Bonjour,
 
je ne sais pas si je post au bon endroit mais j'espère que vous pourrez me conseiller.
 
J'exerce notamment la fonction de responsable réseau au sein de mon entreprise.
 
Mon employeur insiste pour que je lui donne tous les mot de passe de l'entreprise : ordinateurs, mail, administration email, réseau, serveurs, stockage de fichiers, bases de données, sites internet et tout le reste...
 
Un extrait d'un mail reçu ce matin de la part d'un cadre avec bénédiction de mon boss :  
"Il n’est pas normal qu’(mon directeur) et moi n’ayons pas accès à tout et surtout que tu sois le seul à l’avoir en ta possession."
 
Je trouve déjà que distribuer ces passes à tout va à des personnes non-qualifiées est spécialement dangereux mais je crains en plus les dérives que cela peut supposer.
J'ai été obligé de lâcher certains pass aujourd'hui devant ce qui équivaut à une injonction hiérarchique. Seulement je ne crois pas légal qu'un patron puisse demander à avoir la totalité des accès de tout le monde juste pour les avoirs sous le coude au cas où.
 
J'ai un peu cherché sur Internet mais j'entends tous et son contraire. Avez-vous été confronté à ce genre d'expérience et suis-je obligé de lui fournir tout ce qu'il demande ?
 
Merci,

tu trouves pas normal que le boss d'une boite ait tous les accès de son SI, mais le fait que toi si, ca ne te choque pas ?
 
Mieux, si avec ses accès il souhaite tout péter, et te demander de tout refaire ... bah tu referas tout. Ou alors, tu peux aller pointer...
 
Le seul point ou la juridiction peut aller dans ton sens c'est pour les données des employés, ou une charte ou autre.
Mais les accès admin, s'il les veux, tu devras lui filer.

Perso je trouve ça normal, c'est son SI.
 
Par contre rien en t'empeche de creer des comptes admin pour lui.

pour les mots passe des utilisateurs normaux, seuls ces derniers devraient les avoir (meme pas toi!).
en cas de "j'ai oublie mon mot de passe" tu le change et c'est tout.
 
les mots de passe root des serveurs doivent etre stockes bien au chaud, genre au coffre mais ils ne devraient pas servir.
pour administrer tes serveurs tu creer un login/pass par administrateur avec les droits qui vont bien.
 
comme ca si tu es pas la, le ou les administrateur(s) ont leur mots passe et donc peuvent reparer en cas de pepin.
 
et en cas de gros pepin il y a les mots de passe root qui sont au coffre.
 
il est effectivement anomarl que tu sois le seul a avoir acces a tout, tu n'as jamais d'arret maladie peut-etre?
 
et il est tout aussi anormal que ton patron et un cadre aient tous les acces, et surtout pas les login/pass des users.
 
sinon en moins de 2 tout va etre en vrac, ou pire le jour le directeur voudra virer mr michou, hop un petit mail bien hard poste a toute la boite avec le compte de ce dernier et a la porte pour faute grave. c'est vrai ca simplifie la vie. ou un flicage bien mal sain des mail ca conduit vite au harcelement.
 
cote legal je ne sais pas, mais je ne pense pas qu'il ai de probleme.
fait leur lire un peu de droit sur ce qu'ils ont le droit de faire subir ou non comme surveillance/misere aux users.
 
en esperant t'avoir aide, et je n'ai jamais eu ce probleme mais la reponse m'interesse.
 

 
Bah justement, ces codes permettent d'accéder à tous les fichiers et mails de tous les employés. Mon boss en lui-même il s'en fout mais d'autres cadres en feront usage je n'en doute pas.
 
En même temps comment suis-je sensé assurer la sécurité de certains dossiers réseaux avec pass, créés sur demande expresse de mon boss pour y stocker des données spécialement sensibles si après il me demande de donner l'administration réseaux aux cadres, pour les avoirs sous le coudes au cas où. Les cadres en questions n'ont pas accès à ces dossiers là...

