PROJET SAS · 2016-02-09 · PROJET SAS.DOCX Amandine Enouf, Quentin L’azou, Bérenger Eveno (Gmsi 14) 4/16 Le contrôle de l’usage de la messagerie L’utilisation de la messagerie

Amandine Enouf, Quentin L’Azou, Bérenger Eveno (GMSI 14) 0/16

PROJET SAS Documents techniques « Auto concept »

Amandine Enouf, Quentin L’Azou, Bérenger Eveno (GMSI 14)

12/01/2015

PROJET SAS.DOCX

Amandine Enouf, Quentin L’azou, Bérenger Eveno (Gmsi 14)

PROJET SAS.DOCX

Amandine Enouf, Quentin L’azou, Bérenger Eveno (Gmsi 14)

NOTE DE SYNTHESE ........................................................................................................... 2

Présentation de l’entreprise ...................................................................................................... 2

Présentation du prospect .......................................................................................................... 2

Analyse du fonctionnement informatique actuel ....................................................................... 2

Rappels des dispositions légales d’utilisation de l’outil informatique au sein d’une entreprise .... 3 Obligations de l’entreprise : ........................................................................................................................... 3 Obligations du salarié : ................................................................................................................................... 4 Obligations des administrateurs :................................................................................................................... 5

PLAN DE SECURISATION DES DONNEES ET DE SAUVEGARDES ............................................ 8

Politique de stratégie de mot de passe : .................................................................................... 8

Modalités de communication aux utilisateurs : .......................................................................... 9

CHARTE QUALITE SERVICE CLIENT ................................................................................... 12

Conditions générales .............................................................................................................. 12

Nos engagements ................................................................................................................... 12 Disponibilité et respect moral des clients .................................................................................................... 12 Confidentialité .............................................................................................................................................. 12 Prestation de services .................................................................................................................................. 12 Conseil .......................................................................................................................................................... 13 Solutions de qualité ...................................................................................................................................... 13 Livraison ....................................................................................................................................................... 13 Assistance et support technique .................................................................................................................. 13 Annulation .................................................................................................................................................... 14 Respect de la concurrence ........................................................................................................................... 14 Délais de résolution ...................................................................................................................................... 14

AVIS A TOUS LES EMPLOYES ............................................................................................ 15

PROJET SAS.DOCX

Amandine Enouf, Quentin L’azou, Bérenger Eveno (Gmsi 14) 2/16

NOTE DE SYNTHESE

Présentation de l’entreprise

La société AZ TECH est une entreprise d’infogérance située à Mont Saint Aignan composée

de 23 salariés. Fondée en 2008, nos équipes intègrent, installent, et maintiennent des solutions

informatiques. Nous intervenons en grande majorité sur la région Haute-Normandie.

Présentation du prospect

L’entreprise « autoconcept », concessionnaire en automobile et disposant de 68 postes

bureautique souhaite externaliser leurs prestations, actuellement assurés par deux salariés de

l’entreprise.

L’entreprise est organisée en plusieurs services avec à leur tête, un responsable, eux-mêmes

sous la direction générale de l’entreprise. A ce jour, l’entreprise n’a pas de direction de

service informatique dédiée, seuls 2 informaticiens sont rattachés à la direction administrative

et financière.

Analyse du fonctionnement informatique actuel

Après analyse des documents fournis par notre service commercial, nous avons remarqué

que :

- Les utilisateurs n’ont pas besoin de mot de passe pour accéder à leur session

- Les utilisateurs ne disposent de système de sauvegarde de leurs données

- Les ordinateurs ne disposent pas tous de licences enregistrées ou activées

- Les utilisateurs ne sont pas clairement avertis du règlement informatique en vigueur

dans l’entreprise (s’il en existe un)

- Au vu des points soulevés par les utilisateurs, il apparait que le service informatique

n’est pas en mesure d’honorer toutes les demandes dans de bonnes conditions.

- La sécurité et la confidentialité des données n’est pas garantie.

PROJET SAS.DOCX


Rappels des dispositions légales d’utilisation de l’outil informatique

au sein d’une entreprise

Obligations de l’entreprise :

Loi du 31 décembre 1992 (informatique et liberté dans l’entreprise)

L120-2 du code du travail : Les restrictions imposées se doivent d’être justifiable et

raisonnable.

L432-2 du code du travail : L’information du CE est obligatoire avant toute mise en place de

nouvelles technologies.

L121-8 du code du travail : L’entreprise se doit d’informer ses salariés lors de la récupération

de données personnelles.

