ZING Charles Page 1/24

FRANÇOIS Thibaut

Projet SAS

CT-CompuTer

FRANÇOIS Thibaut

ZING Charles

ZING Charles Page 2/24 FRANÇOIS Thibaut

Sommaire

Projet SAS ...................................................................... 1

Introduction : 3

1. Présentation de l’entreprise .................................................. 4

Organigramme de l’entreprise : 5

2. Note de Synthèse .................................................................. 6

Guide des bonnes pratiques en informatique. 6 Choisir aves soin ses mots de passe : ............................................... 6 Mettre à jour régulièrement ses logiciels : ......................................... 7 Etre aussi prudent avec son smartphone/tablette qu’avec son PC : ....... 7 Etre prudent avec la messagerie : .................................................... 7 Etre vigilant lors des paiements sur internet : .................................... 8 Séparer professionnel et personnel : ................................................ 8 En cas d’incident : .......................................................................... 8

Sécurisation des données 9 Plan de sécurisation des données : ................................................... 9

Sensibiliser les utilisateurs aux bonnes pratiques informatiques: ....... 9 Gestion des droits d'accès aux données : ..................................... 10 Politique de mot de passe des Utilisateurs : .................................. 10 Politique de sauvegardes : ......................................................... 11 Politique de sécurité des postes de travail : .................................. 12 Communication de ces mesures aux utilisateurs : ......................... 12

Règlementations du filtrage en entreprise 13 Introduction : .............................................................................. 13 Obligation de conservation des logs : .............................................. 14 Obligation de moyens et de sécurisation de son réseau : ................... 14 Obligation de déclaration à la CNIL : ............................................... 15 La particularité des réseaux sociaux : ............................................. 15 Obligation de mise en place d’une charte informatique : ................... 15

3. Annexes .............................................................................. 16

A. Charte Qualité .......................................................................... 16 B. Charte informatique de ct-computer : .......................................... 17 C. Mémo : .................................................................................... 24

ZING Charles Page 3/24 FRANÇOIS Thibaut

Introduction :

Présentation du projet SAS

Premier projet de ces deux années, le projet SAS nous fait nous

interroger sur certaines des contraintes d’une entreprise face à un appel

d’offre pour la gestion du parc informatique de la société « autoconcept ».

D’un point de vue pédagogique, ce projet vise à nous faire acquérir

les comportements appropriés en entreprise, à identifier les mesures

réglementaires régissant la mise en œuvre de l’informatique dans

l’entreprise, à être capable d’apporter des solutions rapides à des

problématiques perturbant le bon fonctionnement de l’entreprise dans sa

production de biens ou de services. Mais aussi à être capable de concevoir

un dossier de synthèse, de communiquer et défendre les choix effectués.

Structurellement, il repose sur quatre documents (qui fixeront la

trame narrative de notre réponse) :

• Une note de synthèse sur l’utilisation de l’informatique en entreprise

• Un mémo interne, rédigé notamment à partir des plaintes clients,

sera diffusé en interne (notamment aux nouveaux) sur la conduite à

tenir chez un client.

• L’ébauche de charte qualité

• Les mesures de sauvegarde

ZING Charles Page 4/24 FRANÇOIS Thibaut

1. Présentation de l’entreprise

CT-computer 54, une entreprise de prestation informatique de 26

personnes sur le site de Meurthe-et-Moselle.

Histoire de l’entreprise : Entreprise créée en 2001 par deux ex-alternants

du CESI.

Elle fait l’infogérance d’autres PME : Mise en place de parcs informatiques,

maintenance de ceux-ci, formation des utilisateurs, gestion des données

(sauvegardes, restaurations…).

Nous intervenons dans tout le Grand Est depuis nos autres sites, mais notre

siège ne gère que la Meurthe-et-Moselle.

Futur client potentiel, l’entreprise « Autoconcept » amène un nouveau défi

à l’entreprise notamment de par l’importance du projet impliqué.

Retrouvez toutes les informations sur notre site web !

https://cz-developpement.com/SAS/

ZING Charles Page 5/24 FRANÇOIS Thibaut

Organigramme de l’entreprise :

ZING Charles Page 6/24

FRANÇOIS Thibaut

2. Note de Synthèse

L'utilisation de l'outil informatique mis à disposition des salariés doit être

contrôlée. Il est important de fixer des limites à celle-ci, et de les conseiller

au mieux.