 
Certes ce n'est peut-être pas normal que je sois le seul à avoir tous les accès et je sais que cela peux poser problème. J'ai le droit à mes congés comme tout le monde !
En même temps je suis le seul à avoir les compétences requises. J'aimerais bien être secondé parfois mais malheureusement je suis tout seul.
 
Figure-toi que la solution de noter les passes et de les mettre dans un endroit sécurisé je l'ai déjà proposé. L'enveloppe est prête, scellée avec ma signature.  
Je ne refuse donc pas de donner les passes, ils sont à dispo. En même temps je ne les donne pas car il n'y en a pas besoin et aucune responsabilité n'est mise en cause en cas de pépin. L'enveloppe n'étant à ouvrir qu'en cas de réel nécessité.
 
Refus catégorique ! Ils veulent avoir tous les pass et les stocker dans un dossier de leur boîte mail....  

et en prenant contact avec la CNIL ? ils ne peuvent pas te mettre sur la bonne route ?
enfin je sais pas c'est juste une idée comme ça...

Bah je vais essayer de faire ça demain. Mais du bureau ça risque d'être compliqué !

tiens voici quelques liens, je ne sais pas si ils t'aideront :
 
 - http://www.afcdp.net/IMG/pdf/AFCDP [...] evoirs.pdf
 
- http://www.guideinformatique.com/f [...] se-456.htm
 
ca m'interesse grandement... si tu as des nouvelles, n'hésite pas à les partager par là

J'ai trouvé ce document très intéressant  :  
"L’administrateur réseau : un voltigeur sans filet
Laurence" : http://2003.jres.org/actes/paper.130.pdf
 
Il précises quelles sont les obligations d'une administrateur réseau vis à vis de sa mission, de son entreprise et des employés notamment sur le respect de la vie privée.
 
En gros l'administrateur réseau n'a pas le droit de communiquer et de faciliter l'accès et/ou communication de mails ou des fichiers perso (respect de la vie privée et de la correspondance.). Cela coûte 3 ans et 45000€ d'amande !
 
Cela me mets malgré tout en difficulté face à mon employeur. Dois-je me mettre en tort ou tenir tête et subir les conséquences ?

ce que je ferais :
- demander à ce que toutes ses demandes soient établies par écrit et signées de sa main...
- constituer une charte informatique utilisateurs, constituer une charte informatique administrateurs...
- définir un organigramme de responsabilité, mettre au clair ton rôle, son rôle, le rôle des cadres...
- que veulent-ils administrer...
 
et lui amener le fait que juridiquement c'est très très flou... qu'il vaut mieux qu'il se protège et que tu te protèges...
 
- définir une stratégie d'utilisation des mots de passe root...
- sniffer tout ce qui est fait avec le mot de passe root et les mots de passe administrateurs (si tu le notifies dans la charte informatique... je pense que c'est possible...)...

 
Ce que tu propose part du bon sens organisationnel mais est difficilement applicable à ma boîte.  
 
- J'ai déjà de la chance qu'il y ai eu un échange par mail. Tout écrit officiel est à proscrire par défaut.
 
- Définir une charte quel qu'elle soit est bien mais pour le coup je serais seul à parler à moi-même. J'ai passé des journées entières à écrire des procédures de toutes sortes en rapport à nos activités et tout le monde s'en fout.Inversement quand je suis pas là et qu'on a besoin de mon conseil on me rétorque : il y a pas de procédure, on ne sait pas quoi faire    
 
- un organigramme nous avons déjà essayé.
Je te résume la situation : l'entreprise est géré par une famille. Le cadre se trouve être un jeune cousin du patron. L'organigramme des responsabilités et de la hiérarchie se résume ainsi : je suis de la famille donc je suis chef, tu n'est pas de la famille donc tu fait ce qu'on te dit. Je caricature mais ce n'est pas loin de la vérité.
Nous sommes tous multi-casquettes, multi-métiers. Pour te donner une idée : moi je suis informaticien de formation donc je gère les PC et le réseau, je suis aussi journaliste, cadreur, monteur vidéo, photographe, web développeur sur une boutique et j'en passe et des meilleurs. Pour tout cela je suis salarié en tant que conseiller commercial bien que je n'en ai jamais eu les fonctions. C'est un peu comme ça pour tout le monde.
 
