BARTHOLOMEW Charles LACHOT Florence
SOMMAIRE I. Note de Synthèse ---------------------------------------------------------------------------------------------- 2 a) Règles régissant l utilisation des moyens informatiques ------------------------------------- 2 1. SSI en France ---------------------------------------------------------------------------------------- 2 2. Loi «Informatique et liberté» -------------------------------------------------------------------- 2 3. Loi LOPPSI (loi contre les sites pédophiles) --------------------------------------------------- 2 4. Loi Gayssot (loi contre le négationisme) -------------------------------------------------------- 3 5. Loi Hadopi ------------------------------------------------------------------------------------------- 3 b) Moyens pour la sécurité des fichiers ------------------------------------------------------------- 3 c) Informations aux utilisateurs des outils informatiques dans l entreprise --------------- 3 d) Législations d une solution de filtrages ---------------------------------------------------------- 5 II. Plan de sécurisation des données ------------------------------------------------------------------------- 6 a) Mesures immédiates de sauvegarde -------------------------------------------------------------- 6 b) Charte informatique -------------------------------------------------------------------------------- 10 c) Modalité de communication aux utilisateurs -------------------------------------------------- 17 III. Charte Qualité Service Client -------------------------------------------------------------------------- 18 IV. Note interne à l entreprise ------------------------------------------------------------------------------- 23 Conduite à tenir chez le client --------------------------------------------------------------------------- 23 ANNEXES ------------------------------------------------------------------------------------------------------- 24 ANNEXE 1 : DEVIS MATERIEL --------------------------------------------------------------------- 24 ANNEXE 2 : DEVIS MAINTENANCE -------------------------------------------------------------- 26 ANNEXE 3 : DECLARATION NORMALE DE LA CNIL (CERFA 13809) ----------------- 26 GLOSSAIRE ---------------------------------------------------------------------------------------------------- 27 2013 1 / 27
I. Note de Synthèse a) Règles régissant l utilisation des moyens informatiques L utilisation des moyens informatiques est régie par des lois, dont les principales sont citées cidessous : 1. SSI en France Le secrétaire général de la défense et de la sécurité nationale (SGDSN) est en charge du pilotage de la politique nationale en matière de sécurité des systèmes d information (SSI). Il s appuie pour ce faire sur l agence nationale de la sécurité des systèmes d information(anssi). Référentiel général de sécurité Le Référentiel Général de Sécurité (RGS) est créé pour traiter les échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives. 2. Loi «Informatique et liberté» La loi "informatique et libertés" impose que les organismes mettant en œuvre des fichiers garantissent la sécurité des données qui y sont traitées. Cette exigence se traduit par un ensemble de mesures que les détenteurs de fichiers doivent mettre en œuvre, essentiellement par l intermédiaire de leur direction des systèmes d information (DSI) ou de leur responsable informatique. Le bon fonctionnement du système d'information suppose le respect des dispositions législatives et réglementaires qui s'imposent et notamment la sécurité, la performance des traitements et la conservation des données personnelles. 3. Loi LOPPSI (loi contre les sites pédophiles) La loi d'orientation et de programmation pour la performance de la sécurité intérieure est une loi française qui concerne la gestion de la police et de la gendarmerie pour la période 2009-2013. Le texte concerne en particulier la lutte contre la criminalité générale, la récidive, la délinquance routière, la «cyber-pédopornographie», l'instauration d'un couvre-feu pour les mineurs. Il donne également de nouveaux pouvoirs à la police et prévoit d'en déléguer aux polices municipales et aux entreprises de sécurité privée. 2013 2 / 27
4. Loi Gayssot (loi contre le négationisme) La loi Gayssot est la désignation courante «tendant à réprimer tout acte raciste, antisémite ou xénophobe». L'article premier de cette loi rappelle que «toute discrimination fondée sur l'appartenance ou la non-appartenance à une ethnie, une nation, une race ou une religion est interdite». Mais cette disposition ne fait que rappeler la loi du 1 er juillet 1972 relative à la lutte contre le racisme. 5. Loi Hadopi Cette loi sert à protéger la propriété intellectuelle sur Internet. b) Moyens pour la sécurité des fichiers Tout responsable de traitement informatique de données personnelles doit adopter des mesures de sécurité physiques (sécurité des locaux), logiques (sécurité des systèmes d information) et adaptées à la nature des données et aux risques présentés par le traitement. Le non-respect de l obligation de sécurité est sanctionné de 5 ans d'emprisonnement et de 300 000 d'amende. art. 226-17 du code pénal. c) Informations aux utilisateurs des outils informatiques dans l entreprise La confidentialité des données Seules les personnes autorisées peuvent accéder aux données personnelles contenues dans un fichier. Il s agit des destinataires explicitement désignés pour en obtenir régulièrement communication et des «tiers autorisés» ayant qualité pour les recevoir de façon ponctuelle et motivée (ex. : la police, le fisc). La communication d informations à des personnes non-autorisées est punie de 5 ans d'emprisonnement et de 300 000 d'amende. La divulgation d informations commise par imprudence ou négligence est punie de 3 ans d'emprisonnement et de 100 000 d amende. art. 226-22 du code pénal. 2013 3 / 27
La durée de conservation des informations Les données personnelles ont une date de péremption. Le responsable d un fichier fixe une durée de conservation raisonnable en fonction de l objectif du fichier. Le code pénal sanctionne la conservation des données pour une durée supérieure à celle qui a été déclarée de 5 ans d'emprisonnement et de 300 000 d'amende. art. 226-20 du code pénal L information des personnes Le responsable d un fichier doit permettre aux personnes concernées par des informations qu il détient d'exercer pleinement leurs droits. Pour cela, il doit leur communiquer : son identité, la finalité de son traitement, le caractère obligatoire ou facultatif des réponses, les destinataires des informations, l existence de droits, les transmissions envisagées. Le refus ou l'entrave au bon exercice des droits des personnes est puni de 1500 par infraction constatée et 3 000 en cas de récidive. art. 131-13 du code pénal Décret n 2005-1309 du 20 octobre 2005 L'autorisation de la CNIL Les traitements informatiques de données personnelles qui présentent des risques particuliers d atteinte aux droits et aux libertés doivent, avant leur mise en oeuvre, être soumis à l'autorisation de la CNIL. Le non-accomplissement des formalités auprès de la CNIL est sanctionné de 5 ans d'emprisonnement et 300 000 d'amende. art. 226-16 du code pénal La finalité des traitements Un fichier doit avoir un objectif précis. Les informations exploitées dans un fichier doivent être cohérentes par rapport à son objectif. Les informations ne peuvent pas être réutilisées de manière incompatible avec la finalité pour laquelle elles ont été collectées. Tout détournement de finalité est passible de 5 ans d'emprisonnement et de 300 000 d'amende. art. 226.21 du code pénal 2013 4 / 27
d) Législations d une solution de filtrages Aujourd'hui, mettre en place un outil de filtrage de contenus et loguer l'utilisation d'internet des utilisateurs est un devoir pour chaque établissement afin de respecter la loi en vigueur. Un outil de filtrage permet d identifier les comportements de personnes physiques et par conséquent permet l'accès à des données à caractère personnel au sens de la loi. Ces données peuvent être collectées, saisies, enregistrées, consultées, éditées. Elles font donc l objet d un traitement. De fait, toute entité qui met en œuvre un outil de filtrage permettant un contrôle individuel, doit procéder aux formalités préalables imposées par la Cnil. DÉCLARATION DITE "NORMALE" DE LA CNIL : (CF ANNEXE 3 : CERFA 13809) - La finalité du traitement - Les données à caractère personnel traitées - La ou les catégories de personnes concernées - La durée de conservation des données établie, étant précisée que la Cnil considère qu une durée de conservation de six mois est suffisante dans la plupart des cas. - L indication de la date à laquelle les instances représentatives du personnel ont été consultées sur la mise en place des outils de filtrage. La déclaration pourra alors être transmise par internet, par un dépôt direct auprès de la Cnil, ou par un envoi par lettre recommandée avec accusé de réception. L enregistrement de la déclaration auprès de la Cnil ne sera effectif qu après réception du récépissé portant le numéro de déclaration. Dès réception de ce récépissé, le traitement peut être mis en œuvre. 2013 5 / 27
II. Plan de sécurisation des données Pour répondre à l appel d offre de la société AutoConcept, nous avons choisi une solution de très haute disponibilité qui permettra en cas de panne quelconque de garantir un taux de service proche des 99,99 %. a) Mesures immédiates de sauvegarde Solution choisie pour le parc informatique, la sauvegarde des données et la haute disponibilité : Un ensemble de 2 serveurs reliés à un espace de stockage SAN hautement sécurisé, protégé par un onduleur, une solution efficace, utilisant entièrement une solution appliquée par Microsoft pour la Haute disponibilité assurant : Une continuité de service même en cas de panne d un des serveurs, d un lien physique, de l espace de stockage. Une protection contre les coupures de courant avec notre Onduleur possédant une autonomie de 5 H. Le paramétrage d un serveur Active directory des Stratégies de groupes, la haute disponibilité de la base de données API Garage. Une solution performante assurant une fluidité jamais vus et sécurisés Schéma simplifié de la solution 2013 6 / 27