C'est pourquoi, tout d'abord, nous vous présentons un "guide des bonnes

pratiques en informatique", qui devra être remonté aux salariés de

l'entreprise.

Guide des bonnes pratiques en informatique.

Choisir aves soin ses mots de passe :

Votre mot de passe permet de vous authentifier à votre compte

utilisateur, il est donc important d’en définir un efficace et de ne

pas le divulguer à une tierce personne. Ne pas le faire pourrait

amener à des vols d’identités, de données, etc.

Quelques conseils pour créer un mot de passe efficace et facile à

retenir :

Utiliser des minuscules, majuscules, chiffres, caractères

spéciaux…

Utilisation de la phonétique : « J’ai un vélo tout neuf acheté

à carrefour » deviendrait : « G1Vlott9HTAkrFur »

Utiliser les premières lettres d’une phrase de votre choix (par

exemple : « Je veux partir en vacances dans le sud de la

France, dans le 83 » deviendrait « JvpevdlsdlF,dl83 »)

ZING Charles Page 7/24 FRANÇOIS Thibaut

Mettre à jour régulièrement ses logiciels :

Chaque logiciel a des failles qui peuvent être utilisées pour des

attaques et, lorsque l’éditeur se rend compte de ces failles, il essaye

de les corriger le plus vite possible afin d’éviter les attaques. C’est

pour cela qu’il est important de mettre ses logiciels à jour dès que

cela est proposé.

Les mises à jours et logiciels doivent être téléchargés depuis les sites

officiels des éditeurs afin d’éviter des programmes malveillants qui

peuvent voler des données ou impacter les performances de

l’ordinateur.

Être aussi prudent avec son smartphone/tablette qu’avec son PC :

Sensibiliser les utilisateurs de smartphone et tablette à propos de la

quantité d’informations que peut recevoir chaque application.

Ajouter un autre mot de passe que le simple « code pin » (dessin ou

mot de passe traditionnel)

Être prudent avec la messagerie :

Les pièces jointes d’un e-mail peuvent être piégées et donc être une

source d’attaque, il faut donc vérifier que le contenu et l’expéditeur

du message soient cohérents.

Si un lien est présent, passez votre souris dessus avant de cliquer

pour laisser apparaitre le lien et encore une fois vérifier la cohérence

de celui-ci.

Ne divulguez jamais d’informations personnelles/confidentielles dans

un e-mail.

ZING Charles Page 8/24 FRANÇOIS Thibaut

Enfin, ne pas ouvrir les pièce jointes ou liens d’un mail venant d’un

émetteur inconnu avant d’avoir échangé avec celui-ci pour vérifier ses

intentions.

Etre vigilant lors des paiements sur internet :

Lors d’un achat sur l’internet, vérifiez que l’adresse du site soit

sécurisée (cadenas ou « https// » dans la barre d’adresse)

Vérifier que l’adresse du site soit exacte (pas de faute d’orthographe)

Privilégier des méthodes de paiement qui demandent des

confirmations par SMS de votre banque.

Séparer professionnel et personnel :

Si vous utilisez du matériel ou des comptes identiques pour l’usage

professionnel et personnel, il est conseillé de sécuriser de la même

manière chacun de vos postes informatiques.

Si vos postes professionnels et personnels sont différents il est

déconseillé d’emporter à votre domicile des données confidentielles

(sur clé USB, disque dur externe, cloud personnel).

En cas d’incident :

Si vous constatez : impossibilité de vous connecter, activités

inhabituelles, fichiers créés ou modifiés sans action de votre part :

Déconnectez la machine du réseau sans la mettre hors tension ou la

redémarrer (cela pourrait faire perdre des données et rendre plus

difficile l’identification de la panne)

Prévenez votre responsable d’une possible intrusion sur le réseau.

ZING Charles Page 9/24 FRANÇOIS Thibaut

Sécurisation des données

Plusieurs critères sont en jeu lors de l'établissement d'un plan de

sauvegarde :

La disponibilité des données : Elles doivent, autant que faire se peut,

être disponibles à tout moment, pour tout utilisateur.

