Droits/devoir "Admin réseau" et trucs proches

Le
qqun
Bonjour,

Je recherche des infos, si possible dans un langage compréhensible et
techniquement cohérent sur l'état actuel de la loi vis-à-vis des Systèmes
d'informations et du principal concerné par ce qui s'y passe, "
l'administrateur réseau".

Que doit-on mettre en place comme log ( du genre de ceux que les FAI doivent
tenir ) ?

- Log des connexions internet ? combien de temps de conservations ?
- Si le log ne rapproche que les infos PC interne <-> site consulté, faut-il
ajouter qqchose des très pointus pour rapprocher de façon "techniquement
fiable" quel login/pass était sur le PC à quelle heure ?

- Pour les mails un log technique de base ( @expéditeur +@destinataire +
date-heure ) est-il suffisant ? interdit ? incomplet ?

- Pour les documents stockés:
-- Sur le disque de l'ordi ?
-- Sur le serveur dans des dossiers services/communs ?
-- Sur le serveur dans un dossier "individuel"


Faut-il surveiller qqchose ? de façon +/- régulière ? la présence de média
illégaux +/- graves/douteux ( Images MP3 "pirates" ) ? softs "pirates" (
installés ou juste stockés )

Si on tombe par hasard lors d'une intervention technique sur qqchose
d'anormal ( qqchose qui semble illégal ) que faire ?
- prévenir la direction ?
- les flics ?
- la justice d'une autre façon que par les flics ?
- faut-il mieux passer directement par un avocat ?
- que faire pour limiter le risque de se retrouver "entre le marteau et
l'enclume" ( comment éviter d'un coté les ennuis "légaux" et de l'autre coté
de se faire pourrir par une hiérarchie, soit solidaire de "l'indélicat",
soit souhaitant simplement se venger de qqun qui à fait "des vagues". )


Bon, ça c'est coté "réseau interne"

Et pour un établissement universitaire, il faut y ajouter le réseau
"pédagogique", accessible aux étudiants et enseignants, PC "libre-service",
espace de stockage en réseau, messagerie et accès internet.

Les mêmes questions de ce coté surtout le point "softs et média pirates"
omniprésent et pas plus caché que la fumette, faut faire quoi ?

J'ai déjà trouvé qq infos dont une fiche qui donne un début d'info sur le
site de la CNIL, mais ça ne couvre qu'une partie du coté qu'est-ce qui est
privé ..et pas privé, rien concernant les mesures de log / détection à
prendre et qu'en faire.

suivi sur fr.misc.droit.internet vu que ça concerne l'info, internet et
assimilés
--
qqun
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
www.juristprudence.c.la
Le #18453101
4977bbd5$0$4084$

suivi sur fr.misc.droit.internet vu que ça concerne l'info, internet et
assimilés



et qu'il est donc inutile de polluer ailleurs
===========================
Albert ARIBAUD
Le #18453421
Le Thu, 22 Jan 2009 01:20:37 +0100, qqun a écrit :

Bonjour,

Je recherche des infos, si possible dans un langage compréhensible et
techniquement cohérent sur l'état actuel de la loi vis-à-vis des
Systèmes d'informations ... et du principal concerné par ce qui s'y
passe, " l'administrateur réseau".



Je n'en connais pas personnellement, mais même s'il en existe, cela ne
dispense pas de la lecture des loi elles-mêmes, principalement celles qui
conernent la problématique au premier chef : Loi 78-17 Informatique et
Libertés, LCEN de 2004, Code de la Propriété Intellectuelle.

Que doit-on mettre en place comme log ( du genre de ceux que les FAI
doivent tenir ) ?

- Log des connexions internet ? combien de temps de conservations ? - Si
le log ne rapproche que les infos PC interne <-> site consulté, faut-il
ajouter qqchose des très pointus pour rapprocher de façon "techniquement
fiable" quel login/pass était sur le PC à quelle heure ?

- Pour les mails ... un log technique de base ( @expéditeur
+@destinataire + date-heure ) est-il suffisant ? interdit ? incomplet ?

