J'ai un soucis d'ordre ethique, voire déontologique a régler :
Je m'occupe de l'administration systemes et reseaux de l'un des clients de
ma société (serveurs Linux sur Internet, et réseau Windows 2000 AD).
J'ai donc, a ce titre, la connaissance des mots de passe des comptes root
et Administrateurs de quasiment la totalité des stations et serveurs de ce
client.
Mon probleme : ma hiérarchie me demande de lui fournir tous ces mots de
passe, prétextant (à raison) qu'en cas de probleme alors que je suis
absent, ma société doit pouvoir intervenir (ce qui parait normal). Jusqu'à
présent j'ai refusé, en disant que le client possédaient ces mots de passe
dans son coffre, et que je ne les remmettais qu'avec l'autorisation écrite
du client... Inutile de vous dire que l'argumentation fut houleuse :-/
Pour bien comprendre mon probleme, il faut savoir que ma société n'est pas
du tout experte dans l'administration des SI (ce n'est pas notre métier,
nous sommes une SSII/éditeur de logiciels) et que je suis le seul membre de
ma boite qui ait des compétences d'administrateur (en particulier sous
unix/linux !). De plus notre culture d'entrepise ressemble aux pires
cauchemars d'un DSI, si vous voyez ce que je veux dire... (et ce malgré mes
efforts) Vous comprenez maintenant pourquoi je suis aussi réticant à l'idée
de fournir ces mots de passe à n'importe qui...
Je suis donc à la recherche de tout texte de loi détaillant les devoirs et
obligations d'un admin, afin de savoir quelles sont exactement mes
responsabilités dans cette affaire. Merci de votre aide
--
Rico (RicoSpirit) - http://www.ricospirit.net
Pour en savoir autant que moi sur INN (c.a.d. pas grand chose !) :
http://www.ricospirit.net/inn/
J'ai eu plus ou moins le même problème que vous dans le cadre de mandats liés à la sécurité réseau. La mise en place de deux ou trois machines jouant respectivement les rôles de centrale de gestion anti-virale, firewall et suivant les cas, ids, menait justement à cette question: "qui s'en occupe si je ne suis pas là ?"
Je vous conseille deux options qui pour moi ont très bien marché.
1) "Il n'arrivera rien." Vous croisez les doigts et vous affirmez haut et fort que ce que vous venez de faire est en béton et que seule une catastrophe physique ou un manque de bol incroyable pourraient poser un jour un inconvénient. C'est quelque peu douteux mais quand le petit nouveau vous demande les pass du firewall et que vous sentez bien que tout ce qu'il veut est d'aller fouiller là où il ne faut pas je préfère jouer mon 'dieu'.
2) "Si vous y touchez, vous prenez toute la responsabilité jusqu'à ce que je la reprenne." C'est ce que j'ai presque toujours fait. Vous liez contractuellement le fait que les paramètres d'accès seront dans une enveloppe cachetée. Le client prend a) la responsabilité de conserver cette enveloppe dans un endroit sûr (normalemnt, c'est au directeur que je la donne et non à un technicien ni admin réseau) et b) il prend l'entière responsabilité de la machine touchée dès lors où il ouvre cette enveloppe; et je récupère cette responsabilité seulement après avoir validé la situation de leur réseau.
Lorsqu'un problème se présente, je demande à voir l'enveloppe afin d'être sûr que personne dans l'interne n'ait pu acceder au systèmes sans les avoir "forcés" auparavant.
Cette pratique a beaucoup d'avantages. 1) personne ne touche à votre travail parce qu'il ne le peut tout simplement pas sans obtenir l'autorisation de la plus haute personne. en cas de problème, c'est cette plus haute personne qui se retrouve de facto responsable de la dernière décision. 2) le client n'aura même pas envie d'y toucher de peur d'abîmer quoi que ce soit par rapport au fait qu'il prend l'entière responsabilité dès l'ouverture de l'enveloppe 3) si vous avez un problème majeur ou si vous n'êtes plus en mesure de répondre à cette demande en tant que responsable, ils ont les moyens de transmettre l'information sans devoir repartir à zéro. 4) chaque fois que je suis intervenu, je savais que le problème était soit lié à une incompétence de ma part (je corrigeais alors le tir et cela me servait pour les suivantes) soit il fallait une maintenance tout ce qu'il y a de plus routinier (logs, patch, etc..).
En espèrant vous avoir donné quelques idées pour la suite,
.antoine
Bonjour,
J'ai eu plus ou moins le même problème que vous dans le cadre de mandats liés
à la sécurité réseau. La mise en place de deux ou trois machines jouant respectivement
les rôles de centrale de gestion anti-virale, firewall et suivant les cas, ids, menait
justement à cette question: "qui s'en occupe si je ne suis pas là ?"
Je vous conseille deux options qui pour moi ont très bien marché.
1) "Il n'arrivera rien." Vous croisez les doigts et vous affirmez haut et fort que
ce que vous venez de faire est en béton et que seule une catastrophe physique ou
un manque de bol incroyable pourraient poser un jour un inconvénient. C'est
quelque peu douteux mais quand le petit nouveau vous demande les pass du firewall
et que vous sentez bien que tout ce qu'il veut est d'aller fouiller là où il ne faut pas
je préfère jouer mon 'dieu'.
2) "Si vous y touchez, vous prenez toute la responsabilité jusqu'à ce que je la reprenne."
