Embed Size (px)
Citation preview
FAMEL Yoan 29/09/2015PAYET YoannBTS SIO2 – SISR
PPEEntreprise GSB
LOT 1 – Équipement des visiteurs médicaux
Table des matièresIntroduction .......................................................................................................................................... 3Organisation .......................................................................................................................................... 4Infrastructure réseau ............................................................................................................................. 5Cahier des charges ................................................................................................................................ 6Solutions correspondant au cahier des charges .................................................................................... 8
Sécurité ........................................................................................................................................... 8Sécurisation des accès et des données ......................................................................................... 8Attaques spécifiques aux clefs USB ........................................................................................... 9 Logiciels ..................................................................................................................................... 9 Injections dans une clé USB ...................................................................................................... 9 Clefs USB amorçables ............................................................................................................... 9 Exécution automatique à l'insertion des clefs .......................................................................... 10 Clefs U3 ................................................................................................................................... 10 Lecture automatique à l'insertion des clefs .............................................................................. 10 Keylogger et spyware ............................................................................................................... 10 Trojan, RAT .............................................................................................................................. 10 Cryptage ................................................................................................................................... 11
Conseils et recommandations ........................................................................................................ 11Définition d'une nomenclature pour le nommage des équipements .............................................. 13
Introduction .............................................................................................................................. 13 Conseils et recommandations ................................................................................................... 13
Conclusion .................................................................................................................................... 14Liste de solutions logicielles au besoin des visiteurs ......................................................................... 14
Analyse des contraintes ............................................................................................................ 14 Définition des tâches ................................................................................................................ 14 Solutions proposés ................................................................................................................... 15
Système de partage de fichiers Linux NFS ........................................................................................ 16 Introduction ................................................................................................................................... 16
1/56
Tutoriel d'installation et de configuration de NFS ........................................................................ 16 Création du serveur sous vSphere ............................................................................................ 16 ................................................................................................................................................... 18Côté serveur (DEPLOLAB) ...................................................................................................... 22 Côté client ................................................................................................................................ 24 Test ........................................................................................................................................... 24 Conclusion ............................................................................................................................... 24
Segmentation des VLAN 300 et 400 .................................................................................................. 26 Infrastructure réseau ..................................................................................................................... 26 Configuration du commutateur ..................................................................................................... 27 Conclusion .................................................................................................................................... 29
Configuration du routeur et Adressage des équipements ................................................................... 29 RTROUT (Routeur) ...................................................................................................................... 30
Interfaces .................................................................................................................................. 30 Routage .................................................................................................................................... 30
ProxSILAB (Proxy / Firewall) ...................................................................................................... 31 Interfaces .................................................................................................................................. 31 Routage .................................................................................................................................... 32
Tests .............................................................................................................................................. 33 ProxSILAB ............................................................................................................................... 33
Montage du master sur DEPLOLAB ................................................................................................. 34 Préparation du master selon les préconisations ........................................................................ 34
Enregistrement d'un master avec la solution Clonezilla Live CD ...................................................... 37 Enregistrement d'une image sur le serveur .............................................................................. 37 Descente d'une image à partir du serveur ................................................................................. 42 Conclusion ............................................................................................................................... 44
Charte Informatique ............................................................................................................................ 45Introduction .................................................................................................................................... 45Préambule ...................................................................................................................................... 45
1. Champ d'application .............................................................................................................. 462. Confidentialité ....................................................................................................................... 473. Sécurité .................................................................................................................................. 484. Internet .................................................................................................................................. 495. Messagerie électronique ........................................................................................................ 506. Téléphonie ............................................................................................................................. 527. Données personnelles ............................................................................................................ 538. Contrôle des activités ............................................................................................................ 549. Informations et sanctions ...................................................................................................... 5510. Entrée en vigueur ................................................................................................................ 56
2/56
IntroductionPlaçons nous en contexte professionnel.
GSB est une entreprise issue de la fusion entre le géant américain Galaxy (spécialisé dans lesecteur des maladies virales dont le SIDA et les hépatites) et le conglomérat européen Swiss Bourdin (travaillant sur des médicaments plus conventionnels), lui même déjà union de trois petits laboratoires.
Après avoir pris connaissance du dossier, on va donc reformuler les différentes demandes de GSB en identifiant les différentes étapes du travail à effectuer. Afin de nous organiser nous avons décidé de concevoir un diagramme de Gantt pour la répartition des tâches.
Dans cette partie nous souhaitons améliorer les équipements des visiteurs médicaux et également améliorer le fonctionnement et l’accessibilité de l’application de gestion des notes de frais. Un serveur sera habilité à cette fonction, de cette manière nous implantons une organisation commune aux délégués médicaux et ainsi respecter les engagements de l'entreprise.
Nous exploiterons donc un cahier des charges précis que nous devrons respecter.
