Bonjour tout le monde,
Depuis quelques temps, j'ai installé un proxy Squid qui contrôle les requêtes qui sont opérées sur Internet.
Iptable me permet aussi de filtrer et de logger les connexions autres que le classique Http.
 
L'idée à l'origine était de surveiller l'activité réseau:
- Contrôler l'accès à un certains site (.ru) par exemple.
- Contrôler les contenus téléchargés et bloquer les .exe, .cab, et les .zip.
- Sortir des diagrammes d'activités pour détecter d'éventuels postes corrompu comme le recommande le CERTA ?
 
Bref:
- sécuriser
-logger  
- monitorer mon réseau.  
- Me couvrir juridiquement et ma société si un usage frauduleux d'Internet était réalisé (pédophilie , piratage)
 
Le seul problème est que je me retrouve avec une quantité d'information qui empiète sur la vie privée de mes collègues surtout  
depuis que j'ai généralisé l'usage de Squid à des postes qui sont des postes affectés à un unique utilisateur et non un service.
 
Ma société n'est pas un FAI, mais elle fournit l'accès Internet à d'autres sociétés se trouvant dans les même locaux et éventuellement à nos clients.
 
Ai je le droit et le devoir de garder les logs de connexion au même titre qu'un FAI ?  sachant que mon FAI ne garde que l'IP de mon firewall dans ses logs.
Ai je le droit et le devoir de garder les logs des http transitant via un proxy ?
 
Dois je déclarer à la cnil la base de données créée à partir de ses informations ?

Quelques documents que j'ai pu trouver sur le net:
 
Rétention des données :
http://www.cnil.fr/index.php?id=2398
 
Journal officiel de l’Union européenne concernant la rétention des données de connexion:
http://eur-lex.europa.eu/LexUriSer [...] 063:FR:PDF

Dans l'article sur la rétention des données de la CNIL , on a  
"Selon les informations communiqués par le ministère de l’intérieur, les entreprises et les administrations qui assurent un accès au réseau internet à leurs salariés et agents ne seraient pas concernées par cette obligation de conservation."
 
Donc, je serais obligé de garder:
- les traces des accès de mes entreprises  auquel on a fournit un accès gratuit
- les traces de l'accès de mes clients (pas nécessairement nominatif uniquement technique: adresse MAC ?)  
 
Par contre une affaire de 2005 , http://www.zdnet.fr/actualites/int [...] 610,00.htm
 
Au départ de la procédure, un litige entre la société World Press Online (WPO) et la banque BNP Paribas. Un e-mail mensonger sur cette société est envoyé fin 2003 à deux de ses partenaires commerciaux, à partir d'une adresse Yahoo.
 
L'adresse IP de l'expéditeur mène directement à un poste installé dans les locaux français de la BNP. WPO demande à plusieurs reprises à la banque de lui communiquer les informations pour identifier l'employé, qui se connecte sur le PC incriminé.
 
La BNP ne réagit pas, WPO intente alors une action en référé en juillet 2004 devant le tribunal de commerce de Paris. Lequel ordonne à la banque de transmettre, sous astreinte, les informations demandées. Elle fait appel de ce jugement, et est donc déboutée.
 
Dans leurs attendus, les juges ont apporté une précision importante: ils estiment que BNP Paribas «est tenue (...) d'une part de détenir et de conserver des données de nature à permettre l'identification de toute personne ayant contribué à la création d'un contenu des services dont elle est prestataire, et d'autre part à communiquer ces données sur réquisitions judiciaires».  

qques reponses en vrac :
 

 
Ce n'est pas un problème, tant que tu ne fouille pas volontairement a la recherche d'informations d'ordre privées. Si dans le cadre de ton travail tu est amené a prendre connaissances d'informations privées alors tu est soumis au secret professionel.
 

 
Donc ta société est responsable de tout acte illégal fait via cette connexion à moins que tu puisse prouver que c'est un de tes clients ou partenaires et c'est la que conserver les logs prend tout son sens.
 
 

 
Oui et Oui
 
 

 
Oui et Oui
 

 
Il me semble que oui à moins que tu ne designe un "correspondant informatique et liberté" (en cas de doute appel directement la CNIL)
 
 
Pense aussi a mettre en place de facon très officiele une charte informatique qui explique tous les enregistrement faits et leur but/durée.
 
 
 
Sinon, comment t'y prend tu (quel logiciel/methode) pour sortir tes diagrammes d'activité ?
 
 

Pour commencer merci d'avoir répondu,
 

 
Que des classiques linux
- un script iptable qui logge toutes les connexions et filtre toutes les communications.
- Squid pour contrôler les requêtes HTTP en filtrant par nom de domaine, les contenu .EXE, .VBS...
 
Les différents log sont géré par une application maison J2EE( JSP/Servlet) qui récupère l'ensemble de  mes logges
Je compte un jour la mettre en libre sur le net... enfin quand j'aurai le temps de la finaliser.