Leur confidentialité : Elles ne doivent pas être divulguées au public,

ou à une entreprise concurrente.

Leur intégrité : Elles ne doivent pas être modifiées à

l'insu des utilisateurs.

Plan de sécurisation des données :

Dans le but de sécuriser les données de l'entreprise au maximum, plusieurs

points seront abordés :

Sensibiliser les utilisateurs aux bonnes pratiques informatiques : Se référer au "guide des bonnes pratiques". (partie précédente)

ZING Charles Page 10/24 FRANÇOIS Thibaut

Gestion des droits d'accès aux données :

Un serveur central stockera les données de chaque utilisateur.

Des droits d'accès aux données seront accordés aux différents

utilisateurs, selon leur service et leurs besoins.

Politique de mot de passe des Utilisateurs :

Les mots de passe doivent contenir un minimum de 8 caractères

alphanumériques, incluant au moins une majuscule et une

minuscule.

Les mots de passe ne doivent sous aucun prétexte être divulgué,

c'est pourquoi les utilisateurs ne doivent pas le noter sur un

morceau de papier ou autre support.

Ils doivent être renouvelés tous les 3 mois (l'utilisateur recevra un

mail lui demandant de le modifier) et être le plus différent possible,

tout en étant facilement mémorisable par l'utilisateur.

Lors de la création d'une session utilisateur, un mot de passe

temporaire est délivré, il devra être modifié à l'ouverture de ladite

session, en respectant les règles susnommées.

ZING Charles Page 11/24 FRANÇOIS Thibaut

Politique de sauvegardes :

Des sauvegardes s'effectuent sur un roulement de 21 disques durs

à raison de :

5 sauvegardes incrémentielles par semaines (une tous les soirs)

4 sauvegardes complètes par mois (une chaque fin de semaines)

12 sauvegardes complètes par an (une chaque fin de mois)

1 dernière (complète), chaque fin d'année, pour archive.

La baie de stockage se situe dans nos locaux et les sauvegardes

sont effectuées par nos soins. Elles seront accessibles par tous les

administrateurs système de l'entreprise pour tout besoin de

restauration.

Les disques durs sont utilisés pour plusieurs raisons plutôt que des bandes :

Ils sont très fiables grâce à la technologie RAID qui permet, en cas

de panne d’un disque dur, la continuité du service.

La sauvegarde sur disques est plus simple, rapide et automatique.

Une fois paramétrée, l’action d’un administrateur (ou d’un robot)

n’est pas nécessaire.

La sauvegarde de postes nomades ou à distance sont plus faciles

sur des disques durs.

La sauvegarde externalisée (que nous pratiquons) est bien plus

simple avec des disques, car avec une sauvegarde sur bande, il

faudrait les faire sortir de l’entreprise physiquement.

ZING Charles Page 12/24 FRANÇOIS Thibaut

Politique de sécurité des postes de travail :

Antivirus : Dans le but de protéger au mieux les données de

l'entreprise, un antivirus devra être installé sur tous les postes de

l'entreprise.

Pare-feu : Dans cette lignée, un pare-feu protégera l’entreprise

contre les attaques éventuelles.

Communication de ces mesures aux utilisateurs :

Réunion d'information pour présenter les mesures et en discuter.

Affiches explicatives des bonnes pratiques aux lieux de rencontre

de l'entreprise.

ZING Charles Page 13/24 FRANÇOIS Thibaut

Règlementations du filtrage en entreprise

Introduction :

En cas d’infractions pénales commises par des employés, l’employeur peut

être jugé responsable, nonobstant deux cas se posent :

Soit l’infraction n’est pas commise au profit de l’entreprise elle-même

et dans ce cas on peut supposer que seule la responsabilité de

l’employé sera retenue.

Soit l’infraction est commise et l’entreprise en est bénéficiaire et dans

ce cas la responsabilité de l’entreprise et de ses dirigeants pourra être

engagée.

Par exemple, en cas de responsabilité, l’entreprise peut encourir :

Suspension de l'accès à un service de communication au public en

ligne pour une durée maximale d'un mois.

Interdiction de souscrire pendant la même période un autre contrat

portant sur un service de même nature auprès de tout opérateur.