3/56
Organisation
Ce diagramme de Gantt présentera le déroulement précis des étapes du projet, nous avons donc reporté le temps et l'état de chaque tâches à la fin de chacune des interventions, voici la topologie :
LOT1 EQUIPEMENT DES VISITEURS MEDICAUX - Tâche(s) Estimation Débutée Terminée Etat Etudiant RemarqueProposer des solutions correspondant au cahier des charges (Documentation)Descriptif technique et/ou comparaisons matérielles de l'équipement (composants / capacités) 10/01/15 1/10/2015 10/01/15 Terminé Yoan.FProposer une liste de solutions logicielles à installer au besoin des visiteurs 10/01/15 10/1/2015 1/10/2015 Terminé Yoan.FDéfinition d'une nomenclature pour nommer les équipements 1h00 10/1/2015 10/1/2015 Terminé Yoan.FÉbauche de charte, sécurisation des accès et données, organisation de l'espace de stockage 1h00 9/29/2015 9/29/2015 Terminé Yoan.FCréation d'une charte sur le bon usage des équipements / vols / usage personnels, etc 1h30 29/09/15 29/09/15 Terminé Yoan.FMise en place de la maquette de travail (Technique) 20min 9/29/2015 9/29/2015 Terminé Yoann.P / Yoan.FSchémas réseaux 30min 10/5/2015 10/5/2015 Terminé Yoann.P / Yoan.FInstallation et configuration du serveur NFS DEPLOLAB sous Debian 7 10min 9/29/2015 9/29/2015 Terminé Yoann.PSegmentation des VLAN 300 et 400 destinés aux serveurs et aux sorties sur MUTLAB 30min 9/29/2015 9/29/2015 Terminé Yoan.FConfiguration du routeur Cisco 30min 10/6/2015 10/6/2015 Terminé Yoan.F / Yoann.PConfiguration du routeur logiciel ProxSILAB sous Linux Debian 7 30min 06/10/15 06/10/15 Terminé Yoan.FAdressage des différents matériels du réseau (passerelles) 10min 06/10/15 06/10/15 Terminé Yoan.F / Yoan.PTests entre les équipements 10min 06/10/15 06/10/15 Terminé Yoan.F / Yoann.PRemonté et descente d'un master depuis DELPOLAB 30min 12/10/15 12/10/15 Terminé Yoan.F / Yoann.P
Infrastructure réseau
L'infrastructure réseau de l'entreprise s'organise donc de la manière suivante, dans ce schéma nous nous concentrons uniquement à la salle serveurs et ses serveurs principaux (aucunes redondances n'est démontrée) :
Les serveurs assurent les fonctions de base du réseau (DHCP, DNS, Annuaire et gestion centralisée des environnements) et les fonctions de communication (Intranet, Messagerie, Agenda partagé, etc.). On trouve aussi de nombreuses applications métier (base d'information pharmaceutique, serveurs dédiés à la recherche, base de données des produits du laboratoire, base de données des licences d'exploitation pharmaceutique, etc.) et les fonctions plus génériques de toute entreprise (Progiciel de Gestion Intégré avec ses modules RH, GRC, etc.).
L'informatique est fortement répandue sur le site. Chaque employé est équipé d'un poste fixe relié au système central, de plus, de plus en plus de serveurs sont virtualisés et une nouvelle vague d'équipement des visiteurs médicaux va être lancée.
Cahier des chargesLe besoin de l'entreprise se définit de la façon suivante.
En tant qu'informaticien/technicien et/ou administrateur réseau nous devons être capable de fournir à l'entreprise les besoins suivants :
• Fournir une solution d'accès au site qui pourra par la suite être fournie aux visiteurs.
• Organiser la préparation des matériels (machines) avant leur fourniture aux visiteurs.
• Organiser un système de récupération des équipements en cas de retour suite à unepanne, une fin de contrat, une infection, etc.
Il s'agira de donc dans un premier temps de faire une étude afin de définir les caractéristiques techniques d'un équipement mobile et l'environnement logiciel nécéssaire à l'usage prévu.
Il faudra également préconiser un environnement de « masteurisation » et/ou de déploiement afin de gérer l'ensemble des matériels.
Enfin nous définirons aussi les procédures à appliquer pour la préparation et la récupération des équipements, nous nous pencherons sur une étude des différents procédés de sécurisation des données présentes sur les matériels et également des méthodes d'information destinées aux utilisateurs.
CONTRAINTES
Pour leur environnement de travail les utilisateurs ont tendance à préférer un environnement Microsoft tel que Windows (de XP à Windows 7).
Les équipements doivent être transportables et connectable à un réseau filaire ou sans fil, ces matériels sont destinés à la saisie de comptes rendus à partir d'un serveur web, à la virtualisation de documentation technique type PDF, à un usage professionnel (messagerie,tableurs, rédaction, gestion de budget d'activité,etc).En terme de coûts nous chercherons
un tarif concurrentiel et le plus faible possible tout en répondant aux besoins des utilisateurs. Si les visiteurs veulent obtenir un matériel plus performant cela restera à leur charge cependant l'entreprise se trouve en droit de leur faire bénéficier d'un financement àla hauteur du coût du matériel.
SECURITE
Les données professionnelles de chaque postes ne doivent pas être interceptées par un tiers, également en cas de perte ou de vol d'un équipement.
Toutes les données professionnelles appartiennent à l'entreprise et dans ce cas elles doivent pouvoir être capable d'être retournées lors de la récupération de l'équipement.
Aucunes données personnelles ne sera sauvegardé par l'entreprise.
Le matériel doit être également protégé contre des risques viraux du type Trojan, Spyware, Keylogger, etc.
