Projet SAS - Vincent PHAN DINH
Transcription
Projet SAS - Vincent PHAN DINH
Projet SAS Réponse appel d’offre société Auto Concept Sébastien Rattanatay Phan Dinh Vincent Schmitt Nicolas 20/11/2014 Projet SAS Sommaire Note de Synthèse Contexte ......................................................................................................... 3 Notre entreprise ............................................................................................ 4 Auto Concept ................................................................................................. 5 Règles régissant l’utilisation des moyens informatiques .............................. 6 Moyens mis en œuvre pour la sécurité des fichiers ...................................... 7 Informations portées aux personnes dans l’entreprise................................. 8 Mise en place de solutions de filtrage en entreprise ................................... 9 Conclusion ...................................................................................................... 9 Plan de sécurisation des données 2 Politique de sécurité de mot de passe Modalités de communication aux utilisateurs : Mesures immédiates de sauvegarde : S.Rattanatay, V.Phandinh, N.Schmitt Projet SAS Note de synthèse Contexte Notre entreprise, « VNS Info », a pour principale activité la prestation informatique. Elle souhaite obtenir la gestion du parc informatique (70 à 80 postes) du concessionnaire « AutoConcept ». Ce dernier souhaite externaliser les prestations informatiques aujourd’hui exécutées par deux informaticiens en interne. D’autres entreprises concurrentes sont aussi sur le marché. Votre directeur technique vous charge de réaliser une partie de l’étude avant-vente et vous annonce qu’en cas d’obtention du marché, l’un des deux informaticiens de l’entreprise « AutoConcept » sera recruté. Vous serez chargé de son accueil et son accompagnement au sein de votre entreprise. 3 S.Rattanatay, V.Phandinh, N.Schmitt Projet SAS Notre entreprise VNS Info Depuis 2010, VNS Info propose des solutions innovantes à tout problème informatique rencontré dans les entreprises. Dans un contexte de travail où les outils informatiques ont pris une place prédominante, VNS Info a mis en place des solutions appropriées (contrat de maintenance, logiciels, assistance téléphonique, Etc.…) pour répondre à l’ensemble de vos besoins. VNS Info est composé de personnes qualifiées, sélectionnées grâce et à leurs compétences et titulaires au minimum d’un diplôme d’enseignement supérieur de niveau III. VNS Info crée en 1998 Adresse : 8 Rue Paul Langevin Maxéville, 54320 Tel : 0383142856 Fax : 0383514257 http://www.vns-info.com/ Siret : 775 664 423 01014 Clients Secteur Lorraine / Alsace Administrations Automobile Industrie BTP Certification Certifié iso 20000-1 4 S.Rattanatay, V.Phandinh, N.Schmitt Projet SAS Auto Concept Auto Concept est spécialité dans le rachat et la vente de véhicule neuf et d’occasion. Composée d’un effectif de 83 salariés et de 70 à 80 postes informatiques. Organigramme Responsable Communication Responsable Ressources Hum. Responsable Comptabilité Responsable Atelier Directeur Général Directeur Administratif et financier 5 Informatique 2 Personnes Responsable Véhicule Neuf Assistante Atelier Service Atelier 31 Personnes dont 16 avec un poste bur. Assistante de direction Responsable Véhicule Occasion Responsable Pièces de Rechange Service VO 3 Personnes Service PR 12 Personnes Assistante VN Service Comptabilité 8 Personnes Service VN 15 Personnes S.Rattanatay, V.Phandinh, N.Schmitt Projet SAS Règles régissant l’utilisation des moyens informatiques : Afin de prévenir les litiges, il est devenu indispensable d’encadrer les moyens informatiques mis en place au sein d’une entreprise. En effet, l’utilisation des outils professionnels à des fins personnelles pose parfois des difficultés. Ces règles ont plusieurs objectifs : Sécuriser le système informatique. Fixer les limites liées à l’utilisation de l’internet et de la messagerie à des fins personnelles. La Loi encadre ces contrôles, il existe donc des règles à respecter : Il est interdit d’utiliser des logiciels afin d’enregistrer à distance toutes actions accomplies par l’utilisateur, cet acte sera considéré comme un moyen de surveillance illicite. L’employeur ne peut pas recevoir en copie automatique l’intégralité des mails envoyés ou reçus par son salarié. Tout document ou e-mail qui sera identifié comme « personnel » ne pourra être consulté par Auto Concept sauf : en cas de demande auprès du salarié et en sa présence. en cas de risque particulier et qui devra se justifier devant un juge si nécessaire. Pour conclure si l’utilisation personnelle de l’informatique est interdite par l’employeur, les juges considèrent que seul l’usage abusif pourra être sanctionné. 