Bonjour tout le monde,
 
 
Je lance un petit sujet pour connaître les bonnes pratiques concernant les lecteurs réseaux "commun".
 
Autant il est facile de gérer des répertoires perso des users, ou encore des lecteurs à certains services. Mais ceux qui sont disponibles à tous comment les gérer vous ?
 
 
C'est un sujet suite au poste sur le Cryptlocker
 
 
Au plaisir de vous lire.

Vaste sujet, mais j'aurais tendance à simplifier par "qu'est-ce que les utilisateurs doivent mettre dans ce lecteur/répertoire commun ?"
Ainsi, ça limite souvent à 1-2 voire 3 personnes par service qui alimentent ce répertoire, pour xxx consultants. Cas typiques : organigramme de service, synthèse de réunions à portée générale, partage de documentations interservices, notice d'utilisation/aide sur du logiciel de base, documentations syndicales et RH, etc

Merci pour ta réponse, effectivement difficile de faire un truc qui puisse être pratique pour les users, mais qui soit pas aussi une passoire.  
 
Car ça va très vite la dérive et la demande de droit à tout vas.

Cela reste une chose qui doit être réfléchie avec ta direction et les autres services.

Dans ma boîte nous avons un commun qui est le centre névralgique de la boîte plus personne ne travail dans son coin tout est sur le commun. Les dossiers Perso servent juste de tampon avant la copie sur le commun.

Concernant les cryptolocker pour moi une bonne éducation de tes utilisateurs et de la prévention reste encore le meilleur moyen de prévenir ce type de menace (et un bon anti-spam ). J'ai appliqué ce principe la ou je bosse et maintenant quand un mail suspect arrive malgré tout dans une boîte mail soit on me le transfère pour vérification ou on m'appelle pour me demander si cest ok ou pas.

Resultat, je n'ai jamais eu à gérer une infection par cryptolocker.

Oui je suis d'accord avec toi, c'est avant tout une décision de la direction pour la sécurité. La boite à embaucher il y a 2 mois un responsable sécurité apparemment (35 ans de boite dans des banques avant), ça va permettre de mettre les choses à plat, et aussi pour moi d'apprendre d'un expert en sécurité.
 
Pour les virus c'est clair que 90 voir 95% passent par des choses à la con. Mais l'éducation des users et longue et laborieuse, mais indispensable

Les bonnes pratiques, ce sont justement de ne pas avoir ce genre de dossier qui va vite devenir une poubelle ingérable et pour qui personne ne sera responsable

Justement, que proposer comme alternatives pour pouvoir échanger des données entre collaborateurs du coup ? sinon ça fini par des clés usb qui trainent ou des fichiers envoyés par mails

C'est bien la que tu te trompes. Le commun de ma boîte est loin d'être ce que tu décris car d'une part je veille au grain et surtout la création de dossier sauvage est tout simplement interdit et dans le cas d'un sous dossier un mail est envoyé si personne ne le range ou me donne une raison de sa présence il est purement et simplement supprimer. Le tout avec l'accord de la direction.

Depuis maintenant 5 ans ça tourne et tout le monde s'y retrouve. Suffit juste d'investir un peu de temps par semaine et d'avoir les outils de contrôle adéquate.

ça marche qd tu as 10 users et tous à portée de main. Passer qq temps par semaine pour gérer ce genre de chose, c'est du temps perdu sur des vrais choses qui apportent de la valeur

Comme toujours, la réponse est "Ca dépend des tes besoins et de ton budget"
 
Un SharePoint est pas mal pour ça. D'autres logiciels permettant de travailler en collaboratif. Dans le pire des cas, jouer sur les ACL et les groupes pour que les données soient lisibles de façon transversales (sous certaines conditions).
Tu peux aussi créer un dossier "Commun" propre à chaque service, avec quota et responsable. Ce sera à lui de faire le ménage et de gérer les données contenues dedans. Pas la meilleure méthode mais la moins coûteuse en temps/argent.

vaste sujet Micko77666
Il faut éviter le plus que possible de mettre des communs.
Nous avons des repertoires par service.
seul les personnes du service peuvent les voir (via fonction abe du cifs)
Nous avons un endroit "interservice" avec comme nom de repertoire
ServiceA-ServiceB
Ca limite même si ce n'est pas parfait.
apres pour ce qui est commun commun, il y a des fichiers sur l'intranet voir des logiciels spécifique (exemple GED pour la qualité)
 
 

Environ 60 users, avoir une organisation correctes des fichiers de la boîte ne me semblent pas être du temps perdu. Aujourd'hui mon reseau tourne et ma supervision m'alerte d'un éventuel problème et j'ai un suivi en temps réel je ne suis pas du genre à faire de l'informatique pour faire de l'informatique donc du temps j'en ai.  Maintenant comme toujours ton avis n'est pas le mien sans doute n'avons nous pas les mêmes choses à gérer.

