Projet SASLe 2 septembre 2014

BATELOT Maxime - OUADAH Fadil - PARISOT Arnaud

Projet SAS 2014

Table des matièresI. MFA Corporation, qui sommes-nous ?...........................................................................................2

II. Nos engagements qualité...............................................................................................................2

III. Plan de sécurisation de données................................................................................................4

Assurer la disponibilité.......................................................................................................................4

Assurer l'intégrité...............................................................................................................................4

Assurer la confidentialité....................................................................................................................4

Les deux plans concernés (PSI/PCA) doivent être créés, puis testés, déployés et périodiquement mis à l'épreuve...............................................................................................................................5

Ce cycle est coûteux, consommateur de ressources et indirectement productif mais il peut s'avérer particulièrement rentable sur le long terme, lorsque le désastre survient.......................5

La plupart des plans recèlent des failles et il faut les confronter à la réalité des mises en situation pour les détecter et les éliminer.....................................................................................................5

Il ne faut pas hésiter à poser des questions très basiques :............................................................5

Où pourront s'asseoir ceux qui vont assurer les processus de secours et ceux qui vont ramener la situation à la normale ?................................................................................................5

Comment seront disposés et connectés leurs postes de travail et leurs outils de communication ?............................................................................................................................5

IV. Règles d’utilisation, de sécurité et de bon usage !.....................................................................6

V. Annexe...........................................................................................................................................7

A. Charte Informatique...................................................................................................................7

B. Charte Qualité............................................................................................................................7

1. Compte rendu d’intervention.................................................................................................8

1

Projet SAS 2014

I. MFA Corporation, qui sommes-nous ?

MFA Corporation, prestataire de service informatique, a pour mission d'apporter une aide concrète aux entreprises ayant des projets ou des soucis liés aux outils informatiques. Notre métier, c'est de vous assurer une sérénité de chaque instant et minimiser les risques liés à l'utilisation erronée de l'informatique.

Depuis sa création, MFA Corporation est un prestataire de service informatique spécialisé dans la mise en place de toutes solutions complètes de maintenance, de gestion, de sécurité, de dépannage, de protection, de suivi, de conseil et d'assistance informatique.

Bien choisir son prestataire de service informatique aide à développer sereinement son activité, n'hésitez pas à vous octroyer les services d'une entreprise prestataire de service informatique spécialisée pour la maintenance de votre réseau.

Ce choix vous permet de bénéficier d'une véritable prestation informatique adaptée à la taille de votre entreprise. Dans un milieu hautement concurrentiel, l'externalisation de l'ensemble des services de maintenance informatique vous permet d'obtenir un prix de prestations très attractif. Vos clients peuvent se concentrer sur leur métier, tout en restant maîtres de leurs outils de travail.

La gestion du risque informatique constitue un enjeu majeur, étant caractérisée par une complexité croissante et des évolutions technologiques permanentes. C'est pourquoi MFA Corporation, prestataire de service informatique, déploie tout son savoir-faire pour anticiper les risques liés à l'installation et à l'exploitation de moyens informatiques.

II. Nos engagements qualité

MFA Corporation a comme objectif d'assurer la satisfaction de ses clients. Ce but ayant toujours été le fil conducteur de notre charte qualité, aujourd'hui plus de 90% de nos services proviennent de clients ayant recommandé MFA Corporation auprès de leur entourage.

Découvrez les 8 points qui articulent notre engagement auprès de nos clients.

CHARTE QUALITE

Point N°1 : Satisfaction des clients.

A. Nous, Prestataire Informatique, travaillons dans un but unique : votre satisfaction. Ce but se traduit par la mise en œuvre de compétences techniques, de tarifs adaptés, et de délais prenant en compte le caractère spécifique de vos demandes.

2

Projet SAS 2014

B. Nous nous engageons à effectuer, avec vous, un diagnostic précis de vos demandes avant toute intervention ainsi qu’un compte rendu complet de l’intervention effectuée.

Point N°2 : Communication avec nos clients.

