I. Présentation du Projet SAS
Transcription
I. Présentation du Projet SAS
Projet SAS Mathé Thomas Pressoir Jérémy Chauvin Michaël CESI – Projet SAS – Session 2014 Jérémy Pressoir – Thomas Mathé – Michaël Chauvin 1 CESI – Projet SAS – Session 2014 Jérémy Pressoir – Thomas Mathé – Michaël Chauvin SOMMAIRE I. Présentation du projet SAS page 3 II. Objectif du projet page 4 III. Présentation de l’entreprise Pro/TU page 5 IV. Présentation du client page 6 V. Note de synthèse page 7 a. Règles d’utilisations des moyens informatiques b. La sécurité des fichiers c. Diffusion de l’information aux salariés et dispositions légales du filtrage des contenus VI. Sauvegardes des données page 13 VII. Charte qualité services clients page 15 VIII. Mémo interne page 17 IX. Conclusion page 18 2 CESI – Projet SAS – Session 2014 Jérémy Pressoir – Thomas Mathé – Michaël Chauvin I. Présentation du Projet SAS Nous représentons la société Pro/TU (Professional Technology Unit) qui a pour activité principale la prestation de services dans la gestion des parcs informatique en entreprise en proposant à la fois des solutions matérielles et comportementales afin de préserver les données sensibles et les droits utilisateur lors d’incident. Nous avons pour but de réaliser une partie de l’étude avant-vente et en cas d’obtention du marché d’accueillir un des informaticiens de l’entreprise AutoConcept afin de procéder à son accompagnement au sein de notre société. 3 CESI – Projet SAS – Session 2014 Jérémy Pressoir – Thomas Mathé – Michaël Chauvin II. Objectif du projet Le projet SAS a été mis en place pour satisfaire les demandes des entreprises collaboratrices en matière de comportement de ses nouveaux salariés. Les différents points importants de ce projet sont : - Réaliser une note de synthèse sur les problématiques. - Etablir un plan de sécurisation des données. - Proposer une charte « Qualité Service Client ». - Mémo interne. 4 CESI – Projet SAS – Session 2014 Jérémy Pressoir – Thomas Mathé – Michaël Chauvin III. Présentation de l’entreprise Pro/TU a) Fiche d’identité Adresse : Parc de La Vatine, 1 Rue G. Marconi, 76130 Mont St Aignan. Téléphone : 08.36.65.65.65 Fax : 08.36.65.65.66 E-mail : [email protected] Secteur d’activité : gestion de parc informatique et support aux utilisateurs. b) Historique de l’entreprise La société fut créée en 2010 par Mr.CHAUVIN, qui débuta en tant qu’autoentrepreneur. Il s’adressa à ses débuts aux particuliers, puis a étendu son activité aux petites, puis aux grandes entreprises. Grace à son sérieux et ses efforts, aujourd’hui, l’entreprise compte deux techniciens supplémentaires, en la qualité de Mr.PRESSOIR et Mr.MATHE, gérant principalement des parcs informatiques de cents utilisateurs. 5 CESI – Projet SAS – Session 2014 Jérémy Pressoir – Thomas Mathé – Michaël Chauvin IV. Présentation du client Le client Auto Concept est un concessionnaire possédant un parc informatique de 70 à 80 postes composé de 83 employés répartis dans différents services comme ci-dessous : Responsable Communication Responsable Ressources Hum. Responsable Comptabilité Responsable Atelier Directeur Général Directeur Administratif et financier Informatique 2 Personnes Responsable Véhicule Neuf Assistante Atelier Service Atelier 31 Personnes dont16 avec un poste bur. Assistante de direction Responsable Véhicule Occasion Responsable Pièces de Rechange Assistante VN Service Comptabilité 8 Personnes Service VN 15 Personnes 6 Service VO 3 Personnes Service PR 12 Personnes CESI – Projet SAS – Session 2014 Jérémy Pressoir – Thomas Mathé – Michaël Chauvin V. Note de synthèse L’utilisation d’un outil informatique est régit par des lois c’est pourquoi les utilisateurs se doivent d’appliquer et de connaître les points suivants : a) Règles d’utilisation des moyens informatiques - L’employeur est tenu responsable de la mauvaise utilisation du matériel informatique par les salariés. Ce dernier peut ainsi réguler l’utilisation du matériel via une charte informatique. - L’employeur se doit de communiquer à ses salariés les différentes règles liées à l’utilisation des outils informatiques et ce, dès leurs créations ou leurs modifications. - Il est interdit de collecter les données personnelles d’un utilisateur sans son consentement. - L’employeur se réserve le droit de consulter les favoris et