Nous jouerons donc le rôle du prestataire qui fournira les éléments nécessaires au bon déroulement des tâches.
Solutions correspondant au cahier des charges
Sécurité Dans un premier temps il me semble important d'aborder la notion de sécurité informatique en entreprise. Pour cela nous allons développer une étude que nous orienterons dans un premier temps autour des risques dus à l'utilisation des périphériques amovibles en entreprise qui sont un facteur important des fuites et/ou pertes de données et enfin des autres risques connus concernant la perte de données.
Sécurisation des accès et des données
La sécurité de l'information en entreprise est un facteur primordial à prendre en compte, il est de l'intérêt de l'administrateur système (et de chacun) d'informer ses techniciens et le personnel de l'entreprise vis à vis des risques que peuvent comporter la perte d'informations et/ou leurs diffusions qu'elles soit intentionnelles ou non, en effet la perte de données peut être préjudiciable pour une entreprise : concurrence, vol et appropriation de biens.
Pour cela l'administrateur peut avoir recours à la création et l'utilisation d'une charte informatique concernant les technologies de l'information et de la communication qu'il communiquera au personnel afin de les informer au mieux de ces risques.
La charte a pour objectif de fixer les règles liées à l’usage des TIC qu'aucun autre texte national ne peut définir et qu'il incombe à chaque établissement de préciser, compte tenu de la grande variété d’utilisation des ressources TIC.
Dans cette étude nous allons nous pencher particulièrement sur l'utilisation des périphériques de stockage en entreprise : les clés USB, ainsi que divers procédés tel que leskeyloggers et les Trojan.
Attaques spécifiques aux clefs USB
Par leurs formats et la généralisation rapide de l’interface USB, les clefs sont rapidement entrées dans les habitudes des utilisateurs de l’informatique il est donc utile de s'informer des différent risques que présentes ces dernières.
Avant toutes choses : Comme pour la destruction accidentelle, la sauvegarde des données qui se trouvent sur la clef est une précaution indispensable.
Logiciels
Il existe des logiciels dont la seule finalité est de copier l’intégralité des fichiers présents surles clefs USB branchées sur un ordinateur. Le contenu d'une clé peut en effet être intégralement et silencieusement copié. Prenons le cas ou un brevet, valeur immatérielle de l'entreprise, n'est pas encore déposé, la discrétion de l'employé peut être mise à mal et son travail approprié par ses concurents.
Il existe souvent des LED sur les clefs qui clignotent lors de transferts entre clef et ordinateur. Ce clignotement peut mettre la puce à l’oreille du possesseur de la clef quand aucun transfert légitime n’a lieu.
Injections dans une clé USB
Le possesseur d’une clef USB peut l’avoir quittée des yeux ou l’avoir branchée sur un ordinateur envers lequel il n’aurait pas dû avoir confiance. Pendant cette période de baisse de vigilance, des fichiers compromettants peuvent être installés sur sa clef USB. La présence de ces fichiers sera ensuite utilisé pour monter une opération de déstabilisation du possesseur, de son travail et/ou de l'organisation dans laquelle il évolue.
Clefs USB amorçables
Les clefs USB amorçable sont dite discrètes car en l'absence de son utilisateur cette dernière peut ne pas être aperçu par ex : lorsqu’on souhaite bootter sur Linux, les fonctionnalité Windows ne fonctionnera pas sur l'OS est donc seront contourner puisque une clé USB à était conçu pour le recueil d'information. Pour éviter ces risques, on peut désactiver l'amorçage au niveau du BIOS, et ne pas oublié la création d'un mot de passe à ce niveau, la clef amorçable permet des intrusions discrètes sur un poste de travail, en l’absence de son utilisateur légitime. L’incident peut passer très longtemps inaperçu, il faut donc y prêter une attention particulière.
Exécution automatique à l'insertion des clefs
Autorun qui est une fonction automatique, permait de lancer un programme automatiquement même dans une clé USB tel que les pilote de périphérique ou une application. Le danger est que celle-ci ouvre des porte au VIRUS, malware ou un ver (comme Conficker). Conficker qui à apparut en 2008 illustre cette possibilité puisque il est propagé à travers le réseau et donc peut être récupérer dans une clé USB. A sont évolution,le CERTA s'est fait écho de la propagation de Conficker et d'autres programmes malveillants.
Clefs U3
les clé USB de type U3 sont avantageux pour des pirates,puisque des lors qui sont connecter a un ordinateur se font passer pour des CD ROM et contourne la protection précédente (désactivation de l'autorun par le BIOS). Pour contourner ce problème il suffit de désactiver l’exécution automatique de tous les support amovible et donc un petit cliquevaut mieux qu'an grand choc.
Lecture automatique à l'insertion des clefs
La fonction autoplay est une fonction voisine de l'autorun, puisqu'elle permet de contourner la désactivation de l'exécution automatique, donc l'autoplay va pourvoir passer les programme malveillant via fichier mp3 qui lui lance un lecteur multimédia.
Keylogger et spyware
Le keylogger ou spyware peut être par exemple un dispositif chargé d'enregistrer les frappes de touches du clavier et de les enregistrer, à l'insu de l'utilisateur. Il s'agit donc d'undispositif d'espionnage.