- Pour les documents stockés:
-- Sur le disque de l'ordi ?
-- Sur le serveur dans des dossiers services/communs ? -- Sur le serveur
dans un dossier "individuel"



Les décrets d'application ne sont pas publiés, ce me semble, sur la
collecte des infos. Et les jugements ne sont pas nécessairement cohérents
entre eux par exemple sur la question de la collecte de données par un
hébergeur :


En tant qu'admin réseau, tu n'es pas directement concerné, c'est juste un
exemple pour souligner qu'il n'existe pas de réponses "simples", encore
moins "informatiques". :)

Faut-il surveiller qqchose ? de façon +/- régulière ? la présence de
média illégaux +/- graves/douteux ( Images MP3 "pirates" ) ? softs
"pirates" ( installés ou juste stockés )



La LCEN fait obligation aux hébergeurs de surveiller et supprimer
spontanément certains types de contenus douteux (les plus graves et
"évidemment illicites" pour -- mal -- paraphraser la loi), mais quant aux
fournisseurs d'accès (à quoi un admin réseau s'apparente davantage), il
n'y a pas d'obligation de surveillance -- mais tu pourrais, après tout,
être invité par un juge à mettre en place une surveillance spécifique.

Si on tombe par hasard lors d'une intervention technique sur qqchose
d'anormal ( qqchose qui semble illégal ) que faire ? - prévenir la
direction ?
- les flics ?
- la justice d'une autre façon que par les flics ? - faut-il mieux
passer directement par un avocat ? - que faire pour limiter le risque de
se retrouver "entre le marteau et l'enclume" ( comment éviter d'un coté
les ennuis "légaux" et de l'autre coté de se faire pourrir par une
hiérarchie, soit solidaire de "l'indélicat", soit souhaitant simplement
se venger de qqun qui à fait "des vagues". )



Primo, la loi fait certaines obligations (LCEN + hébérgeurs + contenus
manifestement illicites, par exemple). Hors de ces obligations... C'est
du ressort de la politique de la maison. Pour le reste, il n'y a pas
*obligation* d'agir ; c'est affaire de politique de l'entreprise.

Bon, ça c'est coté "réseau interne"



Et pour un établissement universitaire, il faut y ajouter le réseau
"pédagogique", accessible aux étudiants et enseignants, PC
"libre-service", espace de stockage en réseau, messagerie et accès
internet.

Les mêmes questions de ce coté ... surtout le point "softs et média
pirates" omniprésent et pas plus caché que la fumette, faut faire quoi ?



Si l'établissement possède une charte, la fait accepter aux élèves et que
celle-ci définit des obligations et des conséquences en cas de non
respect constaté par toi, alors si tu constates un non-respect, tu peux
mettre en oeuvre les conséquences.

J'ai déjà trouvé qq infos dont une fiche qui donne un début d'info sur
le site de la CNIL, mais ça ne couvre qu'une partie du coté qu'est-ce
qui est privé ..et pas privé, rien concernant les mesures de log /
détection à prendre et qu'en faire.



Ah oui, la question du privé : tu dois aussi en tenir compte : on ne peut
inspecter le contenu du compte d'un salarié qu'en sa présence, et les
contenus clairement désignés comme personnels qu'avec son autorisation ;
pour les élèves, ça dépend de la charte. Sans charte ou si elle ne dit
rien, je tendrais à penser que la clause "privé" demeure.

Amicalement,
--
Albert.
qqun
Le #18459731
www.juristprudence.c.la n'a pas économisé ses octets pour nous raconter que:

4977bbd5$0$4084$

suivi sur fr.misc.droit.internet vu que ça concerne l'info, internet
et assimilés



et qu'il est donc inutile de polluer ailleurs
==========================



OK ... correction sur le pinaillage :

... ça concerne *majoritairement* l'info, internet, et assimilés ...

Mais il ya aussi une part de travail ..vu que c'est sur le lieu du boulot,
dans le cadre du boulot ..sur le SI* du boulot.


Et une part de droit pas Internet car même si c'est de l'info, c'est en
partie en interne et donc pas que sur Internet.

Comme ça ? ais-je le droit de solliciter les participants des 3 ng concernés
en une seule requête, tout en proposant de concentrer la suite de l'enfilade
sur le ng le + adapté AMHA pour une discussion dont le sujet est
relativement centré autour des NTIC** ?