- que veulent-ils administrer ? Ils ne sauront pas répondre. Ils veulent avoir accès a tout point.
 
- malheureusement les systèmes que j'ai à dispo ne peuvent pas gérer de droits multiadmin. Que ce soit pour le réseau, le stockage, les PC il y a le compte admin qui a tous les droits et les compte utilisateurs. Malheureusement les outils que j'ai à dispo ne permettent pas de faire mieux. C'est pour ça que je me méfie aussi car s'il n'y a qu'un seul compte il n'est pas possible de suivre qui fait quoi dans la gestion.

compte tenu de ton statut de conseiller commercial (je pense donc qu'il n'est marqué nulle part sur ton contrat que tu dois administrer le systeme d'information de la société...)... je leurs donnerais alors les mots de passe et refuserais de gérer par la suite le réseau et tout ce qui s'en suit... c'est la seule solution je pense...

Bonjour,  
Çà me rappelle mon ancien travail. Le patron voulait avoir accès à tout (serveur, mot de passe, dossier users (heureusement pour moi qu'il ne touchait pas à ce qu'il ne connaissait pas). Les logiciels piratés. Un vieux NT4 qui ne voulait pas remplacer, un logiciel préhistorique. Soit que je me manifestais et hop chômage, soit je fais mon boulot.

 
C'est quoi un contrat ?    
On a pas de contrat nous. On a une lettre d'embauche point.  

drapal

 
lol, mais t'as signé un contrat avec ton employer, CDD, CDI etc

non nous avons juste eu une lettre proposition d'embauche avec le salaire, les heures et les avantages à renvoyer "lu et approuvé".
J'ai plusieurs fois demandé et on m'as toujours répondu qu'en CDI le contrat n'était pas obligatoire !

Effectivement, il me semble que si pas de contrat, le CDI est par défaut.
Mais honnêtement, ca me semble une belle boîte de branquignole! Il y a des choses qu'il faut mettre sur papier quand même!

redige un mail a ton patron et aux cadres de la boite (avec toi en copie) pour résumer leur demande et en faisant un point sur ce qu'ils pourront faire et les risques encourus.
 
la mode étant aux parapluies, l'idée est de prouver que tu as bien executé la requete de ta direction et que tu les a prevenus des risques (problemes de securité, restrictions legales (vie privée) etc.
 
il faut aussi rediger une charte pour les employés les avertissant clairement que les cadres ont un acces complet a leurs données.
 
la jurisprudence reconnaît la possibilité à l’administrateur de lire les contenus des messages, il n’est pas en revanche autorisé à les divulguer même à ses supérieurs hiérarchiques
 
il y a une notion de secret professionnel pour un administrateur réseau : meme si on détecte une activité illicite, on peut avertir son employeur qu'on a trouvé quelque chose, mais on ne peut lui donner les détails sans une autorisation du tribunal (la direction doit faire une demande pour acceder a ces données !)
 
ton histoire et ton statut sont bancals, sois prudent, car a vue de nez ta boite est tres clairement hors la loi  

 
Moi je dirais complètement hors la loi, j'ai jamais vu un contrat en CDI, CDD etc avec une lettre de proposition d'embauche.
Pour moi la lettre de proposition d'embauche porte bien son nom, après y a un contrat à signer avec l'employeur, une copie pour toi l'autre pour ton employeur et après avec le contrat l'employeur te déclare.
 
