Bonjour,  
 
Je suis responsable informatique au sein d’une administration et je commence à en avoir marre de jouer au jeu du chat et de la souris avec les collaborateurs qui abusent de l’accès Internet (surf perso, contenu plus que limite… !!)  
 
Avez-vous des idées pour les « éduquer » et éventuellement les rappeler à l’ordre ? Le problème est qu’on ne peut pas simplement bloquer les sites, on souhaite faire cela en douceur, sans avoir de problèmes avec les personnes concernées…
 
Merci pour vos avis…

whitelist only.
tu bloques tout sauf ce pour quoi on te fait une demande écrite.
 
les gens ne feront que ce qu'ils veulent tant qu'ils ne seront pas fliqué un bon coup.
 
si des gens consulte des contenus "limite", les problèmes sont pour ta pommes, donc c'est à toi de voir.

 
C'est aux gens qui surfent sur d'autres contenus que ceux utiles à l'activité qui devraient ne pas vouloir de problèmes.
Là tu me sembles un peu timoré
Or c'est comme pour la politique intérieure, faut faire changer la terreur de camp !
 
Tu dois rédiger, valider (Direction, Syndicats, DP, CNIL), diffuser, faire signer une Charte d'utilisation du Système d'Information.
Elle rappellera les limites et les moyens techniques en place.
 
Avec ce document, personne ne pourra faire semblant ou être de bonne foi en disant qu'il ne savait pas.
 
En //, tu mets les moyens techniques en place (suivant OK ou non de la direction) : firewall, proxy, QOS, Traffic Shapping, etc.

+1 pour la charte
 
Mais il faut "plus". As-tu également déja un webfilter dans ton infrastructure? Tu pourrais alors filtrer le plus gros (facebook, twitter,... ). Si les gens sont redirigés vers une belle page "accès interdit" lorsqu'ils essaient d'accéder à FB, ça les calmera illico

il te faudrait un firewall et générer un rapport hebdomadaire d'utilisation.
Contacter calmement par mail le top10 en leur expliquant que :
1: tu ne surveilles pas leurs activitées par plaisir
2: leurs sur-activités sur Internet nuit fortement à la qualité du débit qui sert à d'autres pour le surf pro.
3: que c'est comme à la maison, un accès Internet pour x personnes et que si 1 quidam utilise 40% pour du facebook/youtube, il ne reste que 60% pour les 400autres (exemple) et que du coup ça rame pour eux.
 
Quand tu dis administration, tu parle de fonction publique ?
Si c'est le cas, je suppose que tu dois éviter d'aller au conflit avec les personnes concernées.
Le tout est de leur faire prendre conscience que leur utilisation nuit aux autres et que si seulement 5% des personnes avaient cette même utilisation, tu serais contraint de mettre en place une sécurité ultra exigeante sur l'accès Internet (rapport de consommation nominatif aux supérieurs hiérarchique, restrictions d'horaire d'accès, whitelist)
 
ps : Bon courage

Merci pour votre aide.
 
@ShonGail : Oui, la charte ça devient urgent, est-ce qu'il existe des modèles ? Je ne sais pas trop ce qu'on doit mettre dedans...
 
@ceresleloup : non... pas de webfilter... en gros on a une blacklist en fait, pas mis à jour, et c'est loin de suffire, et je n'ai pas le temps d'ajouter à la main tous les nouveaux sites qu'ils consultent ! Mais as-tu des idées de solution de webfiltering efficace ? Vous utilisez quoi vous ?
 
@Fourbe2 : oui justement, je ne le sens pas trop le mail, on a vraiment des gens très susceptible. L'idéal serait un mail automatique à tout le monde (pas que top 10), qui leur donne leur stats, pour qu'il se rende compte de ce qu'il font. J'espère que ça les fera régir !

Nous travaillons beaucoup avec Barracuda qui ont des appliances vraiment user-friendly Tu bloques par url, mots clé et/ou catégorie et tu whitelist les sites vraiment important, tu peux également créer des groupes d'utilisateurs (relié à AD)... vraiment pratique. C'est sûr qu'il y a un certain budget à débloquer (~3K pour le 310) mais c'est vite amorti

olféo : produit tres complet

quelle taille l'administration, combien de personnel?
c'est génant leurs consultations pour la qualité de service (débit) ?

Mais la charte en place avant toute chose, sinon tu prends le risque de te faire défoncer par les syndicats & co.

 
Tu peux en trouver sur Internet facilement : https://www.google.fr/#q=charte+inf [...] e&safe=off
Tu peux aussi te renseigner auprès de la CNIL et aller voir leur site.

