Charte informatique

[Gandalf]

Hello les gens, est-ce que quelques-uns d'entre vous pourraient me faire parvenir des exemples de charte informatique qu'ils ont établis dans leur entreprise. Je sais qu'il y en a quelques uns.
Je voudrai m'en inspirer pour établir celle de mon entreprise et éviter certains pièges à C... pour ne pas me faire planter !

Donc conseils et exemples bienvenus !

Merci de votre aide.

[Gandalf]

Et ho, vous dormez ... y'en a pas un qui a pondu une charte info ? J'ai bien trouvé des modèles sur le net, mais je serais plus intéressé par des chartes qui ont "vécues", ainsi que vos impressions !

Bonne nuit à tous !

[Walkyrie_II]

Généralement une charte dérive d'une démarche SSI et donc d'une PSSI sinon une charte n'a aucune 'légitimité'... tu as une PSSI ?

http://www.ssi.gouv.fr/fr/confiance/pssi.html

PS : Celle du CNRS est pas mal puisqu'elle fait reference a une note prealable et fait parti de la PSSI (qui est disponible )

http://www.sg.cnrs.fr/fsd/

[Gandalf]

Salut Walkyrie, merci de tes liens je potasse tout ça. Nous n'avons même pas de PSSI, tout est à faire ( et je ne suis pas un stakhanoviste de la doc hélas ), c'est pour ça que je voulais m'inspirer de choses déjà faites et surtout éprouvées ! Parce que des chartes déjà écrites j'en ai trouvées quelques kilos, mais il n'y a aucun retour. En fait je ne voudrais pas tomber sur un utilisateur procédurier et tatillon qui nous cherche des poux dans la tête ... parce que je n'ai pas le temps de gérer ça en plus !

Merci, @ +

[Walkyrie_II]

Je me permet de faire un copier/collez d'un texte de support de cours de SSI réglementaire. Tu y trouveraz beaucoup de référence d'article de loi pour justifier ta charte.

§ 2 partie sur le logiciel et le piratage
§ 3 partie sur les intrusions informatiques

PS / ne pas oublier le chapitre CNIL car tu as aussi des devoirs !!!

-------------------------------------------

Code: Tout sélectionner

2 La protection des biens

Selon les estimations d’une association d’éditeurs, 57% des logiciels utilisés en France étaient piratés en 1994. Menacés de contrefaçon, les logiciels méritent une protection. La loi leur a accordée.

La protection juridique des logiciels est régie par la loi sur le droit d’auteur. Le logiciel est donc assimilé aux oeuvres de l'esprit, au même titre que les romans, la musique, les arts plastiques, et est protégé par le code de la propriété intellectuelle.

21 -   Les textes nationaux

Les textes qui régissent le code de la propriété intellectuelle sont les suivants :

-   Loi 92-597 du 1 juillet 1992 relative au code de la propriété intellectuelle ;
-   Loi 94-102 du 5 février 1994 relative à la répression de la contrefaçon et modifiant certaines dispositions du code de la propriété intellectuelle ;
-   Loi 94-361 du 10 mai 1994 concernant la protection juridique et modifiant certaines dispositions du code de la propriété intellectuelle.

22 -   Les oeuvres protégées

La loi 92-597 stipule que les dispositions du code de la propriété intellectuelle protègent les droits des auteurs sur toutes les oeuvres de l'esprit, quels qu'en soient le genre, la forme d'expression, le mérite ou la destination (article L112-1).

Les logiciels, y compris le matériel de conception préparatoire, sont considérés comme oeuvres de l'esprit (article L112-2).

23 -   Les titulaires du droit d'auteur

Le code de la propriété intellectuelle prévoit quelques règles d’attribution des droits d’auteur.

La première hypothèse est celle du logiciel créé par une personne physique indépendante. Le logiciel lui appartient. Cette personne est titulaire des droits d’auteur.

Dans le cas où le logiciel est créé par des employés, du privé ou du public, les droits reviennent à l’employeur : “Sauf dispositions statutaires ou stipulations contraires, les droits patrimoniaux sur les logiciels et leur documentation créés par un ou plusieurs employés dans l'exercice de leurs fonctions ou d’après les instructions de leur employeur sont dévolus à l'employeur qui est seul habilité à les exercer” (article L113-9).