Problèmes des licences Windows pirates Dans les cadres de licences pirates nous vous proposons notre service de détection des licences de Windows pour la vérification de l authenticité de celles-ci Nous vous proposons à l aide de notre logiciel maison de sonder votre parc informatique pour faire l inventaire des licences sur le parc. Nous sommes à même de vous fournir à moindre coûts des licences officiel des différentes versions de Windows grâce à notre partenariat Microsoft. Solution de sauvegarde externalisée Optionnelle : Grace à notre partenaire Amazon, nous vous proposer une solution de sauvegarde des données de vos serveurs et du SAN journalière dans le Cloud. Pour un tarif unique de 200 /Mois ce qui permet en cas de sinistre (Inondation, incendie ) d avoir à disposition toutes les données. En sauvegardé à l extérieur de la boite, entièrement sécurisé cette solution permet d éviter la perte de données. Remplacement des postes : Nous prévoyons de remplacer l ensemble des 46 postes fixes de plus de 3 Ans par des PC portable informatiques Dell, avec Windows 8 Pro (Devis en Annexe) + 2 Postes en remplacement + changement de tous les PC portables. Une partie des PC portable seront répartis entre la Direction, les services administratifs, les commerciaux et au service Atelier (les mécaniciens pourront ainsi installer le logiciel de diagnostic des constructeurs automobiles). Mises en place de stratégies pour le parc informatique : Mots de passe : - Chaque utilisateur doit être doté d un identifiant qui lui est propre et doit s authentifier avant toute utilisation des moyens informatiques. - Dans le cas d une authentification des utilisateurs basée sur des mots de passe, leur mise en œuvre doit respecter les règles suivantes : - - avoir une taille de 8 caractères minimum ; - - utiliser des caractères de types différents (majuscules, minuscules, - chiffres, caractères spéciaux). - - changer de mot de passe régulièrement. - Lorsque le renouvellement d un mot de passe est consécutif à un oubli, une fois que le mot de passe a été réinitialisé, l utilisateur doit être dans l obligation de le changer dès sa première connexion afin de le personnaliser. - Il faut s'assurer de la déconnexion de l utilisateur avant de quitter son poste ou activer l'écran de veille s'il est protégé par un mot de passe. 2013 7 / 27
- Ce qu il ne faut pas faire : - Communiquer son mot de passe à autrui ; - Stocker ses mots de passe dans un fichier en clair ou dans un lieu facilement accessible par d autres personnes ; - Utiliser des mots de passe ayant un lien avec soi (nom, date de naissance ) ; - Utiliser le même mot de passe pour des accès différents ; - Configurer les applications logicielles afin qu elles permettent d enregistrer les mots de passe. - Mesures additionnelles : - Limitez le nombre de tentatives d accès à un compte. - Dans l éventualité d une authentification par des dispositifs biométriques, il est nécessaire d effectuer une demande d autorisation auprès de la CNIL. Filtrage des sites internet - Blocage de sites à caractères pornographiques, racistes, pédophiles. - Blocage des différents moyens de téléchargement (Peer To Peer, Site d hébergement comme Rapidshare ) - Blocage des systèmes de messageries instantanées types «msn», «skype». - Blocage des sites de Jeux. Protection des données - Création d un groupe d utilisateur pour chaque entité de la société : - Direction - Finance - Comptabilité - Ressource Humaines - Exploitation - véhicule neuf - Véhicule d occasion - Pièces de rechanges 2013 8 / 27
- Création d un espace de stockage réseau ou chaque utilisateur aura accès sur son poste à ses documents personnels, son espace de travail, l espace commun à son service, et un espace commun à toute l entreprise. Espace personnel de l utilisateur «Dossier Personnel» Espace de travail de l utilisateur «Mes Documents» Espace de travail selon son service : Service Dossier accessible Direction Finance Comptabilité Ressource Humaine Exploitation Véhicule neuf Véhicule d occasion Pièces de rechange Direction Finance Comptabilité Ressource Humaine Exploitation Neuf Occasion Rechange Espace de travail «Commun» à toute l entreprise. - Mise en place d une sauvegarde automatique des données journalière des serveurs - Mise en place d un système d audit, pour chaque document créé ou copié, on enregistre le nom du créateur, la date, l heure. - Quotas de disques o Limitation des dossiers personnels à 256 Mo o Limitation de l espace de travail à 1 Go - Impression des documents par digicode. (Chaque utilisateur possède un code à rentrer sur l imprimante qui lui est propre) avec interdiction d imprimer certains documents - Verrouiller la session automatiquement : o Au bout de 5 Minutes pour l exploitation o Au bout de 10 Minutes pour les services administratifs - Réguler une plage horaire : o Pour l exploitation, le service véhicule neuf, véhicule d occasion et pièces de rechange, limitation des heures d ouvertures de 8H à 20H. o Toute dérogation devra au préalable être demandée 24H à l avance puis être validée par le directeur général. 2013 9 / 27