Et une réponse sur le sujet plutôt qu'une réflexion d'ayatollah de la
netiquette, tu aurais ça en stock éventuellement ? merci d'avance.


*SI = "Système d'Information" : en gros tout le basard informatique du
boulot.
**NTIC = Nouvelles Technologies de l'Information et de la Communication = en
gros l'informatique, Internet, emails ... et Cie, les moyens de
communication plus évoluées que les crieurs Celtes / pigeons voyageurs /
signaux de fumées / TSF / Telex / Fax
--
qqun
GuiGui
Le #18473871
Albert ARIBAUD a écrit :



En tant qu'admin réseau, tu n'es pas directement concerné, c'est juste un
exemple pour souligner qu'il n'existe pas de réponses "simples", encore
moins "informatiques". :)

Faut-il surveiller qqchose ? de façon +/- régulière ? la présence de
média illégaux +/- graves/douteux ( Images MP3 "pirates" ) ? softs
"pirates" ( installés ou juste stockés )



La LCEN fait obligation aux hébergeurs de surveiller et supprimer
spontanément certains types de contenus douteux (les plus graves et
"évidemment illicites" pour -- mal -- paraphraser la loi), mais quant aux
fournisseurs d'accès (à quoi un admin réseau s'apparente davantage), il
n'y a pas d'obligation de surveillance -- mais tu pourrais, après tout,
être invité par un juge à mettre en place une surveillance spécifique.



Il vaut mieux quand même mettre en place des logs de connexion, et les
archiver pendant un an. Il n'y a pas à faire d'analyse de logs, juste
archiver qui fait quoi. Il y a déjà eu une décision de justice là
dessus. Je n'ai plus les références en tête, mais il s'agissait d'une
banque dans laquelle les employés avaient un accès au net. Il a été jugé
que la banque était un fournisseur d'accès de fait et donc tenue aux
mêmes obligation de log que les FAI.


Si on tombe par hasard lors d'une intervention technique sur qqchose
d'anormal ( qqchose qui semble illégal ) que faire ? - prévenir la
direction ?
- les flics ?
- la justice d'une autre façon que par les flics ? - faut-il mieux
passer directement par un avocat ? - que faire pour limiter le risque de
se retrouver "entre le marteau et l'enclume" ( comment éviter d'un coté
les ennuis "légaux" et de l'autre coté de se faire pourrir par une
hiérarchie, soit solidaire de "l'indélicat", soit souhaitant simplement
se venger de qqun qui à fait "des vagues". )



Primo, la loi fait certaines obligations (LCEN + hébérgeurs + contenus
manifestement illicites, par exemple). Hors de ces obligations... C'est
du ressort de la politique de la maison. Pour le reste, il n'y a pas
*obligation* d'agir ; c'est affaire de politique de l'entreprise.



Si, il y a eu des précédents. Tu ne dois surtout pas détruire quoi que
ce soit (ça serait de la destruction de preuve et tu serais
condamnable). Si tu tombes sur des fichiers manifestement illégaux, tu
dois faire une image du disque et l'archiver sans aller plus loin dans
l'analyse. Ensuite, ça dépend de ce qui tu as trouvé. Si c'est quelques
fichiers porno, tu le signale à la hierarchie par écrit de façon à ce
qu'il y ait des traces pour te couvrir, mais ce n'est pas forcément
illégal (dépend de l'environnement, tant qu'il n'y a pas de mineurs pas
de pb). Si c'est plus grave (genre images pédophiles), tu signale à la
hiérarchie par écrit, mais en plus tu les préviens qu'ils ont obligation
de le signaler à la police. Faut pas se faire d'illusions, fatalement il
y aura un jour où le responsable juridique du site (le patron de
l'entreprise) recevra une commission rogatoire pour avoir des logs. Et
là, faudra leur fournir les preuves si tu veux pas être inquiété.


Bon, ça c'est coté "réseau interne"



Et pour un établissement universitaire, il faut y ajouter le réseau
"pédagogique", accessible aux étudiants et enseignants, PC
"libre-service", espace de stockage en réseau, messagerie et accès
internet.

Les mêmes questions de ce coté ... surtout le point "softs et média
pirates" omniprésent et pas plus caché que la fumette, faut faire quoi ?