Seuls restent aux employés les droits dits “moraux ”, de nature symbolique, qui se résument en un droit au nom : il peut figurer par exemple sur l’écran d’accueil du logiciel, ou sur les premières pages de la documentation. Les droits patrimoniaux, dévolus à l’employeur, forment l’essentiel des prérogatives attachées aux droits d’auteur.

24 -   Les droits patrimoniaux

L’expression de la loi

Toute forme d’exploitation d’un logiciel est soumise à l’autorisation de l’auteur. Par exploitation il faut entendre la reproduction, l’exécution, la traduction, ou la modification.

La reproduction d’un logiciel n’est cependant pas soumise à l’autorisation de l’auteur lorsqu’elle est nécessaire pour permettre l’utilisation du logiciel, conformément à sa destination, par la personne ayant le droit de l’utiliser (article L122-6-1).

Par ailleurs, la personne ayant le droit d’utiliser le logiciel peut faire une copie de sauvegarde lorsque celle-ci est nécessaire pour préserver l’utilisation du logiciel (article L122-6-1). La loi exclut donc la notion de copie privée.

Les relations contractuelles

La licence d’utilisation définit les conditions imposées à l’utilisateur d’un logiciel distribué en nombre sur le marché par son auteur. La licence doit être détaillée sinon le licencié n’a que le droit d’usage d’un seul exemplaire et ne peut en prendre qu’une seule copie à titre de sauvegarde.

L’intérêt commun des deux parties est bien de préciser les droits qui sont concédés et de fixer un prix correspondant à ces droits.

En conclusion, la sécurité est dans la précision rédactionnelle des droits sous licence.

25 -   La durée de la protection

Pour un logiciel, les droits prévus par le présent code s'éteignent à l'expiration d'une période de cinquante années à compter de sa date de création (article L123-5).

26 -   Les dispositions pénales

Toute reproduction, par quelque moyen que ce soit, d'une œuvre de l'esprit en violation des droits de l'auteur est un délit de contrefaçon ( article L335-3).

La contrefaçon, en France, d’ouvrages est punie de deux ans d’emprisonnement et de 1 000 000 F d’amende (article L335-2 modifié par la loi 94-102 du 5 février 1994).

Une circulaire du Premier ministre d’octobre 1990 souligne que le respect des droits des créateurs de logiciels s’impose en tout premier lieu aux services de l’Etat. Par ailleurs, il est rappelé que la responsabilité pénale individuelle des agents de l’Etat, en cas de copie illégale ou d’utilisation non autorisée expressément par son auteur de tout logiciel, est engagée.

27 -   L’agence pour la protection des programmes (APP)

L’agence pour la protection des programmes a été créée en 1982. Elle a pour objet la défense des intérêts des créateurs de programmes informatiques.
Pour mener cette mission spécifique, l’APP s’est donnée trois objectifs principaux :

-   défendre les auteurs par des actions d’information et de sensibilisation ;
-   assurer le dépôt des logiciels ;
-   agir en justice.

Pour assurer la défense des droits de ses adhérents, l’APP mène de nombreuses actions en justice, tant sur le plan pénal que sur le plan civil.

Les actions pénales

-   octobre 1989, condamnation de jeunes étudiants qui proposaient des logiciels à la vente, par le biais de petites annonces : huit mois de prison ;

-   mars 1989, l’APP obtient une forte condamnation de jeunes pirates qui avaient monté un réseau de vente de copies illicites : douze mois de prison avec sursis, 10 000 F d’amende et 900 000 F de dommages-intérêts.

Les actions civiles

L’APP a participé à de nombreuses actions civiles.

-   février 1989, condamnation de deux anciens salariés qui commercialisaient, en leur nom, un logiciel de leur société : 9 000 000 F de dommages-intérêts ;

-   juillet 1989, condamnation de l’Etat français à 400 000 F de dommages-intérêts. Une saisie-contrefaçon diligentée par l’APP auprès de la Direction départementale de l’Equipement à Saint-Denis de la Réunion a permis de découvrir des copies illicites de logiciels dans les services.

En conclusion, il convient de rappeler que les logiciels sont protégés au titre du droit de la propriété littéraire et artistique. Pour l’essentiel, le législateur a prohibé toute utilisation non expressément autorisée par l’auteur, a prévu de sévères sanctions pénales et a institué une procédure de saisie-contrefaçon afin de permettre une efficace recherche de preuve.


