ZING Charles Page 2/24 FRANÇOIS Thibaut
Sommaire
Projet SAS ...................................................................... 1
Introduction : 3
1. Présentation de l’entreprise .................................................. 4
Organigramme de l’entreprise : 5
2. Note de Synthèse .................................................................. 6
Guide des bonnes pratiques en informatique. 6 Choisir aves soin ses mots de passe : ............................................... 6 Mettre à jour régulièrement ses logiciels : ......................................... 7 Etre aussi prudent avec son smartphone/tablette qu’avec son PC : ....... 7 Etre prudent avec la messagerie : .................................................... 7 Etre vigilant lors des paiements sur internet : .................................... 8 Séparer professionnel et personnel : ................................................ 8 En cas d’incident : .......................................................................... 8
Sécurisation des données 9 Plan de sécurisation des données : ................................................... 9
Sensibiliser les utilisateurs aux bonnes pratiques informatiques: ....... 9 Gestion des droits d'accès aux données : ..................................... 10 Politique de mot de passe des Utilisateurs : .................................. 10 Politique de sauvegardes : ......................................................... 11 Politique de sécurité des postes de travail : .................................. 12 Communication de ces mesures aux utilisateurs : ......................... 12
Règlementations du filtrage en entreprise 13 Introduction : .............................................................................. 13 Obligation de conservation des logs : .............................................. 14 Obligation de moyens et de sécurisation de son réseau : ................... 14 Obligation de déclaration à la CNIL : ............................................... 15 La particularité des réseaux sociaux : ............................................. 15 Obligation de mise en place d’une charte informatique : ................... 15
3. Annexes .............................................................................. 16
A. Charte Qualité .......................................................................... 16 B. Charte informatique de ct-computer : .......................................... 17 C. Mémo : .................................................................................... 24
ZING Charles Page 3/24 FRANÇOIS Thibaut
Introduction :
Présentation du projet SAS
Premier projet de ces deux années, le projet SAS nous fait nous
interroger sur certaines des contraintes d’une entreprise face à un appel
d’offre pour la gestion du parc informatique de la société « autoconcept ».
D’un point de vue pédagogique, ce projet vise à nous faire acquérir
les comportements appropriés en entreprise, à identifier les mesures
réglementaires régissant la mise en œuvre de l’informatique dans
l’entreprise, à être capable d’apporter des solutions rapides à des
problématiques perturbant le bon fonctionnement de l’entreprise dans sa
production de biens ou de services. Mais aussi à être capable de concevoir
un dossier de synthèse, de communiquer et défendre les choix effectués.
Structurellement, il repose sur quatre documents (qui fixeront la
trame narrative de notre réponse) :
• Une note de synthèse sur l’utilisation de l’informatique en entreprise
• Un mémo interne, rédigé notamment à partir des plaintes clients,
sera diffusé en interne (notamment aux nouveaux) sur la conduite à
tenir chez un client.
• L’ébauche de charte qualité
• Les mesures de sauvegarde
ZING Charles Page 4/24 FRANÇOIS Thibaut
1. Présentation de l’entreprise
CT-computer 54, une entreprise de prestation informatique de 26
personnes sur le site de Meurthe-et-Moselle.
Histoire de l’entreprise : Entreprise créée en 2001 par deux ex-alternants
du CESI.
Elle fait l’infogérance d’autres PME : Mise en place de parcs informatiques,
maintenance de ceux-ci, formation des utilisateurs, gestion des données
(sauvegardes, restaurations…).
Nous intervenons dans tout le Grand Est depuis nos autres sites, mais notre
siège ne gère que la Meurthe-et-Moselle.
Futur client potentiel, l’entreprise « Autoconcept » amène un nouveau défi
à l’entreprise notamment de par l’importance du projet impliqué.
Retrouvez toutes les informations sur notre site web !
https://cz-developpement.com/SAS/
ZING Charles Page 6/24
FRANÇOIS Thibaut
2. Note de Synthèse
L'utilisation de l'outil informatique mis à disposition des salariés doit être
contrôlée. Il est important de fixer des limites à celle-ci, et de les conseiller
au mieux.