Si l'établissement possède une charte, la fait accepter aux élèves et que
celle-ci définit des obligations et des conséquences en cas de non
respect constaté par toi, alors si tu constates un non-respect, tu peux
mettre en oeuvre les conséquences.



Même sans charte, un fonctionnaire a le devoir de dénonciation de délit,
donc si un enseignant découvre par hasard un soft piraté sur une machine
et que l'auteur des fait est connu, il faut mettre en œuvre la
conservation de la preuve, puis dénoncer l'indélicat via la hiérarchie.
En général, ça se termine par une exclusion définitive de l'élève (sans
préjuger des suites pénales).


J'ai déjà trouvé qq infos dont une fiche qui donne un début d'info sur
le site de la CNIL, mais ça ne couvre qu'une partie du coté qu'est-ce
qui est privé ..et pas privé, rien concernant les mesures de log /
détection à prendre et qu'en faire.





Si c'est dans un cadre scolaire, tu peux aller voir là :
http://www.educnet.education.fr/legamedia/internet-scolaire

Le site est construit d'une façon un peu spéciale : tu as des menus à
gauche, un résumé ou les articles au centre, et les liens vers les
articles à droite. Un peu déroutant au début, ce n'est pas une façon
naturelle de naviguer.
Albert ARIBAUD
Le #18474051
Le Sat, 24 Jan 2009 16:32:33 +0100, GuiGui a écrit :

Faut-il surveiller qqchose ? de façon +/- régulière ? la présence de
média illégaux +/- graves/douteux ( Images MP3 "pirates" ) ? softs
"pirates" ( installés ou juste stockés )



La LCEN fait obligation aux hébergeurs de surveiller et supprimer
spontanément certains types de contenus douteux (les plus graves et
"évidemment illicites" pour -- mal -- paraphraser la loi), mais quant
aux fournisseurs d'accès (à quoi un admin réseau s'apparente
davantage), il n'y a pas d'obligation de surveillance -- mais tu
pourrais, après tout, être invité par un juge à mettre en place une
surveillance spécifique.



Il vaut mieux quand même mettre en place des logs de connexion, et les
archiver pendant un an. Il n'y a pas à faire d'analyse de logs, juste
archiver qui fait quoi. Il y a déjà eu une décision de justice là
dessus. Je n'ai plus les références en tête, mais il s'agissait d'une
banque dans laquelle les employés avaient un accès au net. Il a été jugé
que la banque était un fournisseur d'accès de fait et donc tenue aux
mêmes obligation de log que les FAI.



En effet quant à mettre en place les logs. La décision que tu cherches
est sans doute <http://www.droit-technologie.org/actuality-863/bnp-
paribas-est-un-fournisseur-d-acces-au-reseau.html>

Si on tombe par hasard lors d'une intervention technique sur qqchose
d'anormal ( qqchose qui semble illégal ) que faire ? - prévenir la
direction ?
- les flics ?
- la justice d'une autre façon que par les flics ? - faut-il mieux
passer directement par un avocat ? - que faire pour limiter le risque
de se retrouver "entre le marteau et l'enclume" ( comment éviter d'un
coté les ennuis "légaux" et de l'autre coté de se faire pourrir par
une hiérarchie, soit solidaire de "l'indélicat", soit souhaitant
simplement se venger de qqun qui à fait "des vagues". )



Primo, la loi fait certaines obligations (LCEN + hébérgeurs + contenus
manifestement illicites, par exemple). Hors de ces obligations... C'est
du ressort de la politique de la maison. Pour le reste, il n'y a pas
*obligation* d'agir ; c'est affaire de politique de l'entreprise.



Si, il y a eu des précédents. Tu ne dois surtout pas détruire quoi que
ce soit (ça serait de la destruction de preuve et tu serais
condamnable).



La loi fait certaines obligations, avais-je dit.

Si tu tombes sur des fichiers manifestement illégaux, tu
dois faire une image du disque et l'archiver sans aller plus loin dans
l'analyse.



Surtout pas d'analyse : ça peut rendre caduque toute expertise
ultérieure, voire même la preuve en soi. Ne rien toucher.