Dans le cadre de l acceptation de notre offre, voici un planning pour le déploiement : Horaire Lundi Mardi Mercredi Jeudi Vendredi 8H-12H Explication procédure sauvegarde des données aux utilisateurs et signature de la charte informatique Préparation de la baie, configuration de l'onduleur, Installation des 2 Serveurs en cluster Extraction des données de l'ancien serveur Installation des 48 Postes Mise dans le domaine des 20 Postes et Windows 7 pour utilisation des stratégies 12H-13H Installation des 2 Serveurs en cluster Migration du serveur vers le cluster de nouveau serveur Remplacement des 46 postes informatiques Mise dans le domaine des 20 Postes et Windows 7 pour utilisation des stratégies 13H30-17H30 Installation du SAN + Sauvegarde des données Installation des 2 Serveurs en cluster Installation des 48 Postes Remplacement des 46 postes informatiques Préambule b) Charte informatique Le "système d'information" recouvre l'ensemble des ressources matérielles, logicielles, applications, bases de données et réseaux de télécommunication locaux, ainsi que ceux auxquels il est possible d'accéder à distance ou en cascade à partir du réseau de la société Auto Concept L'informatique nomade, tels que les assistants personnels, les ordinateurs portables, les téléphones portables, est également un des éléments constitutifs du système d'information. Le terme d'"utilisateur" recouvre toute personne ayant vocation à détenir un compte informatique ou à avoir accès aux ressources du système d'information quel que soit son statut. 2013 10 / 27
Il s agit notamment de : Toute personne de l entreprise salariés ou intérimaires Toute personne externe à l entreprise, visiteur, invité, prestataire ayant contracté avec l entreprise Le bon fonctionnement du système d'information suppose le respect des dispositions législatives et réglementaires, notamment le respect des règles visant à assurer la sécurité, la performance des traitements et la conservation des données. La présente charte définit les règles d'usage et de sécurité que l'entreprise et l'utilisateur s'engagent à respecter : elle précise les droits et les devoirs de chacun. Engagement de l entreprise : L entreprise porte à la connaissance de l utilisateur la présente charte. L entreprise met en œuvre toutes les mesures nécessaires pour assurer la sécurité du système d information et la protection des utilisateurs. Engagement de l utilisateur : L'utilisateur est responsable, en tout lieu, de l'usage qu'il fait du système d'information auquel il a accès. Il a une obligation de réserve et de confidentialité à l'égard des informations et documents auxquels il accède. Cette obligation implique le respect des règles d'éthique professionnelle et de déontologie(2). En tout état de cause, l'utilisateur est soumis au respect des obligations résultant de son statut ou de son contrat. L'utilisation des ressources qui sont mises à sa disposition doit être rationnelle et loyale afin d'en éviter la saturation ou le détournement à des fins personnelles. (1) Le contrat devra prévoir expressément l'obligation de respect de la charte (2) Notamment le secret médical dans le domaine de la santé Article 1 Champ d application Les règles d'usage et de sécurité figurant dans la présente charte s'appliquent à l'entreprise ainsi qu'à l'ensemble de ses utilisateurs. Les usages relevant spécifiquement de l'activité des organisations syndicales ne sont pas régis par la présente charte. 2013 11 / 27
Ces règles s'appliquent à toute personne autorisée à utiliser les moyens informatiques de l'entreprise, y compris les moyens informatiques mutualisés ou externalisés, et s'étendent aux réseaux extérieurs accessibles par l'intermédiaire des réseaux de l'entreprise. Article 2 Droit d accès aux systèmes d informations Le droit d'accès aux systèmes d'information est temporaire. Il est retiré si la qualité de l'utilisateur ne le justifie plus et, sauf demande expresse, au plus tard 3 mois après que celui-ci n'ait plus vocation à détenir un compte informatique. Il peut également être retiré, par mesure conservatoire, si le comportement de l'utilisateur n'est plus compatible avec les règles énoncées dans la présente charte. Article 3 Conditions d utilisation des systèmes d informations I - Utilisation professionnelle / privée L'Utilisation des systèmes d'information de l'entreprise a pour objet exclusif de mener au bon fonctionnement des services de l entreprise. Cette utilisation ne doit pas nuire à la qualité du travail de l'utilisateur, au temps qu'il y consacre et au bon fonctionnement du service. Toute information est réputée professionnelle à l'exclusion des données explicitement désignées par l'utilisateur comme relevant de sa vie privée. Ainsi, il appartient à l'utilisateur de procéder au stockage de ses données à caractère privé dans un espace de données prévu explicitement. La protection et la sauvegarde régulière des données à caractère privé incombent à l'utilisateur. L'utilisation des systèmes d'information à titre privé doit respecter la réglementation en vigueur. En particulier, la détention, diffusion et exportation d'images à caractère pédophile, ou la diffusion de contenus à caractère raciste ou antisémite est totalement interdite. Par ailleurs, à l égard de la mission de l'entreprise, la consultation de sites de contenus à caractère pornographique depuis les locaux de l'entreprise, hors contexte professionnel, est interdite. 2013 12 / 27