C'est ce que j'ai presque toujours fait. Vous liez contractuellement le fait que les
paramètres d'accès seront dans une enveloppe cachetée. Le client prend a) la
responsabilité de conserver cette enveloppe dans un endroit sûr (normalemnt, c'est
au directeur que je la donne et non à un technicien ni admin réseau) et b) il prend
l'entière responsabilité de la machine touchée dès lors où il ouvre cette enveloppe;
et je récupère cette responsabilité seulement après avoir validé la situation de leur
réseau.
Lorsqu'un problème se présente, je demande à voir l'enveloppe afin d'être sûr que
personne dans l'interne n'ait pu acceder au systèmes sans les avoir "forcés"
auparavant.
Cette pratique a beaucoup d'avantages.
1) personne ne touche à votre travail parce qu'il ne le peut tout simplement pas sans
obtenir l'autorisation de la plus haute personne. en cas de problème, c'est cette plus
haute personne qui se retrouve de facto responsable de la dernière décision.
2) le client n'aura même pas envie d'y toucher de peur d'abîmer quoi que ce soit par
rapport au fait qu'il prend l'entière responsabilité dès l'ouverture de l'enveloppe
3) si vous avez un problème majeur ou si vous n'êtes plus en mesure de répondre
à cette demande en tant que responsable, ils ont les moyens de transmettre l'information
sans devoir repartir à zéro.
4) chaque fois que je suis intervenu, je savais que le problème était soit lié à une
incompétence de ma part (je corrigeais alors le tir et cela me servait pour les suivantes)
soit il fallait une maintenance tout ce qu'il y a de plus routinier (logs, patch, etc..).
En espèrant vous avoir donné quelques idées pour la suite,
J'ai eu plus ou moins le même problème que vous dans le cadre de mandats liés à la sécurité réseau. La mise en place de deux ou trois machines jouant respectivement les rôles de centrale de gestion anti-virale, firewall et suivant les cas, ids, menait justement à cette question: "qui s'en occupe si je ne suis pas là ?"
Je vous conseille deux options qui pour moi ont très bien marché.
1) "Il n'arrivera rien." Vous croisez les doigts et vous affirmez haut et fort que ce que vous venez de faire est en béton et que seule une catastrophe physique ou un manque de bol incroyable pourraient poser un jour un inconvénient. C'est quelque peu douteux mais quand le petit nouveau vous demande les pass du firewall et que vous sentez bien que tout ce qu'il veut est d'aller fouiller là où il ne faut pas je préfère jouer mon 'dieu'.
2) "Si vous y touchez, vous prenez toute la responsabilité jusqu'à ce que je la reprenne." C'est ce que j'ai presque toujours fait. Vous liez contractuellement le fait que les paramètres d'accès seront dans une enveloppe cachetée. Le client prend a) la responsabilité de conserver cette enveloppe dans un endroit sûr (normalemnt, c'est au directeur que je la donne et non à un technicien ni admin réseau) et b) il prend l'entière responsabilité de la machine touchée dès lors où il ouvre cette enveloppe; et je récupère cette responsabilité seulement après avoir validé la situation de leur réseau.
Lorsqu'un problème se présente, je demande à voir l'enveloppe afin d'être sûr que personne dans l'interne n'ait pu acceder au systèmes sans les avoir "forcés" auparavant.
Cette pratique a beaucoup d'avantages. 1) personne ne touche à votre travail parce qu'il ne le peut tout simplement pas sans obtenir l'autorisation de la plus haute personne. en cas de problème, c'est cette plus haute personne qui se retrouve de facto responsable de la dernière décision. 2) le client n'aura même pas envie d'y toucher de peur d'abîmer quoi que ce soit par rapport au fait qu'il prend l'entière responsabilité dès l'ouverture de l'enveloppe 3) si vous avez un problème majeur ou si vous n'êtes plus en mesure de répondre à cette demande en tant que responsable, ils ont les moyens de transmettre l'information sans devoir repartir à zéro. 4) chaque fois que je suis intervenu, je savais que le problème était soit lié à une incompétence de ma part (je corrigeais alors le tir et cela me servait pour les suivantes) soit il fallait une maintenance tout ce qu'il y a de plus routinier (logs, patch, etc..).
En espèrant vous avoir donné quelques idées pour la suite,
.antoine
.Saphyr
J'oubliais.
Une pratique que j'envisageais de mettre en place mais pas fait manque de temps (oui, c'est possible): vous créez un autre compte root, et vous ne travaillez qu'avec celui-ci.
Lorsque le client utilise le vrai compte root pour se connecter au système, un script est lancé et modifie les codes d'accès pour les comptes administrateurs de manière aléatoire et les fournit à l'écran lors de la connexion.
Cette pratique est dangereuse mais exploitable si elle est bien documentée. Celui qui décide de se connecter sur l'un de vos serveurs sait qu'il prend automatiquement toute la responsabilité car il est seul à connaître les codes d'accès. Vous n'êtes vous même dès lors plus "titulaire" de la machine en question.
.antoine
J'oubliais.
Une pratique que j'envisageais de mettre en place mais pas fait manque de temps (oui,
c'est possible): vous créez un autre compte root, et vous ne travaillez qu'avec celui-ci.
Lorsque le client utilise le vrai compte root pour se connecter au système, un script
est lancé et modifie les codes d'accès pour les comptes administrateurs de manière
aléatoire et les fournit à l'écran lors de la connexion.
Cette pratique est dangereuse mais exploitable si elle est bien documentée. Celui qui
décide de se connecter sur l'un de vos serveurs sait qu'il prend automatiquement toute la
responsabilité car il est seul à connaître les codes d'accès. Vous n'êtes vous même dès
lors plus "titulaire" de la machine en question.