"ça marche qd tu as 10 users et tous à portée de main. Passer qq temps par semaine pour gérer ce genre de chose, c'est du temps perdu sur des vrais choses qui apportent de la valeur"
 
Effectivement sur un parc de 1000 ou 2000 machines tu ne peux plus faire ça, même dans mon cas pour 350 personnes ... j'imagine pas le bordel
 
 
"Comme toujours, la réponse est "Ca dépend des tes besoins et de ton budget" "
 
Besoins assez simples, juste d'éviter d'avoir une passoire niveau virus et droits en fait. On recherche pas forcément un truc avec un workflow de validation ou autre.  Après pour le budget ça peut se défendre, ou au pire je peux proposer la direction acceptera ou refusera en connaissance de cause.
 
Mais c'est vrai que ça reste j'ai l'impression un gros soucis pour beaucoup de société, soit tu as un truc trop souple avec les emmerdes à la clés, soit un truc très rigide et à la fin les gens gueulent ou contourne ton système

J'ai un peu le même nombre de user (450) et en effet, on a un commun....ou plutôt, une poubelle géante. Ce truc existe depuis la création du réseau, après 15 ans, je te dis pas le bronx (une petite moyenne de 615000 fichiers qui forcément appartiennent à tout le monde et...personne.).  
Après, on a tenté de le dégager, mais d'autres problèmes sont venus avec, comme l'utilisation de trucs tiers genre dropbox, wetransfer ou drive privé, donc au final, une totale perte de contrôle des data.  
Nous avons donc encore un commun, mais dédié au transfret de données entre les services. Tous les 15 jours, les données sont purgée. Le passage à Google nous simplifie encore un peu la donne, comme maintenant, tout le monde gère ses fichiers et leur partage depuis leur drive (voir les team drive)

Effectivement la où je viens de commencer il y a aussi Google Drive et Gsuite, du coup il y a une partie qui traîne sur le cloud, mais jamais sauvegardé sur site .... c'était comme ça avant que j'arrive, pas fan mais bon ....

Tu peux faire une sauvegarde sur site si jamais. Il te faut activer une clef api globale (donne un rôle plus ou moins équivalent au tenant ) et permet de downloaded même les fichiers dans les répertoires privés.

perso, je bannirais ce genre de pratique,
aucune personne n'est capable de prédire la classification des données qu'il va poster dedans, et on se retrouve avec des donnée confidentielle a la vue de tous.
 
en ce qui concerne les gdrive c'est une plais, vérifier bien que dans le cadre d'une utilisation pro, vous pouvez détruire toute les donnée en cas de vol d'un poste portable branché dessus

J'ai aussi cette problématique de l'énorme fourre-tout "commun" qui était déjà là quand je suis arrivé: impossible de le supprimer sans proposer une alternative efficace au quotidien, sinon ça retombe dans les travers d'échanges de clés usb, de transfert de gros fichiers en multiples versions par la messagerie, etc...
 
Quelques pistes pour améliorer les choses, sans pour autant résoudre le problème:
- J'ai éduqué les utilisateurs: c'est un peu moins le bordel, mais eux-mêmes ne savent pas forcément comment "bien ranger", et en fonction du poste et de l'utilisation des données ils n'ont pas la même logique de classement.
- J'ai éduqué les responsables de service, pour que chacun décide d'un rangement des données qui concernent son métier/service: certains responsables ont fait le job, d'autres pas, ça dépends de leur aisance avec l'informatique, qui impacte directement leur envie d'optimiser le boulot avec l'informatique.
- J'ai crée des dossiers "par service", avec une structure qu'ils ne peuvent pas casser et un accès réservé aux membres du service: ça fonctionne bien, ils s'organisent là-dedans, ils mutualisent et structurent les données du service => reste le problème du partage des données "entres différents services", pour ça certains fonctionnent encore avec les communs (donc aucune confidentialité, et risque de perte ou de modification de données par n'importe qui), et d'autres font une copie des données vers les communs (ils gardent la bonne version dans le dossier de service, mais ça fait donc des copies et versions à gérer, et la modification est à sens unique)
- J'ai crée des dossiers "par thème", j'y associe des groupes d'utilisateurs de l'AD: ça ne dépends plus d'un service en particulier, mais il faut bien identifier les thèmes pour ne pas multiplier les dossiers, et il ne faut pas que "tel utilisateur doive juste accéder au sous-sous-dossier xxxxx de tel thème" sinon on revient au problème de finesse et de gestion au millimètre (je ne peux pas passer mes journées à faire ça)
- une meilleure exploitation des fonctionnalités des logiciels métiers permets de ne pas augmenter le nombre de fichiers excel (bon après, même quand une donnée est accessible dans une bdd, les utilisateurs aiment bien les éditer en excel et en laisser partout )
- évidemment tous les fichiers qui dépendent d'un logiciel, d'un script, d'une macro (pas "juste gérés à la main par zozo de la compta" ) sont rangés dans d'autres dossiers que le commun, afin que ça ne soit pas cassé par un couper/coller d'un utilisateur.
 