II Continuité de service : gestion des absences et des départs Afin d'assurer la continuité de service, l'utilisateur doit privilégier le dépôt de ses fichiers de travail sur des zones partagées par les membres de son service ou de son équipe. En cas de départ, ou d'absence prolongée, l'utilisateur informe sa hiérarchie des modalités permettant l'accès aux ressources mises spécifiquement à sa disposition. En tout état de cause les données non situées dans un espace identifié comme privé, sont considérées comme appartenant à l'entreprise qui pourra en disposer. Article 4 Conditions d utilisation des systèmes d informations I Règles de sécurité applicables L'entreprise met en œuvre les mécanismes de protection appropriés sur les systèmes d'information mis à la disposition des utilisateurs. L'utilisateur est informé que les codes d'accès constituent une mesure de sécurité destinée à éviter toute utilisation malveillante ou abusive. Cette mesure ne confère pas aux outils informatiques protégés un caractère personnel. Les niveaux d'accès ouverts à l'utilisateur sont définis en fonction de la mission qui lui est conférée. La sécurité des systèmes d'information mis à sa disposition lui impose : - de respecter les consignes de sécurité, notamment les règles relatives à la gestion des codes d'accès ; chaque utilisateur est responsable de l'utilisation qui en est faite. - de garder strictement confidentiels son (ou ses) codes d'accès et ne pas le(s) dévoiler à un tiers ; - de respecter la gestion des accès, en particulier ne pas utiliser les codes d'accès d'un autre utilisateur, ni chercher à les connaître. - de veiller à ne pas laisser leur poste de travail en libre accès. Par ailleurs, la sécurité des ressources mises à la disposition de l'utilisateur nécessite plusieurs précautions: De la part de l'entreprise : - veiller à ce que les ressources sensibles ne soient accessibles qu'aux personnes habilitées, en dehors des mesures d'organisation de la continuité du service mises en place par la hiérarchie ; - limiter l'accès aux seules ressources pour lesquelles l'utilisateur est expressément habilité ; 2013 13 / 27
De la part de l'utilisateur : - s'interdire d'accéder ou de tenter d'accéder à des ressources du système d'information, pour lesquelles il n'a pas reçu d'habilitation explicite ; - ne pas connecter directement aux réseaux locaux des matériels autres que ceux confiés ou autorisés par l'é entreprise, ou ceux dont la liste a été précisée dans un guide d'utilisation établi par le service ou l'entreprise ; - se conformer aux dispositifs mis en place par l'entreprise pour lutter contre les virus et les attaques par programmes informatiques ; - s'engager à ne pas apporter volontairement des perturbations au bon fonctionnement des ressources informatiques et des réseaux que ce soit par des manipulations anormales du matériel ou du logiciel. II Devoirs de signalement et d'information L'utilisateur doit avertir le responsable de la sécurité du système d'information dans les meilleurs délais de tout dysfonctionnement constaté ou de toute anomalie découverte telle une intrusion dans le système d'information, etc Article 5 Conditions d utilisation des systèmes d informations I Messagerie électronique L'utilisation de la messagerie constitue l'un des éléments essentiels d'optimisation du travail, de mutualisation et d'échange de l'information au sein de l'entreprise. Adresses électroniques L'entreprise s'engage à mettre à la disposition de l'utilisateur une boîte à lettres professionnelle nominative lui permettant d'émettre et de recevoir des messages électroniques. L'utilisation de cette adresse nominative est ensuite de la responsabilité de l'utilisateur. Tout message est réputé professionnel sauf s'il comporte une mention particulière et explicite indiquant son caractère privé ou s'il est stocké dans un espace privé de données. 2013 14 / 27
Sont interdits les messages comportant des contenus à caractère illicite quelle qu'en soit la nature. Il s'agit notamment des contenus contraires aux dispositions de la loi sur la liberté d'expression ou portant atteinte à la vie privée d'autrui (par exemple : atteinte à la tranquillité par les menaces, atteinte à l'honneur par la diffamation, atteinte à l'honneur par l'injure non publique, protection du droit d'auteur, protection des marques ). La transmission de données classifiées est interdite sauf dispositif spécifique agrée et la transmission de données dites sensibles doit être évitée ou effectuée sous forme chiffrée. Émission et réception des messages L'utilisateur doit faire preuve de vigilance vis-à-vis des informations reçues (désinformation, virus informatique, tentative d'escroquerie, chaînes, ). Il doit veiller à ce que la diffusion des messages soit limitée aux seuls destinataires concernés afin d'éviter les diffusions de messages en masse, l'encombrement inutile de la messagerie ainsi qu'une dégradation du service. Chaque utilisateur doit organiser et mettre en œuvre les moyens nécessaires à la conservation des messages pouvant être indispensables ou simplement utiles en tant qu'éléments de preuve. II Internet Il est rappelé qu'internet est soumis à l'ensemble des règles de droit en vigueur. L'utilisation d'internet (par extension intranet) constitue l'un des éléments essentiels d'optimisation du travail, de mutualisation et d'accessibilité de l'information au sein et en dehors de l'entreprise entreprise. Internet est un outil de travail ouvert à des usages professionnels (administratifs, pédagogiques ou de recherche). Si une utilisation résiduelle privée, peut être tolérée, il est rappelé que les connexions établies grâce à l'outil informatique mis à disposition par l'entreprise sont présumées avoir un caractère professionnel. Publication sur les sites internet et intranet de l'entreprise III Sécurité L'entreprise se réserve le