Une pratique que j'envisageais de mettre en place mais pas fait manque de temps (oui, c'est possible): vous créez un autre compte root, et vous ne travaillez qu'avec celui-ci.
Lorsque le client utilise le vrai compte root pour se connecter au système, un script est lancé et modifie les codes d'accès pour les comptes administrateurs de manière aléatoire et les fournit à l'écran lors de la connexion.
Cette pratique est dangereuse mais exploitable si elle est bien documentée. Celui qui décide de se connecter sur l'un de vos serveurs sait qu'il prend automatiquement toute la responsabilité car il est seul à connaître les codes d'accès. Vous n'êtes vous même dès lors plus "titulaire" de la machine en question.
.antoine
zorroider
Bonjour,
"Eric Belhomme" a écrit dans le message news:
bonjour,
J'ai un soucis d'ordre ethique, voire déontologique a régler : Je m'occupe de l'administration systemes et reseaux de l'un des clients de ma société (serveurs Linux sur Internet, et réseau Windows 2000 AD). J'ai donc, a ce titre, la connaissance des mots de passe des comptes root et Administrateurs de quasiment la totalité des stations et serveurs de ce client.
Mon probleme : ma hiérarchie me demande de lui fournir tous ces mots de passe
Si j'etais toi, j'enregistrerais l'ensemble des mots de passe dans un fichier, puis compresser avec mot de passe connu de ton client seul, puis de nouveau compresser avec mot de passe connu seul de ton boss, puis de nouveau compreser avec mot de passe connu par un membre de l'equipe qui t'apparait de confiance, ainsi, il faudra un accord des trois pour arriver a cette solution, le client : les mots de passe lui "appartinennent", ton boss comme ca ca responsabilite est engage, une personne de confiance (pour toi) ainsi c'est comme donner ton accord indirect. Pour ce qui est des textes de loi, je n'en sais rien mais de mon cote l'ensemble des mots de passe son sous scelle, au coffre, a la banque, au cas ou.
Si ca peut te donner une piste
@+
Bonjour,
"Eric Belhomme" <eric.belhomme_NOSPAM_@free.fr.invalid> a écrit dans le
message news: Xns93AAB31ED5C5Aericbelhommefreefr@195.25.12.38...
bonjour,
J'ai un soucis d'ordre ethique, voire déontologique a régler :
Je m'occupe de l'administration systemes et reseaux de l'un des clients de
ma société (serveurs Linux sur Internet, et réseau Windows 2000 AD).
J'ai donc, a ce titre, la connaissance des mots de passe des comptes root
et Administrateurs de quasiment la totalité des stations et serveurs de ce
client.
Mon probleme : ma hiérarchie me demande de lui fournir tous ces mots de
passe
Si j'etais toi, j'enregistrerais l'ensemble des mots de passe dans un
fichier, puis compresser avec mot de passe connu de ton client seul, puis de
nouveau compresser avec mot de passe connu seul de ton boss, puis de nouveau
compreser avec mot de passe connu par un membre de l'equipe qui t'apparait
de confiance, ainsi, il faudra un accord des trois pour arriver a cette
solution, le client : les mots de passe lui "appartinennent", ton boss comme
ca ca responsabilite est engage, une personne de confiance (pour toi) ainsi
c'est comme donner ton accord indirect.
Pour ce qui est des textes de loi, je n'en sais rien mais de mon cote
l'ensemble des mots de passe son sous scelle, au coffre, a la banque, au cas
ou.
J'ai un soucis d'ordre ethique, voire déontologique a régler : Je m'occupe de l'administration systemes et reseaux de l'un des clients de ma société (serveurs Linux sur Internet, et réseau Windows 2000 AD). J'ai donc, a ce titre, la connaissance des mots de passe des comptes root et Administrateurs de quasiment la totalité des stations et serveurs de ce client.
Mon probleme : ma hiérarchie me demande de lui fournir tous ces mots de passe
Si j'etais toi, j'enregistrerais l'ensemble des mots de passe dans un fichier, puis compresser avec mot de passe connu de ton client seul, puis de nouveau compresser avec mot de passe connu seul de ton boss, puis de nouveau compreser avec mot de passe connu par un membre de l'equipe qui t'apparait de confiance, ainsi, il faudra un accord des trois pour arriver a cette solution, le client : les mots de passe lui "appartinennent", ton boss comme ca ca responsabilite est engage, une personne de confiance (pour toi) ainsi c'est comme donner ton accord indirect. Pour ce qui est des textes de loi, je n'en sais rien mais de mon cote l'ensemble des mots de passe son sous scelle, au coffre, a la banque, au cas ou.
Si ca peut te donner une piste
@+
Doff
Dans , nous racontait...
bonjour, Mon probleme : ma hiérarchie me demande de lui fournir tous ces mots de passe, prétextant (à raison) qu'en cas de probleme alors que je suis absent, ma société doit pouvoir intervenir (ce qui parait normal). Jusqu'à présent j'ai refusé, en disant que le client possédaient ces mots de passe dans son coffre, et que je ne les remmettais qu'avec l'autorisation écrite du client... Inutile de vous dire que l'argumentation fut houleuse :-/
Je suis d'accord avec toi dans le sens où, si t'es pas là, ton client a les codes dans un coffre, et il peut les utiliser ou les donner à la personne qui te remplace. Si ces codes sont utilisés, ils doivent être changés et remplacés par de nouveaux dans les coffres.
Le coup de "si t'es pas là, on peut faire quand même"... c'est pas terrible comme argument.