Ensuite, ça dépend de ce qui tu as trouvé. Si c'est quelques
fichiers porno, tu le signale à la hierarchie par écrit de façon à ce
qu'il y ait des traces pour te couvrir, mais ce n'est pas forcément
illégal (dépend de l'environnement, tant qu'il n'y a pas de mineurs pas
de pb). Si c'est plus grave (genre images pédophiles), tu signale à la
hiérarchie par écrit, mais en plus tu les préviens qu'ils ont obligation
de le signaler à la police.



Oui, ça fait partie des obligations LCEN.

Amicalement,
--
Albert.
faitmoipeur
Le #18645291
On 24 jan, 16:32, GuiGui
Même sans charte, un fonctionnaire a le devoir de dénonciation de d élit,



Suivant quel code ? Qu'elles sanctions sont prévues (et accessoirement
réellement appliquées) en cas de non dénonciation ?

X.
Eric
Le #18753801
> Bonjour,

Je recherche des infos, si possible dans un langage compréhensible et
techniquement cohérent sur l'état actuel de la loi vis-à-vis des Systèmes
d'informations ... et du principal concerné par ce qui s'y passe, "
l'administrateur réseau".

Que doit-on mettre en place comme log ( du genre de ceux que les FAI doivent
tenir ) ?

- Log des connexions internet ? combien de temps de conservations ?



Tu n'es pas tellement au bon endroit. Ce forum concerne le droit du
travail. La législation prévoit une conservation maxi d'un an des logs.
La jurisprudence nous indique qu'une conservation de 6 mois est
insuffisante. A toi de voir ce qui te semble préférable en foinction
des impératifs techniques (notamment la place). Le mieux étant de se
rapprocher de la durer maximum prévue par la loi afin d'éviter une
condamnation par la justice si des logs de connexion te sont demandés.

- Si le log ne rapproche que les infos PC interne <-> site consulté, faut-il
ajouter qqchose des très pointus pour rapprocher de façon "techniquement
fiable" quel login/pass était sur le PC à quelle heure ?




Tu dois être en mesure de dire qui a consulté tel ou tel site. Si
chaque PC ne sont pas assignés à un salarié précis, il faudra
effectivement que tu sois en mesure de déterminer qui utilisait le PC.

- Pour les mails ... un log technique de base ( @expéditeur +@destinataire +
date-heure ) est-il suffisant ? interdit ? incomplet ?

- Pour les documents stockés:
-- Sur le disque de l'ordi ?
-- Sur le serveur dans des dossiers services/communs ?
-- Sur le serveur dans un dossier "individuel"




Tu peux surveiller, du moment que ça n'atteint pas la vie privée.


Faut-il surveiller qqchose ? de façon +/- régulière ? la présence de média
illégaux +/- graves/douteux ( Images MP3 "pirates" ) ? softs "pirates" (
installés ou juste stockés )

Si on tombe par hasard lors d'une intervention technique sur qqchose
d'anormal ( qqchose qui semble illégal ) que faire ?
- prévenir la direction ?



A noter que tu as une obligation de secret professionnel.
Tu peux prévenir la direction si cela est susceptible d'engager la
responsabiilité de la société.

- les flics ?
- la justice d'une autre façon que par les flics ?
- faut-il mieux passer directement par un avocat ?
- que faire pour limiter le risque de se retrouver "entre le marteau et
l'enclume" ( comment éviter d'un coté les ennuis "légaux" et de l'autre coté
de se faire pourrir par une hiérarchie, soit solidaire de "l'indélicat", soit
souhaitant simplement se venger de qqun qui à fait "des vagues". )


Bon, ça c'est coté "réseau interne"

Et pour un établissement universitaire, il faut y ajouter le réseau
"pédagogique", accessible aux étudiants et enseignants, PC "libre-service",
espace de stockage en réseau, messagerie et accès internet.




Pour Internet, même logs que le reste.
Pour les PC en libre accès, ils doivent normalement être suffisamment
sécurisés pour que les utilisateurs ne fassent pas n'importe quoi.

Les mêmes questions de ce coté ... surtout le point "softs et média pirates"
omniprésent et pas plus caché que la fumette, faut faire quoi ?