droit de filtrer ou d'interdire l'accès à certains sites, de procéder au contrôle a priori ou a posteriori des sites visités et des durées d'accès correspondantes. Cet accès n'est autorisé qu'au travers des dispositifs de sécurité mis en place par l'entreprise. Des règles de sécurité spécifiques peuvent être précisées, s'il y a lieu, dans un guide d'utilisation établi par le service ou l'entreprise. L'utilisateur est informé des risques et limites inhérents à l'utilisation d'internet par le biais d'actions de formations ou de campagnes de sensibilisation. IV Téléchargements Tout téléchargement ou copie de fichiers (notamment sons, images, logiciels, cours en ligne ) sur Internet ou localement doit s'effectuer dans le respect des droits de propriété intellectuelle. L' entreprise se réserve le droit de limiter le téléchargement ou la copie de certains fichiers pouvant se révéler volumineux ou présenter un risque pour la sécurité des systèmes d'information (virus, codes malveillants, programmes espions ). 2013 15 / 27
Article 6 Traçabilité L'entreprise est dans l'obligation légale de mettre en place un système de journalisation des accès Internet, de la messagerie et des données échangées. L'entreprise se réserve le droit de mettre en place des outils de traçabilité sur tous les systèmes d'information. Préalablement à cette mise en place, l'entreprise procèdera, auprès de la Commission nationale de l'informatique et des libertés, à une déclaration, qui mentionnera notamment la durée de conservation des traces et durées de connexions, les conditions du droit d'accès dont disposent les utilisateurs, en application de la loi n 78-17 du 6 janvier 1978 modifiée. Article 7 Respect de la propriété intellectuelle L'entreprise rappelle que l'utilisation des ressources informatiques implique le respect de ses droits de propriété intellectuelle ainsi que ceux de ses partenaires et plus généralement, de tous tiers titulaires de tels droits. En conséquence, chaque utilisateur doit : - utiliser les logiciels dans les conditions des licences souscrites ; - ne pas reproduire, copier, diffuser, modifier ou utiliser les logiciels, bases de données, pages web, textes, images, photographies ou autres créations protégées par le droit d'auteur ou un droit privatif, sans avoir obtenu préalablement l'autorisation des titulaires de ces droits. 2013 16 / 27
Article 8 Respect de la loi informatique et libertés L'utilisateur à l'obligation de respecter les dispositions légales en matière de traitement automatisé de données à caractère personnel, conformément à la loi n 78-17 du 6 janvier 1978 dite "Informatique et Libertés" modifiée. Les données à caractère personnel sont des informations qui permettent - sous quelque forme que ce soit - directement ou indirectement, l'identification des personnes physiques auxquelles elles s'appliquent. Toutes les créations de fichiers comprenant ce type d'informations et demandes de traitement afférent, y compris lorsqu'elles résultent de croisement ou d'interconnexion de fichiers préexistants, sont soumises aux formalités préalables prévues par la loi "Informatique et Libertés". En conséquence, tout utilisateur souhaitant procéder à une telle création devra en informer préalablement à sa mise en œuvre le Correspondant Informatique et Libertés (CIL) désigné par l'entreprise à la Commission Nationale Informatique et Libertés. Par ailleurs, conformément aux dispositions de cette loi, chaque utilisateur dispose d'un droit d'accès, de rectification, le cas échéant d'opposition, relatif aux données le concernant, y compris les données portant sur l'utilisation des systèmes d'information. Ce droit s'exerce auprès du Correspondant Informatique et Libertés de l'entreprise. Article 9 Limitation des usages En cas de non-respect des règles définies dans la présente charte et des modalités définies dans les guides d'utilisation établis par le service ou l' entreprise, la "personne juridiquement responsable" de l'entreprise pourra, sans préjuger des poursuites ou procédures de sanctions pouvant être engagées à l'encontre des utilisateurs, limiter les usages par mesure conservatoire. Tout abus dans l'utilisation des ressources mises à la disposition de l'utilisateur à des fins extraprofessionnelles est passible de sanctions. Article 10 Entrée en vigueur de la charte Le présent document annule et remplace tous les autres documents ou chartes relatifs à l'utilisation des systèmes d'information de l entreprise Il est annexé au règlement intérieur. c) Modalité de communication aux utilisateurs Les moyens de communications seront les suivants : - Par voie orale (concernant les mots de passe) - Par courrier (remis en main propre pour les mots de passe) - Par e-mail (envoi des mots de passe sur la boîte e-mail personnelle) - Par note interne diffusée sur panneau d affichage 2013 17 / 27