On va le dire et le redire :  
-Le SI n'est pas un service de cowboys, on met pas de solution de filtrage technique comme ça, a la sauvette et surtout sans prévenir.
-On a pas le droit de blacklister des sites ou autre, t'es pas un censeur.
-METTRE EN PLACE UNE CHARTE.
-Si abus il y a : c'est pas a toi d'en juger, c'est au RH/Juristes de la boite de le faire
-Tu n'a pas le droit de faire de la délation, en revanche, tu as le droit de fournir les logs clairement identifiés (personnes/activité) sur demande de la direction.
-RAPPEL IMPORTANT : TU NE PEU METTRE EN PLACE DE SOLUTION/CLAUSE QUI IRAIT A L'ENCONTRE D'UNE LOI OU SERAIT PLUS SEVERE QU'ELLE.
-Ne met rien en place sans charte (qui posera les limites techniques de manière claire et concise, pour tout le monde) au niveau technique et sans déclaration préalable.
-Pas d'accès "spéciaux", si tu filtre pour 1 compte tenu de la charte, tu filtre pour tout le monde.

Sur le site de la cnil il existe des guides très bien fait pour mettre en place de telles chartes et expliquent les droits et devoir de la DSI. C'est le premier lieu à consulter pour ce genre de taf.

@ledub : Olfeo, ça me parle, français il me semble, ce qui est un avantage. Je viens de voir qu'il sont au catalogue de l'Ugap : http://www.ugap.fr/offres-produits [...] irect=true... (centrale d'achat) donc pas besoin d'appel d'offre : ce qui pourrait accélérer les choses pour nous.
Peux-tu m'en dire plus sur ton expérience avec eux ?
 
@ShonGail : Merci pour les liens, les RH bossent dessus en ce moment. C'est déjà un début.

Interdire des sites a contenus dangereux ou pouvant poser porblemes legaux a l'entreprise ok, mais si les gens veulent glander sur le net je ne vois pas au nom de quoi les en empecher...

Au nom du fait que t'es là pour bosser ?

D'un point de vue DSI : consommation de bande passante pour des usages autres que ceux en lien avec la boite.

Cet item est plus un problème de la DRH que de la DSI. Après la DSI peut implémenter des solutions pour les RH sur leur demande oui.

 
On est bien d'accord.
 
Mais le truc de dire qu'on est au boulot comme chez soi "parce qu'on le vaut bien" (c)l'Oréal, perso ça m'agace.

 
Légalement tu peut pas restreindre un accès, sous couvert qu'un de tes employés peut en avoir besoin pour des raisons urgentes ou qui ne regardent que lui :
-faire des papiers relatifs a sa vie, ou sa vie dans l'entreprise (syndicats, achats s'il est prouvé qu'il ne peut les réaliser autrement et a un autre horaire)
-Tu ne peut l'empêcher de recevoir des communications "privées" voir même de parler de ce privatif, vue que par définition c'est privé
 
Y'a pas un cadre juridique et légal fixe, mais jusqu’à présent les jurisprudences vont dans le sens du pragmatisme et je doute qu'un filtrage de brute soit validé devant un tribunal. Ca reste une téchnologie toute récente et aussi bien côté entreprise que coté salarié c'est le flou artistique. Moi, dans cette histoire, je préfère prôner le pragmatisme que de devenir une ayatollah du "cadenassage".
La DSI gère la ressource, et selon moi les RH définisse l'utilisation "acceptable", mais doivent être forcés de toute manière a laisser un minimum de libertés : C.F. l'histoire des trajets boulot-maison. Si tu as un accident parce que tu fait une légère bifurcation pour aller acheter du pain, ça reste un accident de travail, mais attention le cadre est strict et défini par jurisprudence.
Et je doute qu'une entreprise ou un employé souhaite être désigner d'office pour qu'on sache vraiment se qu'on a le droit ou pas de faire.

 
 
Ben puisque tu parles de textes légaux, va falloir les sortir.
Parce que celui qui oblige un employeur à fournir à son employé un accès à Internet n'existe pas à ma connaissance.
Ensuite celui qui oblige un employeur à permettre l'accès HTTP/HTTPS n'existe pas non plus, ou à interdire un accès basé sur une whitelist ou sur une blacklist restrictive.
Internet, c'est un outil au service de l'activité. Et on dimensionne son outil suivant son besoin.
Ce qui existe niveau jurisprudence, c'est lorsqu'on a un accès messagerie, de pouvoir s'en servir à de fins privées, à condition bien sur qu cela n'empiète pas sur l'activité, ce qui est de l'appréciation des juges.

  merci pour cette belle réponse    
 
MysterieuseX ne doit avoir à gérer 1000users dont 90% n'en ont rien à foutre de mettre le lien par terre pour voir une vidéo (certes pro) sur youtube parce qu'un fournisseur a dit que...
 
