Charte cri1

Charte de bon usage des ressources informatiques du CRI

CHARTE DE BON USAGE CHARTE DE BON USAGE

ET DE SECURITE ET DE SECURITE

DES RESSOURCES INFORMATIQUES DES RESSOURCES INFORMATIQUES

DE L’UDE L’UNIVERSITE DE NIVERSITE DE

FRANCHE-COMTE FRANCHE-COMTE

La charte de bon usage et la feuille d'inscription qui doivent être signées par chaque utilisateur du réseau de l’Université de Franche-Comté.

Centre de Ressources InformatiquesCellule Réseau

Université de Franche-Comté16, route de Gray

F-25030 BesançonTél. : 81 66 61 68, Fax : 81 66 61 77

Rédigée en avril 1996 par Bertrand ASTRIC et Patrice [email protected] [email protected]

1


2


Introduction

Missions du CRI

Les ressources du CRI sont dédiées prioritairement à l'enseignement et à la recherche. Toutefois, elles peuvent éventuellement être utilisées pour des travaux spécifiques d'administration de l'Université. Leur utilisation par un nombre important d'enseignants, chercheurs, personnels IATOS et d'étudiants, repartis en groupes d'utilisateurs ayant des besoins très divers, implique le respect de certaines règles de la part de chacun.

But de la Charte

Le but de cette charte est essentiellement de définir ces quelques règles, simples mais importantes, de bonne utilisation des ressources communes. Ces règles relèvent avant tout du bon sens et ont pour seul but d'assurer à chacun l'utilisation optimale de ces ressources, compte tenu des contraintes globales imposées par leur partage. Dans le cas de non respect de ces règles, les gestionnaires du CRI se réservent le droit d'intervenir, afin que le plus grand nombre d'utilisateurs puissent bénéficier de conditions de travail satisfaisantes. La Charte informe également les utilisateurs sur l'état actuel de la législation française en matière de fraude informatique, ainsi que sur les sanctions pénales encourues (indépendamment des sanctions administratives qui peuvent être appliquées par l'Université de Franche-Comté).

Existence de délits informatiques

Plusieurs lois récentes ont contribué à l'émergence d'un véritable "droit de la sécurité des systèmes informatiques". C'est ainsi que des pratiques telles que intrusion (ou tentative d'intrusion) sur ordinateurs à travers un réseau, utilisation de copie illicite de logiciels, emprunt de l'identité d'un tiers, sont maintenant des délits reconnus en tant que tels, et passibles de peines parfois très lourdes, par exemple : - accès ou maintien frauduleux dans un système : 2 mois à 2 ans de prison et 2 000 à 50 000 F d'amende- reproduction autre qu'une copie de sauvegarde : 3 mois à 2 ans de prison et 6 000 à 120 000 F d'amende- etc. ... Une plainte déposée par un établissement victime de simples tentatives de fraudes peut donc très rapidement déboucher sur des sanctions pénales graves.

Avertissement

Notre environnement, basé sur la recherche et l'enseignement, est par nature ouvert. Le CRI s'efforce, dans la mesure du possible, de trouver un compromis entre une ouverture trop laxiste qui mettrait en péril la bonne utilisation de ses ressources, et une fermeture trop rigide des services qui viendrait en contradiction avec l'esprit universitaire.

3


1. Quelques définitions

1.1 Description des ressources mises à disposition

Les ressources communes mises à disposition des utilisateurs du CRI consistent en : serveurs Unix munis d'un large éventail de logiciels (langages, base de données, statistiques, ...), réseau d'accès (TCP/IP et X25), salles de postes de travail connectés, sur réservation (et en libre-service le reste du temps).La connexion, filtrée, au réseau RENATER permet également l'accès à tout ou partie des services de communication avec le monde de l'Enseignement et de la Recherche en France et à l'étranger : messagerie, transfert de fichiers, connexion distante.

1.2 Domaines d'application de la Charte

La présente Charte s'applique à tous les moyens locaux : serveurs, stations, micros en libre-service,... ainsi qu'aux services accessibles à partir des machines locales (i.e. tout l'Internet).

1.3 Utilisateurs

Un utilisateur est un consommateur de ressources informatiques du CRI. Cette utilisation doit être liée aux activités d'enseignement, de recherche ou d'administration (liée a l'enseignement et à la recherche).

1.4 Administrateurs

Sur chaque serveur, un ou plusieurs ingénieurs du CRI jouent le rôle d'administrateur du système. Pour cela ils disposent de droits spécifiques (super-utilisateur). De même le réseau "Enseignement" est géré par des ingénieurs du CRI. Dans chaque enseignement, les enseignants jouent le rôle d'administrateurs secondaires de leurs étudiants, avec l'aide des ingénieurs du CRI, dont ils sont les interlocuteurs officiels et privilégiés. Les étudiants n'ont de contacts directs qu'avec leurs enseignants.

1.5 Règles de connexion d'un nouveau serveur sur le réseau

Le CRI est le maître d'oeuvre du réseau commun d’établissement représenté par le domaine "univ-fcomte.fr".

2. Droits et devoirs des utilisateurs

En cas de problème, les utilisateurs peuvent demander l'aide des administrateurs pour que leurs droits soient respectés.

2.1 Informations individuelles

Chaque utilisateur est tenu de fournir des informations individuelles valides : adresse, filière d'études,... . Il est également tenu de notifier aux administrateurs toute modification de ces informations. La fourniture d'informations délibérément erronées sera considérée comme une faute grave pouvant entraîner une interdiction d'accès aux ressources du CRI.

4


2.2 Conditions d'accès

A chaque utilisateur correspond un sigle d'identification unique auquel est associé un mot de passe. La remise de ces deux informations détermine un droit d'accès aux ressources du CRI et cela pour une durée déterminée (e.g. une année universitaire pour les étudiants). L'étendue des ressources auxquelles l'utilisateur a accès est limitée, en fonction de ses besoins réels et des contraintes imposées par le partage de ces ressources avec les autres utilisateurs.

Ce droit d'accès aux ressources du CRI est personnel et incessible : Il ne faut pas le donner ou essayer de voler celui d'un autre.

Ce droit d'accès est temporaire. Il est retiré si la fonction de l'utilisateur ne le justifie plus ou si le comportement d'un utilisateur est en désaccord avec les règles définies dans la présente Charte.

Les moyens d'accès (mot de passe, clef, carte magnétique, ...) éventuellement remis à un utilisateur le sont à titre personnel et sont incessibles. Il ne faut pas les prêter, les donner ou les vendre. Il faut les rendre en fin d'activité.

Chaque utilisateur est responsable de l'utilisation des ressources informatiques (locales ou distantes) faites à partir de son compte. Cela implique de prendre quelques précautions, simples mais efficaces:

- choisir un mot de passe sûr (caractères + chiffres) et le garder secret,- changer régulièrement de mot de passe,- terminer proprement ses sessions et ne pas quitter son terminal avec une session en

cours,- prévenir les administrateurs de toute tentative de violation (même non réussie),- protéger ses fichiers (enlever les accès non indispensables),- ne pas laisser traîner de supports magnétiques, optiques ou autres.

2.3 Respect du caractère confidentiel des informations

Les fichiers de chacun sont privés, même s'ils sont physiquement accessibles: la possibilité de lire un fichier n'implique pas l'autorisation de le lire. Il ne faut donc tenter, ni de lire ou copier les fichiers d'un autre utilisateur sans son autorisation, ni d'intercepter des communications privées entre utilisateurs.

2.4 Respect des individus

Chacun a le droit de travailler sans être dérangé: la liberté de parole n'autorise en rien le harcèlement ou les insultes via forum, mail, ou autre moyen de communication. La possibilité de modifier un fichier n'implique pas l'autorisation de le modifier (la destruction ou la modification de fichiers utilisateurs relève du vandalisme). Un utilisateur ne doit pas se voir limiter ou interdire l'accès aux ressources du CRI par un autre utilisateur. La tentative d'usurpation d'identité est un délit.

2.5 Respect des ressources privées

Certaines ressources (serveurs, imprimantes, ...) accessibles par le réseau ne sont pas publiques, soit qu'elles appartiennent à des UFR, soit qu'il s'agisse de services spéciaux non accessibles à tous. Si les ressources physiquement protégées sont toujours privées, les ressources non physiquement protégées peuvent éventuellement être privées : il faut donc se renseigner avant toute utilisation. Remarque : un utilisateur non autorisé pourra être déconnecté brutalement. Par

5


défaut seules les ressources explicitement autorisées sont utilisables.

Notre environnement est naturellement ouvert : il ne faut pas en abuser. Les stations de travail et imprimantes privées nécessitent toujours une autorisation avant utilisation. Certains serveurs spécialisés peuvent comporter des restrictions d'accès (e.g. pas de session interactive sur un serveur de fichiers). Enfin, si certains fichiers systèmes (n'appartenant en propre à aucun utilisateur) restent lisibles, ils ne doivent en aucun cas être modifiés, ni même recopiés (la plupart des fichiers systèmes sont sous licence). Cela s'applique bien entendu à tous les serveurs accessibles par le réseau, qu’ils soient locaux ou distants.

3. Droits et devoirs des administrateurs

Les administrateurs du CRI sont responsables de la qualité du service. Ils doivent faire respecter les droits et responsabilités des utilisateurs. Le CRI se réserve le droit de prendre toutes dispositions nécessaires pour assumer ces responsabilités et permettre le bon fonctionnement des ressources informatiques communes. Il existe un compromis reconnu par les utilisateurs et le CRI entre le droit de confidentialité de chaque utilisateur et le besoin du CRI de recueillir les informations nécessaires à la bonne marche du système. De la même façon, les enseignants, administrateurs secondaires pour ce qui concerne leurs étudiants, peuvent être amenés à accéder aux comptes de ces derniers pour le bon déroulement de leur enseignement.

3.1 Disponibilité des ressources informatiques

Les administrateurs du CRI doivent informer les utilisateurs des interruptions volontaires de service. Ils doivent minimiser ces interruptions et choisir, si possible, les dates les moins gênantes pour les utilisateurs.

3.2 Respect de la confidentialité

Les administrateurs du CRI doivent respecter la confidentialité des fichiers utilisateurs, des courriers, et des sorties imprimantes auxquels ils peuvent être amenés à accéder.

3.3 Accès aux données privées

Les administrateurs du CRI peuvent accéder à des fichiers ou courriers pour diagnostic ou correction de problème. Ils peuvent examiner des données utilisateurs pour la bonne marche du système ou la vérification du non respect de la Charte.

3.4 Contrôle de l'utilisation des ressources

Les administrateurs du CRI peuvent surveiller en détail les sessions de travail d'un utilisateur s'il existe un soupçon de non respect de la Charte. Ils peuvent modifier la priorité ou stopper une tâche utilisateur si une utilisation excessive de ressources nuit aux autres utilisateurs (avec ou sans préavis, selon l'urgence du problème). Ils peuvent effacer ou comprimer les fichiers excessifs ou sans lien direct avec des travaux "normaux" (avec ou sans préavis). Enfin, ils peuvent mettre fin aux sessions de travail inactives trop longtemps.

4. Utilisation des ressources communes

Le partage des ressources du CRI par un nombre élevé d'utilisateurs ayant des besoins souvent fort différents impose le respect de quelques règles.

6


4.1 Partage équitable des ressources communes

Espace disque : son utilisation doit être surveillée afin de réduire le gaspillage au minimum (nettoyage fréquent, compression, archivage, ...). Système : les traitements gourmands en Unité Centrale doivent utiliser au mieux batch et heures creuses, pas de sessions interactives multiples inactives. Impression : éviter les longues impressions aux heures de pointe.

Seul le niveau utilisateur est autorisé sur un serveur commun, un tel serveur ne peut servir à des enseignements de programmation système ou réseau (développements appelant des fonctions internes du système, programmation de "sockets", ...). Ceci afin de maintenir l'intégrité du système et du réseau. Ce type d'enseignement doit être mené sur des serveurs spécialisés.

L'installation de logiciels ou utilitaires pouvant porter atteinte au fonctionnement des machines n'est pas autorisée. Ceci est le cas de tout logiciel provoquant une charge supplémentaire de la machine, un dysfonctionnement, ou une modification de l'environnement standard proposé par le CRI.