Nous nous engageons à vous fournir une information claire et détaillée, tant sur le plan technique que tarifaire. Les tarifs des prestations et des interventions sont obligatoirement affichés et annoncés avant toute intervention.

Point N°3 : Délais d’intervention et de réparations.

Nous indiquons à nos clients des délais fermes d’intervention et de réparation. Nous nous engageons à respecter ces délais ainsi qu’à informer le client en cas de retard. Nous ferons alors le nécessaire pour réduire ce retard par les différents moyens en notre possession. Ces délais s’entendent hors causes exceptionnelles (Catastrophes naturelles, Grèves, notamment).

Point N°4 : Engagements sur la sécurité.

A. Sécurité du système informatique : Nous nous engageons à informer la clientèle des mesures de sécurité nécessaires à la protection de ses données et de son matériel.

B. Sauvegarde des données : Nous nous engageons à mettre en place auprès de la clientèle un dispositif permettant d’effectuer des sauvegardes et d’en faciliter l’utilisation.

C. Restauration des données : Nous nous engageons à permettre aux utilisateurs d’effectuer une restauration de leurs données sous réserve que ceux-ci disposent de sauvegardes correctement effectuées et en bon état de fonctionnement.

Point N°5 : Obligation de moyens.

Nous reconnaissons notre obligation de moyens et mettons en œuvre tous les outils et connaissances à notre disposition afin de garantir cette obligation.

Point N°6 : Garanties.

A. Le matériel, ainsi que les interventions, sont garantis pour une durée minimale devant être obligatoirement et clairement précisée. Les numéros des services après-vente constructeurs seront communiqués aux clients dans le cadre des pièces soumises à la <<garantie constructeur>>.

B. Les pièces que nous remplacerons seront remises au client, ou détruites par les filières appropriées, si tel est son choix.

Point N°7 : Respect des droits d’auteur.

Lors d’une intervention nécessitant la réinstallation du système d’exploitation ou de logiciels soumis à des droits d’auteur, le client devra fournir les originaux ou faire l’acquisition des licences nécessaires. En cas de refus ou de non présentation des orignaux, l’intervention ne pourra être effectuée.

3

Projet SAS 2014

Point N°8 : Gestion des déchets électroniques.

Nous ferons procéder à une destruction <<propre>> des composants hors-services, par le biais des centres de traitement adaptés à la gestion des déchets électroniques.

III. Plan de sécurisation de données

Cette section, consacrée aux risques met l’accent sur les différentes menaces qui pèsent sur l’entreprise, qui peuvent conduire à la perturbation de son exploitation et à la mise en péril de son existence.

Face à ces menaces qui peuvent prendre diverses formes (accidents, erreurs, malveillance, catastrophes naturelles), l’entreprise peut prendre des mesures pour éviter qu’elles surviennent ou, si ce n’est pas possible, afin de réduire leurs effets.

Parmi ces mesures, certaines sont orientées vers la protection des données vitales pour la survie de l’entreprise : celles qui capitalisent son savoir-faire et qui identifient ses clients.

Pourquoi ?

Protéger les données sensibles de l’entreprise face aux diverses menaces identifiables implique de mettre en place des procédures pour satisfaire les trois critères suivants :

Disponibilité Intégrité Confidentialité

Assurer la disponibilité implique de rechercher la fiabilité et la continuité du service. Ces caractéristiques concernent non seulement les données elles-mêmes mais également les supports qui les stockent et les dispositifs qui en permettent l'accès. Les précautions prises lors de la sélection des fournisseurs et la redondance de certains équipements critiques permettent d'atteindre des niveaux satisfaisants pour ce premier point.

Assurer l'intégrité implique de rechercher l'exactitude, l'exhaustivité et l'inaltérabilité. Ces caractéristiques concernent à la fois les individus qui saisissent et manipulent l'information, et les logiciels qui supportent ces opérations. Des efforts de sensibilisation et de formation d'une part, et des procédures rigoureuses de contrôle lors de l'acquisition (progiciels) ou de l'écriture (logiciels spécifiques) des programmes, d'autre part, permettent d'atteindre des niveaux satisfaisants pour ce second point.