III. Charte Qualité Service Client Dans un souci de satisfaire au mieux nos clients et parce que le mot «service» n est pas qu un terme générique, nous nous engageons à fournir un service d assistance et de formation informatique de qualité. Pour cela, nous avons mis en place une Charte Qualité Service Client. Voici les moyens mis en œuvre pour garantir nos stratégies : 1. Stratégie Garantir la qualité de l accueil réalisé sur place, par téléphone ou à distance Moyen Formation de nos techniciens sur la communication 2. Stratégie Mise en place d un système de suivi des interventions et du matériel (Etiquette de réf.) Moyen Les utilisateurs utiliseront une seule adresse unique (helpdesk@easyinfo.fr) pour signaler leur incident. Ils recevront en retour une confirmation par mail que leur incident a bien été pris en compte ainsi que le numéro de cet incident. Ils pourront suivre sur notre interface web le suivi de leur intervention à l aide de leur numéro d incident. 3. Stratégie Analyser la demande et proposer les solutions techniques les mieux adaptées aux besoins du client Moyen Formation régulière de nos techniciens sur les nouvelles technologies 4. Stratégie Respecter les horaires des rendez-vous fixés Moyen Mise en place de fiches d interventions avec les notions d heures d arrivée et de départ du technicien 2013 18 / 27
5. Stratégie Avoir une écoute active et répondre aux questions Moyen Formation en communication de nos techniciens 6. Stratégie Tout faire pour aider le client face à son problème technique Moyen Intervention garantie dans la journée d un technicien 6 jours sur 7 (lundi au samedi) 7. Stratégie Continuité de service en cas de panne et Garantie de la satisfaction du client Moyen Notre solution garantie une continuité de service (en ayant des machines de rechange correspondant à la configuration du client) 8. Stratégie Suivi des interventions Moyen Remettre une fiche d intervention détaillée au client afin qu il puisse en contrôler chaque point 9. Stratégie Faire le suivi de la satisfaction après chaque intervention (contrôle qualité) Moyen Mise en place d enquête de satisfaction 10. Stratégie Répondre aux réclamations (contrôle qualité) Moyen Lors de la clôture des incidents sur l outil de gestion des tickets, le ticket reste ouvert pendant 3 jours et l utilisateur peut le rouvrir avec le même numéro si celui-ci n est pas satisfait du traitement de sa demande. Nous traiterons alors sa demande en priorité pour des interventions du même niveau de qualification 2013 19 / 27
11. Stratégie Préserver la confidentialité des données du client. Moyen Les techniciens ont signé une charte informatique précisant leur obligation concernant la confidentialité des données. Un rappel à la loi est cité dans cette charte. La communication d informations à des personnes non-autorisées est punie de 5 ans d'emprisonnement et de 300 000 d'amende. La divulgation d informations commise par imprudence ou négligence est punie de 3 ans d'emprisonnement et de 100 000 d amende. art. 226-22 du code pénal 12. Stratégie Sauvegarde des données pour garantir la sécurité Mise en place d un NAS et de stratégie sur les postes des utilisateurs 13. Stratégie Productivité Bloquer certains sites internet, messagerie instantanée via le proxy et les stratégies sur les postes utilisateurs. L utilisateur ne sera pas administrateur de son poste et ne pourra donc plus installer des logiciels sur son poste. Il a normalement tous les outils nécessaires à sa mission qui sont installés sur son poste. Si celui-ci a un besoin particulier, il devra faire valider sa demande par le commercial et cette prestation lui sera facturée car cela ne rentre pas dans le contrat d infogérance. 2013 20 / 27
Solutions apportées aux diverses remarques du service commercial Le numéro associé correspond à une ou plusieurs stratégies de notre Charte Qualité Service Client pour parer au problème rencontré. Compte-rendu service commercial : - Lenteur de certains postes. Solution : Changement des postes trop anciens. - Crash disque du poste d un commercial : perte d exploitation 80 000 euros. Solution : Mise en place d une sauvegarde et stratégie 5, 6, 7 et 12. - Intrusion d un client sur un poste d une commerciale dépourvu de mot de passe Solution : Mise en place d un système d authentification avec un identifiant et un mot de passe unique pour chaque utilisateur. Recommandation utilisateur : verrouillé sa session dès qu il quitte son bureau et voir la politique de sécurité des mots de passe. - Délais d intervention : un poste d une secrétaire commerciale est parti en SAV durant 2 jours. Elle n a pas pu terminer un document pour conclure une affaire. Perte : 60 000 euros. Solution : Stratégie 7 - Attitudes des techniciens : absence d explication sur les interventions, ou parfois discours trop techniques Solution : Stratégie 5, 6 et 8 - Tenue des informaticiens : «un matin, l un d eux est arrivé en jogging pour dépanner un poste alors qu un commercial était avec un client». Un autre a répondu de manière déplacée à la demande d un utilisateur de le dépanner. Solution : Stratégie 1 - Messages intempestifs de «version de Windows pirates» Solution : Achat de licences Windows Pro pour se mettre en conformité avec la loi. - Une intervention urgente planifiée pour le lundi 10h a été traitée le mercredi à 10h. Solution : Stratégie 4 - Un utilisateur du service commercial se plaint que son poste, après plusieurs séjours au SAV, présente toujours les mêmes - symptômes. Solution : Stratégie 10 2013 21 / 27
