application est : /Applications/Utilities/Console).

Une fois démarrée, la console nous montre plusieurs messages, ceci venant du démarrage de l’ordinateur juste qu’à la dernière commande de mise à jour de Firefox, par exemple.

Après une étude approfondie, je me rends compte assez rapidement de plusieurs problèmes. Plusieurs fichiers en lien avec des applications qui n’existent plus tentent continuellement de démarrer des services qui ne sont clairement plus utilisés dans ma nouvelle installation de 10.6.

Par exemple, une installation passée (il y a plusieurs mois) d’un produit de Kaspersky sur mon MAC tente toujours de faire démarrer ce produit qui n’est plus sur mon MAC depuis bien longtemps. Également, je vois qu’Adobe tente de faire des mises à jour de produits qui ne sont pas installés sur mon MAC en ce moment, mais qu’est-ce qui se passe… rappelez-vous qu’à ce point, je ne vois pas de liens avec mon Time Machine.

Riches de curiosité, pendant plusieurs heures je parcours les répertoires et fichiers indiqués dans ma console :

• /Library/InputManagers/
• /Library/StartupItems/
• /Library/LaunchAgents/
• /private/var/db/launchd.db/
• com.apple.SytemStarter
• com.apple.launchd.peruser
• com.apple.autofsd
• etc…

Soudainement, tout en naviguant les répertoires et données, je clique (pardons pour ma lenteur), Time Machine a fait la sauvegarde de ces données et donc a remis en place toutes les données qu’il a jugé pertinentes au bon fonctionnement de mon installation.

Ouch, je me retrouvais donc avec des fichiers de démarrages et de configurations qui n’ont jamais été retirés de mon Time Machine. Car même en retirant l’application concernée il y a quelques mois, certains fichiers de configurations restent derrière (vous connaissez Windows?), et ceux-ci tentaient toujours de démarrer des services et autres scripts…

Une fois clairement avoir compris la situation, j’ai donc procédé au nettoyage complet de mon installation pour m’assurer que ma nouvelle sauvegarde avec Time Machine garde en compte seulement fichiers d’intérêts et rien de plus…

Après plusieurs heures de travail, je suis donc revenu (aux meilleures de mes capacités) avec une installation utilisateur minimale et répondant réellement à mes besoins. Malgré ce point, je comprends beaucoup mieux les impacts potentiels de Time Machine et surtout les suivis et vérifications nécessaires à la saine gestion d’un poste MAC hautement utilisé à différentes sauces.

Enfin

1 – Sans personnalisation particulière, Time Machine ne voit pas la différence entre des fichiers nécessaires et autres données possiblement problématiques.
2 – Toujours garder un œil sur la console de son MAC si vous désirez avoir une installation minimale et dynamique.
3 – Même lors d’un retrait d’une application, assurez-vous de vérifier les répertoires de démarrages et de mise en marche.
4 – Aucun système d’opération n’est parfait.

Finalement, depuis ces multiples vérifications et manipulations, mon poste roule parfaitement et je n’ai pour l’instant aucune instabilité ou écrasement particulier.

Les virus, les polluriels & l’hameçonnage

Dans les derniers mois et dernières années, plusieurs statistiques et hypothèses concernant les virus, les pourriels et l’hameçonnage ont été présentées par les médias et certains experts, et souvent, elles sont relativement pauvres ou simplement erronées. Il est donc capital de vous présenter des données réelles venant de sources solides et réputées; voici les plus récentes informations.

Le présent article nous permettra donc de faire l’infirmation et la confirmation de certaines rumeurs concernant les virus, les polluriels et l’hameçonnage. Les données proviennent de sources telles que MessageLabs, entre autres. Les graphiques parviennent plus particulièrement de MessageLabs, une entreprise européenne spécialisée dans la gestion des pourriels qui appartient depuis quelques années à Symantec.