Le contrôle des connexions à Internet

Une interdiction générale et absolue de toute utilisation d’Internet à des fins autres que

professionnelles ne parait pas réaliste. Toutefois, aucune disposition légale n’interdit à

l’employeur d’en fixer les conditions et limites.

A ce titre, la mise en place de dispositifs de filtrage de sites non autorisés peut constituer une

mesure de prévention dont les salariés doivent être informés.

De même, la possibilité pour les salariés de se connecter à Internet à des fins autres que

professionnelles peut s’accompagner de prescriptions légitimes :

-interdit de télécharger des logiciels

-interdit de se connecter à un forum ou à un chat

-interdit d’accéder à une boîte aux lettres personnelle.

PROJET SAS.DOCX


Le contrôle de l’usage de la messagerie

L’utilisation de la messagerie professionnelle pour des messages personnels peut être interdite

par l’employeur mais l’employeur ne pourra en aucun cas consulter le contenu des

correspondances privées.

Informer les utilisateurs des mesures de conservations des données

Pas obligation de déclarer à la CNIL la mise en place de serveurs (proxys, cache,…) qui

permettent d’optimiser le temps de connexion en mémorisant les pages web consultées, ainsi

que les serveurs ayant la fonction de pare-feu, destinés à protéger les applications

informatiques de l’entreprise des attaques extérieures. Mais obligation d’en informer les

utilisateurs.

Obligations du salarié :

Chaque utilisateur se doit de :

-ne pas masquer sa véritable identité

-ne pas usurper l’identité d’autrui

-choisir un mot de passe sûr et gardé secret

-ne pas communiquer son mot de passe à un tiers

-ne pas afficher de mot de passe, même si le poste de travail est partagé par plusieurs

personnes

-changer régulièrement de mot de passe

-ne pas quitter son poste de travail sans avoir préalablement verrouillé celui-ci

-ne pas livrer à des actions mettant en péril la sécurité ou le bon fonctionnement des

serveurs auxquels il accède.

-ne pas utiliser les ressources d l’entreprise pour les rendre accessibles à des tiers.

-ne pas déposer de documents sur un serveur sans y être autorisé.

-assurer la protection de ses informations.

-protéger ses données en utilisant les différents moyens de sauvegarde individuels ou

mis à sa disposition

PROJET SAS.DOCX


-signaler aux administrateurs systèmes toute violation, tentative de violation ou

suspicion de violation des ressources informatiques pouvant nuire au niveau de

sécurité informatique.

-ne pas charger, stocker, falsifier, diffuser ou consulter au moyen des ressources de

l’entreprise des fichiers :

-> contraires aux bonnes mœurs ou susceptible de porter atteinte au respect de

la personne humaine et de sa dignité.

-> portants atteinte aux ressources de l’entreprise et plus particulièrement à son

intégrité et à la conservation de ses données.

-ne pas utiliser les ressources informatiques de l’entreprise à des fins de harcèlement,

menace ou injure, et, de manière générale, violer les droits en vigueur.

-ne pas détourner des informations propres à l’entreprise à des fins de concurrence

déloyale.

Obligations des administrateurs :

Principe de proportionnalité (L120-2 du code du travail) : « nul ne peut apporter aux droits

des personnes et aux libertés individuelles et collectives de restrictions qui ne seraient pas

proportionnées au but recherché »

Dans l’article 29 la « Loi informatique et Liberté » du 6 janvier 1978 , L’administrateur

réseau s’engage à prendre toutes les précautions utiles afin de préserver la sécurité des

informations et d’empêcher qu’elles ne soient : déformées, endommagées ou communiquées à

des tiers non autorisés

La directive 2002-58 du 12 juillet 2002 invite l’administrateur réseau à prendre les mesures

appropriées pour assurer la sécurité de ses services et à informer les utilisateurs des risques

encourus.

PROJET SAS.DOCX


Arrêt de la cour d’appel du 17 décembre 2001

La mission des administrateurs réseaux implique qu’ils aient accès aux informations

utilisateurs telles que :

-leurs messageries

-leurs fichiers logs ou de journalisations

-leurs connexions à Internet

L’administrateur réseau dispose de moyens de contrôles pour vérifier l’utilisation loyale du

réseau ou des outils informatiques :

-il peut contrôler les débits

-il peut identifier la durée des connexions

-il peut répertorier les sites les plus fréquemment visités

-il peut contrôler les extensions des pièces jointes d’un fichier, leurs volumes

Il possède un mot de passe administrateur qui lui permet d’accéder aux :

-serveurs de fichier

-serveurs web

-serveurs de messagerie, et par conséquent avoir accès à l’ensemble des informations

émises, reçues, crées par un salarié.