3 - La protection des systèmes et des données

Avec le nouveau code pénal, de 1994, le législateur a montré sa volonté d’apporter une réponse claire et précise aux interrogations de la jurisprudence en matière d’infractions informatiques. Ce souci de clarté a été tel que dans le code pénal un chapitre a été créé, distinct des autres chapitres consacrés aux atteintes aux biens. Ainsi, les articles 323-1 à 323-7 traitent “des atteintes aux systèmes de traitement automatisé de données”.

31 -   L’accès ou le maintien frauduleux dans un système de traitement automatisé de données

Est puni d’un an d’emprisonnement et de 100 000 francs d’amende le fait d’accéder ou de se maintenir, frauduleusement, dans tout ou partie d’un système de traitement automatisé de données (art 323-1).

32 -   Les atteintes à un système de traitement automatisé de données

La loi fait une distinction entre les atteintes accidentelles et volontaires.

les atteintes accidentelles résultant de l’accès ou le maintien frauduleux

Est puni de deux ans d’emprisonnement et de 200 000 francs d’amende la suppression, la modification de données ou l’altération du fonctionnement du système qui résulte de l’accès ou du maintien frauduleux dans un système de traitement automatisé de données (art 323-1).

les atteintes volontaires

Est puni de trois ans d’emprisonnement et de 300 000 francs d’amende le fait d’entraver ou de fausser le fonctionnement d’un système de traitement automatisé (art 323-2).

Est puni de trois ans d’emprisonnement et de 300 000 francs d’amende le fait d’introduire frauduleusement des données dans un système de traitement automatisé ou de supprimer ou de modifier frauduleusement les données qu’il contient (art 323-3).

33 -   L’association de malfaiteurs ou l’entente en vue de commettre des fraudes informatiques

Est punie des mêmes peines prévues aux articles 323-1 à 323-3, la participation en vue de la préparation d’une des infractions prévues dans ces articles.

34 -   La tentative

La tentative des délits prévus par les articles 323-1 à 323-3 est punie des mêmes peines.

En France, il existe depuis 1994 un service d’enquête sur les fraudes aux technologies de l’informatique, le SEFTI, rattaché à la préfecture de police de PARIS.

PS / DSL je ne trouve plus une présentation synthétique avec tout les txt de loi.

[carlosdz]

Salut
Voici un modèle appliqué par ma structure
Bonne lecture

Code: Tout sélectionner


Charte d'utilisation des moyens informatiques


Introduction :

On assiste à un développement important des nouvelles technologies de l'information et de la communication au niveau du Groupe.
Ce développement se caractérise par l'accroissement du nombre de services et de ressources accessibles par le Net, et bientôt, à l'interne, par l'extension du réseau informatique et des différents projets menée par la DGSI pour le compte des filiales du Groupe.
Parallèlement à cette augmentation des flux d'information, le nombre d'utilisateurs s'accroît régulièrement.
C'est pourquoi, afin de garantir à tous une libre circulation de l'information, un libre accès aux ressources informatiques, électroniques et numériques dans le respect de la légalité, il devient indispensable de définir un ensemble de règles de bonne conduite.
C'est l'objet de la charte présentée ci-après, qui constitue un des volets du règlement
intérieur.
On commencera par donner quelques définitions des termes utilisés pour ensuite énoncer les règles de sécurité et de bon usage en vigueur, les conditions de confidentialité permettant d’assurer la libre circulation de l’information dans le respect du code de la propriété intellectuelle.

   Définitions

On désignera de façon générale sous le terme « Intranet » l’ensemble des informations
mises à disposition par la DGSI à destination des utilisateurs du Groupe.
On désignera par « services Internet » la mise à disposition par des serveurs de moyens divers d’échanges et d’informations.
On désignera de façon générale sous le terme « Extranet » l’ensemble des informations mises à disposition d’un public restreint et identifié.
On désignera de façon générale sous le terme « ressources informatiques » les moyens
informatiques, bureautiques ou de gestion auxquels il est possible d’accéder via le réseau local de la DGSI ou WAN du Groupe et les données elles-mêmes.
On désignera par « moyens d’accès » aux ressources informatiques les quatres accès
suivants :
a.   l’accès au réseau en local
b.   l’accès par le WAN
c.   l’accès au réseau par un accès distant
d.   l’accès au réseau par le world wide web

On désignera sous le terme « utilisateur » toute personne (du Groupe) ayant accès ou utilisant les ressources informatiques et/ou les services Intranet/Extranet/Internet.
On désignera par « compte » l’association d’un identifiant utilisateur et d’un mot de passe constituant la clef d’accès aux ressources informatiques et aux services Intranet/Extranet/Internet.