Certains keyloggers sont capables d'enregistrer les URL visitées, les courriers électroniques consultés ou envoyés, les fichiers ouverts, voire de créer une vidéo retraçant toute l'activité de l'ordinateur. Ils peuvent servir à des personnes malintentionnées pour récupérer les mots de passe des utilisateurs du poste de travail. Cela signifie donc qu'il faut être particulièrement vigilant lorsque vous utilisez un ordinateur en lequel vous ne pouvez pas avoir confiance (poste en libre accès dans une entreprise par exemple). Il est possible d'inspecter une machine avec l'installation d'un anti spyware, attention à être toujours être vigilant lors de connexions à des sites ou interfaces demandant votre mot de passe ou coordonnées bancaires par exemple.
Trojan, RAT
Il existe plusieurs déclinaisons associées à des fonctions précises. Si les versions génériques
détruisent certains fichiers systèmes pour rendre l’ordinateur inutilisable, les plus dangereux sont ceux créant des portes dérobées connues sous le nom de « backdoor » pouvant permettre la prise de contrôle de la machine infectée ou la transmission de données confidentielles. Avec seulement quelques kilo-octets, le programme peut accomplir sa mission sans éveiller le moindre soupçon. Dans la plupart des cas, un Cheval de Troie n’a aucun intérêt à altérer le bon fonctionnement de l’ordinateur puisque l’utilise pour accomplir ses méfaits (botnet), il est donc important d'installer un pare-feu ainsi qu'un antivirus sur toutes les machines de l'entreprise et d'implanter des logiciels tel que Snort ou PortSentry au niveau du matériel réseau afin d'écouter ce qu'il s'y passe et prévenir d'une éventuelle attaque. De nombreux autres logiciels sont également disponibles afin de mettre un terme à ces agissements.
Cryptage
Le cryptage des données est indispensable dans le cadre ou celles-ci pourraient être voléeset/ou perdues, il existe des logiciels permettant de crypter des disques qu'ils soient virtuelsou amovibles, ainsi que des partitions, cela fonctionne à partir d'un système de clés, le cryptage peut être symétrique ou asymétrique, selon sa complexité. Il sera toujours plus complexe pour un utilisateur lambda de récupérer des données lorsque celles-ci sont cryptées, je recommande donc très fortement cette utilisation.
Conseils et recommandations
Quelques règles doivent donc accompagner l’utilisation de ces objets :
- Ne pas considérer une clef USB comme fiable à 100 %, ni éternelle ;
- Ne pas laisser ses clefs USB sans surveillance ;
- Débrancher correctement la clef USB ;
- Ne pas en faire un support d’archivage, mais, au contraire, avoir une sauvegarde du contenu de la clef USB ;
- Utiliser des clefs USB différentes pour des usages différents ou des documents de sensibilité différente ;
- Chiffrer les données sensibles et surcharger la totalité de l’espace libre de la clef si elle doit être branchée sur un système non maîtrisé.
En tant que possesseur d’un ordinateur ou d’un système d’information sur lequel desclefs
USB peuvent se brancher :
- Avoir les réflexes sécuritaires de base : mise à jour des systèmes, des logiciels et des greffons, cloisonnement, journalisation et surveillance de l’activité, travail quotidien sans droits d’administration ;
- Désactiver les automatismes (autorun, autoplay) et durcir les configurations des ordinateurs (BIOS, système d’exploitation,...) ;
- Analyser la clef et son contenu avant de le copier.
- Installer tout les logiciels nécessaires à la protection des machines sur le réseau.
- Utiliser des crypteurs.
Définition d'une nomenclature pour le nommage des équipements
Introduction
Nous allons maintenant définir la façon dont les équipements doivent être nommés dans une infrastructure pour cela nous analyserons ce qu'il faut faire et ne pas faire.
Afin que les équipements se distinguent entre eux dans un réseau il faut pour cela leur attribuer un nom, certaines conventions existent, ainsi une machine pourra par exemple indiquer le numéro d'un étage ou un endroit précis d'une enseigne, son numéro de poste ou encore l'utilisateur auquel elle appartient.
Le nommage d'un équipement informatique permet également de faire signaler plus simplement à son administrateur de laquelle il s'agit, cela facilitera la tâche de ce dernier.
Conseils et recommandations
Il faut éviter les noms pouvant porter confusion, ou encore d'attribuer un nom sur le long terme, les machines pouvant changer de service.
A savoir que le nom d'un matériel défini son rôle et sa fonction dans une architecture contrairement aux noms que peuvent se donner les humains entre eux.
Il faut éviter les noms trop longs ce qui est difficile à quantifier, tout en évitant les variantesorthographiques c'est à dire que les ordinateurs doivent comporter le même nom tout au long de leur cycle de vie, si la machine est signalée en abrégé alors que les documents de l'administrateur la comporte en version complète cela pourra porter à confusion.
Les noms de domaines et les mots antagonistes et/ou diffamatoires sont bien sûr déconseillés.
Nous signalerons aussi que les noms commençants par des chiffres ne sont pas une bonneidée, en effet, certains programmes organise et classent sous forme d'inventaire les matériels par leur ordre alphabétique, il est préférable que cette organisation soit faite dans cet ordre. Les mots commençant par des valeurs hexadécimales sont possible aussi d'être mal pris en compte par ce genre de programme, les valeurs s'apparentant à des chaînes alphabétiques elles peuvent être interprétées comme étant des valeurs décimales.