C'est pourquoi, tout d'abord, nous vous présentons un "guide des bonnes
pratiques en informatique", qui devra être remonté aux salariés de
l'entreprise.
Guide des bonnes pratiques en informatique.
Choisir aves soin ses mots de passe :
Votre mot de passe permet de vous authentifier à votre compte
utilisateur, il est donc important d’en définir un efficace et de ne
pas le divulguer à une tierce personne. Ne pas le faire pourrait
amener à des vols d’identités, de données, etc.
Quelques conseils pour créer un mot de passe efficace et facile à
retenir :
Utiliser des minuscules, majuscules, chiffres, caractères
spéciaux…
Utilisation de la phonétique : « J’ai un vélo tout neuf acheté
à carrefour » deviendrait : « G1Vlott9HTAkrFur »
Utiliser les premières lettres d’une phrase de votre choix (par
exemple : « Je veux partir en vacances dans le sud de la
France, dans le 83 » deviendrait « JvpevdlsdlF,dl83 »)
ZING Charles Page 7/24 FRANÇOIS Thibaut
Mettre à jour régulièrement ses logiciels :
Chaque logiciel a des failles qui peuvent être utilisées pour des
attaques et, lorsque l’éditeur se rend compte de ces failles, il essaye
de les corriger le plus vite possible afin d’éviter les attaques. C’est
pour cela qu’il est important de mettre ses logiciels à jour dès que
cela est proposé.
Les mises à jours et logiciels doivent être téléchargés depuis les sites
officiels des éditeurs afin d’éviter des programmes malveillants qui
peuvent voler des données ou impacter les performances de
l’ordinateur.
Être aussi prudent avec son smartphone/tablette qu’avec son PC :
Sensibiliser les utilisateurs de smartphone et tablette à propos de la
quantité d’informations que peut recevoir chaque application.
Ajouter un autre mot de passe que le simple « code pin » (dessin ou
mot de passe traditionnel)
Être prudent avec la messagerie :
Les pièces jointes d’un e-mail peuvent être piégées et donc être une
source d’attaque, il faut donc vérifier que le contenu et l’expéditeur
du message soient cohérents.
Si un lien est présent, passez votre souris dessus avant de cliquer
pour laisser apparaitre le lien et encore une fois vérifier la cohérence
de celui-ci.
Ne divulguez jamais d’informations personnelles/confidentielles dans
un e-mail.
ZING Charles Page 8/24 FRANÇOIS Thibaut
Enfin, ne pas ouvrir les pièce jointes ou liens d’un mail venant d’un
émetteur inconnu avant d’avoir échangé avec celui-ci pour vérifier ses
intentions.
Etre vigilant lors des paiements sur internet :
Lors d’un achat sur l’internet, vérifiez que l’adresse du site soit
sécurisée (cadenas ou « https// » dans la barre d’adresse)
Vérifier que l’adresse du site soit exacte (pas de faute d’orthographe)
Privilégier des méthodes de paiement qui demandent des
confirmations par SMS de votre banque.
Séparer professionnel et personnel :
Si vous utilisez du matériel ou des comptes identiques pour l’usage
professionnel et personnel, il est conseillé de sécuriser de la même
manière chacun de vos postes informatiques.
Si vos postes professionnels et personnels sont différents il est
déconseillé d’emporter à votre domicile des données confidentielles
(sur clé USB, disque dur externe, cloud personnel).
En cas d’incident :
Si vous constatez : impossibilité de vous connecter, activités
inhabituelles, fichiers créés ou modifiés sans action de votre part :
Déconnectez la machine du réseau sans la mettre hors tension ou la
redémarrer (cela pourrait faire perdre des données et rendre plus
difficile l’identification de la panne)
Prévenez votre responsable d’une possible intrusion sur le réseau.
ZING Charles Page 9/24 FRANÇOIS Thibaut
Sécurisation des données
Plusieurs critères sont en jeu lors de l'établissement d'un plan de
sauvegarde :
La disponibilité des données : Elles doivent, autant que faire se peut,
être disponibles à tout moment, pour tout utilisateur.
Leur confidentialité : Elles ne doivent pas être divulguées au public,
ou à une entreprise concurrente.
Leur intégrité : Elles ne doivent pas être modifiées à
l'insu des utilisateurs.