Tu peux commencer par avertir la personne et désisntaller les
programmes illégaux. En cas de récidive, il faudra en informer la
direction.

J'ai déjà trouvé qq infos dont une fiche qui donne un début d'info sur le
site de la CNIL, mais ça ne couvre qu'une partie du coté qu'est-ce qui est
privé ..et pas privé, rien concernant les mesures de log / détection à
prendre et qu'en faire.

suivi sur fr.misc.droit.internet vu que ça concerne l'info, internet et
assimilés


Albert ARIBAUD
Le #18754051
Le Tue, 24 Feb 2009 19:11:41 +0100, Eric a écrit :

La législation prévoit une conservation maxi d'un an des logs.
La jurisprudence nous indique qu'une conservation de 6 mois est
insuffisante.



La jurisprudence en question m'intéresse : je n'ai pas réussi à la
localiser avec Google (qui n'a pas dû conserver ces données assez
longtemps :) )

Tout ce que j'ai trouvé (à la CNIL, voir lien plus bas) parle non d'un an
maximum mais d'un an tout court.

Tu dois être en mesure de dire qui a consulté tel ou tel site. Si chaque
PC ne sont pas assignés à un salarié précis, il faudra effectivement que
tu sois en mesure de déterminer qui utilisait le PC.



Autant que je puisse en juger d'après cette page de la CNIL :
... la conservation de données nominatives n'est pas imposée sauf dans
les cas de contributeurs de contenu ; pour les autres cas, la CNIL
souligne (en gras) qu'il n'y a aucune obligation de devoir identifier la
personne ayant visité tel ou tel site.

Tu peux surveiller, du moment que ça n'atteint pas la vie privée.



... et que cette surveillance est dûment indiquée aux salariés, voire à
leurs représentants.

Amicalement,
--
Albert.
Albert ARIBAUD
Le #18755341
Le Tue, 24 Feb 2009 21:49:35 +0100, Roland Garcia a écrit :

Albert ARIBAUD a écrit :
Le Tue, 24 Feb 2009 19:11:41 +0100, Eric a écrit :

La législation prévoit une conservation maxi d'un an des logs. La
jurisprudence nous indique qu'une conservation de 6 mois est
insuffisante.



La jurisprudence en question m'intéresse : je n'ai pas réussi à la
localiser avec Google (qui n'a pas dû conserver ces données assez
longtemps :) )



Il y aurait une jurisprudence BNP Paribas:
http://www.01net.com/editorial/366220/combien-de-temps-les-entreprises-


doivent-elle-conserver-les-logs-de-connexion-./

dont je n'ai aucun détail.



Est-ce celle-ci ?


De mémoire, c'est une affaire qui a surtout pour intérêt d'établir qu'il
n'était pas nécessaire de commercialiser un accès Internet pour être
considéré comme FAI, et qu'une entreprise (ici, la BNP) qui donne accès
au Net à ses salariés a la qualité de FAI, et les obligations aussi ;
mais quant aux logs, elle confirme ce que je disais, à savoir qu'elle
doit conserver les données permettant d'identifier des *créateurs* de
*contenu* (mais n'imposent pas de tracer toutes les activités, et à mon
sens la pure consultation de sites n'est pas nécessairement une création
de contenu), et qu'en tout état de cause, le traitement de ces données ne
peut résulter que d'une requête judiciaire, mais ça on le savait déjà.

Amicalement,
--
Albert.
GuiGui
Le #18758141
a écrit :
On 24 jan, 16:32, GuiGui
Même sans charte, un fonctionnaire a le devoir de dénonciation de délit,



Suivant quel code ? Qu'elles sanctions sont prévues (et accessoirement
réellement appliquées) en cas de non dénonciation ?

X.



Code de procédure pénale, article 40 :

"Toute autorité constituée, tout officier public ou fonctionnaire qui,
dans l'exercice de ses fonctions,acquiert la connaissance d'un crime ou
d'un délit est tenu d'en donner avis sans délai au procureur de la
république et de transmettre à ce magistrat tous les renseignements,
procès-verbaux et actes qui y sont relatifs."


Quand aux sanctions, je ne sais pas, mais cela doit dépendre de la
nature de l'infraction constatée.
Publicité
Poster une réponse
Anonyme