Projet SAS - Vincent PHAN DINH

Projet SAS
Réponse appel d’offre société Auto Concept
Sébastien Rattanatay Phan Dinh Vincent Schmitt Nicolas
20/11/2014
Projet SAS
Sommaire
Note de Synthèse








Contexte ......................................................................................................... 3
Notre entreprise ............................................................................................ 4
Auto Concept ................................................................................................. 5
Règles régissant l’utilisation des moyens informatiques .............................. 6
Moyens mis en œuvre pour la sécurité des fichiers ...................................... 7
Informations portées aux personnes dans l’entreprise................................. 8
Mise en place de solutions de filtrage en entreprise ................................... 9
Conclusion ...................................................................................................... 9
Plan de sécurisation des données



2
Politique de sécurité de mot de passe
Modalités de communication aux utilisateurs :
Mesures immédiates de sauvegarde :
S.Rattanatay, V.Phandinh, N.Schmitt
Projet SAS
Note de synthèse
Contexte
Notre entreprise, « VNS Info », a pour principale activité la prestation informatique. Elle
souhaite obtenir la gestion du parc informatique (70 à 80 postes) du concessionnaire
« AutoConcept ». Ce dernier souhaite externaliser les prestations informatiques
aujourd’hui exécutées par deux informaticiens en interne. D’autres entreprises
concurrentes sont aussi sur le marché.
Votre directeur technique vous charge de réaliser une partie de l’étude avant-vente et
vous annonce qu’en cas d’obtention du marché, l’un des deux informaticiens de
l’entreprise « AutoConcept » sera recruté. Vous serez chargé de son accueil et son
accompagnement au sein de votre entreprise.
3
S.Rattanatay, V.Phandinh, N.Schmitt
Projet SAS
Notre entreprise
VNS Info
Depuis 2010, VNS Info propose des solutions innovantes à tout problème informatique
rencontré dans les entreprises.
Dans un contexte de travail où les outils informatiques ont pris une place prédominante,
VNS Info a mis en place des solutions appropriées (contrat de maintenance, logiciels,
assistance téléphonique, Etc.…) pour répondre à l’ensemble de vos besoins.
VNS Info est composé de personnes qualifiées, sélectionnées grâce et à leurs
compétences et titulaires au minimum d’un diplôme d’enseignement supérieur de niveau
III.
VNS Info crée en 1998
Adresse : 8 Rue Paul Langevin
Maxéville, 54320
Tel : 0383142856
Fax : 0383514257
http://www.vns-info.com/
Siret : 775 664 423 01014
Clients
Secteur Lorraine / Alsace
Administrations
Automobile
Industrie
BTP
Certification
Certifié iso 20000-1
4
S.Rattanatay, V.Phandinh, N.Schmitt
Projet SAS
Auto Concept
Auto Concept est spécialité dans le rachat et la vente de véhicule neuf et d’occasion.
Composée d’un effectif de 83 salariés et de 70 à 80 postes informatiques.
Organigramme
Responsable
Communication
Responsable
Ressources Hum.
Responsable
Comptabilité
Responsable Atelier
Directeur Général
Directeur
Administratif et
financier
5
Informatique
2 Personnes
Responsable
Véhicule Neuf
Assistante Atelier
Service Atelier
31 Personnes dont 16
avec un poste bur.
Assistante de
direction
Responsable
Véhicule Occasion
Responsable
Pièces de
Rechange
Service VO
3 Personnes
Service PR
12 Personnes
Assistante VN
Service Comptabilité
8 Personnes
Service VN
15 Personnes
S.Rattanatay, V.Phandinh, N.Schmitt
Projet SAS
Règles régissant l’utilisation des moyens
informatiques :
Afin de prévenir les litiges, il est devenu indispensable d’encadrer les moyens
informatiques mis en place au sein d’une entreprise. En effet, l’utilisation des outils
professionnels à des fins personnelles pose parfois des difficultés.
Ces règles ont plusieurs objectifs :


Sécuriser le système informatique.
Fixer les limites liées à l’utilisation de l’internet et de la messagerie à des
fins personnelles.
La Loi encadre ces contrôles, il existe donc des règles à respecter :
Il est interdit d’utiliser des logiciels afin d’enregistrer à distance toutes actions accomplies
par l’utilisateur, cet acte sera considéré comme un moyen de surveillance illicite.
L’employeur ne peut pas recevoir en copie automatique l’intégralité des mails envoyés ou
reçus par son salarié.
Tout document ou e-mail qui sera identifié comme « personnel » ne pourra être consulté
par Auto Concept sauf :