On a un stagiaire depuis 2 semaines et il a signé un contrat avec l'employeur, je crois une forme de CDD.
 
T'as au moins une copie de t'as lettre d'embauche?
 
Après si il t'as un accident du travail ou que tu merde un truc là, ta boite peut se retourner sans problème contre toi car tu n'as pas été empoché pour cette fonction.
Moi je dis, régularise vite tous ça car toi tu es hors la loi à ce niveau là.
 
Après que le patron est tous les pass je trouve ça normal, c'est quand même chez lui.

Oui j'ai gardé l'original pour moi et j'ai renvoyé une photocopie que j'ai signé en original. Sinon je n'en aurais pas eu.
 
Si je suis engagé pour un truc et qu'on me fait faire autre choses je ne pense pas que ce soit moi qui suis fautif ou hors là loi. C'est comme si un patron ne déclare pas ses employés. L'employé est victime, pas responsable. Je me trompe ?

 
Bien je pense que si il y a un problème il peut te tomber dessus en disent que tu n'avais pas à faire ça (t'occuper des serveurs et du réseau) mais que tu était chargé du commercial.
 
Mais cette boite elle est vraiment bizarre je trouve, c'est de la grosse négligence tous ça.
Surtout que je vois pas l'intérêt de déclarer quelqu'un sous une autre fonction que la sienne.

ca mérite une visite de l'inspection du travail tout ca  (coup de fil "anonyme", et hop)
 
le problème majeur c'est la notion de "parapluie" dont je parlais.
 
si il arrive une couille sur le réseau (sachant que tout le monde en gros a les pleins pouvoirs... ), qui sera responsable ?
si des informations confidentielles et personnelles sont dévoilées ou utilisées contre un employé, qui sera responsable ?
 
l'idée étant qu'on ne te mette pas sur le dos les erreurs commises par d'autres.
 
et concernant ton contrat fantôme, n'hésite pas a demander les conseils d'un juriste, parce que même si y a la notion mystique de "contrat pas obligatoire en cdi" , c'est quand même ce qui définit ton statut, ton poste, ton salaire, tes horaires, la convention collective, etc...
 
si demain ton patron décide de te sucrer 500€ sur ta paye tu va dire quoi sans salaire de référence ou contrat signé ?

ca mérite une visite de l'inspection du travail tout ca  (coup de fil "anonyme", et hop)
 
le problème majeur c'est la notion de "parapluie" dont je parlais.
 
si il arrive une couille sur le réseau (sachant que tout le monde en gros a les pleins pouvoirs... ), qui sera responsable ?
si des informations confidentielles et personnelles sont dévoilées ou utilisées contre un employé, qui sera responsable ?
 
l'idée étant qu'on ne te mette pas sur le dos les erreurs commises par d'autres.
 
et concernant ton contrat fantôme, n'hésite pas a demander les conseils d'un juriste, parce que même si y a la notion mystique de "contrat pas obligatoire en cdi" , c'est quand même ce qui définit ton statut, ton poste, ton salaire, tes horaires, la convention collective, etc...
 
si demain ton patron décide de te sucrer 500€ sur ta paye tu va dire quoi sans salaire de référence ou contrat signé ?

Sans être juriste, un salarié ne sera jamais inquiété parce qu'il ne s'est pas occupé de l'administratif lié à son embauche.
C'est l'employeur seul qui devra en assumer les conséquences et qui risque que son salarié obtienne un statut et des rémunérations supérieures à ce qu'il avait convenu unilatéralement et de manière informelle.

Sur le fond du problème, tu dois fournir à ta direction tous les accès aux matériels et logiciels qui permettent l'activité de la société.
Tu dis te poser un cas de conscience sur les mdp utilisateurs.
Comment se fait-il que tu les connaisses toi-même ?
Etes-vous sous domaine ? Quelle est votre messagerie ?