Assurer la confidentialité implique de permettre l'accès aux données aux personnes habilitées et à elles-seules. Ceci implique de hiérarchiser les valeurs pour les données et les droits pour les utilisateurs. Ceci implique aussi de mettre en place des procédures qui permettent de définir

4

Projet SAS 2014

et de faire évoluer ces valeurs et ces droits, ainsi que celles qui permettent de vérifier, à chaque instant, l'ajustement du droit d'un utilisateur à la valeur des données qu'il consulte et manipule.

Les réseaux de télécommunication constituant les points privilégiés d'accès aux données par des utilisateurs dispersés géographiquement, l'accent doit être mis sur la sécurisation de ces réseaux et sur l'authentification de ceux qui s'y connectent.

Le Plan de Secours Informatique (PSI) ("Disaster Recovery Plan") permet de reprendre une activité avec un niveau de service satisfaisant après un incident. Ce processus est essentiellement axé sur la restauration de l'infrastructure informatique et des ensembles de données.

Contrairement à une idée communément répandue, il n'est pas indispensable de revenir directement à un niveau de disponibilité maximal. Une restauration séquencée dans le temps peut s'avérer plus efficace et plus économique.

C'est ici qu'intervient le concept de Plan de Continuité des Activités (PCA) ("Business Continuity Plan"), processus anticipatif d'analyse des fonctions critiques de l'entreprise, d'identification des risques majeurs et d'évaluation de l'impact d'un incident éventuel. Le Plan de Continuité va inclure un plan de secours qui va avoir un horizon plus large que celui du PSI (il va bien sûr se coordonner avec lui), un plan de crise qui va gérer l'organisation et la communication pendant le crise, et un plan de reprise qui va préparer le retour à la situation normale.

La continuité des activités s'inscrit dans une démarche de pérennité de l'entreprise. Elle consiste à mettre en place aux niveaux critiques du " business " des procédures visant à assurer le fonctionnement de ses activités clefs, ainsi que la disponibilité des ressources indispensables au déroulement de celles-ci.

Comment ?

Les deux plans concernés (PSI/PCA) doivent être créés, puis testés, déployés et périodiquement mis à l'épreuve.

Ce cycle est coûteux, consommateur de ressources et indirectement productif mais il peut s'avérer particulièrement rentable sur le long terme, lorsque le désastre survient.

La plupart des plans recèlent des failles et il faut les confronter à la réalité des mises en situation pour les détecter et les éliminer.

Il ne faut pas hésiter à poser des questions très basiques :

Où pourront s'asseoir ceux qui vont assurer les processus de secours et ceux qui vont ramener la situation à la normale ?

Comment seront disposés et connectés leurs postes de travail et leurs outils de communication ?

5

Projet SAS 2014

Les étapes de cette construction sont :

Créer une équipe (responsables, sponsor, expertise) ; Définir des objectifs orientés "business", ce qui signifie ne pas exprimer les enjeux en termes

de disponibilité d'unité centrale ou de débit réseau, mais plus concrètement par exemple, en termes de nombre de commandes que l'on pourra servir et nombre de factures que l'on pourra émettre ;

Mesurer l'impact des objectifs définis sur les processus, sur les applications, sur les équipements de l'infrastructure ;

Identifier les exigences spécifiques (listes de contacts, matériels à disposition, ...) ; Identifier, motiver et former les individus clefs ; Identifier les points critiques ; Construire les plans. Mettre en place la logistique, les outils et les procédures liés à ces plans. Les tester. Tirer un premier bilan du test et apporter les correctifs nécessaires. Définir des procédures de révision périodiques (ce qui n'est pas le plus simple ! Une récente

étude ayant montré qu’environ 45% des entreprises qui avaient mis en place un PCA ne l'avait pas revu depuis plus d'un an).

~A titre d’information, le coût engendré par l’indisponibilité d'un système informatique pour une entreprise peut engendrer de grosses pertes financières, ou dans le pire des cas un dépôt de bilan pur et simple.