en cas de demande auprès du salarié et en sa présence.
en cas de risque particulier et qui devra se justifier devant un juge si nécessaire.
Pour conclure si l’utilisation personnelle de l’informatique est interdite par l’employeur,
les juges considèrent que seul l’usage abusif pourra être sanctionné.
6
S.Rattanatay, V.Phandinh, N.Schmitt
Projet SAS
Moyens mis en œuvre pour la sécurité des fichiers :
La création et le traitement des données personnelles (identifiant, nom, adresse, numéro
de téléphone) sont soumis à des obligations de sécurité, afin de protéger la vie privée des
personnes fichées et les libertés individuelles.
Tout fichier ou traitement automatisé contenant des informations personnelles doivent
être déclaré à la CNIL (Commission Nationale de l’Informatique et des Libertés) :
Le Responsable du SI doit mettre en œuvre les mesures de sécurité des fichiers pour
empêcher que les fichiers soient déformés, endommagés, ou que des tiers non autorisés y
aient accès.
L’accès aux données est réservé uniquement aux personnes désignées ou à des tiers qui
en détiennent l’autorisation.
Sanctions
L’entreprise ne respectant pas ces obligations encourt jusqu'à 5 ans d’emprisonnement et
300 000€ d’amende.
Outre les sanctions pénales, le manquement peut être sanctionné par la CNIL
(avertissement, amende, verrouillage des données, injonction d’arrêter le traitement des
données, retrait de l’autorisation de la CNIL)
7
S.Rattanatay, V.Phandinh, N.Schmitt
Projet SAS
Informations portées aux personnes dans
l’entreprise concernant l’utilisation de
l’informatique :
Il est indispensable de porter des documents à la connaissance du salarié concernant
l’utilisation de l’informatique.
Par exemple, en cas de création d’annuaire d’entreprise, l’employeur doit informer ses
salariés sur leur droit d’accès, de rectification et d’opposition.
Le salarié est informé par la remise d’un document écrit ou par la voie numérique.
Il est aussi nécessaire d’en faire la déclaration à la CNIL.
Une charte informatique a pour objectif de fixer les règles de tous les usages liés à
l’informatique (l’utilisation d’internet, l’intranet, le courriel, les droits et obligations).
Elle n’est pas obligatoire sauf dans le cas de la collecte des données à caractère personnel.
Néanmoins, elle est vivement conseillée afin d’éviter tout conflit et d’instaurer un climat
de confiance.
Quelques rubriques importantes (voir charte en annexe) :





Principes généraux
Les interdits
Les usages illicites et abusifs
Les règles d’usage
Contrôle et sanction mis en place
Auto Concept a l’obligation d’informer les salariés de tout dispositif d’enregistrement des
données.
Article L.121-8 du code du travail :
« Aucune information concernant personnellement un salarié ou un candidat à a un emploi
ne peut être collectée par un dispositif qui n’a pas été porté préalablement à la
connaissance du salarié ou du candidat à l’emploi ».
8
S.Rattanatay, V.Phandinh, N.Schmitt
Projet SAS
Mise en place de solutions de filtrage en entreprise :
Auto Concept doit mettre en place un filtre web pour plusieurs raisons :




Se prémunir des risques juridiques en cas d’accès à des sites illégaux.
Afin de lutter contre la baisse de la productivité du par le surf hors cadre
professionnel.
Pour maximiser le réseau contre la baisse de la bande passante due à la
consultation de flux vidéo ou audio.
Réduire les menaces pouvant toucher le réseau.
Et respecter certaines règles :



Être conforme avec la législation du pays.
Permettre un filtrage non discriminatoire dans le traitement des données
personnelles.
Collecter les logs nominatifs en cas de requissions judiciaires
Les solutions de filtrage doivent préalablement être portées à la connaissance à
l’ensemble des salariés et des usagers des réseaux. Une charte informatique permet de
satisfaire cette obligation.
Cette solution doit être obligatoirement déclarée à la CNIL, néanmoins si le filtre internet
ne permet pas un contrôle individualisé des salariés, la déclaration n’est pas obligatoire.
Il est donc indispensable que la société Auto Concept mette en place une solution de
filtrage pour faire face aux nouveaux usages de l’internet en entreprise.
Conclusion
Le but de cette note de synthèse est d’informer la société Auto Concept sur les
problématiques d’utilisation des outils informatiques au sein de l’entreprise. Pour
résumer, afin de respecter la législation et les droits du salarié, il est nécessaire que la
société Auto Concept encadre les moyens informatiques grâce à une charte informatique
(exemple en annexe) qui permettra aussi d’informer les salariés sur leurs droits et sur les
sanctions applicables. Les fichiers recueillis concernant des données personnelles devront
faire l’objet d’une déclaration à CNIL.
9
S.Rattanatay, V.Phandinh, N.Schmitt
Projet SAS
Plan de sécurisation des données
VNS Info est un spécialiste de la sécurité. Nous vous proposons un plan de sécurisation
des mots de passe et des solutions de sauvegarde complètes et en adéquation avec votre
Charte Informatique.
Politique de sécurité de mot de passe
Le mot de passe étant une brique de sécurité incontournable, le choix d’un mot de passe
fort est impératif.
Votre système encourt de multiples risques concernant les mots de passe. La cause la plus
courante reste depuis toujours l’erreur humaine (mot de passe trop simple, perte de mot
de passe,…)