6 S.Rattanatay, V.Phandinh, N.Schmitt Projet SAS Moyens mis en œuvre pour la sécurité des fichiers : La création et le traitement des données personnelles (identifiant, nom, adresse, numéro de téléphone) sont soumis à des obligations de sécurité, afin de protéger la vie privée des personnes fichées et les libertés individuelles. Tout fichier ou traitement automatisé contenant des informations personnelles doivent être déclaré à la CNIL (Commission Nationale de l’Informatique et des Libertés) : Le Responsable du SI doit mettre en œuvre les mesures de sécurité des fichiers pour empêcher que les fichiers soient déformés, endommagés, ou que des tiers non autorisés y aient accès. L’accès aux données est réservé uniquement aux personnes désignées ou à des tiers qui en détiennent l’autorisation. Sanctions L’entreprise ne respectant pas ces obligations encourt jusqu'à 5 ans d’emprisonnement et 300 000€ d’amende. Outre les sanctions pénales, le manquement peut être sanctionné par la CNIL (avertissement, amende, verrouillage des données, injonction d’arrêter le traitement des données, retrait de l’autorisation de la CNIL) 7 S.Rattanatay, V.Phandinh, N.Schmitt Projet SAS Informations portées aux personnes dans l’entreprise concernant l’utilisation de l’informatique : Il est indispensable de porter des documents à la connaissance du salarié concernant l’utilisation de l’informatique. Par exemple, en cas de création d’annuaire d’entreprise, l’employeur doit informer ses salariés sur leur droit d’accès, de rectification et d’opposition. Le salarié est informé par la remise d’un document écrit ou par la voie numérique. Il est aussi nécessaire d’en faire la déclaration à la CNIL. Une charte informatique a pour objectif de fixer les règles de tous les usages liés à l’informatique (l’utilisation d’internet, l’intranet, le courriel, les droits et obligations). Elle n’est pas obligatoire sauf dans le cas de la collecte des données à caractère personnel. Néanmoins, elle est vivement conseillée afin d’éviter tout conflit et d’instaurer un climat de confiance. Quelques rubriques importantes (voir charte en annexe) : Principes généraux Les interdits Les usages illicites et abusifs Les règles d’usage Contrôle et sanction mis en place Auto Concept a l’obligation d’informer les salariés de tout dispositif d’enregistrement des données. Article L.121-8 du code du travail : « Aucune information concernant personnellement un salarié ou un candidat à a un emploi ne peut être collectée par un dispositif qui n’a pas été porté préalablement à la connaissance du salarié ou du candidat à l’emploi ». 8 S.Rattanatay, V.Phandinh, N.Schmitt Projet SAS Mise en place de solutions de filtrage en entreprise : Auto Concept doit mettre en place un filtre web pour plusieurs raisons : Se prémunir des risques juridiques en cas d’accès à des sites illégaux. Afin de lutter contre la baisse de la productivité du par le surf hors cadre professionnel. Pour maximiser le réseau contre la baisse de la bande passante due à la consultation de flux vidéo ou audio. Réduire les menaces pouvant toucher le réseau. Et respecter certaines règles : Être conforme avec la législation du pays. Permettre un filtrage non discriminatoire dans le traitement des données personnelles. Collecter les logs nominatifs en cas de requissions judiciaires Les solutions de filtrage doivent préalablement être portées à la connaissance à l’ensemble des salariés et des usagers des réseaux. Une charte informatique permet de satisfaire cette obligation. Cette solution doit être obligatoirement déclarée à la CNIL, néanmoins si le filtre internet ne permet pas un contrôle individualisé des salariés, la déclaration n’est pas obligatoire. Il est donc indispensable que la société Auto Concept mette en place une solution de filtrage pour faire face aux nouveaux usages de l’internet en entreprise. Conclusion Le but de cette note de synthèse est d’informer la société Auto Concept sur les problématiques d’utilisation des outils informatiques au sein de l’entreprise. Pour résumer, afin de respecter la législation et les droits du salarié, il est nécessaire que la société Auto Concept encadre les moyens informatiques grâce à une charte informatique (exemple en annexe) qui permettra aussi d’informer les salariés sur leurs droits et sur les sanctions applicables. Les fichiers recueillis concernant des données personnelles devront faire l’objet d’une déclaration à CNIL. 9 