Plan de sécurisation des données :
Dans le but de sécuriser les données de l'entreprise au maximum, plusieurs
points seront abordés :
Sensibiliser les utilisateurs aux bonnes pratiques informatiques : Se référer au "guide des bonnes pratiques". (partie précédente)
ZING Charles Page 10/24 FRANÇOIS Thibaut
Gestion des droits d'accès aux données :
Un serveur central stockera les données de chaque utilisateur.
Des droits d'accès aux données seront accordés aux différents
utilisateurs, selon leur service et leurs besoins.
Politique de mot de passe des Utilisateurs :
Les mots de passe doivent contenir un minimum de 8 caractères
alphanumériques, incluant au moins une majuscule et une
minuscule.
Les mots de passe ne doivent sous aucun prétexte être divulgué,
c'est pourquoi les utilisateurs ne doivent pas le noter sur un
morceau de papier ou autre support.
Ils doivent être renouvelés tous les 3 mois (l'utilisateur recevra un
mail lui demandant de le modifier) et être le plus différent possible,
tout en étant facilement mémorisable par l'utilisateur.
Lors de la création d'une session utilisateur, un mot de passe
temporaire est délivré, il devra être modifié à l'ouverture de ladite
session, en respectant les règles susnommées.
ZING Charles Page 11/24 FRANÇOIS Thibaut
Politique de sauvegardes :
Des sauvegardes s'effectuent sur un roulement de 21 disques durs
à raison de :
5 sauvegardes incrémentielles par semaines (une tous les soirs)
4 sauvegardes complètes par mois (une chaque fin de semaines)
12 sauvegardes complètes par an (une chaque fin de mois)
1 dernière (complète), chaque fin d'année, pour archive.
La baie de stockage se situe dans nos locaux et les sauvegardes
sont effectuées par nos soins. Elles seront accessibles par tous les
administrateurs système de l'entreprise pour tout besoin de
restauration.
Les disques durs sont utilisés pour plusieurs raisons plutôt que des bandes :
Ils sont très fiables grâce à la technologie RAID qui permet, en cas
de panne d’un disque dur, la continuité du service.
La sauvegarde sur disques est plus simple, rapide et automatique.
Une fois paramétrée, l’action d’un administrateur (ou d’un robot)
n’est pas nécessaire.
La sauvegarde de postes nomades ou à distance sont plus faciles
sur des disques durs.
La sauvegarde externalisée (que nous pratiquons) est bien plus
simple avec des disques, car avec une sauvegarde sur bande, il
faudrait les faire sortir de l’entreprise physiquement.
ZING Charles Page 12/24 FRANÇOIS Thibaut
Politique de sécurité des postes de travail :
Antivirus : Dans le but de protéger au mieux les données de
l'entreprise, un antivirus devra être installé sur tous les postes de
l'entreprise.
Pare-feu : Dans cette lignée, un pare-feu protégera l’entreprise
contre les attaques éventuelles.
Communication de ces mesures aux utilisateurs :
Réunion d'information pour présenter les mesures et en discuter.
Affiches explicatives des bonnes pratiques aux lieux de rencontre
de l'entreprise.
ZING Charles Page 13/24 FRANÇOIS Thibaut
Règlementations du filtrage en entreprise
Introduction :
En cas d’infractions pénales commises par des employés, l’employeur peut
être jugé responsable, nonobstant deux cas se posent :
Soit l’infraction n’est pas commise au profit de l’entreprise elle-même
et dans ce cas on peut supposer que seule la responsabilité de
l’employé sera retenue.
Soit l’infraction est commise et l’entreprise en est bénéficiaire et dans
ce cas la responsabilité de l’entreprise et de ses dirigeants pourra être
engagée.
Par exemple, en cas de responsabilité, l’entreprise peut encourir :
Suspension de l'accès à un service de communication au public en
ligne pour une durée maximale d'un mois.
Interdiction de souscrire pendant la même période un autre contrat
portant sur un service de même nature auprès de tout opérateur.
L’utilisateur est responsable de ses actes… encore faut-il que
l’entreprise soit en mesure de l’identifier.