L'idéal serait un sharepoint ou équivalent, pour garder la main sur la structure générale mais donner de l'autonomie aux utilisateurs, qui pourraient alors définir eux-mêmes les droits sur leurs données... mais c'est un gros projet qui n'est pas dans les priorités: l'augmentation régulière de la taille du "commun" est moins rapide que l'augmentation du stockage (baie + sauvegarde + archivage), le "bordel organisé" est relativement stable, ce qui nécessite de la confidentialité est petit à petit rangé dans des dossiers de service ou de thème (avec parfois des problèmes insolubles, mais "il n'y a pas de question que l'absence de réponse ne finisse par résoudre" ), et les documents "connus" et "statiques" (pdf oui, mais pas excel...) sont petit à petit déplacés vers une ged.
 
Sinon une solution pour repartir à zéro: un cryptolocker et "j'ai tout récupéré dans la sauvegarde, sauf les communs malheureusement"

Nous avons embauche un RSSI qui a été chez Total et d'autres grands groupes et je dois faire un access review avec lui. Avec 30 ans de métier je vais pouvoir avoir son expertise sur le sujet, je suis pressé .
 
Mais visiblement il m'indique qu'en gros, chaque répertoire avait plusieurs groupes il y avait des users avec jusqu'à 100 groupes (pour avoir une granularite je suppose).
 
Bref je ferai une réponse quand j'aurai eu son avis détaillé sur le sujet.

On peut aussi réfléchir aux quotas sur ce type de lecteurs.

Oui évidemment, ça évite que Micheline fasse péter le serveur en copiant les 300Go de photos des sorties du C.E. de ces dix dernières années

Oui mais c'est vrai que les quotas c'est toujours un peu la misère avec les exceptions à gérer.

Est-ce que quelqu'un a une arborescence de base type ?

Moi j'avais fait comme ça avant :
 
1) COMMUN  
 1.1) Compta
 1.2) RH
 1.3) Direction  
 Etc...
 
Full droits à tous sur cette arborescence le but étant d'échanger un fichier avec d'autre service.
 
Et exactement la même structure mais SERVICES le nom du lecteur et cette fois ci pour le répertoire DIRECTION par exemple j'avais en droit :
 
- GP_DIR_RO (Read only)
- GP_DIR_RW (Read Write)
- GP_DIR_ALL (full droits)
 
Et le chef de service m'indique qui devait y avoir accès et avec quel type de droit. Ça marche plutôt bien, le soucis beaucoup de gens avec des métiers transverse donc beaucoup de droit partout au final.
 
Et les utilisateurs mettaient trop facilement dans le COMMUN au lieu de ranger ça dans SERVICES. Peut être que mettre des Quota sur les répertoires de commun genre 1 ou 2 go aurait je pense diminuer le soucis.

Dans mon ancienne PME (200p) il y avait :
- un dossier partagé appelé "temporaire", 30go, vidé tous les lundis matins, non sauvegardé (évite les wetransfer)
 
- un dossier partagé pour les fichiers de la boîte avec une arborescence non modifiable jusqu'au niveau 2. Apres, en dessous, ça devenait parfois le Bronx
 
- un dossier partagé "commun" géré en lecture écriture par un groupe AD transversal à la boîte (des gens de la compta, des DP, etc.) et en lecture seule pour tout le reste de la boîte.

Pas mal l'idée d'avoir un Quota + vidage automatique .
 
Après dans ma nouvelle boite, comme ils ont Gsuite, ils ont tous 30Go de Google Drive .... donc pas mal d'échange de fichier par ce biais ... un peu galère à gérer.