A mon sens, l'entreprise met à disposition un outil. Elle est libre d'en limiter l'accès tant qu'elle ne surveille pas le contenu.... SAUF si charte et déclaration CNIL d'utilisation d'un proxy à enregistrement nominatif.
 
Pour reprendre ta phrase <<La DSI gère la ressource, et selon moi les RH définisse l'utilisation "acceptable",>> non "La DSI gère la ressource et la RH décide de la sanction en cas d'abus ou d'utilisation contraire à la charte".
On ne peut pas utiliser une jurisprudence spécifique a un cas pour encadrer tout le fonctionnement d'un service. Aucun rapport entre le trajet-travail, une baguette de pain, et un proxy.
 
La DSI propose, la direction impose, la DSI (comme un huissier) applique

Un huissier a un mandat légal pour faire ce qu'il a à faire la dsi, non. La DSI a obligation de respecter la loi, doit conseiller la direction des lois en vigueur dans son domaine. Si la direction impose à la DSI de faire quelque chose d'illégal, elle a obligation de ne pas le faire sinon elle en prend la responsabilité...

Bref, avant toute chose si tu t'embarques sur le controle de la connectivité à internet c'est :
1. une charte informatique
2. une communication à l'ensemble du personnel indiquant pourquoi les restrictions sont mises en place

une jurisprudence s'applique au cas similaire au cas générant la jurisprudence. Si une jurisprudence existe pour la restriction de l'accès à internet dans le milieu pro, elle s'appliquera à ton cas

 
 
La bande passante en effet je comprends bien, glander 5min sur le net a lire des conneries, je ne vois pas ou est le probleme, certains vont bien prendre leur pose cigarette et faire un tour dehors ? C'est quoi la logique, faire semblant d'etre la tete dans le guidon non stop de 8h a 18h ?  

 
Je ne dis pas qu'on ne peut pas effectuer son travail tout en surfant sur Facebook.
Je dis juste que permettre l'accès à Facebook n'est en rien une obligation pour l'employeur.

Ah mais si si on peut ... C'est juste risquer pour le SI de filtrer des liens utiles
 

Ok tu iras expliquer à ADOPI que tu voulais pas froisser tes utilisateurs et que ceux-ci pouvaient atteindre du P2P, de la pornographie ou de la pédophilie impunément depuis ton réseau. Pour rappel, l'entreprise est en partie responsable de ce que les employés font, et si tu sais pas dire qui à fais quoi ... T'es mal je pense
 

Faut bien qu'il remonte des stats au RH/Juriste ... Et pas qu'il se base sur une impression.
 

Gné ? Tu peux pas faire de délation (dire qui a fais quoi) mais tu peux dire qui a fais quoi ... Contradictoire
 

Chez nous on empeche les VPN ... Sauf pour certaines destination pour certains utilisateurs identifié ... Je vois pas où est le pb.
 
En fait tu te bases en rien sur des lois là si ? Nan parcequ'on dirait plus le discours de robin des bois, qui protège les pauvres petits utilisateurs ....

Mais sérieux tu racontes n'imp là ... En gros un employé qui n'a pas le net chez lui, tu es obligé de lui ouvrir EBay.fr ou leboncoin ... Curieux de voire le texte de loi ...
 

Bonjour nephtys36,
Pour sensibiliser vos collaborateurs vous pourriez faire un courriel  
en vous appuyant sur les recommandations de M. Pailloux,
http://www.ssi.gouv.fr/IMG/pdf/gui [...] _anssi.pdf
 
Contrairement à ce qui à été dit par MysterieuseX, (règle 5)
 
Justifier le changement de politique/règles, et restrictions qui seront dorénavant mise en place, se justifie par la sensibilité des donnés qui transite sur vos serveurs.
Cependant, certain(e)s auront besoins d'une connexion "libre" pour consulter des services/données personnelle,
 
Libre à vous de mettre à disposition un/plusieurs postes (règle 24).
 
Cette politique s'applique aussi pour les mobiles (Règle 5).
 
voilà, voilà  
 
--
polo

pim
http://www.juritravail.com/Actuali [...] il/Id/1240
 
Selon la jurisprudence, le fait de se connecter de façon manifestement excessive à l'internet sur son lieu de travail à des fins non professionnelles est de nature à constituer une faute grave rendant impossible le maintien du salarié dans l'entreprise.

On est obligé de faire des lois pour des choses évidentes c'est dingue quand même... hallucinant de voir des gens tomber de leur chaise quand on leur demande de "bosser" (oui le travail c'est pas juste un mot, on y va aussi pour bosser..). Ayant moi-même dû faire face à ce genre de problématiques je sais à quel point c'est complexe de restreindre l'accès à Internet pour économiser la bande passante.. la Charte est obligatoire sinon tu vas avoir les DP sur le cul assez rapidement... commence par ça et ensuite une fois que tu es "couvert" fermes le robinet..