Je dirais plutot, que au lieu de trouver des arguments pour toi (disant "nan, vous n'aurez pas les mots de passe") ta boite devrait plutot trouver des arguments valables pour les avoir. Je sais ça ressemble un peu à "dis moi de quoi t'as besoin, je vais t'expliquer comment t'en passer..." mais bon. D'autre part, les mots de passes appartenant au client, je dirai que ce client a son mot à dire quand à la divulgation de ses infos.
Je suis donc à la recherche de tout texte de loi détaillant les devoirs et obligations d'un admin, afin de savoir quelles sont exactement mes responsabilités dans cette affaire. Merci de votre aide
Pour l'instant, j'ai pas trop de doc.
Dans <Xns93AAB31ED5C5Aericbelhommefreefr@195.25.12.38>,
eric.belhomme_NOSPAM_@free.fr.invalid nous racontait...
bonjour,
Mon probleme : ma hiérarchie me demande de lui fournir tous ces mots de
passe, prétextant (à raison) qu'en cas de probleme alors que je suis
absent, ma société doit pouvoir intervenir (ce qui parait normal). Jusqu'à
présent j'ai refusé, en disant que le client possédaient ces mots de passe
dans son coffre, et que je ne les remmettais qu'avec l'autorisation écrite
du client... Inutile de vous dire que l'argumentation fut houleuse :-/
Je suis d'accord avec toi dans le sens où, si t'es pas là, ton client a
les codes dans un coffre, et il peut les utiliser ou les donner à la
personne qui te remplace. Si ces codes sont utilisés, ils doivent être
changés et remplacés par de nouveaux dans les coffres.
Le coup de "si t'es pas là, on peut faire quand même"... c'est pas
terrible comme argument.
Je dirais plutot, que au lieu de trouver des arguments pour toi (disant
"nan, vous n'aurez pas les mots de passe") ta boite devrait plutot
trouver des arguments valables pour les avoir.
Je sais ça ressemble un peu à "dis moi de quoi t'as besoin, je vais
t'expliquer comment t'en passer..." mais bon.
D'autre part, les mots de passes appartenant au client, je dirai que ce
client a son mot à dire quand à la divulgation de ses infos.
Je suis donc à la recherche de tout texte de loi détaillant les devoirs et
obligations d'un admin, afin de savoir quelles sont exactement mes
responsabilités dans cette affaire. Merci de votre aide
bonjour, Mon probleme : ma hiérarchie me demande de lui fournir tous ces mots de passe, prétextant (à raison) qu'en cas de probleme alors que je suis absent, ma société doit pouvoir intervenir (ce qui parait normal). Jusqu'à présent j'ai refusé, en disant que le client possédaient ces mots de passe dans son coffre, et que je ne les remmettais qu'avec l'autorisation écrite du client... Inutile de vous dire que l'argumentation fut houleuse :-/
Je suis d'accord avec toi dans le sens où, si t'es pas là, ton client a les codes dans un coffre, et il peut les utiliser ou les donner à la personne qui te remplace. Si ces codes sont utilisés, ils doivent être changés et remplacés par de nouveaux dans les coffres.
Le coup de "si t'es pas là, on peut faire quand même"... c'est pas terrible comme argument.
Je dirais plutot, que au lieu de trouver des arguments pour toi (disant "nan, vous n'aurez pas les mots de passe") ta boite devrait plutot trouver des arguments valables pour les avoir. Je sais ça ressemble un peu à "dis moi de quoi t'as besoin, je vais t'expliquer comment t'en passer..." mais bon. D'autre part, les mots de passes appartenant au client, je dirai que ce client a son mot à dire quand à la divulgation de ses infos.
Je suis donc à la recherche de tout texte de loi détaillant les devoirs et obligations d'un admin, afin de savoir quelles sont exactement mes responsabilités dans cette affaire. Merci de votre aide
Pour l'instant, j'ai pas trop de doc.
ho alexandre
Eric Belhomme wrote:
Je suis donc à la recherche de tout texte de loi détaillant les devoirs et obligations d'un admin, afin de savoir quelles sont exactement mes responsabilités dans cette affaire. Merci de votre aide
je dirai que dans une entreprise, l'homme importe peu, seul le poste compte. Dans ces conditions, ton entreprise a le droit de demander à ce que toutes les informations relatives à tes tâches soient transmises à une autre personne que toi, ayant les mêmes prérogatives. En clair, même si cette personne est incompétente, mais qu'elle a officiellement les mêmes pouvoirs que toi, tu dois fournir à ton entreprise ce qu'elle te demande. Sinon ça peut être considéré comme du sabotage ou de l'entrave à la bonne marche de l'entreprise.
Le problème est de savoir quel est le service proposé par ton entreprise au client. Visiblement elle est simplement éditeur de logiciel, et les services que tu fournis (administration) semblent être un truc plus ou moins sous le manteau (???), et dans ce cas c'est une sorte de contrat entre toi, l'unique personne concernée, et ton client. Vu que ton client a cse inforrmations et qu'elles sont facilement et rapidement accessibles, il faut vérifier que le jour où tu clamses, et qu'on en a besoin, si le client n'est pas en mesure de fournir ces clefs, il ne faut pas qu'il se retourne contre ton entreprise.
il me semble qu'il y a un forum fr.*.droit-internet où des tas de gens seraient ravis de discuter de ce sujet.
-- Xandrex
Eric Belhomme wrote:
Je suis donc à la recherche de tout texte de loi détaillant les
devoirs et obligations d'un admin, afin de savoir quelles sont
exactement mes responsabilités dans cette affaire. Merci de votre
aide
je dirai que dans une entreprise, l'homme importe peu, seul le poste
compte. Dans ces conditions, ton entreprise a le droit de demander à ce
que toutes les informations relatives à tes tâches soient transmises à
une autre personne que toi, ayant les mêmes prérogatives. En clair, même
si cette personne est incompétente, mais qu'elle a officiellement les
mêmes pouvoirs que toi, tu dois fournir à ton entreprise ce qu'elle te
demande.