1.- Domaines d'application :

Cette charte s'applique à toute personne utilisant les systèmes et réseaux informatiques du Groupe.

2.- Autorisation d'accès aux systèmes informatiques :

2.1. L'utilisation des ressources informatiques est soumise à autorisation préalable, concrétisée par l'ouverture d'un compte ou le droit de connecter un ordinateur sur le réseau.

2.2. Cette autorisation est strictement personnelle et ne peut donc en aucun cas être cédée, même temporairement, à un tiers.

2.3. L'utilisation des moyens informatiques est limitée à des activités de travail. Sauf autorisation préalable, ces moyens ne peuvent être utilisés pour tout autre activité..

2.4. la DGSI se réserve le droit de retirer à tout moment cette autorisation, et ce, sans préavis.

2.5. Cette autorisation prend fin lors de la cessation de l'activité qui l'a justifiée.

2.6. Lors de la fermeture de son compte, l'intéressé peut obtenir copie du contenu de celui-ci, sauf cas particuliers (clause de propriété, de confidentialité, etc.). L'utilisateur est responsable avant son départ de la destruction de données privées.

3.- L'administrateur système :

Sont administrateurs système les personnes ayant été désignées pour installer et gérer les machines. Ils sont en charge d'assurer la meilleure marche possible du système pour tous.

3.1. L'administrateur système est soumis dans l'exercice de ses fonctions à un devoir de confidentialité. Pour assurer le bon fonctionnement et la sécurité du système informatique, il peut procéder aux investigations nécessaires. Il est tenu de ne pas divulguer les informations acquises par ces recherches sauf dans le cas prévu au 3.2.

3.2. En particulier il peut explorer les fichiers des utilisateurs et en faire connaître des extraits à la DGSI.

3.3. Il peut aussi générer et consulter tout journal d'événements, et enregistrer des traces, si besoin est. La liste exhaustive de ces journaux peut être consultée par simple demande auprès des administrateurs système.

Il peut générer des statistiques, pour la bonne gestion: optimisation, sécurité, détection des abus.

3.4. L'administrateur système peut réaliser des sauvegardes de certains disques, y compris ceux hébergeant les données des utilisateurs et le courrier électronique.


3.5. L'administrateur peut intercepter ou interdire tout flux informatique (Web, courriel, ftp, etc.) présentant des risques de sécurité (virus par exemple) ou hors charte.

3.6. Les administrateurs sécurité peuvent procéder à toute recherche préventive de faille sur les machines, personnelles ou non, branchées sur le réseau interne. Ils peuvent déconnecter, physiquement ou logiquement, une machine en cas de doute.

4.- Règles générales de sécurité :

Tout utilisateur est responsable de l'utilisation qu'il fait des ressources informatiques de l'entreprise. Il doit donc, à son niveau, contribuer à la sécurité. En particulier:

4.1. Tout utilisateur doit choisir des mots de passe sûrs respectant les recommandations de l'administrateur système. Ces mots de passe doivent être gardés secrets, ne doivent pas être écrits et en aucun cas être communiqués à des tiers. À la demande des administrateurs système, ils doivent être changés.

4.2. Les utilisateurs ne doivent pas utiliser des comptes autres que ceux pour lesquels ils ont reçu une autorisation. Ils doivent s'abstenir de toute tentative de s'approprier ou de déchiffrer le mot de passe d'un autre utilisateur.

4.3. L'utilisation ou le développement de programmes mettant sciemment en cause l'intégrité des systèmes informatiques de la DGSI, de l'entreprise ou des réseaux nationaux ou internationaux sont interdits.

4.4. Tout constat de violation, tentative de violation ou soupçon de violation d'un système informatique doit être signalé aux responsables sécurité de la DGSI.