Par convention il est important d'éviter les majuscules dans le nom, et d'utiliser des mots étant rarement utilisés, par exemple des mots en langage soutenus ou des pseudos originaux et inventés de toute pièce.
Il est possible de réutiliser le nom d'hôte de quelqu'un d'autre, la hiérarchie d'un réseau
s'organisant souvent par bâtiments ou par thèmes ou métiers grâce par exemple aux VLAN, il est possible qu'un nom soit réutilisé dans un autre service.
Les noms réels et les chaînes aléatoires sont également déconseillés car difficiles à retenir.
ConclusionUn administrateur contrairement à un utilisateur peut avoir le besoin et l'utilité de renommer un grand nombre de machines dans un réseau. Le nom de l'ordinateur facilitera la communication entre l'administrateur et l'utilisateur dans le cas où un problème est rencontré, de cette manière je recommanderai d'appliquer les conseils que nous avons passés en revue.
(source : http://www.faqs.org/rfcs/rfc1178.html)
Liste de solutions logicielles au besoin des visiteursAnalyse des contraintes
Selon les contraintes que nous impose le cahier des charges que nous devons respecter, nous retiendrons que :
- Les visiteurs ont l'habitude d'évoluer sous des interfaces Microsoft de par leurs simplicité et leur accessibilité au grand public, nous retiendrons les distributions Windows XP, Vista ou Windows 7 (de la plus ancienne à la plus récente), Windows 8 ne sera pas retenu comme solution.
- Le matériel fournis par l'entreprise doit permettre aux visiteurs d'effectuer leur travail professionnel de façon efficiente, de virtualiser leur documentation technique, de pouvoir communiquer à leurs collègues par le biais d'une boite de messagerie, à pouvoir par exemple reporter leur données dans des tableurs pour gérer leur budget d'activité, rédiger des lettres, etc.
Définition des tâches
Afin de répondre aux attentes des dirigeants et aux besoins des visiteurs nous prendrons en compte les données de coût et de sécurité mentionnées précédemment.
Il faudra également déterminer les besoins de notre compagnie, le type de logiciel qui
correspond à notre entreprise et les moyens pour le trouver. Il est également essentiel durant cette étape d'avoir une bonne compréhension de ce qui se passe dans notre compagnie, non seulement cette compréhension nous permettra de trouver le bon logiciel pour notre compagnie, mais elle nous aidera également à définir nos processus d'affaires et nos tâches.
Solutions proposés
Je proposerai donc dans un premier temps pour la distribution à utiliser :
• Windows 7 de par son ergonomie et sa simplicité d'utilisation, windows 7 est une distribution stable et accessible à tout type d'utilisateur, de plus une très grande partie des utilisateurs évoluent sous Windows 7, il est donc plus judicieux d'en faire son choix, Windows XP et Windows Vista n'étant plus aux goûts du jour et Windows8 et 10 comportant de nombreuses erreurs et dont les interfaces ont changés du tout au tout il est donc plus confortable de porter son choix sur 7.
Le logiciel d'édition :
• Libre Office est un logiciel d'édition puissant et réunissant les mêmes capacités queWord ou autre logiciel similaires. Son avantage est qu'il est gratuit et sous licence GPL et donc beaucoup plus intéressant en terme de coûts et d'économie, de plus une communauté évolue derrière ce logiciel et lui permet d'être mis à jour par des personnes bénévoles et passionnés.
Lecture de fichiers virtualisés (PDF) :
• Adobe Reader sera mon choix pour la lecture des différents documents PDF que pourront avoir à rencontrer les clients ou visiteurs de l'entreprise car c'est un logicieltrès stable et qui a fait ces preuves, de plus il est disponible gratuitement.
Système de partage de fichiers Linux NFS
IntroductionNetwork File Systems est un système de partage de fichiers sous Unix/Linux, ce protocole nous permet – sous une infrastructure client/serveur – de partager des répertoires de fichiers en montant ces derniers sur les systèmes clients. Nos deux machines doivent être dans le même réseau et avoir un accès à internet avant de définir l'adresse final de notre serveur nfs.
Tutoriel d'installation et de configuration de NFS
Création du serveur sous vSphere
Dans cette partie du PPE, nous allons dans un premier temps, créer la machine virtuelle du serveur sur vSphere Client en cliquant sur l'icône suivant :
Par la suite, une fenêtre s'est ouverte :
Sur cette fenêtre vous pouvez voir que nous avons sélectionné une configuration typique, ce qui crée une machine virtuelle avec les périphériques et les options de configuration les plus courants.
Nous continuons la création de notre serveur, de la façon suivante,
Nous nommons notre machine virtuelle :
Comme vous pouvez l'observer, nous nommons notre machine « PPE-serveur-NFS »
Une nouvelle fenêtre de configuration s'ouvre, il s'agit de la configuration réseau de notre machine.
Nous laissons ce champ libre.
Par la suite, nous passerons à la configuration et création des utilisateurs et la saisie des mots de passes.
Sur cette capture d'écran, vou pouvez constater que le nom complet du nouvel utilisateur est « administrateur », il s'agit du login.