ZING Charles Page 14/24 FRANÇOIS Thibaut
Obligation de conservation des logs :
La directive européenne n°2006/24/CE du 15 mars 2006 sur la
conservation de données générées ou traitées dans le cadre de la
fourniture de services de communications électroniques accessibles
au public ou de réseaux publics de communications et modifiant la
directive 2002/58/CE, prévoit dans son article 6 une durée de
conservation minimale de six mois, et une durée maximale de deux
ans.
Le décret n°2011-219 relatif à la conservation et à la communication
des données permettant d’identifier toute personne ayant contribué à
la création d’un contenu mis en ligne du 25 février 2011 portant
application de l’article 6 de la loi n°2004-575 du 25 juin 2004 pour la
confiance dans l’économie numérique prévoit dans son article 3 une
durée d’un an à compter du jour de la création des contenus.
La CNIL préconise une durée de conservation de six mois s’agissant
de la conservation de données permettant le contrôle par l’employeur
de l’utilisation d’Internet faite par ses employés (logs de
connexions).
Obligation de moyens et de sécurisation de son réseau contre le
piratage :
L’entreprise doit mettre en œuvre les moyens nécessaires pour
interdire l’accès à des sites illégaux, notamment en ce qui concerne
les téléchargements de fichiers ou logiciels piratés.
Il s’agit de protéger le réseau par exemple contre la consultation de
sites racistes, négationnistes, l’achat de produits dont la vente est
interdite sur Internet (certains médicaments, alcool, tabac).
ZING Charles Page 15/24 FRANÇOIS Thibaut
Obligation de déclaration à la CNIL :
Lorsque la solution de filtrage Internet mise en place collecte des
informations nominatives, il est nécessaire de faire une déclaration à
la CNIL. En revanche, cette déclaration n’est pas obligatoire si le filtre
Internet ne permet pas un contrôle individualisé des salariés.
La particularité des réseaux sociaux :
Sur ce sujet, l’entreprise pourra interdire deux choses :
L’accès à ces outils depuis les postes de travail ou durant le temps de
travail.
La publication d’informations au sujet de certaines activités de
l’entreprise (projets spécifiques, activités, résultats financiers, etc…).
Ainsi, doivent être ici précisées les interdictions de communication sur
et au nom de l’établissement, aussi bien dans la sphère privée, dans
le respect du principe de la liberté d'expression, que professionnelle,
et la possibilité d’effectuer des signalements d’éventuels abus de la
part d’un tiers. Il faut toutefois que cela soit indiqué de manière
spécifique et soit adapté à l’activité de l’entreprise.
Obligation de mise en place d’une charte informatique :
La mise en place d’une solution de filtrage Web avec identification
des utilisateurs doit s’accompagner de la mise en place d’une charte
informatique qui doit être portée à la connaissance des salariés et
du comité d’entreprise. Un exemple est disponible en annexe
(Annexe B)
ZING Charles Page 16/24 FRANÇOIS Thibaut
3. Annexes
A. Charte Qualité
Rapidité !
-Notre hotline prend vos demandes en compte instantanément et les
transmet à nos nombreux techniciens, qui s’engagent à intervenir, pour les
problèmes importants, dans un délai maximum de 4 heures ouvrées.
Efficacité !
-Prêt de matériel de remplacement en cas de panne.
- Nous avons des partenariats avec les principaux constructeurs, ce
qui vous assure du matériel de qualité à des prix raisonnables.
Sécurité assurée
-Toutes vos sauvegardes s’effectuent sur nos propres serveurs.
-Nous nous engageons à respecter la confidentialité de vos données.
Nous sommes ici pour vous aider !
-Nos techniciens seront volontaires face à vos demandes
-L’adaptabilité est une qualité inhérente à chacun de nos techniciens,
qui sauront donc faire face à tous vos problèmes ou toutes vos questions !
ZING Charles Page 17/24 FRANÇOIS Thibaut
B. Charte informatique de ct-computer :
Ce texte, associé au règlement intérieur des entités, est avant tout un code
de bonne conduite. Il a pour objet de préciser la responsabilité des
utilisateurs en accord avec la législation afin d'instaurer un usage correct
des ressources informatiques et des services Internet, avec des règles
minimales de courtoisie et de respect d'autrui.