l’historique du navigateur de ses salariés. - L’utilisation d’un système d’exploitation, d’un logiciel et d’une application informatique payante se doit impérativement d’être accompagnée d’une licence par utilisateur. • Sont prohibés : - Tout acte contraire aux textes régissant la propriété intellectuelle, c’est-à-dire toute reproduction, représentation ou diffusion d‘une œuvre (écrit, illustration, photographie, musique, film, logiciel…) en violation des droits de l’auteur. - Toute atteinte aux libertés individuelles et notamment à l’intimité de la vie privée d’autrui (utilisation des paroles ou de l’image d’une personne sans son consentement). 7 CESI – Projet SAS – Session 2014 Jérémy Pressoir – Thomas Mathé – Michaël Chauvin - Toute atteinte au secret des correspondances privées (lecture, interception, détournement de courrier ou de message de nature privée). - Toute utilisation à caractère commercial, religieux, délictuel ou criminel ou de nature à troubler l’ordre public (injure, diffamation, discrimination, pornographie, incitation à la violence…). • Les utilisateurs doivent notamment : - Veiller à la confidentialité de leurs comptes, codes ou mots de passe ou tout autre dispositif de contrôle d'accès qui leur sont confiés à titre strictement personnel. - S’engager à ne pas les communiquer ou en faire bénéficier un tiers. - S’engager à ne pas déchiffrer ou usurper les codes ou mots de passe d’un tiers. - Se déconnecter obligatoirement dès la fin de chaque période de travail. - S’assurer que les fichiers jugés confidentiels ne soient pas accessibles à des tiers. - Ne pas accéder aux données et fichiers des autres utilisateurs sans leur consentement préalable. - Ne procéder à aucune modification des environnements sans l'accord préalable du responsable informatique (suppression ou ajout de composants, logiciels ou matériels ou réalisation de tout paramétrage risquant d’affecter le fonctionnement normal du système informatique …). - D’une manière générale, ne procéder à aucune opération susceptible d’interrompre ou d’altérer les fonctionnalités du système informatique de la société ou de tout système connecté à celui-ci. 8 CESI – Projet SAS – Session 2014 Jérémy Pressoir – Thomas Mathé – Michaël Chauvin - Comme pour les données personnelles d’un utilisateur, il est interdit d’accéder aux courriers électroniques de celui-ci sans son consentement. - Afin d’identifier le caractère privé des données d’un salarié, celui-ci doit le classer dans un dossier personnel et ainsi toutes données extérieures à ce dossier pourra être consulté par l’employeur ou un collègue. Il en va de même pour la messagerie électronique. Par un arrêt du 17 mai 2005, la Cour de cassation transpose aux fichiers informatiques les même règles qu'en matière de fouille des placards des salariés : "Sauf risque ou événement particulier l'employeur ne peut ouvrir les fichiers identifiés par le salarié comme personnels contenus sur le disque dur de l'ordinateur mis à disposition qu'en présence de ce dernier ou celui-ci dûment appelé". - Les messages mis sur les réseaux sociaux, ne sont pas protégés par les règles applicables aux correspondances privées. Ainsi, les salariés ne peuvent utiliser les réseaux sociaux pour dénigrer l’entreprise, sauf à s’exposer à des sanctions disciplinaires. - Afin d’exposer ces règles, l’employeur peut rédiger une charte informatique qui devra être soumise à validation par le comité d’entreprise et éventuellement transmises à la CNIL. Cette charte informatique doit être accessible à tous. - Sauf clause contraire du contrat de travail, tout ce que crée le salarié grâce à l'outil de travail mis à sa disposition par son employeur est présumé avoir un caractère professionnel et être accessible à tout moment par l'employeur. - Les logiciels créés par le salarié sont la propriété de l'employeur (article L113-9 alinéa 1er du Code de la propriété intellectuelle), mais le salarié auteur d'une œuvre artistique conservera ses droits sur sa création (article L113-1 du Code de la propriété intellectuelle). 