Obligation de confidentialité :

L’administrateur est soumis au secret professionnel et ne peut divulguer les données

personnelles auxquelles il a accès.

La jurisprudence reconnait la possibilité à l’administrateur de lire les contenus des messages,

il n’est en revanche autorisé à les divulguer même à ses supérieurs hiérarchiques

PROJET SAS.DOCX


En cas de divulgation des informations, l’administrateur réseau risque d’engager sa

responsabilité pénale au titre de l’article 216-5 du Code Pénal.

Lors d’opérations de contrôle il doit agir dans le cadre de ses fonctions

La CNIL considère qu’un message est présumé professionnel sauf s’il est indiqué le

contraire

PROJET SAS.DOCX


PLAN DE SECURISATION DES

DONNEES ET DE SAUVEGARDES

Politique de stratégie de mot de passe :

Imposer un mot de passe à chaque utilisateur

o Mot de passe d’une longueur minimale de 10 caractères respectant les

stratégies de mot de passe par Windows

Les stratégies de mot de passe complexes sont conçues pour décourager les attaques en

augmentant le nombre de mots de passe possibles. Lorsque la stratégie de mot de passe

complexe est mise en œuvre, les nouveaux mots de passe doivent respecter les critères

suivants :

Le mot de passe ne doit pas contenir le nom du compte de l'utilisateur.

Les mots de passe doivent compter au moins huit caractères.

Les mots de passe doivent contenir des caractères appartenant à trois des quatre

catégories suivantes :

o Lettres majuscules de l'alphabet latin (A à Z)

o Lettres minuscules de l'alphabet latin (a à z)

o Chiffres de la base 10 (0 à 9)

o Caractères non alphanumériques tels que : point d'exclamation (!), symbole

dollar ($), signe dièse (#) ou pour cent (%).

- Le mot de passe doit être changé au maximum tous les 30 jours.

- Le dernier mot de passe est enregistré et ne peut pas être réutilisé le mois suivant.

- Le nombre de tentatives de mots de passe est limité à 3 et réinitialisé au bout de 15

minutes

PROJET SAS.DOCX


Modalités de communication aux utilisateurs :

- Mise en place d’une note de service expliquant la nouvelle politique informatique de

l’entreprise

- Information aux utilisateurs par mail de la nouvelle stratégie de mot de passe

- Présentation de la charte informatique de l’entreprise pour diffusion et approbation par

les salariés

Mesures de sauvegarde

- Sauvegarde complète hebdomadaire des données sur le réseau

- Sauvegarde incrémentielle quotidienne

o Mise en place d’un serveur avec installation des disques durs en RAID

o Mise en place de dossiers utilisateurs hiérarchisés sur le réseau

o Création de contrôles d’accès et autorisations sur les dossiers du réseau

o Sauvegarde externe à l’aide d’un lecteur RDX sur des cartouches rangées dans

des boites anti-feu

o Mise en place d’un serveur de messagerie avec archivage des mails et

sauvegarde des archives.

PROJET SAS.DOCX


RDX

SERVEUR

POSTE UTILISATEUR

POSTE UTILISATEUR

POSTE UTILISATEUR

POSTE UTILISATEUR

PROJET SAS.DOCX


RACINE

SERVICES

COMPTA

PARTAGE COMPTA

USER 1

USER 2

(...)

DRH

PARTAGE DRH

USER 1

USER 2

(...)

VENTE

NEUF

PARTAGE NEUF

USER 1

USER 2

(...)

OCCASION

PARTAGE OCCASION

USER 1

USER 2

(...)

PARTAGE VENTE

ATELIER

PARTAGE ATELIER

USER 1

USER 2

(...)

SAV

PARTAGE SAV

USER 1

USER 2

(...)

DOSSIER INTERSERVICES

PROJET SAS.DOCX


CHARTE QUALITE SERVICE CLIENT

Conditions générales

Les règles définies ci-dessous ont pour objectif de réglementer et de définir les rapports entre

la société de maintenance informatique, et le concessionnaire Autoconcept sur la prestation

de services informatiques.

La présente charte vise, via l’engagement de ses signataires, à fournir aux clients une qualité

de service optimale sur le long terme et à établir des standards de qualité indispensable visant

à maintenir un haut niveau de satisfaction de la clientèle.

Nos engagements

Détails des engagements de notre société

Disponibilité et respect moral des clients

Notre société se tient à la disposition du client pour l'accompagner tout au long de la

collaboration.

Le client participe aux différentes étapes de développement qui lui seront expliquées en toute

transparence.

Honnêteté, fiabilité et respect de l’intégrité morale et physique du client sont les valeurs de

notre société.

Confidentialité

A défaut d’autorisation de la part du client, le respect de la confidentialité et de la non

exploitation des projets, des échanges, des données clients et numériques est garanti.

Prestation de services

Nous nous engageons à être clair et explicite dans la description de la prestation fournie, pour

laquelle nous possédons les compétences requises.

Dans le cas où nous ferions appel à des compétences externes pour l'exécution de la prestation

prévue, nous le notifierons au client pour avoir ou non son approbation et veiller au bon

déroulement du projet.

PROJET SAS.DOCX


Au début et tout au long de la prestation jusqu’à la résolution, nous nous engageons :

♦ à fournir une réponse dans des délais prévus au contrat

♦ à indiquer les contraintes techniques ou autres qui pourraient altérer la demande

initiale du client

♦ à informer régulièrement le client sur l’avancée du problème

Conseil

Nous nous engageons à apporter des réponses claires, précises et adaptées aux problématiques

soumis par le client.

Nous pouvons au besoin renseigner le client sur la législation en vigueur relative aux sites

internet, logiciels ou supports numériques (licences, droits d’exploitation des logiciels….).

Solutions de qualité

Nos techniciens mobiliseront toutes les forces et compétences nécessaires pour livrer des

solutions de qualité qui répondront aux besoins et aux ressources du client, dans les délais

impartis (tout retard ou manquement aux engagements convenus devant être justifié).

Nous nous tenons informé des nouveautés web et multimédias, afin de proposer à nos clients

des solutions actualisées et évolutives.

Livraison

Nous nous engageons à livrer le produit ou service dans les délais impartis convenus

préalablement avec le client. Nos techniciens testent et valident le bon fonctionnement des

prestations réalisées et à remettre sous la forme de son choix, les informations techniques

relatives à tout matériel ou application livrée.

Assistance et support technique

Quel que soit le cas, une assistance pour la prise en main et un support technique de qualité

seront fournis au client.

L’accueil téléphonique est disponible du lundi au vendredi pour toute demande du client de

8h à 18h, sans interruption. Notre service hotline s’engage à vous fournir une solution rapide

et précise à votre problème. Au besoin, il s’engage à vous rappeler dans la journée afin de

fixer une date d’intervention sur site.

PROJET SAS.DOCX


Annulation

En cas d'impossibilité d'achèvement de prestation, le prestataire s'engage à fournir toutes les

informations et les éléments nécessaires à la reprise du service ou de la prestation par un autre

prestataire.

Respect de la concurrence

Le professionnel signataire s’engage à ne pas dénigrer la concurrence, à ne pas porter de

fausses allégations, ni à nuire à l’intégrité morale et physique de ses concurrents.

Délais de résolution

Type d’incident/Requête Type d’intervention Délais de résolution

Matériel Sur site 1 jour

Conseils/Assistance Prise en main à distance/Hotline

15min

Droits d’accès Prise en main à distance/Hotline

15min

Réseau (+Internet ?) Indisponible ou perturbé

A distance ou sur site suivant les diagnostics

3h

Installation Prise en main à distance/Hotline

1h

PROJET SAS.DOCX


AVIS A TOUS LES EMPLOYES

Il est impératif de :

Respecter les délais d’intervention prévus au contrat.

Informer les utilisateurs des manipulations effectuées au cours d’une intervention

Utiliser un vocabulaire adapté avec les utilisateurs.

Avoir une tenue correcte lorsque vous vous rendez chez un client.

Avoir une attitude professionnelle vis-à-vis de nos clients.

Ne pas clore un incident sans avoir au préalable vérifier avec l’utilisateur que son

problème est bien résolu.

Bien respecter la confidentialité de nos clients.

Remplacer le matériel à l’identique ou par du matériel plus récent mais surtout pas par

du matériel antérieur.

Ne pas laisser un utilisateur sans réponse.

Accueillir les utilisateurs comme il se doit pendant les permanences téléphoniques.

Informer les utilisateurs sur les délais d’indisponibilité de leur matériel/programmes.

La Direction.