Sinon ça peut être considéré comme du sabotage ou de l'entrave à la
bonne marche de l'entreprise.
Le problème est de savoir quel est le service proposé par ton entreprise
au client. Visiblement elle est simplement éditeur de logiciel, et les
services que tu fournis (administration) semblent être un truc plus ou
moins sous le manteau (???), et dans ce cas c'est une sorte de contrat
entre toi, l'unique personne concernée, et ton client. Vu que ton client
a cse inforrmations et qu'elles sont facilement et rapidement
accessibles, il faut vérifier que le jour où tu clamses, et qu'on en a
besoin, si le client n'est pas en mesure de fournir ces clefs, il ne
faut pas qu'il se retourne contre ton entreprise.
il me semble qu'il y a un forum fr.*.droit-internet où des tas de gens
seraient ravis de discuter de ce sujet.
Je suis donc à la recherche de tout texte de loi détaillant les devoirs et obligations d'un admin, afin de savoir quelles sont exactement mes responsabilités dans cette affaire. Merci de votre aide
je dirai que dans une entreprise, l'homme importe peu, seul le poste compte. Dans ces conditions, ton entreprise a le droit de demander à ce que toutes les informations relatives à tes tâches soient transmises à une autre personne que toi, ayant les mêmes prérogatives. En clair, même si cette personne est incompétente, mais qu'elle a officiellement les mêmes pouvoirs que toi, tu dois fournir à ton entreprise ce qu'elle te demande. Sinon ça peut être considéré comme du sabotage ou de l'entrave à la bonne marche de l'entreprise.
Le problème est de savoir quel est le service proposé par ton entreprise au client. Visiblement elle est simplement éditeur de logiciel, et les services que tu fournis (administration) semblent être un truc plus ou moins sous le manteau (???), et dans ce cas c'est une sorte de contrat entre toi, l'unique personne concernée, et ton client. Vu que ton client a cse inforrmations et qu'elles sont facilement et rapidement accessibles, il faut vérifier que le jour où tu clamses, et qu'on en a besoin, si le client n'est pas en mesure de fournir ces clefs, il ne faut pas qu'il se retourne contre ton entreprise.
il me semble qu'il y a un forum fr.*.droit-internet où des tas de gens seraient ravis de discuter de ce sujet.
-- Xandrex
Doff
Dans , nous racontait...
bonjour,
J'ai un soucis d'ordre ethique, voire déontologique a régler
En tant qu'admin système & réseau, tu fais pas signer une charte de confidentialité/bonne conduite à tes utilisateurs ?
Si oui, y'a pas une clause dedans qui dit que t'as pas le droit de divulger des infos internes ?
A+ Doff
Dans <Xns93AAB31ED5C5Aericbelhommefreefr@195.25.12.38>,
eric.belhomme_NOSPAM_@free.fr.invalid nous racontait...
bonjour,
J'ai un soucis d'ordre ethique, voire déontologique a régler
En tant qu'admin système & réseau, tu fais pas signer une charte de
confidentialité/bonne conduite à tes utilisateurs ?
Si oui, y'a pas une clause dedans qui dit que t'as pas le droit de
divulger des infos internes ?
J'ai un soucis d'ordre ethique, voire déontologique a régler
En tant qu'admin système & réseau, tu fais pas signer une charte de confidentialité/bonne conduite à tes utilisateurs ?
Si oui, y'a pas une clause dedans qui dit que t'as pas le droit de divulger des infos internes ?
A+ Doff
Olivier Saulnier
Bonjour,
Je ne suis pas expert dans le domaine juridique, mais il me semble que tu dois les passer a ta direction, a partir du moment ou ta societe s'engage a offrir tes services. Le client traite les contrats, honore les factures avec ta societe, personne morale, et non avec toi, personne physique... Je suis dirigeant d'entreprise, et je pense que tu risques un licenciement pour faute grave. Renseigne toi aupres des Prud'hommes, tu auras je pense la reponse adequate. Sans compter que ca te decharge moralement en cas de soucis, seule ta societe est responsable, tu es couvert.
Tu prends a coeur ta relation avec ton client, et je t'en felicite, c'est agreable pour ton client, mais n'oublie pas que tu as en premier lieu une relation a titre professionnel, et que tu dois l'honnorer avant tout.
Cordialement, Olivier Saulnier
Bonjour,
Je ne suis pas expert dans le domaine juridique, mais il me semble que
tu dois les passer a ta direction, a partir du moment ou ta societe
s'engage a offrir tes services.
Le client traite les contrats, honore les factures avec ta societe,
personne morale, et non avec toi, personne physique...
Je suis dirigeant d'entreprise, et je pense que tu risques un
licenciement pour faute grave. Renseigne toi aupres des Prud'hommes,
tu auras je pense la reponse adequate.
Sans compter que ca te decharge moralement en cas de soucis, seule ta
societe est responsable, tu es couvert.
Tu prends a coeur ta relation avec ton client, et je t'en felicite,
c'est agreable pour ton client, mais n'oublie pas que tu as en premier
lieu une relation a titre professionnel, et que tu dois l'honnorer
avant tout.