4.2 Accès aux salles contenant le matériel informatique

Chaque utilisateur est tenu de respecter les règles d'accès instaurées par le CRI ainsi que les notes affichées et les messages venant du CRI sur les écrans d'ordinateurs. Il ne faut pas dégrader le matériel en libre-service, et prévenir le personnel d'exploitation des problèmes rencontrés afin qu'ils soient corrigés.

4.3 Utilisation des réseaux

L'interconnectivité actuelle permet une grande convivialité dans l'utilisation des ressources mondiales : cela nécessite des règles strictes de bonne conduite sous peine de se voir exclure de cette communauté. Les ressources du CRI ne doivent pas être utilisées pour se connecter sans autorisation sur des systèmes distants : possibilité de connexion ne signifie pas autorisation. Les agissements suivants sont considérés comme des fautes graves pouvant entraîner la fermeture immédiate et brutale du compte utilisateur:- interrompre le fonctionnement normal du réseau ou d'un des systèmes connectés,- accéder à des informations privées d'autres utilisateurs sur le réseau,- modifier ou détruire des informations sur un des systèmes connectés,- rendre nécessaire la mise en place de moyens humains ou techniques supplémentaires pour contrôler les agissements d'un utilisateur sur le réseau.

7


4.4 Pas de recherches sur la sécurité des systèmes et les virus sans autorisation préalable

Le développement, l'installation ou la simple copie sur un des serveurs du CRI d'un programme ayant les propriétés ci-dessous est interdite :- programmes harcelant d'autres utilisateurs,- programmes pour contourner la sécurité,- programmes saturant les ressources,- programmes virus et cheval de Troie,- programmes contournant les protections des logiciels,- circulation de données cryptées.

5. Respect des restrictions légales d'utilisation

Les ressources informatiques du CRI sont destinées à des fins universitaires, et plus particulièrement à l'enseignement et à la recherche. Certains logiciels peuvent donc être soumis à des restrictions d'utilisation. Par ailleurs, les lois et décrets en cours s'appliquent à tous.

5.1 Utilisation universitaire des ressources

Pas d'utilisation pour activité commerciale sans accord préalable. Certains logiciels ont une licence spéciale "éducation" : à vérifier avant une utilisation pour la recherche ou la gestion.

5.2 Protection des logiciels

Les mêmes valeurs intellectuelles s'appliquent aux logiciels et aux autres publications du monde académique (cf. loi du 3/7/1985). Dans le cas d'un logiciel protégé: toute copie est interdite même pour sauvegarde (elles sont assurées par les administrateurs). Toute copie illicite d'un logiciel est un vol. Aucun code source d'un logiciel protégé ne peut être inclus dans des logiciels pouvant être utilisés à l'extérieur.

5.3 Fraude informatique

Le texte de référence est la loi du 5/1/88 (loi Godfrain). Sont considérés comme des délits les activités suivantes :- accès ou maintien frauduleux dans un système informatique,- atteintes volontaires au fonctionnement d'un système informatique,- la tentative de ces délits,- l'association ou l'entente en vue de les commettre.

8


6. Sanctions éventuelles

Le non respect des règles de bonne conduite fixées par cette Charte, ainsi que des textes de loi en vigueur, conduit à des sanctions : administratives (CRI et Université de Franche-Comté) ou pénales.

6.1 Sanctions administratives

La tentative d'intrusion dans un autre compte ou système, de la part d'un utilisateur, entraîne la suppression de tous ses comptes sur les machines du CRI. Le CRI se réserve le droit de refuser accès à toute personne ayant violé la charte. Les fautes graves sont sanctionnées administrativement dans le cadre des peines prévues par le règlement intérieur de l'Université de Franche Comté.

6.2 Sanctions pénales

Le CRI est tenu par la loi de signaler toute violation des lois constatées. L'Université de Franche Comté se réserve le droit d'engager des poursuites au niveau pénal, indépendamment des sanctions administratives mises en oeuvre.

Le directeur du CRI Le président de l'Université

Patrice KOCH Claude OYTANA

9


10


Document à retourner au CRI

Engagement à respecter la Charte d’usage et de sécuritédes ressources informatiques de l’Université de Franche-Comté

Je soussigné (prénom, NOM) :Service, laboratoire ou filière :Adresse :C.P. :Ville :Tél. :Fax :Responsable du service ou de la :filière

Pour les étudiants, une photocopie de la carte étudiante est demandée :n° de carte :

Utilisateur des ressources du CRI en qualité de :

étudiant O doctorant O enseignant O

chercheur O personnel administratif O autre (précisez) O

déclare avoir pris connaissance de la Charte des utilisateurs du CRI et m'engage à respecter ses règles (dont les principales sont rappelées ci-dessous).