L’utilisateur est responsable de ses actes… encore faut-il que

l’entreprise soit en mesure de l’identifier.

ZING Charles Page 14/24 FRANÇOIS Thibaut

Obligation de conservation des logs :

La directive européenne n°2006/24/CE du 15 mars 2006 sur la

conservation de données générées ou traitées dans le cadre de la

fourniture de services de communications électroniques accessibles

au public ou de réseaux publics de communications et modifiant la

directive 2002/58/CE, prévoit dans son article 6 une durée de

conservation minimale de six mois, et une durée maximale de deux

ans.

Le décret n°2011-219 relatif à la conservation et à la communication

des données permettant d’identifier toute personne ayant contribué à

la création d’un contenu mis en ligne du 25 février 2011 portant

application de l’article 6 de la loi n°2004-575 du 25 juin 2004 pour la

confiance dans l’économie numérique prévoit dans son article 3 une

durée d’un an à compter du jour de la création des contenus.

La CNIL préconise une durée de conservation de six mois s’agissant

de la conservation de données permettant le contrôle par l’employeur

de l’utilisation d’Internet faite par ses employés (logs de

connexions).

Obligation de moyens et de sécurisation de son réseau contre le

piratage :

L’entreprise doit mettre en œuvre les moyens nécessaires pour

interdire l’accès à des sites illégaux, notamment en ce qui concerne

les téléchargements de fichiers ou logiciels piratés.

Il s’agit de protéger le réseau par exemple contre la consultation de

sites racistes, négationnistes, l’achat de produits dont la vente est

interdite sur Internet (certains médicaments, alcool, tabac).

ZING Charles Page 15/24 FRANÇOIS Thibaut

Obligation de déclaration à la CNIL :

Lorsque la solution de filtrage Internet mise en place collecte des

informations nominatives, il est nécessaire de faire une déclaration à

la CNIL. En revanche, cette déclaration n’est pas obligatoire si le filtre

Internet ne permet pas un contrôle individualisé des salariés.

La particularité des réseaux sociaux :

Sur ce sujet, l’entreprise pourra interdire deux choses :

L’accès à ces outils depuis les postes de travail ou durant le temps de

travail.

La publication d’informations au sujet de certaines activités de

l’entreprise (projets spécifiques, activités, résultats financiers, etc…).

Ainsi, doivent être ici précisées les interdictions de communication sur

et au nom de l’établissement, aussi bien dans la sphère privée, dans

le respect du principe de la liberté d'expression, que professionnelle,

et la possibilité d’effectuer des signalements d’éventuels abus de la

part d’un tiers. Il faut toutefois que cela soit indiqué de manière

spécifique et soit adapté à l’activité de l’entreprise.

Obligation de mise en place d’une charte informatique :

La mise en place d’une solution de filtrage Web avec identification

des utilisateurs doit s’accompagner de la mise en place d’une charte

informatique qui doit être portée à la connaissance des salariés et

du comité d’entreprise. Un exemple est disponible en annexe

(Annexe B)

ZING Charles Page 16/24 FRANÇOIS Thibaut

3. Annexes

A. Charte Qualité

Rapidité !

-Notre hotline prend vos demandes en compte instantanément et les

transmet à nos nombreux techniciens, qui s’engagent à intervenir, pour les

problèmes importants, dans un délai maximum de 4 heures ouvrées.

Efficacité !

-Prêt de matériel de remplacement en cas de panne.

- Nous avons des partenariats avec les principaux constructeurs, ce

qui vous assure du matériel de qualité à des prix raisonnables.

Sécurité assurée

-Toutes vos sauvegardes s’effectuent sur nos propres serveurs.

-Nous nous engageons à respecter la confidentialité de vos données.

Nous sommes ici pour vous aider !

-Nos techniciens seront volontaires face à vos demandes

-L’adaptabilité est une qualité inhérente à chacun de nos techniciens,

qui sauront donc faire face à tous vos problèmes ou toutes vos questions !

ZING Charles Page 17/24 FRANÇOIS Thibaut

B. Charte informatique de ct-computer :

Ce texte, associé au règlement intérieur des entités, est avant tout un code

de bonne conduite. Il a pour objet de préciser la responsabilité des

utilisateurs en accord avec la législation afin d'instaurer un usage correct

des ressources informatiques et des services Internet, avec des règles

minimales de courtoisie et de respect d'autrui.

Pour tout renseignement complémentaire, vous pouvez vous adresser à :

Mr Dupont, Directeur des Système d’Information de CT-Computer.

D’une manière générale, l’utilisateur doit s’imposer le respect des lois et,

notamment, celles relatives aux publications à caractère injurieux, raciste,

pornographique, diffamatoire, sur le harcèlement sexuel/moral.

1) Sécuriser l'accès au compte

Le contrôle d’accès logique permet d’identifier toute personne utilisant un

ordinateur.

Cette identification permet, à chaque connexion, l’attribution de droits et

privilèges propres à chaque utilisateur sur les ressources du système dont

il a besoin pour son activité.

Une authentification (login + mot de passe) unique est confiée à chaque

utilisateur. Ce dernier est personnellement responsable de l’utilisation qui

peut en être faite, et ne doit en aucun cas la communiquer.

ZING Charles Page 18/24 FRANÇOIS Thibaut

Chaque mot de passe doit obligatoirement être modifié selon la fréquence

suivante : une fois par trimestre. Un mot de passe doit, pour être efficace,

comporter au moins 8 caractères alphanumériques. Il ne doit pas être,

notamment, identique au login, même en inversant les caractères,

comporter le nom et/ou prénom de l’utilisateur ou de membres de sa

famille, le numéro de téléphone, la marque de la voiture ou toute référence

à quelque chose appartenant à l’utilisateur, être un mot ou une liste de

mots du dictionnaire ou un nom propre, nom de lieu, être écrit sur un

document et être communiqué à un tiers.

2) Courrier électronique :

Les éléments de fonctionnement de la messagerie à considérer sont les

suivants.

Un message envoyé par Internet peut potentiellement être intercepté,

même illégalement, et lu par n’importe qui.

En conséquence, aucune information stratégique ne doit circuler de cette

manière, sauf en utilisant la méthode de chiffrement suivante sur Outlook :

1. Dans le message que vous composez, sous l’onglet Options, dans le

groupe Autres Options, cliquez sur Lanceur de boîte de

dialogue Options des messages.

2. Cliquez sur Paramètres de sécurité et puis activez la case à

cocher chiffrer le contenu des messages et les pièces jointes.

3. Composez votre message, puis cliquez sur Envoyer.

ZING Charles Page 19/24 FRANÇOIS Thibaut

Il est interdit d’utiliser des services d'un site web spécialisé dans la

messagerie pour l’usage professionnel.

Lors du départ d'un collaborateur, il doit être indiqué au responsable de

l’administration du système ce qu’il sera fait des fichiers et courriers

électroniques de l’utilisateur.

Les messages électroniques sont conservés sur le serveur de messagerie

pendant une période de 30 jours et il existe des copies de sauvegarde

pendant une période de 365 jours.

Ces copies de sauvegarde conservent tous les messages au moment où ils

passent sur le serveur de messagerie, même s'ils ont été supprimés ensuite

par leur destinataire.

2.1 Utilisation privée de la messagerie

L’utilisation du courrier électronique à des fins personnelles est autorisée

dans des proportions raisonnables et à la condition de ne pas affecter le

trafic normal des messages professionnels.

2.2 Contrôle de l'usage

Dans l'hypothèse la plus courante, le contrôle éventuellement mis en œuvre

porte sur :

- Le nombre des messages échangés par utilisateur.

- La taille des messages échangés ;

- Le format des pièces jointes.

ZING Charles Page 20/24 FRANÇOIS Thibaut

3) Utilisation d’Internet :

Chaque utilisateur doit prendre conscience qu'il est dangereux pour

l'entreprise :

- De communiquer à des tiers des informations techniques concernant son

matériel ;

- De connecter un micro à Internet via un modem (sauf autorisation

spécifique) ;

- De diffuser des informations sur l'entreprise via des sites Internet ;

- De participer à des forums (même professionnels) ;

- De participer à des conversations en ligne (« chat »).

3.1 Utilisation d’Internet à des fins privées :

L’utilisation d’Internet à des fins privées est tolérée dans des limites

raisonnables et à condition que la navigation n'entrave pas l’accès

professionnel.

3.2 Contrôles de l'usage :

Dans l'hypothèse la plus courante, les contrôles portent sur :

- Les durées des connexions par utilisateur

- Les sites les plus visités par service

La politique et les modalités des contrôles font l'objet de discussions avec

les représentants du personnel.

ZING Charles Page 21/24 FRANÇOIS Thibaut

3.3 Téléchargements :

« L’utilisateur à l’accès à internet s’engage à ne pas utiliser cet accès

à des fins de reproduction, de représentation, de mise à disposition

ou de communication au public d’œuvres ou d’objets protégés par un

droit d’auteur ou par un droit voisin, tels que des textes, images,

photographies, œuvres musicales, œuvres audiovisuelles, logiciels et

jeux vidéo, sans autorisation. L’utilisateur est informé qu’un logiciel

de partage, lorsqu’il est connecté à internet, peut mettre à disposition

automatiquement des fichiers téléchargés. Si un logiciel de partage a

été utilisé pour télécharger des œuvres protégées, il est donc

préférable de le désactiver.

Il est rappelé à cet égard que le titulaire d’un accès à internet (ici,

CT-Computer), est tenu de sécuriser cet accès afin qu’il ne soit pas

utilisé à des fins de reproduction, de représentation, de mise à

disposition ou de communication au public d’œuvres ou d’objets

protégés par un droit d’auteur ou par un droit voisin, sous peine

d’engager sa responsabilité pénale.

Cette responsabilité du titulaire de l’accès n’exclut en rien celle de

l’utilisateur qui peut se voir reprocher un délit de contrefaçon (article

L. 335-3 du Code de la propriété intellectuelle) ».

ZING Charles Page 22/24 FRANÇOIS Thibaut

4) Pare-feu :

Le pare-feu vérifie tout le trafic sortant de l'entreprise, aussi bien local que

distant. Il vérifie également le trafic entrant constitué de la messagerie

électronique et l’échange de fichiers

Il détient toutes les traces de l’activité qui transite par lui s'agissant :

- De la navigation sur Internet : sites visités, heures des visites, éléments

téléchargés et leur nature (textes, images, vidéos ou logiciels) ;

- Des messages envoyés et reçus : expéditeur, destinataire(s), objet,

nature de la pièce jointe (et éventuellement texte du message).

Il filtre les URL des sites non autorisés par le principe de la liste noire. Les

catégories des sites visés sont les sites diffusant des données de nature

pornographique, pédophile, raciste ou incitant à la haine raciale,

révisionniste ou contenant des données jugées comme offensantes,

contenant des téléchargements non libres de droit.

5) Sauvegardes :

La mise en œuvre du système de sécurité comporte des dispositifs de

sauvegarde des informations et un dispositif miroir destiné à doubler le

système en cas de défaillance.

ZING Charles Page 23/24 FRANÇOIS Thibaut

Ceci implique, entre autres, que la suppression par un utilisateur d'un fichier

de son disque dur n’est pas absolue et qu’il en reste une copie :

- Sur le dispositif de sauvegarde ou miroir ;

- Sur le serveur ;

- Sur le proxy ;

- Sur le firewall (pare-feu) ;

- Chez le fournisseur d’accès.

6) Sanctions

En cas de non-respect de cette charte informatique, les sanctions pourront

être appliquées, selon la gravité de l’infraction :

- Un blâme ;

- Une mise à pied disciplinaire (sans salaire) ;

- Une rétrogradation ;

- Une mutation ;

- Un licenciement pour faute réelle et sérieuse ;

- Un licenciement pour faute grave (sans préavis ni indemnité) ou lourde

(ni préavis, ni indemnité, ni congés payés).

Fait à Nancy le 30/09.

Signature de l'employeur

ZING Charles Page 24/24 FRANÇOIS Thibaut

C. Mémo :

Notre mémo prend la forme d’une page Web. Elle sera la page d’accueil de tous les navigateurs de nos techniciens.

Les postes seront configurés pour lancer les navigateurs au démarrage de la machine, de manière à assurer que tout

le monde le lise régulièrement. Voici une capture d’écran de la page, que vous pourrez retrouver ici : https://cz-

developpement.com/SAS/