Bonjour,
 
J’ai une question d’ordre juridique et technique concernant la politique de sécurité informatique et de la lutte anti spams au seins d’une entreprise
 
L’entreprise pour laquelle je travaille prends très au sérieux la sécurité informatique via des campagnes d’information et de répression. Chaque salarié a un compte Citrix permettant de se connecter avec un client léger a une session qui lui est propre.
 
L’entreprise est suisse. Mais je travaille dans des locaux en France. D’ailleurs, depuis notre session, notre IP est suisse.
 
Pendant cette campagne de sensibilisation, l’entreprise envoyais elle-même des spams pièges pour vérifier notre vigilance
 
Passé cette campagne, l’entreprise as sanctionné par un avertissement un salarié qui as cliqué sur la pièce jointe d’un email piège envoyé par l’entreprise. La campagne avais pris fin. Ils sont passés à la répression. J’ai trouvé ça sévère. Et peux être même illégal.
 
Moi il m’est arrivé la même chose, mais en plus drastique. Pour scanner un document, on doit rentrer son mail directement sur l’interface de l’imprimante multifonction et récupérer le document scanné en format PDF dans notre client mail (IBM Notes).
Le premier essaye c’est soldé par un échec, bourrage papier. Le deuxième essaye etais une réussite.
Dans mon client mail, j’avais 2 mails espacées de 5 minutes en provenance de l’imprimante, je clique donc sur le deuxième, car le premier essaye de scan c’etais soldé par un échec. Mais pas sur la pièce jointe car c’etais un format Word au lieu de PDF. Je regarde l’adresse de l’imprimante, une faute d’orthographe dans le nom de l’imprimante, qui est constitué de 3 lettres avec une suite de chiffes accolés. Je mets ce mail dans mes SPAM et souffle, et suis rassuré, j’ai failli tomber dans leur piège.
Je clique sur le premier mail, c’etais mon document scanné en PDF.
 
Le lendemain, convoqué a la RH, ils doivent se prononcer sur un avertissement pour manquement a mes obligations de vigilance. Le deuxième mail etais un piège envoyé par l’entreprise.
 
Je n’ai pas cliqué sur la pièce jointe. Juste cliquer sur le mail. Le danger est bien lorsque l’on clique sur une pièce jointe, non ? Pas en ouvrant juste le mail ?
Je trouve leurs politique tres cavalière car ça implique aussi une surveillance de nos faits et gestes afin d’adopter des stratégies de pièges pour nous pousser à la faute.
On t’ils le droit d’adopter ce type de stratégie et d’applique ce types de sanctions ?

C’est plutôt dans la section « Systèmes & Réseaux Pro » que ça devrait être posté, non ?

Essai (et je te fais grâce des autres fautes) !

Ça, c’était vrai quand les e-mails ne contenaient eux-même que du texte simple, sans formatage (pas de gras, ni d’italique, mais juste des liens hypertexte au mieux).
Mais depuis qu’on peut écrire des e-mails en HTML (donc, de vraies pages Web, avec mise en forme, inclusion d’éléments externes et tout), ce n’est plus aussi inoffensif qu’il y a 25 ans : quelqu’un peut très bien intégrer dans son message des éléments que toi, tu ne verras pas ou ne percevras pas comme dangereux, mais qui pourront lancer des actions sur ta machine, ou indiquer à l’émetteur que tu as ouvert son message…

C’est d’ailleurs comme ça que tu t’es fait gauler : une simple image dans le corps du message, mais hébergée depuis le serveur piège, fait que ton client e-mail va devoir appeler cette image depuis le réseau pour la charger et l’afficher, et cet appel depuis ta machine sera enregistré sur le serveur (tu as cette vidéo qui explique ça très bien, et c’est pour ça qu’on ne recommande de n’afficher et rédiger les e-mails qu’en texte simple, surtout pas en HTML, parce que ça réduit les risques d’activer involontairement des scripts de pistage intégrés ! Alors, oui, ça fait pas plaisir aux marketeux et autres pubards, mais OSEF, d’eux).

Même si la démonstration est exacte, avec ce type de raisonnement on serait encore à l'âge de pierre.

Plus sérieusement, on peut aussi comme les clients email modernes le permettent, bloquer par défaut l'affichage et le chargement de tout élément externe.
Ce qui évite ce type de problème, tout en permettant à l'utilisateur de charger ces éléments s'il le souhaite, et donc de bénéficier d'une expérience "enrichie". On peut même envisager un filtrage par domaine interne.

Je ne connais pas la législation du travail Suisse, ni le règlement intérieur de ta société, mais une entreprise qui utilise encore Lotus Notes et fait peser en parallèle la responsabilité de sa sécurité informatique sur les utilisateurs en traquant leurs erreurs ne me semble pas vraiment cohérente dans sa démarche.

D’accord. Merci pour ta réponse
 
Pour la sanction, je ne vais certainement pas la contester ou aller aux prud’homs ou autres. Je recevrais juste un « email » physique dans ma boite aux lettres que je pourrais ouvrir et lire sans risque de m’électrocuter ….
Je me pose juste des questions d’ordre stratégique, technique et juridique.
 
Je comprends grâce a toi qu’un pirate ou un administrateur qui fait des pièges peux envoyer des mails avec dedans une image dédiée et de faire de la corrélation afin de savoir qui ouvre tel mail.
Et que c’est surtout utilisé à des fins commerciales plutôt qu’a des fins malveillantes.
 
Nos sessions sont très limitées. Nous ne pouvons pas aller sur tous les sites, nous ne pouvons pas installer des logiciels tiers, modifier les paramètres de notre client de messagerie….
Nous n’avons pas accès aux réglages de notre client mail (comme par exemple afficher ou pas le contenue distant).
 
Pourquoi adopter une stratégie répressive basé sur des pièges et des sanctions plutôt que d’adopter une stratégie qui éviterais ce genre de risque ?
 
Et ont-ils le droit de sanctionner pour un email piégé par l’entreprise elle-même ?
Ont-ils le droit de surveiller chaque session afin, de, dans mon cas, envoyer un email piège lié a mon usage du scanner quelques minutes plus tôt ?

c'est quand même particulièrement tordu comme pratique. Vous n'avez pas un syndicat dans votre société pour tirer ça au clair?

Comme tu dis visualiser un mail n'est pas dangereux, dans le doute regarde l'expéditeur, bloque les adresses au fur a mesure si ton client le permet.
 
Je pense qu'a la fin tu finiras par te faire engueuler parce que tu aura jeté ou raté un mail important que tu pensais être un hameçon si tu n'as même pas le droit d'ouvrir un mail par erreur. Leur methode n'est surement pas la meilleure.
 
Vous avez le droit d'apporter des clef usb ? ou avez vous tout simplement des port usb ?  
 
Faut demander a un juriste pour le reste mais ca ne me choque pas plus que ca suivant La branche ou tu travailles qu'on vous aide a prendre conscience des risques. Peut être que vous avez été ciblé récemment et que la boite est inquiète.  
 
Par contre j'aimerais pas être a ta place d'entrer un mail a chaque scan ^^, chasse au gaspillage peut être. Je compatis