Le contexte

Quand vient le temps de parler de solutions de messagerie et communications Internet, trop souvent, les spécialistes et fournisseurs mettent l’accent sur les virus. Aux fins d’enrichir le contexte souvent limité en lien avec les discussions technologiques, le tableau suivant présente que la tendance des virus diminue, car auparavant, nous pouvions remarquer que les ratios virus & courriel étaient de 1 sur 100…

Certains mentionneront que les virus ont peut-être plus d’impact aujourd’hui qu’il y a quelques années, mais la réalité est que généralement, moins il y a d’échanges (transmission d’un utilisateur à un autre), moins il y a de chance d’infection. Cette méthode reste la base de la majorité des infections (non la seule) et est de plus propulsée par la popularité des environnements Windows.

Beaucoup plus faibles dans ces version précédentes, Windows 7 est aujourd’hui nettement supérieur dans sa dernière version. Il ne faut donc pas laisser tomber les systèmes d’opération Microsoft, mais il est grandement recommandé de passer à des versions plus récentes et plus sécuritaire contre des attaques courriels. En passant, à ce niveau, les environnements MAC sont plus vulnérables mais simplement moins “populaires” que d’autres. Avec la popularité de ces envrionnements à la hausse, nous allons remarquer beaucoup plus de pépins avec le temps.

Les solutions doivent donc tenir en compte beaucoup plus que des simples virus échangés d’une ordinatuer à l’autre. Celles-ci devraient être en mesure de pouvoir diminuer le nombre et l’impact des virus et polluriels ainsi que limiter l’infiltration des courriels qui peuvent mener à techniques d’hameçonnage. Avec plus de 5 milliards de courriels traités chez MessageLabs à tous le jours, cette tâche devient très complexe et non plus simplement un service de base simple à implanter dans une entreprise qui ne possède pas les compétences ou fonds nécessaires à cette tâche. Pour améliorer notre compréhension du présent document, regardons maintenant, un autre graphique qui démontre les tendances des pourriels durant la dernière année. Nul n’a besoin d’être scientifique pour comprendre la tendance et voir que celle-ci est non seulement importante, mais surtout constante.

Aux fins de confirmer l’importance des pourriels dans le monde des échanges électroniques, trop souvent banalisés par le contenu plus que médiocre et surtout redondant, il est important de mentionner que ceux-ci représentent jour après jour plus de la moitié du trafic de courriels dans le monde. Durant les fins de semaine, ceci peut monter jusqu’à plus de 90%.

Finalement, voici la dernière donnée du jour. Le tableau suivant représente les attaques d’hameçonnage (phishing) de la dernière année. Pour ceux qui n’ont aucune idée de ce que représente l’hameçonnage, voici un exemple très simple (imaginons que vous êtes à votre ordinateur et que vous recevez un courriel) :

« Un malfaiteur vous envoie un courriel et vous fait accroire que vous devez vous brancher sur une page Web (courriel qui contient un lien HTTP gentiment inséré dans le courriel pour vous simplifier le travail). »

Les raisons indiquées par le malfaiteur sont souvent reliées à une confirmation de votre numéro de carte de banque, de votre NIP, de données bancaires, etc. Naturellement, les malfaiteurs s’assurent de faire une réplique parfaite des sites bancaires et le plus solide des technologues pourrait facilement se faire prendre à ce jeu.

Finalement, une fois branché sur ce site frauduleux, vous insérez vos données qui finissent par se retrouver dans les mains des malfaiteurs (données comme comptes de banque, votre NIP, la valeur de biens monétaire, etc.).

Bien simple et souvent mis de côté par leur faible quantité, ce type de courriels est généralement à la base de plusieurs fraudes dans le domaine du commerce électronique. Récemment, les institutions bancaires canadiennes ont effectué des changements à leurs sites Web pour minimiser ce type d’attaque, mais rien n’est encore assez solide pour voir quel sera l’impact de ces contremesures, surtout à long terme. De plus, tant que l’utilisateur moyen va répondre à ce type de courriel et continuer à « consommer » les échanges électroniques, il sera très complexe de diminuer ces risques.