S.Rattanatay, V.Phandinh, N.Schmitt Projet SAS Plan de sécurisation des données VNS Info est un spécialiste de la sécurité. Nous vous proposons un plan de sécurisation des mots de passe et des solutions de sauvegarde complètes et en adéquation avec votre Charte Informatique. Politique de sécurité de mot de passe Le mot de passe étant une brique de sécurité incontournable, le choix d’un mot de passe fort est impératif. Votre système encourt de multiples risques concernant les mots de passe. La cause la plus courante reste depuis toujours l’erreur humaine (mot de passe trop simple, perte de mot de passe,…) L’attaque par force brute : une personne malveillante tente d’utiliser tous les mots de passe possibles via un programme automatisé. L’attaque hybride : consiste à rajouter une lettre ou un chiffre à un mot traditionnel (Soleil4) L’attaque par dictionnaire : alternative de l’attaque par force brute, cette attaque consiste à tenter uniquement des mots issus d’une liste ayant une signification réelle (Soleil) Nous assurons une politique de sécurité de mot de passe qui a fait ses preuves auprès de nos nombreux clients. L’utilisateur doit respecter certains critères permettant d’assurer que celui-ci sera suffisamment fiable. Son mot de passe doit : 10 Etre différent de son identifiant Être différent d’un mot existant dans le dictionnaire Comporter au moins 8 caractères Contenir au moins une majuscule, une minuscule, un chiffre, une lettre et un caractère spécial ($*ù^ !:;@.) Être modifié tous les 90 jours obligatoirement Être différent des mots de passe précédents S.Rattanatay, V.Phandinh, N.Schmitt Projet SAS Mots de passe 123456 Non sécurisé patrick Non sécurisé patrick3 Non sécurisé azerty Non sécurisé Vm45@eu. Sécurisé L’utilisateur doit : Avoir obligatoirement un mot de passe sur son poste de travail S’assurer de la déconnexion ou du verrouillage de la session avant de quitter son poste de travail (même pour une courte durée) L’utilisateur ne doit pas : Conserver son mot de passe (papier ou numérique) Communiquer son mot de passe Utiliser le même mot de passe pour différents services Partager son compte utilisateur Modalités de communication aux utilisateurs : Chaque utilisateur se doit de lire, d’accepter et d’être conforme à la Charte Informatique de l’entreprise AutoConcept. Nous organisons une formation obligatoire pour chaque utilisateur afin de faire prendre conscience à chacun que chaque utilisateur est acteur de la sécurité d’un système. Lors de cette formation, nous reprenons les principes de la Charte Informatique et nous détaillons point par point chaque partie en les mettant en situation professionnelle pour une bonne compréhension. Lors de la première prise de service, un mot de passe provisoire attribué à chaque utilisateur est envoyé par courriel. Ce mot de passe doit être changé avant toute autre activité. 11 S.Rattanatay, V.Phandinh, N.Schmitt Projet SAS Le plan de sécurisation des mots de passe est visible non seulement dans la Charte Informatique mais également sur un mémo (annexe) distribué à tous les utilisateurs de l’entreprise. Chaque utilisateur est prié de conserver ce mémo et de l’afficher sur son espace de travail afin de ne pas en oublier les principes. Un courriel est envoyé automatiquement tous les 80 jours pour rappeler à chaque utilisateur de changer son mot de passe. À chaque ouverture de session, un avertissement de sécurité rappelle globalement ce que les utilisateurs ont le droit ou n’ont pas le droit de faire sur leur poste. Mesures immédiates de sauvegarde : Votre entreprise subit des risques multiples au quotidien. Des données importantes sont susceptibles d’être supprimées par erreur par des utilisateurs inconscients, à cause de défaillances matérielles ou même de causes naturelles (incendie, inondation…). Elles risquent également d’être subtilisées par des personnes mal intentionnées. Afin de palier tous ces risques nous proposons de mettre en place Télé-Sauvegarde qui réponds à six principes fondamentaux : Solution automatisée : vous ne vous occupez de rien ! Solution ultra sécurisée : tout type d’incidents (incendie, vol, virus informatique) Solution rapide : accès permanent aux données et récupération rapide Solution externalisée et répliquée : vers 2 centres de données Solution évolutive : mise à jour automatique Solution automatisée Grâce à des logiciels préinstallés, les sauvegardes s'effectuent automatiquement dés que un nouveau est crée ou modifié vers les serveurs distant. Solution ultra sécurisée Les serveurs distants son 12 S.Rattanatay, V.Phandinh, N.Schmitt Projet SAS 13 S.Rattanatay, V.Phandinh, N.Schmitt