IV. Règles d’utilisation, de sécurité et de bon usage !

Charte informatique

Préambule La présente Charte définit les conditions générales d’utilisation des services réseau en précisant leur cadre légal et déontologique et en rappelant l’application du droit à internet. Elle poursuit à ce titre un rôle de sensibilisation et de responsabilisation des parties signataires face aux ressources et aux dangers liés à l’utilisation d’internet et des systèmes informatiques. La Charte définit les droits et obligations que les utilisateurs de la société AutoConcept s'engagent à respecter.

6

Projet SAS 2014

Définitions

Ressources informatiquesOn entend par ressources informatiques tous les moyens mis à la disposition des utilisateurs (serveurs, postes locaux, imprimantes, matériels liés au réseau, etc…) par l’Entreprise. Cela inclus notamment les moyens d’accès aux ressources extérieures à l’Entreprise fournis par tout entreprise extérieure.

Utilisateurs On entend par utilisateur une personne faisant partie du personnel de l’Entreprise et ayant accepté les termes de la présente charte par sa signature.

La CNIL Commission nationale de l’informatique et des libertés est chargée de veiller à ce que l’informatique soit au service du citoyen et qu’elle ne porte atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques.Elle exerce ses missions conformément à la loi informatique et libertés qui la qualifie d'autorité administrative indépendante.

Utilisation des ressources informatiquesLes logiciels et matériels de l’entreprise sont strictement destinés à des fins professionnelles. Chaque utilisateur est responsable du matériel, logiciels et locaux fournis. Toutes dégradations constatées ou une mise en marche d’un système anormal, doivent être signalées au responsable informatique dans les plus courts délais. Le téléchargement de ficher, film, musique, image… non légal est strictement interdit sur le réseau, sous peine de sanctions mises en place par la direction, y compris des sanctions légales, pour droits d’auteur.

Il est obligatoire de libérer le matériel prêtés (y compris logiciels) dès que l’on estime ne plus en avoir besoin.

Protection du logicielTous fichiers ou documents privés de l’entreprise ne doivent, en aucun cas, sortir à l’extérieur des locaux, ou du réseau Professionnel, sous peine de sanction. Les mots de passe et compte de session de chaque utilisateur sont propre à chacun et ne doivent, strictement pas être divulgué. L’acte de piratage de logiciel sur ce réseau, se verra puni d’une sanction. L’entreprise dispose de ses propres logiciels ou programmes, installés sur les postes. Toutes copies ou gravures de CD/DVD, sont strictement interdits.Pour toutes installations d’autres logiciels, ne provenant pas de la société, les utilisateurs ont l’obligation de demander l’accord au responsable informatique.

7

Projet SAS 2014

Respect des individus Les services de messagerie, exemple Lotus Notes et Spark, mis à la disposition de chaque utilisateur sur les machines ne doivent en aucun cas être utilisés pour harcèlement, discrimination, propos diffamatoires ou racistes.

Utilisation d’internet La navigation sur le net est à disposition de chacun, chaque utilisateur est responsable d’une utilisation à bon escient. Un filtrage est appliqué en fonction de la politique de sécurité mise en place sur le réseau. Ceci permet de bloquer selon une liste noire, les sites considérés comme malveillants et/ou inutiles au travail de l’entreprise (pornographie…etc.) Le stockage des listes des sites visités et des pages vues permet à l’administrateur du réseau de redéfinir la politique de sécurité du réseau et/ou d’intervenir auprès d’un utilisateur qui visite fréquemment des sites malveillant ou sans rapport avec l’activité de l’entreprise. Ces mêmes journaux pourront être mis à la disposition de la direction le cas échéant.

Conditions d’accès aux ressources Les Utilisateurs ont accès à toute sorte de document, ou de fichier partagé par l’entreprise, cependant ces droits peuvent être momentanément modifiés ou retirés, selon le comportement vis-à-vis de cette charte. L’utilisateur est personnellement de l’intégrité des données aux quelles il a accès.