En conclusion, notre groupe vous propose de répondre à deux questions des moins plaisantes pour les entreprises d’aujourd’hui :

Est-ce la fin des courriels, certes non, mais quelles sont les solutions qui sont en mesure de vraiment améliorer la situation…

Acheter un véhicule américain et l’importer au Canada

Acheter un véhicule américain et l’importer au Canada en dix étapes !

Bon, comme plusieurs personnes me posent des questions essentiellement similaires, voici les détails concernant l’importation de ma nouvelle Subaru Tribeca 2008 au Canada en novembre 2007.

1 – Faire le choix de votre véhicule

Cette première étape est cruciale. Avant de prendre une décision ferme, je vous recommande de contacter les manufacturiers pour confirmer les garanties et limites associées. Pour ma part, Subaru n’a aucun problème avec cette pratique. De plus, j’ai aussi entendu parler de Ford respecte les garanties des véhicules américains au Canada. En ce qui concerne les autres, par exemple Honda, il n’encourage pas cette pratique, mais les concessionnaires américains vont vendre des véhicules neufs aux Canadiens. Touefois, Honda ne respecte pas la garantie au Canada, donc si vous avez un problème avec votre Honda américaine « back to the states you go »!

Ces différentes vérifications et discussions vont certainement influencer le choix de votre véhicule. Selon moi, la marque la plus intéressante est Subaru et de loin. Non seulement est-ce que les prix sont incroyablement plus bas aux É.-U., mais ils sont très respectueux de leurs clients. Mon expérience fut excellente et je recommande le concessionnaire de Bill McBride Subaru de Plattsburgh (représentant – Dick Knowles).

2 – Vérifier si votre véhicule neuf peut être importé au Canada

Pour ce, il est primordial d’aller sur le site Internet du Registraire des véhicules importés (www.riv.ca) et s’assurer que le véhicule en question est accepté au Canada avec aucune ou un minimum de modifications (ex.: lumière de jours, etc.). Sur le site, il y a un PDF avec tous les détails d’intérêts, marques, modèles, modifications, etc. Je vous recommande très fortement de choisir un véhicule qui ne nécessite pas de modifications, ce choix va rendre le processus beaucoup plus simple, et surtout, moins dispendieux.

3 – Contacter le concessionnaire et obtenir un prix

Ici il faut faire très attention et tenter de choisir un concessionnaire qui se trouve près de votre lieu de résidence. En cas de problèmes majeurs, ceci est toujours pratique. Pour moi, Plattsburgh était une ville de choix. Elle se trouve à environ 60 minutes du centre-ville de Montréal; très pratique. Dépendamment des modèles, la différence entre les prix peut être très très importante. Dans mon cas, la différence entre le véhicule acheté aux É.-U. était de plus de 20000 dollars canadiens (tenant en compte le taux de change très intéressant); vous avez bien lu.

Assurez-vous de connaitre le modèle et les prix, riche de cette information, il est beaucoup plus simple de trouver un terrain d’entente avec le concessionnaire. De plus, n’oubliez pas de demander au concessionnaire s’ils sont en mesure de gérer les différents documents qui seront nécessaires aux douanes canadiennes et américaines. Dans mon cas, mon concessionnaire a non seulement tout géré les documents, mais en plus m’a gardé au courant des détails d’intérêts. Le processus a été très clair et simple. Avec de la bonne information, notre niveau de confiance est toujours nettement supérieur.

Pour commander le véhicule, le concessionnaire vous demandera un dépôt; ceci confirme alors votre achat et votre intention. Attention, une fois le dépôt donné, it’s gone. Donc, assurez-vous de bien faire votre choix et garder le dépôt au minimum requis. Généralement, les dépôts peuvent varier entre 500 et mille dollars. Je vous recommande de ne pas dépasser 500 US, en cas de problème ce chiffre n’est pas trop significatif.

La commande de ma Tribeca a pris environ 3 semaines. Suivant ceci, le concessionnaire et moi avons pris rendez-vous pour effectuer le paiement de mon véhicule.