9 CESI – Projet SAS – Session 2014 Jérémy Pressoir – Thomas Mathé – Michaël Chauvin b) La sécurité des fichiers • La sécurité des données : Obligations de sécurité et de confidentialité - Le responsable du traitement des données doit mettre en œuvre les mesures de sécurité des locaux et des systèmes d'information pour empêcher que les fichiers soient déformés, endommagés, ou que des tiers non autorisés y aient accès. - L'accès aux données est réservé uniquement aux personnes désignées ou à des tiers qui détiennent une autorisation spéciale et ponctuelle (service des impôts, police, etc.). - Le responsable des données est aussi tenu de fixer une durée raisonnable de conservation des informations personnelles. - Si l'entreprise ne respecte pas ces obligations, elle encourt 5 ans d'emprisonnement et 300 000 € d'amende. • Sécurité informatique : - Distinguer les profils utilisateurs à l’intérieur de l’entreprise et les droits d’accès associés. - Choisir des mots de passe si possible de 8 caractères alphanumériques (hors dictionnaire et noms propres), les renouveler régulièrement et ne les communiquer à personne. - Utiliser des logiciels de protection et les mettre à jour : anti-spam, antivirus, firewall. 10 CESI – Projet SAS – Session 2014 Jérémy Pressoir – Thomas Mathé – Michaël Chauvin - Pour les réseaux sans fil (Wifi, Bluetooth, téléphonie mobile), activer les procédures de sécurité intégrées (authentification, chiffrement, liste d’équipements « amis » autorisés) et désactiver par défaut les fonctions de liaison sans fil. - Après usage d’un photocopieur numérique, effacer les données en mémoire. - Stocker les informations sensibles sur un support informatisé non connecté à internet. - Sauvegarder régulièrement ses données et placer ses sauvegardes à l’abri (tentatives d’intrusion, incendies et inondations) dans un local extérieur à l’entreprise. c) Diffusion de l’information aux salariés et dispositions légales du filtrage des contenus - Les salariés doivent être informés de la mise en place d’une nouvelle technologie, de ses objectifs, des règles d’utilisation et de la durée de conservation des données. Pour, rendre cette charte juridiquement opposable aux salariés, les démarches suivant doivent être impérativement respectées : - Diffuser individuellement la charte à chaque salarié (note de service, courrier accompagnant la fiche de paie, lien intranet, ou outil de diffusion de charte qui permet d’afficher celle-ci à la première connexion Internet du collaborateur…). - Afficher la charte à une place accessible sur le lieu de travail. - La soumettre à l'avis du comité d'entreprise (comité technique et/ou CHSCT). - La déposer au greffe du conseil des prud’hommes. 11 CESI – Projet SAS – Session 2014 Jérémy Pressoir – Thomas Mathé – Michaël Chauvin - La transmettre à l’inspection du travail en 2 exemplaires. Le comité d'entreprise doit être consulté avant l'introduction de nouvelles technologies comme un outil de filtrage. - Un mois avant la consultation, les membres du comité doivent avoir reçu les éléments d’information sur le projet et les conséquences sur les conditions de travail. - Il convient de préciser qu’un avis négatif du comité n’empêche pas la mise en place de l'outil de filtrage au sein de son organisme. En revanche, le défaut de consultation du comité d’entreprise constitue un délit d’entrave sanctionné par le Code du travail. Pour les administrations, le défaut de consultation du comité technique entache la charte d’illégalité. 12 CESI – Projet SAS – Session 2014 Jérémy Pressoir – Thomas Mathé – Michaël Chauvin VI. Sauvegardes des données I. POLITIQUE DE SECURITE DE MOT DE PASSE. Afin de sécuriser au maximum un compte utilisateur, il est important qu’un mot de passe réponde à certaines normes : - Il doit être constitué d’au moins huit caractères composés de lettres et contenant au moins un chiffre et une majuscule. - Dans la mesure du possible, tous les mots de passe d’un utilisateur doivent différés. - Ne peut en aucun cas être un nom propre, une donnée personnelle, une date valide où venir du dictionnaire. - Il doit être renouvelé tous les deux mois et ne doit pas être identique au précèdent. - Le compte peut être paramétré de façon à bloquer l’accès aux utilisateurs pour une période donnée après trois tentatives infructueuses. - Ne jamais divulguer son mot de passe à quiconque, même aux personnes chargées de l’administration. - Veiller à la fermeture d’une session en cas d’absence de l’utilisateur. - La session expire automatiquement après dix minutes d’inactivité. 13 CESI – Projet SAS – Session 2014 Jérémy Pressoir – Thomas Mathé – Michaël Chauvin II. MODALITE DE COMMUNICATION AUX UTILISATEURS ET DE MISE EN OEUVRE. - Lecture et ratification de la charte informatique par les utilisateurs, puis rappel de cette même charte tous les 3 à 4 mois. - Etablissement d’un mot de passe provisoire au nouvel utilisateur, ce dernier devra le modifier lors de la première connexion. - Pour forcer cette stratégie de mot de passe, l’administrateur devra la paramétrer par le biais d’Active Directory. III. MESURES IMMEDIATES DE SAUVEGARDE - Implantation et configuration d’un serveur de sauvegarde pour l’entreprise. - Programmation d’une sauvegarde quotidienne, hebdomadaire et mensuelle. - Externalisation des sauvegardes hebdomadaire et mensuelle. - Mise en place d’un antivirus pour veiller à l’intégrité des fichiers. - Pour renforcer la sécurité des sauvegardes, il est possible de mettre en place un RAID. 14 CESI – Projet SAS – Session 2014 Jérémy Pressoir – Thomas Mathé – Michaël Chauvin VII. Charte qualité services clients Par la présente charte nous, la Pro/TU, nous engageons à : - Assurer une maintenance régulière sur le matériel de la société afin de prévenir tous problèmes. - Veiller à l’application de la stratégie de mot de passe selon la charte établie. - Fournir du matériel de remplacement lors d’une intervention sur une panne. - Tenir un discours approprié, accessible et avoir une présentation professionnelle avec les utilisateurs. - Assurer une assistance aux utilisateurs dans les meilleurs délais. - Répondre aux attentes des utilisateurs, afin de régler les différents problèmes matériels et logiciels. Cela passe donc par une écoute de l’utilisateur et un bon diagnostic. - Assurer l’entière confidentialité des données de l’utilisateur lors des différentes interventions. - Restituer le matériel d’origine après intervention. - Assurer une assistance téléphonique de 9h à 18h - Actualiser et transmettre le formulaire des interventions aux utilisateurs (Date et horaires de prise en charge / diagnostics / action à réaliser / délais d’interventions). - N’installer que les logiciels autorisés par la société. - Intervenir sur site en respectant les règles de sécurité de l’entreprise. 15 CESI – Projet SAS – Session 2014 Jérémy Pressoir – Thomas Mathé – Michaël Chauvin - Renouveler le matériel informatique qu’après la fin de période d’amortissement établit à trois ans. - Garantir le bon fonctionnement d’une sauvegarde quotidienne, hebdomadaire et mensuelle. - Former le technicien informatique d’AutoConcept que nous recruterons. 16 CESI – Projet SAS – Session 2014 Jérémy Pressoir – Thomas Mathé – Michaël Chauvin VIII. Mémo interne Dans le but d’apporter un service de qualité, merci de respecter les règles ci-contre lors de vos différentes interventions et échange avec la clientèle. - Toujours avoir une tenue vestimentaire adéquate et adopter une attitude professionnelle. - Tenir à jour les formulaires d’intervention et les transmettre aux utilisateurs. - Rester clair et concis lors des échanges avec la clientèle. - Lors d’un renouvellement matériel, il est primordial de prévenir le service comptabilité. - S’assurer que tous types interventions soient effectués dans les plus brefs délais. - Les mots de passe utilisateurs ainsi que leurs données doivent demeurer confidentiel. - Toutes installations logicielles non certifiées par l’entreprise se doit d’être validé par le responsable de service. - Prévoir du matériel de remplacement pour permettre à l’utilisateur de travailler. 17 CESI – Projet SAS – Session 2014 Jérémy Pressoir – Thomas Mathé – Michaël Chauvin IX. Conclusion Pour répondre au besoin informatique d’AutoConcept, les différents documents ci-dessus permette d’avoir une première approche des actions à mettre en place. L’amélioration du système informatique d’AutoConcept, passe par une meilleure gestion du personnel, tant du point de vue juridique que technique. La rédaction et la diffusion d’une charte informatique est indispensable, afin de faire connaitre les règles aux utilisateurs. La mise en place d’un système de sauvegarde est également importante pour répondre aux normes de sécurités et de traçabilités. Une meilleure formation des techniciens informatique garantira à l’entreprise un service de qualité. Cela passe par la diffusion du mémo interne. 18