Mots de passe et Direction

Cette rubrique vous permet d'échanger vos idées sur tous les aspects de la législation relative à Internet et à l'informatique en général.
<BR>Amis juristes, à vos claviers ...

Modérateur: modos Ixus

Mots de passe et Direction

Messagepar megagolgoth » 01 Oct 2010 11:28

Bonjour,

Je travaille en tant que Webmaster/chef de projet Web et... Administrateur Réseau/système dans une petite boite, et nous avons Windows 2008 Server, avec divers service dont du partage de fichiers.

Ma direction me réclame les accès administrateurs du domaine, et tout mes mots de passe (administrateurs, client sur les sites de prestataires info, utilisateurs, etc...). Mine de rien ca donne accès a pas mal de trucs, dont l'ensemble des fichiers de chaque utilisateurs. L'argument (imparable d'après la direction) est que si un jour j'ai un accident, il ne seront pas perdu, il pourront accéder a ce qu'ils ont besoin.

Petite précision : il y a un prestataire de service informatique qui intervient en assistance utilisateur et administration réseau/système. Moi je ne fait que superviser, et dépanner quand j'ai le temps. Suite a un problème pendant mes congés, il est intervenus dans les délais et avec la qualité attendue.

Donc j'ai deux question :

1- Je ne souhaite pas donner ma liste de mot de passe, quels arguments je peux opposer a ma direction?

2- s'ils me contraignent, et que je la donne, jusqu'où ma responsabilité est-elle engagé?

merci pour vos réponses!
La foi souleve les montagnes, le doute les contournent...
Avatar de l’utilisateur
megagolgoth
Premier-Maître
Premier-Maître
 
Messages: 52
Inscrit le: 04 Jan 2005 13:04
Localisation: Au fond du couloir, à droite, là, derrière les piles d'ordinateurs et les paquets de cables.

Re: Mots de passe et Direction

Messagepar jdh » 01 Oct 2010 15:20

Cela leur appartient !
J'ai convenu avec mon patron que tous les mots de passe utiles était sur une page imprimée dans une enveloppe cachetée et au coffre.


Ne pas donner ce type d'informations ne peut que donner le doute à un patron.
Demander ce type d'informations ne peut que donner le doute à un salarié.


(En général, on ne gagne rien à un bras de fer avec son patron, on a plutôt à perdre ...)
L'intelligence artificielle n'est rien à côté de la stupidité naturelle.
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Re: Mots de passe et Direction

Messagepar Titofe » 01 Oct 2010 16:50

jdh a écrit:J'ai convenu avec mon patron que tous les mots de passe utiles était sur une page imprimée dans une enveloppe cachetée et au coffre.

+1

L'idée n'est pas venu de lui, il ne me les avais jamais demander, mais moi je ne trouvais pas cela normal à être le seul à les avoir (accident, maladie, etc) et puis comme le dit si bien jdh, cela ne m'appartiens pas.
Une erreur ne devient une faute que lorsqu'on ne veut pas en démordre
Avatar de l’utilisateur
Titofe
Vice-Amiral
Vice-Amiral
 
Messages: 599
Inscrit le: 13 Sep 2006 17:02

Re: Mots de passe et Direction

Messagepar megagolgoth » 01 Oct 2010 17:34

Le coffre cela ne me poserai pas de soucis, mais le principe posé par mon patron est plutôt une feuille qui serait pris par qui en aurait besoin, feuille rangé dans une armoire, meme pas fermé a clef... c'est cela qui me gène. Mais je plussoie le principe du coffre.
La foi souleve les montagnes, le doute les contournent...
Avatar de l’utilisateur
megagolgoth
Premier-Maître
Premier-Maître
 
Messages: 52
Inscrit le: 04 Jan 2005 13:04
Localisation: Au fond du couloir, à droite, là, derrière les piles d'ordinateurs et les paquets de cables.

Re: Mots de passe et Direction

Messagepar ccnet » 01 Oct 2010 19:20

Le problème n'est pas tant la remise des identifiants à votre patron (ce qui est normal) que l'usage qui en est fait. Le problème est de prouver qui fait quoi avec un login donné. Là il y a effectivement un vrai problème. Si il n'est pas possible de garantir la confidentialité des identifiants que vous utilisez alors vous devez dégager votre responsabilité potentielle. Si plusieurs personnes peuvent accéder à ces identifiants et les utiliser alors il n'est plus possible pour vous d'être le garant de la sécurité du SI.
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Re: Mots de passe et Direction

Messagepar Franck78 » 01 Oct 2010 21:55

A un moment j'ai eu un problème similaire. Donner? Pas donner?
En général il s'agit seulement de devenir 'administrateur' du domaine AD (une nds il y a longtems).

Trois personnes (de la boite) entrent 'une partie' du mot de passe d'un compte admin.
L'idée était que seul, un 'dirigeant' ne pouvait rien sans les autres.
Comme un coffre avec plusieurs clés en fait.

Appliqué a une NDS, cela permettaiit de créer un admin de l'arbre et des 'sous' admin de l'arbre qui ne pouvaient se détruire entre entre eux tout en restant entièrement admin (sauf des autres admins).
Avec AD, cela doit être loin d'étre réalisable :!:
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris

Re: Mots de passe et Direction

Messagepar jibe » 02 Oct 2010 00:42

Salut,

C'est vrai que le problème n'est pas simple, et je n'ai pas de solution miracle ! Travaillant avec des TPE, je m'y trouve confronté pour chaque installation : impossible de ne pas donner le mot de passe au client, mais à partir du moment où il l'a, il en fait ce qu'il veut et le voir sur un post-it collé sur l'écran n'est pas rare !!!

C'est la même chose que pour tous les autres aspects de sécurité : il faut arriver à faire prendre conscience de l'importance que ça a, et ce n'est pas simple. Que ce soit pour les sauvegardes, l'accès physique au serveur, les précautions à prendre avec les postes nomades, les mots de passe (tant pour leur confidentialité que pour leur inviolabilité - genre pas mettre en mot de passe le login de l'utilisateur !) etc.

On ne peut pas garantir la sécurité d'un système informatique contre la volonté de son propriétaire. Tout ce qu'on peut faire, c'est se couvrir pour ne pas porter les responsabilités de ce qu'on ne maitrise pas.

Dans ton cas, je mettrais sur la feuille même qui donne les mots de passe un texte expliquant la nécessité de confidentialité et les responsabilités qui découlent de la connaissance du mot de passe, et le faire en deux exemplaires signés par la personne qui reçoit la feuille. C'est tout ce qu'on peut faire : informer et se couvrir.
"Le monde ne sera pas détruit par ceux qui font le mal, mais par ceux qui les regardent sans rien faire" (Albert Einstein)

Autrefois, l'Etat défendait des valeurs. Maintenant, il défend des profits... (Anne Haunnime)
Avatar de l’utilisateur
jibe
Amiral
Amiral
 
Messages: 4366
Inscrit le: 17 Oct 2003 00:00
Localisation: Haute Savoie


Retour vers La Législation

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron