Sécurité informatique et gestion des actifs logiciels de l’entreprise

Sécurité informatique et gestion des actifs logiciels de l’entreprise

Laurent SignoretLaurent SignoretResponsable Conformité LicencesResponsable Conformité LicencesMicrosoft FranceMicrosoft France

SommaireSommaireMENACESMENACES RESPONSABILITESRESPONSABILITES PRECAUTIONSPRECAUTIONS

Les risques liées Les risques liées au manque de au manque de maîtrise de parc maîtrise de parc logiciel.logiciel.

Risques techniques Risques techniques et de sécuritéet de sécurité

Risques d’image et Risques d’image et de réputationde réputation

Risques légaux et Risques légaux et financiersfinanciers

La responsabilité La responsabilité civile et pénale civile et pénale du représentant du représentant légal de légal de l’entreprisel’entreprise

La politique de La politique de sécurité et de sécurité et de gestion des gestion des actifs logicielactifs logiciel

La sécurité…La sécurité…La technologie

L’individu

La procédure

Un parc logiciel mal maitrisé c’est la porte ouverte à la copie illégale et à ses risques.

Un parc logiciel mal maitrisé c’est la porte ouverte à la copie illégale et à ses risques.Risques techniques et de sécuritéRisques techniques et de sécurité

Pas de maîtrise complète du parc logiciel = logiciels de provenance Pas de maîtrise complète du parc logiciel = logiciels de provenance inconnue = failles dans le dispositif de sécuritéinconnue = failles dans le dispositif de sécuritéRisques de virus, parfois même intentionnels, sur les copies illégales Risques de virus, parfois même intentionnels, sur les copies illégales commercialisées sur Internet ou copiées de poste à poste, ou dans les commercialisées sur Internet ou copiées de poste à poste, ou dans les cracks de CD diffusés sur Internet = Risques d’intrusion.cracks de CD diffusés sur Internet = Risques d’intrusion.Pas d’accès aux services automatiques de mises à jour et de correctifs de Pas d’accès aux services automatiques de mises à jour et de correctifs de sécuritésécuritéPas de support technique de la part de l’éditeur, pas d’interlocuteur Pas de support technique de la part de l’éditeur, pas d’interlocuteur revendeur ou service en cas de problème.revendeur ou service en cas de problème.

Risques d’image et de réputationRisques d’image et de réputationUtiliser des copies illégales n’est pas «pro», c’est un défaut de gestion, Utiliser des copies illégales n’est pas «pro», c’est un défaut de gestion, un manque de sérieux, un manque de respect de la loi (= fraude fiscale un manque de sérieux, un manque de respect de la loi (= fraude fiscale et travail au noir)et travail au noir)La réputation et la pérennité de l’entreprise peut être entachée sur son La réputation et la pérennité de l’entreprise peut être entachée sur son marché, auprès des collaborateurs en interne d’abord, mais aussi auprès marché, auprès des collaborateurs en interne d’abord, mais aussi auprès des clients, des fournisseurs et des concurrents qui pourraient des clients, des fournisseurs et des concurrents qui pourraient l’apprendre (concurrence déloyale)l’apprendre (concurrence déloyale)

Risques légaux et financiersRisques légaux et financiersProcédures de contrôle : saisie descriptive par huissier de justice et Procédures de contrôle : saisie descriptive par huissier de justice et expert informatique dans le cadre d’une ordonnance rendue par le expert informatique dans le cadre d’une ordonnance rendue par le président du Tribunal de Grande Instance, ou sommation interpellative de président du Tribunal de Grande Instance, ou sommation interpellative de mise en demeure de déclaration de parc. mise en demeure de déclaration de parc. Procédures judiciaires coûteuses. Sanctions pénales (amendes prévues Procédures judiciaires coûteuses. Sanctions pénales (amendes prévues par la Loi) et civiles (dommages et intérêts).par la Loi) et civiles (dommages et intérêts).

Pourquoi ce phénomène de copie illégale ? (taux de piratage en France 45%*)

Pourquoi ce phénomène de copie illégale ? (taux de piratage en France 45%*)Le paradoxe du logiciel : d’un coté un outil Le paradoxe du logiciel : d’un coté un outil

précieux, de l’autre un manque de respect et de précieux, de l’autre un manque de respect et de gestion :gestion :Un outil précieux Un outil précieux : Les entreprises ont fait le choix : Les entreprises ont fait le choix de l’informatique. Or le logiciel en est l’intelligence et de l’informatique. Or le logiciel en est l’intelligence et la valeur ajoutée. Le logiciel est devenu l’outil de la valeur ajoutée. Le logiciel est devenu l’outil de production quotidien de 75% de la population active. production quotidien de 75% de la population active. Le logiciel est Le logiciel est un outil de production important, un actif un outil de production important, un actif qui doit être géré avec la même rigueur que tout autre qui doit être géré avec la même rigueur que tout autre actif (téléphone portable, ordinateur, voiture, machine actif (téléphone portable, ordinateur, voiture, machine outil…).outil…).Et pourtant un manque de respect et de gestionEt pourtant un manque de respect et de gestion :  : Le manque de stratégie logicielle et de gestion de cet Le manque de stratégie logicielle et de gestion de cet actif ouvre la porte à la copie illégale par les actif ouvre la porte à la copie illégale par les utilisateurs. De plus, dans le monde numérique la utilisateurs. De plus, dans le monde numérique la contrefaçon est facile : contrairement à d’autre types contrefaçon est facile : contrairement à d’autre types de contrefaçon (maroquinerie, horlogerie, textile…), la de contrefaçon (maroquinerie, horlogerie, textile…), la contrefaçon de logiciels (ou autres biens numériques) contrefaçon de logiciels (ou autres biens numériques) est techniquement à la portée de chacun, sans besoin est techniquement à la portée de chacun, sans besoin d’un processus industriel lourd.d’un processus industriel lourd. * Source IDC pour BSA 2003

Différents types de copie illégale en entreprise :Différents types de copie illégale en entreprise :

Copie par nécessité de la part des Copie par nécessité de la part des employés :employés :Besoin de l’utilisateur >> Pas de réponse de la direction Besoin de l’utilisateur >> Pas de réponse de la direction >>Copie>>CopieÉtablir sa stratégie logicielle afin de fournir les outils Établir sa stratégie logicielle afin de fournir les outils logiciels nécessaires aux besoins fonctionnels des logiciels nécessaires aux besoins fonctionnels des collaborateurs !collaborateurs !Dans une entreprise, l’exigence de conformité logicielle est Dans une entreprise, l’exigence de conformité logicielle est un gage de sérieux vis-à-vis de vos collaborateurs dont un gage de sérieux vis-à-vis de vos collaborateurs dont l’informatique représente souvent le principal outil quotidien l’informatique représente souvent le principal outil quotidien de production.de production.

Copie volontaire de la part de la Copie volontaire de la part de la direction :direction :Stratégie d’économieStratégie d’économieUne économie faible : le logiciel représente seulement 3% à Une économie faible : le logiciel représente seulement 3% à 9% du coût total de possession de l’équipement 9% du coût total de possession de l’équipement informatiqueinformatique

Victime d’offres trop belles pour etre Victime d’offres trop belles pour etre vraies et de contrefaçon de logicielsvraies et de contrefaçon de logiciels

Responsabilité civile et pénale du dirigeantResponsabilité civile et pénale du dirigeantC’est au responsable légal de l’entreprise de C’est au responsable légal de l’entreprise de répondre aux exigences et responsabilités répondre aux exigences et responsabilités face aux risques en environnement face aux risques en environnement numérique :numérique :Responsabilité du dirigeant : sur le fondement Responsabilité du dirigeant : sur le fondement de l’article 1384 du Code Civil (responsabilité de l’article 1384 du Code Civil (responsabilité du commettant), la responsabilité du chef du commettant), la responsabilité du chef d’entreprise est mise en cause lorsqu’un de ses d’entreprise est mise en cause lorsqu’un de ses employés commet un acte de piratage ou de employés commet un acte de piratage ou de contrefaçon sur un poste mis à disposition par contrefaçon sur un poste mis à disposition par l’entreprise ou s'il utilise ces moyens l’entreprise ou s'il utilise ces moyens informatiques à des fins malveillanteinformatiques à des fins malveillanteLa contrefaçon : des sanctions pénales sont La contrefaçon : des sanctions pénales sont prévues en cas d'introduction dans l'entreprise prévues en cas d'introduction dans l'entreprise sans autorisation d’éléments protégés par un sans autorisation d’éléments protégés par un droit de propriété intellectuelle (logiciels, droit de propriété intellectuelle (logiciels, textes, images, contenus, etc …). textes, images, contenus, etc …).

Responsabilité du dirigeant face au respect de la propriété intellectuelleResponsabilité du dirigeant face au respect de la propriété intellectuelle

La violation des droits sur un logiciel est sanctionnée de La violation des droits sur un logiciel est sanctionnée de la même façon que la violation d’un droit d’auteur, les la même façon que la violation d’un droit d’auteur, les peines maximales prévues sont :peines maximales prévues sont :

Personnes physiquesPersonnes physiques : 300 000 euros d’amende et 3 ans : 300 000 euros d’amende et 3 ans d’emprisonnementd’emprisonnementPersonnes moralesPersonnes morales : 1 500 000 euros d’amende et 3 ans : 1 500 000 euros d’amende et 3 ans d’emprisonnement d’emprisonnement Bandes organiséesBandes organisées : 500 000 euros d’amende et 5 ans : 500 000 euros d’amende et 5 ans d’emprisonnement.d’emprisonnement.

Les plus grands contrefacteurs de logiciels en France Les plus grands contrefacteurs de logiciels en France sont les PME. Les formes les plus répandues de sont les PME. Les formes les plus répandues de violation des droits d’auteurviolation des droits d’auteur en matière de logiciels en matière de logiciels sont les suivantes :sont les suivantes :

L’abus de licence, qui consiste à installer un logiciel sur L’abus de licence, qui consiste à installer un logiciel sur plus d’ordinateurs que ne l’autorise sa licenceplus d’ordinateurs que ne l’autorise sa licenceLe piratage sur Internet, qui consiste à télécharger sur Le piratage sur Internet, qui consiste à télécharger sur Internet un logiciel distribué illégalementInternet un logiciel distribué illégalementLa copie de logiciels sur le disque dur d’ordinateurs offerts La copie de logiciels sur le disque dur d’ordinateurs offerts à la venteà la venteLa contrefaçon de logiciels, lorsque sont utilisées des La contrefaçon de logiciels, lorsque sont utilisées des copies illicites de logiciels imitant le produit original.copies illicites de logiciels imitant le produit original.

En France, les logiciels, considérés comme des œuvres de l’esprit, sont protégés par les droits d’auteur, ce qui indique clairement qu’ils ne peuvent être ni copiés, ni utilisés en dehors des conditions autorisées par leur auteur. Par conséquent, un logiciel sans licence d’utilisation est une contrefaçon.

Code de la Propriété Intellectuelle Article L.335-3"Est (…) un délit de contrefaçon la violation de l'un des droits de l'auteur de logiciel (…) »

En France, les logiciels, considérés comme des œuvres de l’esprit, sont protégés par les droits d’auteur, ce qui indique clairement qu’ils ne peuvent être ni copiés, ni utilisés en dehors des conditions autorisées par leur auteur. Par conséquent, un logiciel sans licence d’utilisation est une contrefaçon.

Code de la Propriété Intellectuelle Article L.335-3"Est (…) un délit de contrefaçon la violation de l'un des droits de l'auteur de logiciel (…) »

Gérer le parc logiciel, quels avantages?Gérer le parc logiciel, quels avantages?Tirer le meilleur de son informatique en toute Tirer le meilleur de son informatique en toute

sérénité.sérénité.Gestion des actifs logiciels : Mettre en oeuvre Gestion des actifs logiciels : Mettre en oeuvre l’ensemble des infrastructures et processus l’ensemble des infrastructures et processus nécessaires pour gérer, contrôler et protéger nécessaires pour gérer, contrôler et protéger les actifs logiciels d’une organisation tout au les actifs logiciels d’une organisation tout au long de leur cycle de vie.long de leur cycle de vie.

Avantages :Avantages :Stratégie logicielle : Connaître ses besoins Stratégie logicielle : Connaître ses besoins logiciels réelslogiciels réels. quels logiciels répondent le mieux . quels logiciels répondent le mieux aux besoins fonctionnels des utilisateurs (par service, aux besoins fonctionnels des utilisateurs (par service, par tache, par métier) et aux contraintes techniques par tache, par métier) et aux contraintes techniques et budgétaires de l’entreprise. Établir ses choix et budgétaires de l’entreprise. Établir ses choix logiciels et s’y tenir. Évaluer les évolutions techniques logiciels et s’y tenir. Évaluer les évolutions techniques utiles et les planifier. Justifier les investissementsutiles et les planifier. Justifier les investissementsAudit régulier du parc : mieux connaître et Audit régulier du parc : mieux connaître et suivre dans le temps son existantsuivre dans le temps son existant logiciel et logiciel et licences, et le comparer à ses besoins. licences, et le comparer à ses besoins. Rationalisation des achats : réaliser des Rationalisation des achats : réaliser des économies d’échelleéconomies d’échelle en groupant ses achats, en groupant ses achats, annualiser ses dépenses.annualiser ses dépenses.Homogénéisation du parc : travailler plus Homogénéisation du parc : travailler plus efficacementefficacement et offrir un meilleur taux de service et et offrir un meilleur taux de service et de disponibilité aux utilisateursde disponibilité aux utilisateurs