Par la suite nous saisissons les mots de passe d'accès que nous définissons dans deux champs. Le premier champ, permet une première saisi du mot de passe souhaité tandis que le deuxième champ permet la confirmation de ce mot de passe.
Dans ce TP, le mot de passe est :« root »
Dans un second temps, une nouvelle fenêtre (toujours dans la configuration de la machine virtuelle qui sera le serveur NFS). Il s'agit de la configuration des partitions des disques.
Par la suite, un chargement se fait au niveau de la configuration des outils de gestion des paquets.
Par la suite il nous est demandé, si nous souhaitons participer à l'étude statistique sur l'utilisation des paquets. Comme vous pouvez le voir nous mettons « non » car notre PPE ne consiste pas en cela.
Par la suite, une nouvelle fenêtre de configuration de la machine s'est ouverte, il s'agit de lasélection des logiciels dont nous aurons sûrement besoin.
Nous poursuivons notre installation, une fenêtre de configuration est à nouveau ouverte :
Il s'agit d'installer le programme de démarrage GRUB sur le secteur d'amorçage.
Par la suite, nous avons terminé la création de la machine qui nous servira de serveur NFS. Pour nous le signaler une fenêtre s’est ouverte :
Côté serveur (DEPLOLAB)
Dans un premier temps nous allons configurer notre serveur en le renommant et en lui donnant l'adressage correspondant selon le schéma :
Pour cela nous devons accéder aux fichiers « /hosts » et « /hostname ».
Puis reconfigurer l'adresse de la carte réseau dans « /etc/network/interfaces »
Nous allons installer dans un premier temps le paquet nécessaire sur notre machine serveur en faisant la commande suivante :
apt-get install nfs-kernel-server
Il est possible de gérer notre serveur grâce aux commandes suivantes :
Commandes FonctionService nfs-kernel-server start Démarrage du serviceService nfs-kernel-server stop Arrêter le serviceService nfs-kernel-server restart Redémarrer le serviceService nfs-kernel-server status Voir si le service est en fonction
Pour partager un dossier depuis notre serveur NFS il va nous falloir créer un dossier de partage à l'endroit voulu dans notre cas le déploiement des machines se fera depuis le répertoires /images qui contiendra tout les masters à déployer (la descente des images se fera ensuite depuis les hôtes grâce au cd-rom Clonezilla.
Nous créons donc notre répertoire dans la partie souhaité de notre arborescence :
mkdir /home/images
On attribue les droits d'accès au dossier à l'aide de chmod :
Chmod 777 -R /home/images
Puis nous éditerons le fichier export afin de permettre le partage en ajoutant la ligne :
/home/images *(rw,subtree_check)
Nous précisons donc que les utilisateurs ont le droit d'écriture et de lecture ainsi que le droit d'accès aux sous dossiers.
Voici les différentes options de partage :
ro Read-onlyrw Read/writeasync Aucune synchronistation des transferts de donnéessync Cette option est activée par défautanonuid Accepte les connexions anonymesinsecure Accès non authentifié autorisésubtree_check Accès autorisé aux sous-dossiers
Puis nous lançons l'exportation avec la commande :
exportfs -a
Côté client
Sur les machines Linux, le package nécessaire au montage des répertoires NFS est déjà présent pas défaut.
Cependant, afin de monter un répertoire nous devons respecter un ordre de deux étapes, nous devrons dans un premier temps créer le répertoire de montage (ou point de montage) où les ressources seront accessibles depuis la machine cliente.
Nous créons donc le point de montage :
mkdir /media/montage
Puis nous montons la partition du serveur sur le point de montage que nous avons créer :
mount -t nfs 172.16.61.40:/home/images /media/montage
Maintenant notre dossier monté est lié au dossier du serveur tout ce qui est déposé dans le point de montage est déposé sur le serveur et inversement
Test
Nous testons le NFS en créant un fichier sur notre serveur dans notre répertoire de partage :
Puis nous vérifions son apparition sur notre machine cliente :
Notre serveur NFS est bien configuré et est prêt à l'emploi, nous pourrons y stocker toutes les images iso de nos masters pour ensuite les descendre vers les autres postes à l'aide du live cd CloneZilla.
Conclusion
Le fait de choisir NFS est un avantage pour l'entreprise, le système de partage de fichier s'effectuant sur du Linux, nous respectons les contraintes de coûts, de plus, Linux est un
système d'exploitation léger pour un serveur il utilise donc moins de ressources, son interface est moins accessible aux utilisateurs lambda.
Nous pourrons ainsi la fonction de base du serveur c'est à dire, stocker les images iso pour ensuite les récupérer à l'aide de CloneZilla depuis les autres machines du réseau.
Nous n'oublierons pas bien sûr d'adresser notre serveur avec l'IP précisé dans le plan d'adressage de la façon suivante:
172.17.0.40 255.255.255.0 172.17.0.1
Dans /etc/network/interfaces.
Segmentation des VLAN 300 et 400
Infrastructure réseauPour la suite de notre projet nous aurons besoin de mettre en place la maquette suivante pour la mise en place et la configuration des différents serveurs de l'entreprise :
Nous avons configuré le serveur NFS pour le déploiement des postes, maintenant nous allons nous charger du commutateur Cisco Systems de niveau 3 afin de définir les VLAN 300 « SERVEURS » et 400 « SORTIE », ce commutateur réalise un routage inter-vlan tout en limitant les communications grâce à des listes de contrôles d'accès (ACL).