4 – Préparer vos assurances ainsi que le paiement du véhicule

Pour payer mon véhicule, j’ai utilisé une marge de crédit. Le taux était nettement inférieur que pour un prêt-auto, donc si vous avez cette marge, assurez-vous d’avoir un taux logique. N’ayez par peur de marchander, les banques sont toujours prêtent à faire un effort. Une fois le taux et le montant déterminé il s’agit de faire une traite bancaire (moins chère qu’un chèque certifié) en dollars US (pas de problème pour les banques, tant qu’elles font de l’argent, la devise n’a pas d’importance.

Mes assurances n’ont aucun problème avec le fait que mon véhicule est américain (franchises, valeur à neuf, etc.). J’ai entendu de certaines compagnies d’assurance demande des attentes de certification et plus, mais je vous recommande de marchander, tôt ou tard vous aller trouver un contrat qui répond à vos besoins. Ne jamais oublier que nous sommes le client, pas eux.

5 – Rencontre chez le concessionnaire

Suivant la réception du véhicule au concessionnaire, celui-ci vous contacte pour un rendez-vous qui servira quelques besoins. Premièrement le paiement du véhicule, deuxièmement la préparation des documents qui serviront aux douanes américaines et finalement, le permit temporaire qui vous permettra de conduire le véhicule aux É.-U. ainsi qu’au Canada pour une période d’environ un mois.

Une fois le tout effectué, ont vous invites à prendre une enveloppe qui comprend la facture du véhicule, le permit temporaire ainsi que d’autres papiers d’exportation américaine. Riche de cette information, il s’agit de prendre le tout puis retourner aux douanes américaines (Export Control). Une fois sur les lieux, on remet l’enveloppe avec les documents puis le douanier confirme le tout puis vous remettra une feuille avec l’information nécessaire pour effectuer l’exportation de votre véhicule. Comme vous le voyez, vous n’avez toujours pas exporté physiquement votre véhicule. À ce point, il est nécessaire (dans l’état de New York) d’attendre 72 heures (jours travail) avant de pouvoir prendre les clefs puis conduire votre véhicule au Canada.

6 – 72 heures plus tard, préparation de l’importation

Vous êtes maintenant en mesure d’aller prendre votre véhicule chez le concessionnaire (il était naturellement resté là pendant la période de 72 heures). Au concessionnaire il sera très important de ne pas oublier la dernière lettre capitale pour l’exportation du véhicule – une lettre du manufacturier qui confirme que le véhicule ne comporte aucune modification particulière et aucun rappel du manufacturier.

Suivant un beau bonjour au représentant qui vous a aidé, il est maintenant le temps de prendre le véhicule, retourner à l’Export Contrôle des douves américaines et remettre votre feuille d’exportation (feuille qui vous a été remise lors de votre dernière visite aux douanes américaines). Le douanier fera le tour de la paperasse et vous remettra certains documents d’intérêts (titre du véhicule, facture, etc.).

Un autre beau bonjour au douanier et vous pouvez maintenant conduire votre véhicule aux douanes canadiennes.

7 – Aux douanes canadiennes

Pas besoins de vous dire qu’il faut maintenant déclarer le véhicule que vous avez acheté. Une fois fait, le douanier canadien vous confirmera (à l’aide d’un petit papier jaune) le lieu ou vous devez vous rendre pour payer la TPS (6% de la valeur du véhicule payé aux É.-U.) ainsi que des frais d’importation d’environ 200 dollars.

Quelques pieds plus loin, vous trouverez un comptoir où vous pourrez payer les frais et la taxe canadienne. Il est naturellement capital de montrer votre documentation que les douanes américaines vous ont remise. Ceci inclut, entre autres, la lettre du manufacturier qui confirme que le véhicule n’a pas de rappels.