Je ne suis pas expert dans le domaine juridique, mais il me semble que tu dois les passer a ta direction, a partir du moment ou ta societe s'engage a offrir tes services. Le client traite les contrats, honore les factures avec ta societe, personne morale, et non avec toi, personne physique... Je suis dirigeant d'entreprise, et je pense que tu risques un licenciement pour faute grave. Renseigne toi aupres des Prud'hommes, tu auras je pense la reponse adequate. Sans compter que ca te decharge moralement en cas de soucis, seule ta societe est responsable, tu es couvert.
Tu prends a coeur ta relation avec ton client, et je t'en felicite, c'est agreable pour ton client, mais n'oublie pas que tu as en premier lieu une relation a titre professionnel, et que tu dois l'honnorer avant tout.
Cordialement, Olivier Saulnier
Eric Belhomme wrote: [...] Salut, En terme de loi, je sais pas ; Mais moi j'ai toujours refuser (meme si ca m'as valu des ennuis et aider à ce que je sois maintenant au chomage) et ce client m'as fait comprendre qu'il me suivrais ou j'irais. je pense que déontologiquement tu ne doit pas le faire quel qu'en soit la loi, c'est au client de donner l'accessibilité aux personnes qu'ils jugent necessaires (à charge de ton/tes dirigants d'expliquer que sans cela ils ne pourrons intervenir convenablement en ton absence [et si ce sont des commerciaux, ils sauront le vendre (oupss pardon Faire pas vendre quoi que !)] Bon courage en tout cas et ne te laisse pas faire.
-- Yannic PS: le plus simple serais que tu demande déjas à la personne qui t'as donner l'acces (le client) si tu peux ou ne peux pas donner ces informations.
Eric Belhomme wrote:
[...]
Salut, En terme de loi, je sais pas ;
Mais moi j'ai toujours refuser (meme si ca m'as valu des ennuis et aider
à ce que je sois maintenant au chomage)
et ce client m'as fait comprendre qu'il me suivrais ou j'irais.
je pense que déontologiquement tu ne doit pas le faire quel qu'en soit
la loi, c'est au client de donner l'accessibilité aux personnes qu'ils
jugent necessaires (à charge de ton/tes dirigants d'expliquer que sans
cela ils ne pourrons intervenir convenablement en ton absence [et si ce
sont des commerciaux, ils sauront le vendre (oupss pardon Faire pas
vendre quoi que !)]
Bon courage en tout cas et ne te laisse pas faire.
--
Yannic
PS: le plus simple serais que tu demande déjas à la personne qui t'as
donner l'acces (le client) si tu peux ou ne peux pas donner ces
informations.
Eric Belhomme wrote: [...] Salut, En terme de loi, je sais pas ; Mais moi j'ai toujours refuser (meme si ca m'as valu des ennuis et aider à ce que je sois maintenant au chomage) et ce client m'as fait comprendre qu'il me suivrais ou j'irais. je pense que déontologiquement tu ne doit pas le faire quel qu'en soit la loi, c'est au client de donner l'accessibilité aux personnes qu'ils jugent necessaires (à charge de ton/tes dirigants d'expliquer que sans cela ils ne pourrons intervenir convenablement en ton absence [et si ce sont des commerciaux, ils sauront le vendre (oupss pardon Faire pas vendre quoi que !)] Bon courage en tout cas et ne te laisse pas faire.
-- Yannic PS: le plus simple serais que tu demande déjas à la personne qui t'as donner l'acces (le client) si tu peux ou ne peux pas donner ces informations.
[SauroN]
"Eric Belhomme" a écrit dans le message de news: | bonjour, | | J'ai un soucis d'ordre ethique, voire déontologique a régler : | Je m'occupe de l'administration systemes et reseaux de l'un des clients de | ma société (serveurs Linux sur Internet, et réseau Windows 2000 AD). | J'ai donc, a ce titre, la connaissance des mots de passe des comptes root | et Administrateurs de quasiment la totalité des stations et serveurs de ce | client. | | Mon probleme : ma hiérarchie me demande de lui fournir tous ces mots de | passe, prétextant (à raison) qu'en cas de probleme alors que je suis | absent, ma société doit pouvoir intervenir (ce qui parait normal). Jusqu'à | présent j'ai refusé, en disant que le client possédaient ces mots de passe | dans son coffre, et que je ne les remmettais qu'avec l'autorisation écrite | du client... Inutile de vous dire que l'argumentation fut houleuse :-/ | | Pour bien comprendre mon probleme, il faut savoir que ma société n'est pas | du tout experte dans l'administration des SI (ce n'est pas notre métier, | nous sommes une SSII/éditeur de logiciels) et que je suis le seul membre de | ma boite qui ait des compétences d'administrateur (en particulier sous | unix/linux !). De plus notre culture d'entrepise ressemble aux pires | cauchemars d'un DSI, si vous voyez ce que je veux dire... (et ce malgré mes | efforts) Vous comprenez maintenant pourquoi je suis aussi réticant à l'idée | de fournir ces mots de passe à n'importe qui... | | Je suis donc à la recherche de tout texte de loi détaillant les devoirs et | obligations d'un admin, afin de savoir quelles sont exactement mes | responsabilités dans cette affaire. Merci de votre aide |
j ai pas trop vu de texte la dessus,
mais tu peux argumenter en parlant des responsabilites de ta boite quand a l utilisatyion de ses machines a des fins licites (stockage temporaire de donnees comme mp3, divx.....) ou a son utilisation lors de piratage ou tentative d intrusion d autre systeme a partir de celle ci.