Pour cela nous avons choisis de disposer nos VLAN de la façon suivante sur le commutateur.
Schématisation de la segmentation
Fa 0/1
Fa 0/3
Fa 0/5
Fa 0/7
Fa 0/9
Fa 0/11
NFS Fa 0/15
Fa 0/17
Proxy Fa 0/21
Fa 0/23
Fa 0/2
Fa 0/4
Fa 0/6
Fa0/8
Fa 0/10
Fa 0/12
Fa 0/14
Fa 0/16
Fa 0/18
Fa 0/20
Fa 0/22
Fa 0/24
Le VLAN 300 est représenté en ORANGE et le VLAN 400 est représenté en BLEU.
Nous n'oublierons pas cependant que l'organisation des VLAN futurs selon le cahier des charges se fera selon ce tableau :
Configuration du commutateurDans un premier temps nous renommons notre commutateur comme suit :
Switch(config)#hostname MUTLABMUTLAB(config)#
Puis nous créons les VLAN :
MUTLAB(vlan)#vlan 300 name SERVEURS VLAN 300 added: Name: SERVEURS MUTLAB(vlan)#vlan 400 name SORTIE VLAN 400 added: Name: SORTIE
Nous leurs attribuons des ports :
MUTLAB(config)#interface range fastEthernet 0/13-18 MUTLAB(config-if-range)#switchport access vlan 300 MUTLAB(config-if-range)#ex
MUTLAB(config)#interface range fastethernet 0/19-24 MUTLAB(config-if-range)#switchport access vlan 400MUTLAB(config-if-range)#ex
Pour s'assurer que les ports soit bien mis en place nous vérifions la configuration :
300 SERVEURS active Fa0/13, Fa0/14, Fa0/15, Fa0/16 Fa0/17, Fa0/18 400 SORTIE active Fa0/19, Fa0/20, Fa0/21, Fa0/22 Fa0/23, Fa0/24
Nous implémentons la première adresse de chaque VLAN selon le schéma réseau et l'adressage donné :
MUTLAB(config)#interface vlan 300 MUTLAB(config-if)#ip address 172.17.0.1 255.255.255.0 MUTLAB(config-if)#no shut MUTLAB(config-if)#ex MUTLAB(config)#interface vlan 400 MUTLAB(config-if)#ip address 172.18.0.1 255.255.255.252 MUTLAB(config-if)#ex
Nous vérifions une fois de plus l'attribution des IP :
MUTLAB#show run[...]interface Vlan300 ip address 172.17.0.1 255.255.255.0 ! interface Vlan400 ip address 172.18.0.1 255.255.255.252
Le switch étant de niveau 3 nous n'oublions pas d'activer le routage avec la commande suivante :
MUTLAB(config)#ip routing
Puis pour terminer nous sauvegardons nos configurations :
MUTLAB#copy running-config startup-config Destination filename [startup-config]?
Building configuration... [OK] 0 bytes copied in 0.847 secs (0 bytes/sec)
ConclusionLe fait de segmenter le réseau grâce au commutateur nous permettra d'isoler les réseaux des uns des autres et ainsi de mieux répartir le trafic tout en imposant une sécurité supplémentaire (non-accès aux réseaux n'étant pas dans le même VLAN).
Configuration du routeur et Adressage des équipements
Cette partie sera consacrée à l'adressage des différents composants matériels composants notre maquette ainsi que l'ajout des routes au niveau de la couche 3 c'est à dire du routeur, nous nous sommes basés par rapport a schéma et au plan d'adressage reçu.
Remettons nous le schéma en tête :
Nous savons que RTROUT est donc un routeur physique avec deux interfaces LAN.
RTROUT (Routeur)Nous renommons d'abord notre routeur :
Router(config)#hostname RTROUT RTROUT(config)#
Interfaces
Puis nous configurons ses deux interfaces FastEthernet, la 0/1 pointant vers internet et la 0/0 pointant vers le serveur Proxy :
RTROUT(config)#interface fastEthernet 0/0 RTROUT(config-if)#ip address 172.31.0.1 255.255.255.240 RTROUT(config-if)#no shut RTROUT(config-if)#ex RTROUT(config)#interface fastethernet 0/1 RTROUT(config-if)#ip address 172.16.61.5 255.255.0.0 RTROUT(config-if)#no shut RTROUT(config-if)#ex
Les deux interfaces sont actives à partir du moment où nous entrons la commande « no shut » ce qui a pour effet d'allumer les LED de couleur verte à l'arrière du routeur.
Les adresses IP et masques sont configurés en rapport avec notre plan d'adressage.
Routage
Nous allons alors entrer et définir les routes pour le routeur afin qu'il oriente les paquets de données, pour cela nous procédons comme suit,
Commande IP de destination Masque de destination Passerelle traversée
La route par défaut allant vers internet :
RTROUT(config)#ip route 0.0.0.0 0.0.0.0 172.16.253.253
La route allant vers le réseau du VLAN 400 (SORTIE)
RTROUT(config)#ip route 172.18.0.0 255.255.255.252 172.31.0.2
La route allant vers le réseau du VLAN 300 (SERVEURS)
RTROUT(config)#ip route 172.17.0.0 255.255.255.0 172.31.0.2
Notre routeur est maintenant configuré.