Par contre tu fournis tous ces accès par écrit en notifiant clairement qu'une mauvaise utilisation de ces derniers ne peut engager ta responsabilité sur le bon fonctionnement du système informatique ou le respect de la vie privé et des libertés.
Qu'à ce titre, les accès ne doivent pas être fournis à des personnes qui n'auraient pas de taches techniques à effectuer.
Et tu sensibilises ton boss sur le droit en la matière.

Ne prends pas sur toi le fardeau. Laisse faire ta direction. Elle en assumera les conséquences si cela en vient au juridique.

Par contre n'oublie pas la règle de base : toujours converser à l'écrit et reprendre les termes de tes interlocuteurs si ces derniers se sont exprimés à l'oral.

 
gros +1, parapluie obligatoire et c'est ta seule protection.
 
c'est pénible comme méthodologie, mais c'est la plus efficace.
 
par contre, petit détail : si tu as un fichier qui contient les noms, logins et mots de passe de tes utilisateurs (voire plus d'infos), pense bien a faire une déclaration CNIL (si ca n'est pas déjà fait).

J'ai peut-être la solution à ton problème.
 
Ce que tu pourrais faire pour ménager la chèvre et le chou sans blesser personne, serait de mettre en place un domaine Active Directory puis de passer tout le monde en domaine (après avoir créé tout les comptes sous Active Directory en cochant la case > l'utilisateur change son mot de passe à la première ouverture de session).
 
Ainsi, tu ne connais pas les mots de passe de tes utilisateurs puisqu'ils "initialisent" leur mots de passe lors de la première connexion au Domaine et si ton patron veut accéder à leur session pour des raisons valable, il reinitialise le mdp depuis le Controleur de Domaine : résultat, ni toi ni lui n'avez eu à aucun moment connaissance du mot de passe personnel de l employé.
 
Ca me semble correct nan ??
Allez bonne chance et a bientot !

j'avoue que la proposition de nobody est interessante... de plus tu peux, donner un compte administrateur à ton patron... mais sans lui donner accès à tout le domaine, ni aux ressources personnelles des utilisateurs... après les GPO et les permissions sont tes alliés... en plus s'il change le mot de passe des utilisateurs : tes utilisateurs seront forcément au courant que quelqu'un l'a changé... et seront obligé de le demander à ton patron qui devra se justifier auprès d'eux...

drapal, topic utile

 
Oué, d'un autre côté c'est une best practice de Microsoft...
 
Il serait aussi de bon aloi d'ajouter un disclamer à l'ouverture de session en stipulant bien les points les plus importants de ton hypothétique charte informatique.
 
Ce que tu peux également faire, c'est ajouter au audit complet sur toutes les machines (stations et serveurs) à un compte administrateur X que tu auras donné à ces trois bras cassés de manière à surveiller leurs activités et à te protéger en cas de pépins.

Le problème en allouant un seul compte Administrateur X à trois personnes c'est que tu ne peux savoir le quel de ces trois zigotos fait nimporte quoi.
 
La meilleure solution reste plusieurs comptes admins distincts, et la surveillance des logs..dans tous les cas concernant la charte Informatique, elle doit être affichée de manière visible dans les locaux de la boite et signée par chacun des employés et responsables.
 
Ensuite chacun prend ses responsabilités. (J'essaye de remettre la main sur celle que j'ai rédigée il y a 2 ans ^^)

 
Un ou plusieurs, d'où le X.
 

 
Ce que j'expliquais donc lorsque je parlais de l'audit.
 
 

Ok, ba tu reconnaitras que "X et audit" pour parler de comptes et de surveillance de logs, c'est pas très clair..
Enfin..le principal étant de se comprendre, on s'est compris xD

Les informaticiens qui se prennent pour des juristes
Il y a un paquet d'aneries dites ici tout de même.
 