- Un utilisateur de la comptabilité soupçonne le SAV d avoir consulté des documents confidentiels sur son poste lors d une intervention. Ces informations ont été divulguées à des tiers. Solution : Mise en place de stratégie sur les postes avec des accès restreint sur certains dossiers. - Un utilisateur de l atelier rapporte qu il a dû insister auprès du service informatique pour retrouver son écran d origine. Un écran plus petit lui avait été remis après une intervention. Solution : Stratégie 2 Chaque matériel aura une étiquette de référence qu il faudra préciser dans l incident. - Un utilisateur du service «Véhicules d occasion» se plaint depuis plusieurs mois d avoir des problèmes avec sa souris. Personne n a répondu à son problème. Solution : Stratégie 2 et 6 - Plusieurs utilisateurs se plaignent de l accueil téléphonique du service informatique. Solution : Stratégie 1 - Une bonne partie des utilisateurs se plaignent de voir leurs postes partir en SAV sans savoir quand il reviendra. Solution : Stratégie 2 et 6 - Un utilisateur signale que son MSN ne fonctionne pas et souhaite que son poste soit réparé rapidement. (NB : la direction a demandé au service informatique de bloquer MSN. Depuis la productivité a considérablement augmentée). Solution : Stratégie 13 2013 22 / 27
IV. Note interne à l entreprise Conduite à tenir chez le client Les techniciens informatiques intervenant dans l entreprise Auto-Concept doivent respecter les règles suivantes : - Respecter les horaires de rendez-vous - Etre vêtu de la tenue règlementaire de la société Easy Info (Pantalon et t-shirt au logo de l entreprise) - S adresser à l utilisateur demandeur du ticket lors de votre arrivée - Avoir un discours courtois auprès de tout personnel de l entreprise - Se mettre au niveau de l utilisateur pour lui expliquer la résolution de la panne ou la suite des interventions prévues en cas non résolution - Avant de partir de la société Auto Concept, nettoyer le lieu de l intervention pour rendre les locaux dans l état où vous les avez trouvés - Rédiger un compte rendu d intervention à remettre à la secrétaire du Directeur Général 2013 23 / 27
ANNEXES ANNEXE 1 : DEVIS MATERIEL EASY INFO N devis : 21011301FR33C0054 Code client : FR33C0054 AUTOCONCEPT 60 rue Maurian 33290 BLANQUEFORT Date : 21/01/2013 A l attention de : AutoConcept Mail : contact@autoconcept.fr Objet : Prestation Informatique Quantité Description P.U. H.T. Montant H.T. 68 Ordinateur Portable Inspiron 17R Essentiel (Ecran 17 ) Intel core I3 + 4 Go Ram + 500 Go HDD + Windows 8 Pro 64bit Solution Antivirus - Garantie 5 ans Intervention jour ouvrable suivant 2 Serveur PowerEdge R410 Rack 2 X Intel Xeon 4Coeur 2,40Ghz 12 M Cache 2 x 500 Go HDD Raid 1 HOT SWAP License windows serveur 2008 R2 Entreprise 32GB Ram UDIMM 2CPU Support Carte Ethernet Gigabits Carte Fibre optique pour le SAN Double alimentation 500W 1 Serveur de stockage SAN HP LeftHand P4300 G2 16TB Hot swap 450,00 30 600,00 5 666,00 11 332,00 8 000,00 8 000,00 1 Onduleur rack 5600W Line interactive 32A 2 573,00 2 573,00 1 Baie 48 U 19 850,00 850,00 1 Une semaine d installation (2 * 40H) 2 000,00 2 000,00 1 Climatiseur DELONGHI mono split réversible CKP30EB 332,00 332,00 20 Licence anti-virus pour les postes 25,00 500,00 1 Licence ERP Garage 2 000,00 2 000,00 2013 24 / 27
Montant total H.T. 58 187,00 TVA 19,6 % 11 404,65 Montant total T.T.C. 69 591,65 Conditions de paiement : 40 % à la commande et le solde par chèque, à réception de la facture. Nom du client : Date : Signature précédée de la mention «Bon pour accord» : Cachet de l entreprise : 2013 25 / 27
ANNEXE 2 : DEVIS MAINTENANCE EASY INFO N devis : 21011301FR33C0055 Code client : FR33C0055 AUTOCONCEPT 60 RUE MAURIAN 33290 BLANQUEFORT Date : 21/01/2013 A l attention de : AutoConcept Mail : contact@autoconcept.fr Objet : Coûts de maintenance Description Prix mensuel Montant Annuel GTR 4H (Prix Annuel) (En cas de panne notre équipe de technicien vous dépanne sur site en moins de 4 Heures) Technicien sur sites 7 Heures par jour du Lundi au Samedi, Maintenance préventive, formation des utilisateurs (Word, Excel, Powerpoint, Windows) Réparation en moins de 15 Minutes. 416,00 4 992,00 3 500,00 42 000,00 GTI J + 1 (Intervention le lendemain de la saisie de l incident) 200,00 2400,00 Pour rappel : La société Auto Concept a perdu 140 000 cette année dû à des pannes informatiques. ANNEXE 3 : DECLARATION NORMALE DE LA CNIL (CERFA 13809) Voir fichier joint : cerfa_13809 Déclaration Normale 2013 26 / 27
GLOSSAIRE Active directory ANSSI Cloud Données CNIL GTI GTR Onduleur Parc informatique Quotas RGS SGDSN SAN Serveur SSI Stockage : Est un annuaire permettant l'authentification sur le réseau des utilisateurs : Agence Nationale de la Sécurité des Systèmes d Information : ou "Nuage" en français signifie l'ensemble des applications fichiers et données se trouvant sur internet. : Ensemble de dossiers documents, textes, images contenus sur les ordinateurs : Commission Nationale Informatique et Liberté : Garantie de Temps d Intervention : Garantie de Temps de Réparation : Appareil électrique pouvant posséder une batterie et servant à protéger les équipements électriquement. : L'ensemble des matériels (Ordinateurs, imprimantes, périphériques, réseaux...) de l'entreprise : Une limitation ou un minimum. : Référentiel Général de Sécurité : Secrétaire Général de la Défense et de la Sécurité Nationale : "Storage Area Network" ou Aire de stockage réseau : Ordinateur puissant servant à héberger des applications partagé avec tous les ordinateurs : Sécurité des Systèmes d Information : Emplacement pour stocker des données 2013 27 / 27