Quelles méthodes simples de gestion ?Quelles méthodes simples de gestion ?Informer et Informer et partager la responsabilité du partager la responsabilité du dirigeant avec les employésdirigeant avec les employés : clause de respect de : clause de respect de la propriété intellectuelle sur les biens et contenus la propriété intellectuelle sur les biens et contenus numériques dans les contrats de travail, règlement numériques dans les contrats de travail, règlement interne de l’entreprise et note interne de interne de l’entreprise et note interne de sensibilisation.sensibilisation.Réaliser un Réaliser un audit annuel des logiciels installés audit annuel des logiciels installés sur les ordinateurssur les ordinateursRapprocher cet audit physique des licences Rapprocher cet audit physique des licences effectivement possédéeseffectivement possédées. Grouper et conserver les . Grouper et conserver les licences en lieu sur.licences en lieu sur.Établir la stratégie logicielle. Établir la stratégie logicielle. Quels logiciels pour Quels logiciels pour quels besoinsquels besoins ? La faire connaître et respecter. ? La faire connaître et respecter.Grouper les achatsGrouper les achats auprès d’un petit nombre de auprès d’un petit nombre de fournisseurs reconnus. Établir des fournisseurs reconnus. Établir des procédures de procédures de fourniturefourniture de logiciels aux employés et nommer des de logiciels aux employés et nommer des personnes responsablespersonnes responsables. Réévaluer les besoins . Réévaluer les besoins régulièrementrégulièrementPlanifierPlanifier les évolutions techniques et les budgets les évolutions techniques et les budgets correspondantscorrespondantsSous-traiterSous-traiter certaines tâches aux revendeurs certaines tâches aux revendeurs informatiques spécialistes de l’audit et de la gestion informatiques spécialistes de l’audit et de la gestion des parc logicielsdes parc logicielsS’équiper une solution logicielleS’équiper une solution logicielle de gestion de de gestion de parc logicielparc logiciel

Audit du parc logiciel : le point de départAudit du parc logiciel : le point de départDressez l’inventaire physique de tous les logiciels installés sur les disques durs de tous les ordinateurs et serveurs de l’organisation. Outil d’inventaire gratuit de Microsoft : MSIA (Microsoft Software Inventory Analyzer). Fonctionne en réseau, ne reconnaît que les produits Microsoft. A télécharger sur : www.microsoft.com/france/logicieloriginal/gerer/telechargementOutil d’inventaire gratuit de BSA (Business Software Alliance), l’association regroupant les éditeurs de logiciels : Easyvista de Staff & Line. Fonctionne en poste à poste, reconnaît tous les logiciels du marché. A télécharger sur : http://www.bsa.org/france/ressources/Decouvrez-EasyVista.cfmD’autres outils professionnels sont disponibles dans le commerce pour vous aider à effectuer cette opération. Pour cela, consultez la liste des éditeurs et prestataires de service, partenaires Microsoft, qui proposent des outils d’inventaire et de gestion des actifs logiciels, sur : www.microsoft.com/france/logicieloriginal/gerer/audit/outils

Rapprocher les logiciels installés des licences possédéesRapprocher les logiciels installés des licences possédées

Localisez les documents officiels ou preuves d’achat correspondant aux logiciels que vous possédez :Licences OEM, licences papier, contrats de licence en volume…

Factures, preuves d’achat et documents prouvant l’authenticité de votre logiciel.

Disquettes, CD originaux.

Manuels originaux et documentations de référence

Demande de l’historique d’achat auprès des éditeurs

Déterminer la part de votre base logicielle installées non couverte par les licences d’utilisation, et donc votre niveau de risque. Régulariser la situation et mettre en place une politique active de gestion des actifs logiciels, afin de ne pas revenir dans cette situation.

En conclusion…En conclusion…

Établir la stratégie logicielle et le budget associé

Clarifier les usages, les règles, les procédures d’achat et d’installation

Effectuer l’inventaire annuel et réevaluer son adaptation aux besoins fonctionnels

Maîtriser son parc logiciel

Des ressourcesDes ressources

Outils d’audit de parc logiciel et guides Outils d’audit de parc logiciel et guides de gestion de parc logiciel disponibles de gestion de parc logiciel disponibles gratuitement sur :gratuitement sur :www.microsoft.comwww.microsoft.com//francefrance//logicieloriginallogicieloriginal

www.bsa.org/francewww.bsa.org/france

SécuritéSécuritéwww.microsoft.comwww.microsoft.com//francefrance//securitesecurite

Guide sécurité PME sur le site Guide sécurité PME sur le site entrepreneur: entrepreneur: www.microsoft.comwww.microsoft.com//francefrance/entrepreneur/solutions//entrepreneur/solutions/sgcsgc//default.mspxdefault.mspx

Merci pour votre attentionAvez-vous des questions ?Merci pour votre attentionAvez-vous des questions ?