Activité frauduleuse Tout acte, ou tentative frauduleuse, par exemple le fait d’accéder ou de se maintenir sur une quelconque partie du système informatique non autorisé, est puni de deux ans d'emprisonnement et d’une amende. (Article 323-1)

Eventuellement la CNIL peut intervenir sur tous types de délit à la demande de la direction ou du responsable informatique.

Tout acte malveillant (dysfonctionnement volontaire du système, suppression…) est considéré comme un délit. Les personnes se trouvant de un cas de fraude doivent se présenter devant la direction de l’entreprise de leur propre gré, sur ordre du responsable informatique, ou à la demande de la direction.

8

Projet SAS 2014

SanctionsLes infractions commises, ou non-respect de cette charte, peuvent conduire à des sanctions.

Les sanctions seront prises par les responsables qui constateront les actes commis et décideront du niveau de gravité. Ils prendront les décisions qui pensent adéquates. Ils suivront alors une procédure précise pour en juger les sanctions.

La présente charte est applicable à compter du ……………

La direction : Le responsable informatique : L’utilisateur :

9

Projet SAS 2014

V. Annexe

A. Charte Informatique

B. Charte Qualité

CHARTE QUALITE

Point N°1 : Satisfaction des clients.

C. Nous, Prestataire Informatique, travaillons dans un but unique : votre satisfaction. Ce but se traduit par la mise en œuvre de compétences techniques, de tarifs adaptés, et de délais prenant en compte le caractère spécifique de vos demandes.

D. Nous nous engageons à effectuer, avec vous, un diagnostic précis de vos demandes avant toute intervention ainsi qu’un compte rendu complet de l’intervention effectuée.

Point N°2 : Communication avec nos clients.

Nous nous engageons à vous fournir une information claire et détaillée, tant sur le plan technique que tarifaire. Les tarifs des prestations et des interventions sont obligatoirement affichés et annoncés avant toute intervention.

Point N°3 : Délais d’intervention et de réparations.

Nous indiquons à nos clients des délais fermes d’intervention et de réparation. Nous nous engageons à respecter ces délais ainsi qu’à informer le client en cas de retard. Nous ferons alors le nécessaire pour réduire ce retard par les différents moyens en notre possession. Ces délais s’entendent hors causes exceptionnelles (Catastrophes naturelles, Grèves, notamment).

Point N°4 : Engagements sur la sécurité.

D. Sécurité du système informatique : Nous nous engageons à informer la clientèle des mesures de sécurité nécessaires à la protection de ses données et de son matériel.

E. Sauvegarde des données : Nous nous engageons à mettre en place auprès de la clientèle un dispositif permettant d’effectuer des sauvegardes et d’en faciliter l’utilisation.

F. Restauration des données : Nous nous engageons à permettre aux utilisateurs d’effectuer une restauration de leurs données sous réserve que ceux-ci disposent de sauvegardes correctement effectuées et en bon état de fonctionnement.

Point N°5 : Obligation de moyens.

10

Projet SAS 2014

Nous reconnaissons notre obligation de moyens et mettons en œuvre tous les outils et connaissances à notre disposition afin de garantir cette obligation.

Point N°6 : Garanties.

C. Le matériel, ainsi que les interventions, sont garantis pour une durée minimale devant être obligatoirement et clairement précisée. Les numéros des services après-vente constructeurs seront communiqués aux clients dans le cadre des pièces soumises à la <<garantie constructeur>>.

D. Les pièces que nous remplacerons seront remises au client, ou détruites par les filières appropriées, si tel est son choix.

Point N°7 : Respect des droits d’auteur.

Lors d’une intervention nécessitant la réinstallation du système d’exploitation ou de logiciels soumis à des droits d’auteur, le client devra fournir les originaux ou faire l’acquisition des licences nécessaires. En cas de refus ou de non présentation des orignaux, l’intervention ne pourra être effectuée.

Point N°8 : Gestion des déchets électroniques.

Nous ferons procéder à une destruction <<propre>> des composants hors-services, par le biais des centres de traitement adaptés à la gestion des déchets électroniques.

Le à

Le Directeur technique Le service technique

1. Compte rendu d’intervention

11

Projet SAS 2014

12