Pour tout renseignement complémentaire, vous pouvez vous adresser à :
Mr Dupont, Directeur des Système d’Information de CT-Computer.
D’une manière générale, l’utilisateur doit s’imposer le respect des lois et,
notamment, celles relatives aux publications à caractère injurieux, raciste,
pornographique, diffamatoire, sur le harcèlement sexuel/moral.
1) Sécuriser l'accès au compte
Le contrôle d’accès logique permet d’identifier toute personne utilisant un
ordinateur.
Cette identification permet, à chaque connexion, l’attribution de droits et
privilèges propres à chaque utilisateur sur les ressources du système dont
il a besoin pour son activité.
Une authentification (login + mot de passe) unique est confiée à chaque
utilisateur. Ce dernier est personnellement responsable de l’utilisation qui
peut en être faite, et ne doit en aucun cas la communiquer.
ZING Charles Page 18/24 FRANÇOIS Thibaut
Chaque mot de passe doit obligatoirement être modifié selon la fréquence
suivante : une fois par trimestre. Un mot de passe doit, pour être efficace,
comporter au moins 8 caractères alphanumériques. Il ne doit pas être,
notamment, identique au login, même en inversant les caractères,
comporter le nom et/ou prénom de l’utilisateur ou de membres de sa
famille, le numéro de téléphone, la marque de la voiture ou toute référence
à quelque chose appartenant à l’utilisateur, être un mot ou une liste de
mots du dictionnaire ou un nom propre, nom de lieu, être écrit sur un
document et être communiqué à un tiers.
2) Courrier électronique :
Les éléments de fonctionnement de la messagerie à considérer sont les
suivants.
Un message envoyé par Internet peut potentiellement être intercepté,
même illégalement, et lu par n’importe qui.
En conséquence, aucune information stratégique ne doit circuler de cette
manière, sauf en utilisant la méthode de chiffrement suivante sur Outlook :
1. Dans le message que vous composez, sous l’onglet Options, dans le
groupe Autres Options, cliquez sur Lanceur de boîte de
dialogue Options des messages.
2. Cliquez sur Paramètres de sécurité et puis activez la case à
cocher chiffrer le contenu des messages et les pièces jointes.
3. Composez votre message, puis cliquez sur Envoyer.
ZING Charles Page 19/24 FRANÇOIS Thibaut
Il est interdit d’utiliser des services d'un site web spécialisé dans la
messagerie pour l’usage professionnel.
Lors du départ d'un collaborateur, il doit être indiqué au responsable de
l’administration du système ce qu’il sera fait des fichiers et courriers
électroniques de l’utilisateur.
Les messages électroniques sont conservés sur le serveur de messagerie
pendant une période de 30 jours et il existe des copies de sauvegarde
pendant une période de 365 jours.
Ces copies de sauvegarde conservent tous les messages au moment où ils
passent sur le serveur de messagerie, même s'ils ont été supprimés ensuite
par leur destinataire.
2.1 Utilisation privée de la messagerie
L’utilisation du courrier électronique à des fins personnelles est autorisée
dans des proportions raisonnables et à la condition de ne pas affecter le
trafic normal des messages professionnels.
2.2 Contrôle de l'usage
Dans l'hypothèse la plus courante, le contrôle éventuellement mis en œuvre
porte sur :
- Le nombre des messages échangés par utilisateur.
- La taille des messages échangés ;
- Le format des pièces jointes.
ZING Charles Page 20/24 FRANÇOIS Thibaut
3) Utilisation d’Internet :
Chaque utilisateur doit prendre conscience qu'il est dangereux pour
l'entreprise :
- De communiquer à des tiers des informations techniques concernant son
matériel ;
- De connecter un micro à Internet via un modem (sauf autorisation
spécifique) ;
- De diffuser des informations sur l'entreprise via des sites Internet ;
- De participer à des forums (même professionnels) ;
- De participer à des conversations en ligne (« chat »).
3.1 Utilisation d’Internet à des fins privées :
L’utilisation d’Internet à des fins privées est tolérée dans des limites
raisonnables et à condition que la navigation n'entrave pas l’accès
professionnel.