4.5. Les utilisateurs ne doivent pas abandonner de machine sans s'être préalablement déconnectés.

4.6. Les utilisateurs doivent s'abstenir de toute tentative de falsification d'identité.

4.7. Les utilisateurs ne doivent pas ajouter de machines sur le réseau sans autorisation.

4.8. Les utilisateurs s'engagent à ne pas exploiter les éventuels trous de sécurité, anomalies de fonctionnement, défauts de configuration. Ils doivent les signaler à l'administrateur système, et ne pas en faire la publicité. L'administrateur peut toutefois choisir de ne pas apporter de correction, si la correction n'est pas disponible ou est considérée comme induisant d'autres problèmes.

4.9. Les utilisateurs évitent au mieux l'introduction et la propagation de virus sur les moyens informatiques.

4.10. Les utilisateurs doivent veiller à la sauvegarde de leurs données.

4.11. En règle générale, un utilisateur doit être vigilant et signaler aux administrateurs système toute anomalie, et se conformer à leurs consignes.


5.- Utilisation des ressources communes :

5.1. Tout utilisateur s'engage à utiliser correctement les ressources mises à sa disposition: mémoire à ne pas saturer, espace disque, bande passante des réseaux, imprimantes, etc. Par exemple, les chaînes de courrier électronique sont interdites.

5.2. Tout utilisateur s'engage à respecter les ressources privées (imprimante par exemple).

6.- Respect de la propriété intellectuelle :

6.1. La reproduction des logiciels commerciaux est interdite.

6.2. Il est interdit d'installer sur un système, une fonte ou tout autre document en violation des copyrights et licences associés. Les clauses de redistribution des logiciels libres doivent être respectées.

7.- Respect de la confidentialité des informations :

7.1. Tout utilisateur est responsable, pour ses fichiers et répertoires, des droits de lecture et de modification qu'il donne aux autres utilisateurs. Il est cependant interdit de prendre connaissance d'informations détenues par d'autres utilisateurs, quand bien même ceux-ci ne les auraient pas correctement protégées. En conséquence, les utilisateurs ne doivent pas tenter de lire, copier, divulguer, modifier les fichiers d'un autre utilisateur sans y avoir été explicitement autorisés.

7.2. Les utilisateurs ne doivent pas tenter d'intercepter des communications entre tiers.

7.3. Les utilisateurs sont tenus de prendre les mesures de protection des données garantissant le respect des engagements de confidentialité pris par la DGSI vis à vis de tiers.

7.4. En cas d'absence d'un utilisateur, toute mesure indispensable à la continuité du service peut être mise en oeuvre.

8.- Relations avec les autres sites informatiques :

8.1. Il est interdit de se connecter ou d'essayer de se connecter sur un autre site sans y être dûment autorisé. L'accès aux services anonymes (Web, ftp, etc.) est autorisé.

8.2. Il est interdit de se livrer depuis des systèmes appartenant à l'entreprise à des actes mettant sciemment en péril la sécurité ou le fonctionnement des systèmes d'informations, locaux ou distants, et des réseaux de télécommunications.

9.- Échanges électroniques :

9.1. Dans ses échanges, nul ne peut s'exprimer au nom de l'entreprise ou engager l'entreprise sans y avoir été dûment autorisé.


9.2. Chacun doit faire preuve de la plus grande correction à l'égard de ses interlocuteurs dans les échanges électroniques.

9.3. Compte tenu de la valeur juridique d'un courriel, chacun doit être vigilant sur le contenu des messages électroniques et s'assurer de leur conservation.

10.- Évolution de cette charte

Cette charte est consultable sur les serveurs Intranet/Extranet/Internet de la DGSI et de l'entreprise, et elle est susceptible de modifications en fonction des évolutions techniques.

11.- Sanctions applicables :

Tout utilisateur n'ayant pas respecté les dispositions de la présente charte est susceptible de voir suspendre ses droits d'accès et est passible de poursuites, internes à l'entreprise (disciplinaires), civiles ou pénales (lois ……………………………).

[Gandalf]

Merci carlosdz, enfin un exemple concret ! Je vais m'inspirer de tous ces exemples et pondre la nôtre !

@ +

[carlosdz]

Salut
Bon courage.
J’attends avec patience ton modèle