8 – La venue au Canada

Après avoir payé, soyez les bienvenus au Canada. Profiter du moment pour savourer l’air frais et l’argent que vous avez sauvés. Pour certains ceci est un crime envers notre économie, pour moi, ceci est justice dans un marché qui souffre péniblement de compétition et d’importateurs avares.

9 – Inspection du véhicule fédérale et provinciale

Peu de gens savent qu’il est nécessaire de faire inspecter son nouveau véhicule pour le Fédéral (environ 100 dollars chez un Canadian Tire de votre région) mais également pour le gouvernement provincial (environ 100 dollars dans un garage reconnu par la SAAQ). Lors de la prise de rendez-vous, demander les choses nécessaires que vous devrez avoir en mains avant l’inspection. De plus, assurez-vous que votre véhicule soit en lien direct avec les normes canadiennes (ex.: lumière de jour automatique, etc.). Sur ma Tribeca, aucune modification ne fut nécessaire.

10 – En finale

En tout et partout, il faut calculer environ quatre jours de travail pour effectuer l’importation. Mon calcul comprend les recherches de concessionnaires et du prix, la confirmation des informations, les assurances, les deux rencontres chez le concessionnaire (paiement et pickup), la paperasse aux douanes, les inspections et les imprévues. Selon moi, pour un montant supérieur à 3000 dollars sur un véhicule qui n’a pas besoins de modifications, ceci en vaut la peine. Surtout si le dollar canadien garde sa force actuelle ou dans le futur, la retrouve.

Bonne chance.

Attention – ce courriel n’est pas pour vous!

Une grande partie de notre journée de travail consiste à faire l’échange et la lecture de courriel. Pour ce, nous nous assurons de nous présenter correctement, discuter des points clefs et tenter de rendre le tout le plus simple et courtois.

Par contre, depuis quelques années je remarque l’intrusion de messages légaux à la fin des courriels. Généralement nommés « email disclaimers » ou plutôt un avis de non-responsabilité en français, ces avis nous précises les dangers reliés à l’échange ou la réception de courriels qui à la base n’auraient jamais dû arriver dans notre boîte depuis le début.

Non seulement ces messages prennent de plus en plus de place, je reçois plusieurs courriels où l’avis est dix fois plus important que le message lui-même. Après plusieurs tentatives de compréhension, j’ai finalement effectué plusieurs recherches sur Internet pour finalement me rendre compte que ces messages non a peut près aucune valeur « légale ».

Suivant mes recherche et discussions avec des avocats dans le domaine, ces messages ne peuvent que nous sensibiliser à l’échange accidentel ou non désiré de la part d’une personne qui a de la difficulté a écrire un nom correctement.

Simplement, ceci est potentiellement une « meilleure pratique » pour les affaires, mais ne peut en aucun cas nous rendre responsables. Depuis quand devrais-je être responsable d’un « newbie » qui apprend à utiliser son courriel? En plus, ces messages sont souvent complexes, sans profondeur et même menaçants.

Aussi, pour qu’une entente soit concrête entre deux partis, il doit y avoir un consentement entre les partis. Comment quelqu’un pourrait me « tirer » en court invoquant le fait qu’il n’a pu avoir le contrôle de ses courriels et ensuite m’accuser de malveillance par ce que je me suis fait voler mon portable à l’aéroport lors de mon dernier voyage et qu’un terroriste à utiliser l’information contenue dans le courriel pour faire exploser une Volkswagen (pour les fans de pub) — S.V.P. un peu de logique.

Je n’ai même pas la possibilité de refuser l’entente. Le fait de détruire le courriel ne signifie absolument rien de toute façon. Toute personne qui oeuvre dans le domaine de la sécurité de l’information sait très bien que ces données résident dans plusieurs lieux et que pour y avoir accès, il ne faut pas être le docteur Einstein.

Vraiment, je crois que ces messages sont d’un ridicule incroyable. À la place, il devrait y avoir un message qui indique clairement que la presque totalité des courriels ne possède aucune protection et que n’importe qui, qui possède l’équipement, peut bien les lires à sa guise.

Rendu là, pourquoi pas nous obliger à porter un casque avant l’ouverture des courriels…

Références :
- OLF : Office de langue francaise
- News 24 : www.news24.com/News24/Technology/News/0,6119,2-13-1443_1546258,00.html

Windows Vista / VMWare – Pour les curieux!

Bon. Je tiens à clairement indiquer que je ne suis pas un « fan » du monde Windows, par contre, je suis quelqu’un de très curieux. Alors, pour ceux qui aimeraient travailler cette curiosité vers le nouveau système d’opération de Microsoft — Windows Vista (Beta décembre 2005), voici une procédure simple et efficace qui vous permettra de faire fonctionner le tout dans VMWare Workstation 5.5.XXXX :

1. Une fois l’installation de VMWare dans votre environnement confirmée, simplement faire la création d’une machine virtuelle par défaut “Windows Vista (expérimentale)”. Cette machine devrait avoir un réseau « bridge », un minimum de 512 megs de mémoire vive (plus si possible), un disque dur d’au moins 16 gigs dimensionnés (voir les options dans VMWare), etc.

2. Insérer le DVD (physiquement ou virtuellement) de Windows Vista dans le lecteur virtuel de VMWare et allumer la machine virtuelle.

3. Prenant en considération que ceci est une nouvelle installation, le DVD fera automatiquement une installation fraîche du logiciel. Simplement, aucune information ne devrait se retrouver sur votre partition de 16 gigs (même pas de zone formaté — NTFS, etc.). Une fois le menu de départ présent, choisir la première option « Install Now ».

4. Faire l’entrée du code d’activation puis faire la combinaison puis une fois le tout inscrit, faire « next ». Vous vous retrouverez alors avec une partition prête pour l’installation. À ce point, faire la combinaison « Shift-F10 » pour faire l’ouverture de la ligne de commande et nous permettre de travailler comme des vrais!

5. Pour démarrer l’utilité de partition « expert » (rapide et efficace), simplement inscrire sur la ligne de commande (sans les parenthèses naturellement) « diskpart ». Une fois dans l’utilité « diskpart », entrez la commande « select disk 0 », tapez entré, puis entrez la commande « create partition primary ».

7. Lorsque la préparation du disque sera terminée, simplement faire un « reset » de votre machine virtuelle dans le menu de VMWare (haut). Ceci fera redémarrer instantanément la machine virtuelle.

8. Lorsque la machine virtuelle redémarre, rapidement faire “F2″ pour entrer dans le menu du “BIOS” de VMWare. Dans les options du “BIOS”, allez dans la section « BOOT », et assurez-vous que le CD-ROM est le premier lecteur dans la liste de démarrage (généralement il est en troisième position).

9. Une fois le changement effectué dans le « BIOS », sauvegardez les changements avant de sortir puis laissez Windows Vista démarrer. Réinscrire le code d’activation, s’assurer de choisir la partition créée auparavant, puis cliquer sur « next ».

10. Suivre les détails suivants du menu d’installation de Microsoft et vous devrez vous retrouver avec une machine virtuelle fonctionnelle dans les prochaines 45 minutes.

Finalement, il est probable que vous allez rencontrer des problèmes ou certains pièges. Simplement inscrire les messages d’erreur dans Google et vous serez rapidement au courant du problème. Cette installation n’est pas pour les débutants et surtout requiert un peu d’expérience avec VMWare.

Bonne chance!

10 minutes et le tour est joué !

Selon un groupe de spécialistes en sécurité de l’information de l’université de Berkeley (USA – Californie), il ne s’agirait que de faire un enregistrement de 10 minutes d’une personne devant son clavier pour être en mesure d’avoir accès à près de 90 % des mots qui ont été entrés.

Intéressant, mais disions qu’il ne faut pas un génie pour se rendre compte que ceci est appliqué pour les guichets automatiques depuis près de 10 ans. Par contre, rien de mieux qu’un groupe de spécialistes aux USA – Berkeley pour nous dire quelle est la vérité… ; )