en effet ta societe etant responsable legalement, elle peut etre penalement poursuivit pour cela, les persones ayant les mdp ne sont pas sous la tutelle de ta societe alors si il y a une personne qui fait des mauvaise manip ou des infraction alors ca sera ta societe qui sera punni, quelque soit les signature oiu persone ayant realiser le forfait car le serveur lui apartient, et donc si elle a donner les acces a sa machine a un individu qui realise des mefaits alors c est sous sa responsabilite. car pour ne pas etre penalement responable, il faut prouver qu il y a eue effraction, c est a dire prouver que ton serveur a ete pirate et utilise (log a l apuit) hors dans ton cas, il n y a pas intrusion mais connection, donc pas d effraction, il a la clef, et de plus il y a de foirte chance au il efface les log ce qui rendra cela encore plus difficile.
pour info regarde le nombre de stro (server ftp warez) que l on trouve heberge sur des serveurs d entreprise, c ets pas un hazard qd mm. il n y a pas que l utilisation de vulnerabilites.
| -- | Rico (RicoSpirit) - http://www.ricospirit.net | Pour en savoir autant que moi sur INN (c.a.d. pas grand chose !) : | http://www.ricospirit.net/inn/
"Eric Belhomme" <eric.belhomme_NOSPAM_@free.fr.invalid> a écrit dans le
message de news:Xns93AAB31ED5C5Aericbelhommefreefr@195.25.12.38...
| bonjour,
|
| J'ai un soucis d'ordre ethique, voire déontologique a régler :
| Je m'occupe de l'administration systemes et reseaux de l'un des clients de
| ma société (serveurs Linux sur Internet, et réseau Windows 2000 AD).
| J'ai donc, a ce titre, la connaissance des mots de passe des comptes root
| et Administrateurs de quasiment la totalité des stations et serveurs de ce
| client.
|
| Mon probleme : ma hiérarchie me demande de lui fournir tous ces mots de
| passe, prétextant (à raison) qu'en cas de probleme alors que je suis
| absent, ma société doit pouvoir intervenir (ce qui parait normal). Jusqu'à
| présent j'ai refusé, en disant que le client possédaient ces mots de passe
| dans son coffre, et que je ne les remmettais qu'avec l'autorisation écrite
| du client... Inutile de vous dire que l'argumentation fut houleuse :-/
|
| Pour bien comprendre mon probleme, il faut savoir que ma société n'est pas
| du tout experte dans l'administration des SI (ce n'est pas notre métier,
| nous sommes une SSII/éditeur de logiciels) et que je suis le seul membre
de
| ma boite qui ait des compétences d'administrateur (en particulier sous
| unix/linux !). De plus notre culture d'entrepise ressemble aux pires
| cauchemars d'un DSI, si vous voyez ce que je veux dire... (et ce malgré
mes
| efforts) Vous comprenez maintenant pourquoi je suis aussi réticant à
l'idée
| de fournir ces mots de passe à n'importe qui...
|
| Je suis donc à la recherche de tout texte de loi détaillant les devoirs et
| obligations d'un admin, afin de savoir quelles sont exactement mes
| responsabilités dans cette affaire. Merci de votre aide
|
j ai pas trop vu de texte la dessus,
mais tu peux argumenter en parlant des responsabilites de ta boite quand a l
utilisatyion de ses machines a des fins licites (stockage temporaire de
donnees comme mp3, divx.....) ou a son utilisation lors de piratage ou
tentative d intrusion d autre systeme a partir de celle ci.
en effet ta societe etant responsable legalement, elle peut etre penalement
poursuivit pour cela, les persones ayant les mdp ne sont pas sous la tutelle
de ta societe alors si il y a une personne qui fait des mauvaise manip ou
des infraction alors ca sera ta societe qui sera punni, quelque soit les
signature oiu persone ayant realiser le forfait car le serveur lui
apartient, et donc si elle a donner les acces a sa machine a un individu qui
realise des mefaits alors c est sous sa responsabilite. car pour ne pas etre
penalement responable, il faut prouver qu il y a eue effraction, c est a
dire prouver que ton serveur a ete pirate et utilise (log a l apuit) hors
dans ton cas, il n y a pas intrusion mais connection, donc pas d effraction,
il a la clef, et de plus il y a de foirte chance au il efface les log ce qui
rendra cela encore plus difficile.
pour info regarde le nombre de stro (server ftp warez) que l on trouve
heberge sur des serveurs d entreprise, c ets pas un hazard qd mm. il n y a
pas que l utilisation de vulnerabilites.
| --
| Rico (RicoSpirit) - http://www.ricospirit.net
| Pour en savoir autant que moi sur INN (c.a.d. pas grand chose !) :
| http://www.ricospirit.net/inn/
"Eric Belhomme" a écrit dans le message de news: | bonjour, | | J'ai un soucis d'ordre ethique, voire déontologique a régler : | Je m'occupe de l'administration systemes et reseaux de l'un des clients de | ma société (serveurs Linux sur Internet, et réseau Windows 2000 AD). | J'ai donc, a ce titre, la connaissance des mots de passe des comptes root | et Administrateurs de quasiment la totalité des stations et serveurs de ce | client. | | Mon probleme : ma hiérarchie me demande de lui fournir tous ces mots de | passe, prétextant (à raison) qu'en cas de probleme alors que je suis | absent, ma société doit pouvoir intervenir (ce qui parait normal). Jusqu'à | présent j'ai refusé, en disant que le client possédaient ces mots de passe | dans son coffre, et que je ne les remmettais qu'avec l'autorisation écrite | du client... Inutile de vous dire que l'argumentation fut houleuse :-/ | | Pour bien comprendre mon probleme, il faut savoir que ma société n'est pas | du tout experte dans l'administration des SI (ce n'est pas notre métier, | nous sommes une SSII/éditeur de logiciels) et que je suis le seul membre de | ma boite qui ait des compétences d'administrateur (en particulier sous | unix/linux !). De plus notre culture d'entrepise ressemble aux pires | cauchemars d'un DSI, si vous voyez ce que je veux dire... (et ce malgré mes | efforts) Vous comprenez maintenant pourquoi je suis aussi réticant à l'idée | de fournir ces mots de passe à n'importe qui... | | Je suis donc à la recherche de tout texte de loi détaillant les devoirs et | obligations d'un admin, afin de savoir quelles sont exactement mes | responsabilités dans cette affaire. Merci de votre aide |
j ai pas trop vu de texte la dessus,
mais tu peux argumenter en parlant des responsabilites de ta boite quand a l utilisatyion de ses machines a des fins licites (stockage temporaire de donnees comme mp3, divx.....) ou a son utilisation lors de piratage ou tentative d intrusion d autre systeme a partir de celle ci.