L’attaque par force brute : une personne malveillante tente d’utiliser tous les mots
de passe possibles via un programme automatisé.
L’attaque hybride : consiste à rajouter une lettre ou un chiffre à un mot
traditionnel (Soleil4)
L’attaque par dictionnaire : alternative de l’attaque par force brute, cette attaque
consiste à tenter uniquement des mots issus d’une liste ayant une signification
réelle (Soleil)
Nous assurons une politique de sécurité de mot de passe qui a fait ses preuves auprès de
nos nombreux clients.
L’utilisateur doit respecter certains critères permettant d’assurer que celui-ci sera
suffisamment fiable.
Son mot de passe doit :






10
Etre différent de son identifiant
Être différent d’un mot existant dans le dictionnaire
Comporter au moins 8 caractères
Contenir au moins une majuscule, une minuscule, un chiffre, une lettre et un
caractère spécial ($*ù^ !:;@.)
Être modifié tous les 90 jours obligatoirement
Être différent des mots de passe précédents
S.Rattanatay, V.Phandinh, N.Schmitt
Projet SAS
Mots de passe
123456
Non sécurisé
patrick
Non sécurisé
patrick3
Non sécurisé
azerty
Non sécurisé
Vm45@eu.
Sécurisé
L’utilisateur doit :


Avoir obligatoirement un mot de passe sur son poste de travail
S’assurer de la déconnexion ou du verrouillage de la session avant de quitter son
poste de travail (même pour une courte durée)
L’utilisateur ne doit pas :




Conserver son mot de passe (papier ou numérique)
Communiquer son mot de passe
Utiliser le même mot de passe pour différents services
Partager son compte utilisateur
Modalités de communication aux utilisateurs :
Chaque utilisateur se doit de lire, d’accepter et d’être conforme à la Charte Informatique
de l’entreprise AutoConcept.
Nous organisons une formation obligatoire pour chaque utilisateur afin de faire prendre
conscience à chacun que chaque utilisateur est acteur de la sécurité d’un système. Lors de
cette formation, nous reprenons les principes de la Charte Informatique et nous détaillons
point par point chaque partie en les mettant en situation professionnelle pour une bonne
compréhension.
Lors de la première prise de service, un mot de passe provisoire attribué à chaque
utilisateur est envoyé par courriel. Ce mot de passe doit être changé avant toute autre
activité.
11
S.Rattanatay, V.Phandinh, N.Schmitt
Projet SAS
Le plan de sécurisation des mots de passe est visible non seulement dans la Charte
Informatique mais également sur un mémo (annexe) distribué à tous les utilisateurs de
l’entreprise.
Chaque utilisateur est prié de conserver ce mémo et de l’afficher sur son espace de travail
afin de ne pas en oublier les principes.
Un courriel est envoyé automatiquement tous les 80 jours pour rappeler à chaque
utilisateur de changer son mot de passe.
À chaque ouverture de session, un avertissement de sécurité rappelle globalement ce
que les utilisateurs ont le droit ou n’ont pas le droit de faire sur leur poste.
Mesures immédiates de sauvegarde :
Votre entreprise subit des risques multiples au quotidien. Des données importantes sont
susceptibles d’être supprimées par erreur par des utilisateurs inconscients, à cause de
défaillances matérielles ou même de causes naturelles (incendie, inondation…). Elles
risquent également d’être subtilisées par des personnes mal intentionnées.
Afin de palier tous ces risques nous proposons de mettre en place Télé-Sauvegarde qui
réponds à six principes fondamentaux :





Solution automatisée : vous ne vous occupez de rien !
Solution ultra sécurisée : tout type d’incidents (incendie, vol, virus informatique)
Solution rapide : accès permanent aux données et récupération rapide
Solution externalisée et répliquée : vers 2 centres de données
Solution évolutive : mise à jour automatique
Solution automatisée
Grâce à des logiciels préinstallés, les sauvegardes s'effectuent automatiquement dés que
un nouveau est crée ou modifié vers les serveurs distant.
Solution ultra sécurisée
Les serveurs distants son
12
S.Rattanatay, V.Phandinh, N.Schmitt
Projet SAS
13
S.Rattanatay, V.Phandinh, N.Schmitt