Bonjour à tous !
 
Je suis en train de réfléchir à fournir des ordinateurs "individuels" à certains de mes collègues. Mais je me pose une question de sécurité importante : ces ordinateurs vont sortir de l'entreprise, se connecter sur leur réseau domestique... pour se reconnecter plus tard sur le réseau de l'entreprise.
 
Ça me pose un problème. Je peux leur interdire de ne pas l'utiliser ailleurs que lors de déplacement mais bon... Et si à chaque retours des utilisateurs je dois perdre 1h à analyser le poste et l'utilisateur a boire un café pendant ce temps...
 
Vous avez des cas de ce type avec des solutions en place chez vous ?  
 
Après peut être que la meilleur solution est de ne pas leur fournir cet ordinateur portable comme matériel principal.
 
Merci

Salut,

Il est difficile aujourd'hui de ne pas avoir d'appareils mobiles (PC, téléphone, tablette) en entreprise.

Déjà, un premier niveau de sécurité est de ne pas mettre les utilisateurs avec un compte administrateur (moi je crée un compte local "User" pour ce genre de personne), de le garder à jour et d'y mettre un antivirus.

Mais les problèmes les plus difficiles sont plutôt le vol, la perte etc.

Pour le moment, les PC portables ne m'ont que très rarement posé soucis question virus et tout ça. Par contre je m'en suis fait piquer quelques uns.

a+

Merci pour ton avis.
J'ai une obligation de crypter ces ordinateurs de toute façon vis à vis de mon groupe.
 
Par contre c'est plus au niveau saloperies qu'ils pourraient choper à l'exterieur, je pensais à une analyse de tout matériel qui sort de l'entreprise, mais c'est fastidieux de mon point de vue. De mon côté mais aussi de celui de l'utilisateur.

La mise en place d'un NAC bloquant peut être une solution, à voir si tes utilisateurs l'acceptent...

C'est toujours la galère le matériel mobile...
 

Salut,
quelle solution antivirus ?
A+

 
J'ai du mal à voir la différence que tu fais entre interieur et exterieur.  
A l'interieur de ta boite ils ne branchent pas de clés usb qui ont trainé n'importe où ? Ils n'ont pas d'antivirus local et tu te reposes uniquement un une appliance réseau ? Il n'y a pas internet sur les postes ?
 
- antivirus
- pas de droits admins (la base de la base)
- chiffrement du disque en cas de perte.
 
C'est déja un bon début. Sorti d'une quelconque appliance/router antivirus filtrage etc, il n'y a pas énormément de différences avec l'interieur. (à moins qu'effectivement tu ne fournisses pas internet dans tes locaux actuellement).
 
 
 
Sinon, la solution un peu overkill (les utilisateurs n'apprécient pas des masses généralement), c'est de leur filer des laptops vides, voire figés, et tout passe en RDP.

Pour l'overkill, tu as oublié aussi de faire passer la connexion RDP par un VPN
 
Après, chiffrer le disque dur, faut en avoir l'utilité je ne dis pas que c'est inutile, mais bon après si les users sont assez idiots pour mettre leur portable bien visible sur le siège passager de leur bagnole alors qu'ils sont sur une aire d'autoroute, bah là le RH il pourra avoir du boulot.

Pour répondre (finalement) à la question, dans de grandes entreprises ça se fait, avec ou sans accès VPN (par clé USB dédiée, calculette OTP, connexion 3G/4G par iBidule), sans chiffrement, sans droit admin (comme leur poste au bureau), et si jamais le portable est perdu, c'est soit considéré comme jetable, soit ils n'en ont pas d'autre.
S'il est volé, donc déclaration auprès de la Police, là dans ce cas ça peut être racheté. Merci la garantie vol dans ce cas.
S'il est cassé, pareil.
Par contre pour le :

Au contraire, si c'est leur matériel principal, bizarrement ils en prendront un grand plus soin qu'un matériel lambda/jetable.
J'ai même vu des utilisateurs qui étaient au regret de devoir se séparer de leur PC portable pour un autre modèle plus récent (pour avoir du Windows 7), tellement ils l'avaient "personnalisé" à coup de stickers, qu'ils le nettoyaient régulièrement, etc etc... même des machines dans un état quasi-neuf pourtant utilisé tous les jours pendant 5-6 ans

Bien entendu, je ne parlais que du principe, pas de la partie technique.    
 
(encore que chez nous on fait avec la RD gateway, en https, c'est nickel, sécure, et ça permet de ne même pas faire rentrer le laptop dans le réeau en VPN. isolation complete.)
 