 
Quid confidentialité sur le temporaire ? Est-ce qu'un dossier sans droit d'en lister le contenu (mais possibilité de pointer sur un fichier déterminé, quand l'utilisateur met quelque chose dedans il transmet une adresse au destinataire) serait déjà meilleur ?

0 confidentialité en effet, ça servait à échanger des visuels/images cd etc. (Boîte de comm)
Rien de perso ou confidentiel dedans. Il y avait aussi un dossier par équipe que j'ai oublié de mentionner.

Obligatoire si dans ta boîte ça veut du scan to folder depuis du photocopieur  

Dans la mienne ça bascule sur du OneDrive, dans un pack Office 365... 1To par user c'est pas mal, ils peuvent se partager directement les documents c'est pas mal... mais niveau sécu on gère plus rien.
Les users qui mettent du document dessus, je leur signale que c'est quelque part, pas chez nous (pas nos serveurs), entre Dublin et la Pologne. Ah du coup ça refroidi un peu, sauf certains qui y croient. Bah
 
Car au final ça revient à :
- avoir un dossier sans droit d'en lister le contenu par les autres
- possibilité de pointer sur un fichier déterminé, quand l'utilisateur met quelque chose dedans il transmet une adresse au destinataire
Au final... c'est surtout le lieu de stockage qui peut poser problème, car pas "dans l'entreprise".

une bonne pratique aussi et de ne pas donner accès à une/des personne(s) mais à un de groupe(s).

Par répertoire, tu crées un groups READ et un groupe WRITE, ensuite tu mets les bonnes personnes dans les bons groupes.
On peut aussi mettre des groupes dans des groupes (ex, le groupe compta, en read sur le groupe d'accès à un folder X, et en write sur le repertoire Y)

Mais je rejoints les autres, pour du partage commun, sharepoint !

Quand t'as les licences et les CALs et l'équipe admin qui suit le bousin (donc un vrai budget).  

je ne pense pas avoir vu cette info quelque part, enfin on a pas eu le budget et le nombre de personnes dans sa boite !
 
maintenant il y a des DMS open source aussi !

A l'heure de 365, il y a Sharepoint Online

Oui car Sharepoint en interne si tu as vraiment une petite équipe, ça fait pas rêver franchement. Ça reste très lourd pour les utilisateurs au final.
 
Pour Office 365 et l'hébergement des données Online ça dépend de la politique de la société.  
 
 
Après avoir lu tous les avis, je pense qu'il y a pas de solution miracle pour avoir un espace partagé ultra sécurisé. La seule solution que je vois c'est d'avoir un Quota de x Gigas selon la taille de la boite, et une suppression automatique au bout d'un certain temps (sauf certains document RH à mettre en lecture seule par exemple).

les documents RH ne devraient pas être communs mais reservés au Rh !
tu souhaites vraiement que ton salaire soit dipo aux yeux de tous?
 
Après suppression automatique, qui peut juger de ce qui doit être ou non supprimé?

Commun pour toi c'est quoi ?
Des documents généraux qui sont accessibles à l'ensemble des employés ?
Ou juste un espace de transit temporaire pour partager des documents rapidement
 
Pour le premier un sharepoint fait sens, pour le 2eme oui un fileshare avec nettoyage auto des docs à X jours c'est l'idéal (script powershell en tache planifiée par exemple)

je ne sais pas si c'est pour moi qu'est la question mais use case:
 
suppression automatique --> quelqu'un met un doc de travail, tombe malade 3 mois, ton script tourne, quand la personne revient plus rien...
 
je n'ai jamais vu ce genre de procèdure être utilisée (mais je ne dit pas que ça n'existe pas)

Je parlais à Micko.
 
Le but de ce que j'appelle un répertoire de Transit est vraiment le partage adhoc d'un fichier plutôt qu'un envoi par mail.
Il n'a pas pour but de rester sur le partage mais plutôt d'être copié par le collaborateur qui en a besoin.
Le nettoyage est connu de tous et les personnes savent que si le doc a pour but de rester plus qu'une journée il devrait plutôt se trouver le dossier personnel ou d'une équipe

Et pourquoi pas un archivage à l'accès bloqué plutôt qu'un effacement ? En plus virer des data faut pas risquer de procès dans un pays anglo-saxon. Si tu peux pas faire une discovery tu es mal...

Mais qu'est-ce que tu appelles sécurisé ? Si tu veux vraiment contrôler tes documents tu utilises les technos RMS pour y mettre des DRM par exemple.