Ben faut croire que c'est pas si évident que ça puisque nombre de personnes s'imaginent que l'accès à Youtube au boulot relève des droits fondamentaux de l'être humain ...

 
la délation, c'est quand tu vas spontanément rapporter des faits ( réels ou non ) dans le but de nuit.
c'est pas tout à fait pareil que rapporter les actes de quelqu'un à la direction sur demande de la-dite direction

Mais mettre un système de filtrage, déjà, même si c'est peu courant, ca flic pas forcément ... Ca peu juste filtrer.
 
De toute façon pour répondre au besoin d'une demande ... Tu dois lister ... que l'on appel ça de la délation ou autre, si je me rends compte qu'un de mes utilisateurs DL en P2P, crois moi il va y avoir délation et il va manger bon.
 
Après si il passe ses journée sur un réseau social, m'en fou, mais pardon du peu, le terme délation ici ... Il est un peu foireux, car pour protéger :
- ta société devant l'utilisation frauduleuse de certaines personnes
- sur demande du patron
- pour non respect d'une loi (pédophilie etc ...)
 
il y aura délation (pour nuire) et pour empêcher de nuire ...

Il existe aussi le terme de "dénonciation" qui me semble plus approprié dans la discussion.

En ce qui me concerne la dénonciation ne peut s'opérer que si on est certain que le salarié pourrie tout ou partie du SI volontairement ou sans aucun égard pour l'intérêt de l'activité.

Le mieux est donc dans un premier temps de voir ça avec le salarié lui-même. On peut attaquer la bête en l'informant que son PC (pas lui) génère un trop fort trafic qui nuit à l'activité; qu'il faut vérifier avec lui que son PC n'a pas un problème. Que si on n'arrive pas à déterminer la cause, il faudra des moyens d'investigation plus poussés afin de déterminer les protocoles utilisés et les destinations des connexions.

Si le salarié perdure à ne pas comprendre, il faut ensuite lui indiquer que la cause est déterminée. Sur son PC tourne du P2P, du jeux, du youtube, etc. Que cela n'est pas utilisable au bureau car cela gène l'ensemble des autres salariés. On sort la Charte et tout.
Si le salarié continue à être un gros con, et ca arrive, là on peut aller en causer à son N+1, etc pour définir la stratégie à adopter.
Ma foi, ce n'est jamais qu'un magnifique acte de courage et de Justice que de stopper un gros con dans son élan

Des fois, le salarié peut aussi être de bonne foi. Ca m'est arrivé hier où j'en ai pisté un qui prenait pas mal de BP. J'ai cru que cela venait d'un jeu en ligne auquel il s'adonne. Ben non cela venait d'un Outlook 2013 fraîchement installé en IMAP. Merci à ceux qui pourront infirmer ou non sur le topic que j'ai créé pour : http://forum.hardware.fr/hfr/syste [...] 4232_1.htm

- Ne pas natter les machines
- Forcer le traffic par un (plusieurs) proxy
- Réduire la bp par poste des sites/appli non priotaires/professionnelles (limiter youtube à 4ko/s/IP source ça calme...)

En ce moment j'étudie les nouveaux produits du marché pour les solutions proxys. Il y a en effet pas mal de nouvelles fonctionnalités sur le shapping du trafic rapport au contenu (streaming, social, games etc...) avec par exemple 200mo de traffic youtube puis ensuite bridage du flux à 50Ko/s
 
Un autre bon moyen c'est également de responsabiliser les utilisateurs avec l'envoi de rapport hebdo qui catégorise l'activité (en flux, heures, volumes) selon différentes catégories.
 
Clairement le flicage qui consiste à surveiller les utilisateurs via les logs et à aller leur taper sur les doigts c'est d'une part créateur de tension entre les employés et la DSI et deuxièmement trop chronophage pour les équipes d'exploitation.
 
Également tout passer par une whitelist ca va vite devenir pénible de gérer les demandes cas par cas et générateur encore une fois de travail pour la DSI
 

 
+1...
 
En fait le problème c'est qu'elle répond par des "lois" dont on n'a pas les références... et de plus je suis certain qu'il y a des lois qui se contredisent...  
bref, là ou elle a raison c'est : les juristes... oui si tu as la chance d'avoir un juriste, tu lui donnes... sinon tu dois le faire toi même ou te faire aider...
 
Je trouve que Shongail a raison dans le principe.
 

pour limité les acces hors site pro
il suffit d'un serveur proxy type squid + dansguard (filtre url, et filtre par mot interdit si le site n'est pas referencer).
 
ça s'aparente a du control parentale, mais cela fonction aussi très bien pour les adulte

Pourquoi ne pas essayer K9 Web Protection?