Si c'est toujours d'actualité, rends toi à la mairie de ton lieu d'habitation et demande la liste des avocats de part chez toi (ou la ville la plus proche) ainsi qu'une consultation gratuite.  
Les avocats se prêtent au "jeu", c'est une disposition mise en place il y a qqls années pour facilité l'accès à la justice... et surtout améné des clients.
 
Lui seul te donnera de bon conseil et t'expliquera ce qui est légal ou non.  
Il y a aussi la CNIL, faut pas être pressé.

 
/troll on
Les lamas qui postent juste pour poster...histoire d'ouvrir leur clapets
/troll off
 
Concernant les infos et conseils donnés, je ne vois pas ou est le problème, on lui propose une solution technique qui tient la route dans la mesure ou, effectivement la CNIL apporte la réponse suivante "Charte Informatique a afficher dans les locaux bien en vue et a faire signer par les employés"...sinon a part se déplacer à la mairie t'apporte quoi comme solution ?
 
Pour parler et faire autre chose que remuer du vent ou troller pour le plaisir:
 
Extrait de la CNIL :
Une charte informatique doit-elle être déclarée à la CNIL ?
Il n'y a pas obligation de déclarer une charte informatique à la CNIL. L'ensemble des recommandations de la CNIL sur le bon usage de l'informatique sur les lieux de travail a été réuni dans son rapport intitulé «La cybersurveillance  sur les lieux de travail»
 
L'accès à la messagerie d’un salarié en son absence
http://www.cnil.fr/dossiers/travai [...] n-absence/
 
Le contrôle de l'utilisation d’internet et de la messagerie
http://www.cnil.fr/dossiers/travai [...] essagerie/
 
 
Allez salut.

Tu as du te sentir concerné, mais passons.
 
Oui je lui conseille d'aller voir un avocat car les données de l'entreprise appartiennent à l'entreprise.
Et il y a confusion dans ce qui est décrit entre les attentions des directions et permettre à la direction d'avoir connaissance des données de l'entreprise.
 
Mieux vaut s'en assurer auprès d'un avocat plutot que de se faire virer pour faute lourde et ce quelque soit les attention de son boss (c'est pas son problème).
 

Seule les données clairement identifiées comme personnelle ne peuvent être lues.
Il suffit à la direction de prévenir le comité du personnel (CP) et les personnes dont les données vont être consulter pour pouvoir le faire.
 
La CNIL ne pourra rien faire si la procédure est suivie. Sur une affaire vécue identique à ce que je décrit, suite à une plainte du CP la CNIL... celle ci à tout simplement répondu que la direction était dans son droit (elle avait prévenue CP et personnes).  
 
Donc prendre connaissance des données des employés (qui sont avant tout celles de l'entreprise) est tout à fait légal.
Et comme l'indique le document que tu cites "La cybersurveillance sur les lieux de travail", seuls les moyens dit intrusifs (keylogger, outils type VNC...) sont proscrit.
Et que la surveillance n'est pas un delit tant qu'on respecte la vie privée et donc les données privée.  
Encore faut il que l'employé ait clairement classifié les données personnelles.

Afin d'appuyer cela :
 
Sur le problème juridique de l’accès aux données des salariés, qu’ils soient sur serveurs ou leurs matériels professionnels (PC, clés USB, etc.), la CNIL, en reprenant les termes de la Cour de cassation indique la chose suivante : « Tout ce qui n’est pas identifié comme « personnel » est réputé être professionnel de sorte que l’employeur peut y accéder librement. »
 
Egalement :
 
« Il a été jugé que les fichiers créés par un salarié grâce à l’outil informatique mis à sa disposition pour l’exécution de son travail sont présumés, sauf si le salarié les identifie comme étant personnels, avoir un caractère professionnel (Cour de cassation, 18 octobre 2006). »
 
CF :
http://www.cnil.fr/dossiers/travai [...] n-absence/
http://www.cnil.fr/dossiers/travai [...] essagerie/