Besançon, le

Signature (précédée de la mention Lu et approuvé)

11


Rappel de quelques règles essentielles extraites de la Charte des utilisateurs du CRI

================================= Utilisation des machines du CRI

=================================

Les machines du CRI sont dédiées à l'enseignement et à la recherche. Un nombre important d'enseignants, chercheurs et d'étudiants travaillent sur ces machines. Leur utilisation par des groupes d'utilisateurs divers implique le respect de certaines règles importantes, de la part de chacun. Dans le cas de non respect de ces règles, les gestionnaires du CRI se réservent le droit d'intervenir, afin que le plus grand nombre d'utilisateurs puissent bénéficier de conditions de travail satisfaisantes.

D'autre part, la loi Godfrain protège les utilisateurs contre des tentatives de "piratage" de leur compte, ou du système lui-même.

Guide du bon usage

- Tout travail sur les machines du CRI doit être lié à une activité relevant de l'enseignement, de la recherche ou de l'administration Universitaire. Tout autre travail est interdit.

- Les machines du CRI ne peuvent servir à des enseignements de programmation système ou réseau (développements appelant des fonctions internes du système, programmation de "sockets", ). Seul le niveau utilisateur est autorisé pour ce type d'enseignement. Ceci afin de maintenir l'intégrité du système et du réseau.

- Chaque utilisateur possède un compte personnel. Les informations (nom, prénom,...) concernant chaque utilisateur doivent être fournies aux gestionnaires du CRI. Chaque utilisateur est responsable de son compte. En particulier, il doit s'assurer que son mot de passe n'est pas trop facile à deviner (prénom, date de naissance, etc. ... sont interdits), et ne jamais le communiquer.

- Le partage d'un compte par plusieurs n'est pas autorisé. En cas de problèmes ou dégradations éventuelles, le propriétaire du compte sera tenu pour responsable.

- La tentative d'intrusion dans un autre compte ou système, de la part d'un utilisateur, entraîne la suppression de tous ses comptes sur les machines du CRI.

- L'installation de logiciels ou utilitaires pouvant porter atteinte au fonctionnement des machines n'est pas autorisée. Ceci est le cas de tout logiciel provoquant une charge supplémentaire de la machine, un dysfonctionnement, ou une modification de la configuration. Les gestionnaires du CRI se réservent le droit d'intervenir en pareil cas.

- Le CRI est le maître d'oeuvre du réseau de communication de l'Université et du domaine associé à ce réseau : univ-fcomte.fr. Les gestionnaires des machines hors CRI, connectées sur ce réseau par le personnel du CRI, doivent respecter les directives de sécurité établies par le CRI.

12


Document à retourner au CRI

Demande d’ouvertureDemande d’ouverture d’une boite aux lettres d’une boite aux lettres

électroniqueélectronique

- Ouverture d'une boite aux lettres électronique:

Nom et prénom de l'utilisateur

Service, laboratoire, filière ou organisme

Adresse de l'utilisateur (professionnelle)

Tél. FaxResponsable financier et coordonnées (tél.)Centre de Responsabilité

-Type d’ordinateur utilisé :

PC O Macintosh O PowerMacintosh O

Système d’exploitation :Windows 3.1 O Windows 3.11 O Windows95 OWindows98 O Windows NT OMac < 7.1 O Mac > 7.1 O Autre (précisez) .....................

Besançon le : Signature du responsable financier ou de l’étudiant

Les informations qui vous sont demandées sont nécessaires au traitement de votre demande d’adhésion et d’abonnement aux services réseaux de l’Université de Franche-Comté. Conformément à la Loi Informatique et Libertés du 06/01/78 (art.27), vous disposez d’un droit d’accès et de rectification des données vous concernant ou vous opposer à ce qu’elles soient communiquées à des tiers en adressant un courrier au CRI.

13

Charte cri1

Documents

Transcript of Charte cri1