en effet ta societe etant responsable legalement, elle peut etre penalement poursuivit pour cela, les persones ayant les mdp ne sont pas sous la tutelle de ta societe alors si il y a une personne qui fait des mauvaise manip ou des infraction alors ca sera ta societe qui sera punni, quelque soit les signature oiu persone ayant realiser le forfait car le serveur lui apartient, et donc si elle a donner les acces a sa machine a un individu qui realise des mefaits alors c est sous sa responsabilite. car pour ne pas etre penalement responable, il faut prouver qu il y a eue effraction, c est a dire prouver que ton serveur a ete pirate et utilise (log a l apuit) hors dans ton cas, il n y a pas intrusion mais connection, donc pas d effraction, il a la clef, et de plus il y a de foirte chance au il efface les log ce qui rendra cela encore plus difficile.
pour info regarde le nombre de stro (server ftp warez) que l on trouve heberge sur des serveurs d entreprise, c ets pas un hazard qd mm. il n y a pas que l utilisation de vulnerabilites.
| -- | Rico (RicoSpirit) - http://www.ricospirit.net | Pour en savoir autant que moi sur INN (c.a.d. pas grand chose !) : | http://www.ricospirit.net/inn/
Olivier Saulnier
wrote:
Mais moi j'ai toujours refuser (meme si ca m'as valu des ennuis et aider à ce que je sois maintenant au chomage)
Ca ne m'etonne pas trop...
et ce client m'as fait comprendre qu'il me suivrais ou j'irais.
Le client -societe-, ou le client -personne/ami_avec_qui_je_m'entends_bien- ??? car je pense que vous melangez un peu beaucoup de choses sur ce point. Le perennite est la meilleure des garanties pour un client, et je ne pense pas qu'un salarie quittant sa societe soit un gage dans ce domaine...
je pense que déontologiquement tu ne doit pas le faire quel qu'en soit la loi, c'est au client de donner l'accessibilité aux personnes qu'ils jugent necessaires
NON!! ton client a passe un contrat avec ta societe car il n'avait pas les competences, ou les moyens techniques/financiers pour la realisation en interne. Cela signifie qu'il n'est pas forcement a meme de juger qui doit etre en possession de ce genre d'informations!
Bon courage en tout cas et ne te laisse pas faire. ce n'est pas la lutte des classes tout de meme! :-)
Cordialement, Olivier Saulnier
Yannic@host.free.fr wrote:
Mais moi j'ai toujours refuser (meme si ca m'as valu des ennuis et aider
à ce que je sois maintenant au chomage)
Ca ne m'etonne pas trop...
et ce client m'as fait comprendre qu'il me suivrais ou j'irais.
Le client -societe-, ou le client
-personne/ami_avec_qui_je_m'entends_bien- ??? car je pense que vous
melangez un peu beaucoup de choses sur ce point. Le perennite est la
meilleure des garanties pour un client, et je ne pense pas qu'un
salarie quittant sa societe soit un gage dans ce domaine...
je pense que déontologiquement tu ne doit pas le faire quel qu'en soit
la loi, c'est au client de donner l'accessibilité aux personnes qu'ils
jugent necessaires
NON!! ton client a passe un contrat avec ta societe car il n'avait pas
les competences, ou les moyens techniques/financiers pour la
realisation en interne.
Cela signifie qu'il n'est pas forcement a meme de juger qui doit etre
en possession de ce genre d'informations!
Bon courage en tout cas et ne te laisse pas faire.
ce n'est pas la lutte des classes tout de meme! :-)
Mais moi j'ai toujours refuser (meme si ca m'as valu des ennuis et aider à ce que je sois maintenant au chomage)
Ca ne m'etonne pas trop...
et ce client m'as fait comprendre qu'il me suivrais ou j'irais.
Le client -societe-, ou le client -personne/ami_avec_qui_je_m'entends_bien- ??? car je pense que vous melangez un peu beaucoup de choses sur ce point. Le perennite est la meilleure des garanties pour un client, et je ne pense pas qu'un salarie quittant sa societe soit un gage dans ce domaine...
je pense que déontologiquement tu ne doit pas le faire quel qu'en soit la loi, c'est au client de donner l'accessibilité aux personnes qu'ils jugent necessaires
NON!! ton client a passe un contrat avec ta societe car il n'avait pas les competences, ou les moyens techniques/financiers pour la realisation en interne. Cela signifie qu'il n'est pas forcement a meme de juger qui doit etre en possession de ce genre d'informations!
Bon courage en tout cas et ne te laisse pas faire. ce n'est pas la lutte des classes tout de meme! :-)