 
Va voir les topics phrases cultes et informaticiens aigris, puis filtre sur mon pseudo    
 
Edit : tiens, au pif : http://forum.hardware.fr/hfr/Discu [...] #t42308609
 

 
Même réponse que plus haut  
 
Chez nous c'est plutôt "c'est pas mon pognon, je m'en tape".

Perso, je les pousse pas mal dans ce sens.
Aujourd'hui j'ai très peu de données en direct sur les PC portables.

C'est pour ça que de plus en plus de boîte, dans le contrat d'une personne s'il y a mention d'un PC portable et/ou d'une voiture de fonction, font porter une mention sur la casse et le vol aux frais de la personne.
(d'ailleurs en apparté, le coup que les amendes en cas d'excès de vitesse ne soient plus payés par l'entreprise, ça entre un peu dans ce genre de cas)
 
Après forcément si la boîte s'en fout, bah

Entre intérieur et extérieur, ce sont les usages des utilisateurs qui sont différents. (Bien entendu, brancher une clef usb en interne est strictement interdit sauf autorisation service info après test sur la clef.) Les utilisateurs sont plutôt bien disciplinés mais je sais que si ils utilisent leurs ordinateurs à la maison, ils vont aller sur des sites de streamings/.... et risque de chopper divers trucs non agréables.  
 
Je sais que certains n'auront pas le même comportement avec le matériel de l'entreprise à la maison que dans l'entreprise.

 
Il manque un redface, ou tu es sérieux ?
 

 
Même question.
 
Ton routeur/proxy/appliance actuel te permet de faire des stats ? à mon avis non, il n'y a que ça pour expliquer autant d'innocence et d'espoir en l'employé au bureau.

Les gens mentent.
Et ne font pas ce qu'on leur dit.
 
C'est le principe de base quand on leur met à disposition des ressources.
 
La charte/reglement a faire signer est le minimum pour se protéger.
Après il ne reste que les contraintes techniques.
 
Et puis se poser en premier la question : Quel est le besoin ? Est-il légitime ?

 
C'est les consignes du groupe. Après en pratique, je suis d'accord...
 

Oui on a des stats, et les gens sont "plutôt" bien disciplinés. Le pire qu'on ait eut c'est la visite d'un site de lingerie (Pas de sex, hein, boutique en ligne.)

Et dans le futur ?
Il faut penser que les employés changent, certains partent, certains arrivent.
 
Donc il faut s'imaginer que peut-être les nouveaux ne se comporteront pas de la même façon.

Bah dis-donc, je suis impressionné.
Le jour où j'empêche simplement les gens de brancher une clé USB sur leur PC ou que je les force à suivre nos consignes dont ils se foutent éperdument, je finis avec la tête sur une pique en moins de 24 heures

C'est une question de contexte.
Je travaille dans un secteur où c'est ce qui se pratique (ports usb bloqués, mails et internet verrouillés et tracés, identifiants sur carte a puce, etc...).
 
C'est simple, quiconque déroge a ces rêgles est licencié pour faute grave. C'est contractuel.

Ah mais si on s'en donne les moyens, je dis pas, mais là Faust423 semble dire que c'est juste une différence d'usage lorsque les gens sont au bureau ou pas. (et donc s'inquiete que sans personne pour surveiller, les regles ne seront pas suivies, normal)
 
Tu vas nulle part comme ça. soit tu te donnes les moyens de tes interdictions, soit tu te donnes les moyens sur les protections, tu ne peux pas faire ni l'un ni l'autre en comptant juste sur la confiance en "les gens sont disciplinés quand ils sont au bureau".

Bonjour tu peux regarder du coté de deepFreeze comme soft:  cela te fait un snapshot du pc et cela remet cette conf au démarrage du pc. Ainsi quoique fasse l'utilisateur, il est couic:  sa conf ainsi que les softs installés sont "comme figés".  
si en plus tu cryptes le disque et que l'utilisateur n'est pas admin du poste, cela réduit grandement les chances qu'il puisse installer une merde ou qu'il casse le pc.

En tout cas merci pour vos réponses.
 
Je pense que je vais juste faire attention à qui je fourni ce matériel, c'est à dire à ce qu'il y ait un réel besoin et non pas juste pour faire plaisir. (Ce qui était déjà de toute façon la règle. )
Le pc est de toute façon, par obligation du groupe, crypté. Je ne met jamais les utilisateurs admin, les maj sont gérées en interne... Je pense que c'est "suffisant" pour l'instant.

A ajouter : "tu casses, tu payes" comme clause aussi pour le prêt du portable.