3.2 Contrôles de l'usage :
Dans l'hypothèse la plus courante, les contrôles portent sur :
- Les durées des connexions par utilisateur
- Les sites les plus visités par service
La politique et les modalités des contrôles font l'objet de discussions avec
les représentants du personnel.
ZING Charles Page 21/24 FRANÇOIS Thibaut
3.3 Téléchargements :
« L’utilisateur à l’accès à internet s’engage à ne pas utiliser cet accès
à des fins de reproduction, de représentation, de mise à disposition
ou de communication au public d’œuvres ou d’objets protégés par un
droit d’auteur ou par un droit voisin, tels que des textes, images,
photographies, œuvres musicales, œuvres audiovisuelles, logiciels et
jeux vidéo, sans autorisation. L’utilisateur est informé qu’un logiciel
de partage, lorsqu’il est connecté à internet, peut mettre à disposition
automatiquement des fichiers téléchargés. Si un logiciel de partage a
été utilisé pour télécharger des œuvres protégées, il est donc
préférable de le désactiver.
Il est rappelé à cet égard que le titulaire d’un accès à internet (ici,
CT-Computer), est tenu de sécuriser cet accès afin qu’il ne soit pas
utilisé à des fins de reproduction, de représentation, de mise à
disposition ou de communication au public d’œuvres ou d’objets
protégés par un droit d’auteur ou par un droit voisin, sous peine
d’engager sa responsabilité pénale.
Cette responsabilité du titulaire de l’accès n’exclut en rien celle de
l’utilisateur qui peut se voir reprocher un délit de contrefaçon (article
L. 335-3 du Code de la propriété intellectuelle) ».
ZING Charles Page 22/24 FRANÇOIS Thibaut
4) Pare-feu :
Le pare-feu vérifie tout le trafic sortant de l'entreprise, aussi bien local que
distant. Il vérifie également le trafic entrant constitué de la messagerie
électronique et l’échange de fichiers
Il détient toutes les traces de l’activité qui transite par lui s'agissant :
- De la navigation sur Internet : sites visités, heures des visites, éléments
téléchargés et leur nature (textes, images, vidéos ou logiciels) ;
- Des messages envoyés et reçus : expéditeur, destinataire(s), objet,
nature de la pièce jointe (et éventuellement texte du message).
Il filtre les URL des sites non autorisés par le principe de la liste noire. Les
catégories des sites visés sont les sites diffusant des données de nature
pornographique, pédophile, raciste ou incitant à la haine raciale,
révisionniste ou contenant des données jugées comme offensantes,
contenant des téléchargements non libres de droit.
5) Sauvegardes :
La mise en œuvre du système de sécurité comporte des dispositifs de
sauvegarde des informations et un dispositif miroir destiné à doubler le
système en cas de défaillance.
ZING Charles Page 23/24 FRANÇOIS Thibaut
Ceci implique, entre autres, que la suppression par un utilisateur d'un fichier
de son disque dur n’est pas absolue et qu’il en reste une copie :
- Sur le dispositif de sauvegarde ou miroir ;
- Sur le serveur ;
- Sur le proxy ;
- Sur le firewall (pare-feu) ;
- Chez le fournisseur d’accès.
6) Sanctions
En cas de non-respect de cette charte informatique, les sanctions pourront
être appliquées, selon la gravité de l’infraction :
- Un blâme ;
- Une mise à pied disciplinaire (sans salaire) ;
- Une rétrogradation ;
- Une mutation ;
- Un licenciement pour faute réelle et sérieuse ;
- Un licenciement pour faute grave (sans préavis ni indemnité) ou lourde
(ni préavis, ni indemnité, ni congés payés).
Fait à Nancy le 30/09.
Signature de l'employeur
ZING Charles Page 24/24 FRANÇOIS Thibaut
C. Mémo :
Notre mémo prend la forme d’une page Web. Elle sera la page d’accueil de tous les navigateurs de nos techniciens.
Les postes seront configurés pour lancer les navigateurs au démarrage de la machine, de manière à assurer que tout
le monde le lise régulièrement. Voici une capture d’écran de la page, que vous pourrez retrouver ici : https://cz-
developpement.com/SAS/
Top Related