ProxSILAB (Proxy / Firewall)Nous savons que ProxSILAB est un routeur logiciel sous Linux Debian possédant deux interfaces (eth0 et eth1), il s'agit maintenant de le configurer de façon à ce qu'il est une adresse IP statique comme renseigné sur le schéma réseau, puis nous allons également lui configurer ses routes,
Nous renommons dans un premier temps notre machine dans le fichier /etc/hosts :
127.0.0.1 localhost127.0.1.1 ProxSILAB
# The following lines are desirable for IPv6 capable hosts::1 localhost ip6-localhost ip6-loopbackff02::1 ip6-allnodesff02::2 ip6-allrouters
Interfaces
Puis nous nous chargeons de configurer ses deux interfaces dans /etc/network/interfaces :
auto eth0iface eth0 inet staticaddress 172.18.0.2netmask 255.255.255.252
auto eth1iface eth1 inet staticaddress 172.31.0.2netmask 255.255.255.240gateway 172.31.0.1
Nous redémarrons nos interfaces avec :
ifdown eth0ifdown eth1ifup eth0ifup eth1
Il nous faut maintenant activer le routage sur notre routeur à l'aide dune commande :
root@ProxSILAB:/home/administrateur# echo 1 > /proc/sys/net/ipv4/ip_forward
Attention : à chaque désactivation et réactivation des interfaces il faudra relancer la commande pour permettre à nouveau le routage.
On peut vérifier l'activation du routage en faisant :
root@ProxSILAB:/home/administrateur# cat /proc/sys/net/ipv4/ip_forward1
Si la valeur retournée est 1, le routage est bien activé.
Routage
Maintenant nous allons définir les routes,
Ajout de la route vers le VLAN 300 (SERVEURS)
root@ProxSILAB:/home/administrateur# route add -net 172.17.0.0 netmask 255.255.255.0 gateway 172.18.0.1
Ajout de la route vers le VLAN 400 (SORTIE)
root@ProxSILAB:/home/administrateur# route add -net 172.17.0.0 netmask 255.255.255.0 gateway 172.18.0.1
TestsIl s'agit maintenant d'effectuer des tests entre les différents équipements de cette façon nous pourrons déterminer si notre réseau est correctement configuré,
ProxSILAB
#ping Eth1 ProxSILAB vers Fa0/0 RTROUTroot@ProxSILAB:/home/administrateur# ping 172.31.0.1PING 172.31.0.1 (172.31.0.1) 56(84) bytes of data.64 bytes from 172.31.0.1: icmp_seq=1 ttl=255 time=1.48 ms64 bytes from 172.31.0.1: icmp_seq=2 ttl=255 time=1.48 ms64 bytes from 172.31.0.1: icmp_seq=3 ttl=255 time=1.54 ms64 bytes from 172.31.0.1: icmp_seq=4 ttl=255 time=1.53 ms^C--- 172.31.0.1 ping statistics ---4 packets transmitted, 4 received, 0% packet loss, time 3005msrtt min/avg/max/mdev = 1.483/1.512/1.542/0.028 ms
#ping Eth1 ProxSILAB vers Fa0/1 RTROUTroot@ProxSILAB:/home/administrateur# ping 172.16.61.5PING 172.16.61.5 (172.16.61.5) 56(84) bytes of data.64 bytes from 172.16.61.5: icmp_seq=1 ttl=255 time=1.47 ms64 bytes from 172.16.61.5: icmp_seq=2 ttl=255 time=1.53 ms^C--- 172.16.61.5 ping statistics ---2 packets transmitted, 2 received, 0% packet loss, time 1002msrtt min/avg/max/mdev = 1.472/1.505/1.538/0.033 ms
#ping Eth0 ProxSILAB vers première adresse du VLAN 400root@ProxSILAB:/home/administrateur# ping 172.18.0.1PING 172.18.0.1 (172.18.0.1) 56(84) bytes of data.64 bytes from 172.18.0.1: icmp_seq=1 ttl=255 time=2.68 ms64 bytes from 172.18.0.1: icmp_seq=2 ttl=255 time=2.68 ms^C--- 172.18.0.1 ping statistics ---2 packets transmitted, 2 received, 0% packet loss, time 1002msrtt min/avg/max/mdev = 2.686/2.686/2.686/0.000 ms
#ping Eth0 ProxSILAB première adresse du VLAN 300root@ProxSILAB:/home/administrateur# ping 172.17.0.1PING 172.17.0.1 (172.17.0.1) 56(84) bytes of data.64 bytes from 172.17.0.1: icmp_seq=1 ttl=255 time=0.911 ms64 bytes from 172.17.0.1: icmp_seq=2 ttl=255 time=0.897 ms64 bytes from 172.17.0.1: icmp_seq=3 ttl=255 time=2.20 ms64 bytes from 172.17.0.1: icmp_seq=4 ttl=255 time=2.01 ms^C--- 172.17.0.1 ping statistics ---4 packets transmitted, 4 received, 0% packet loss, time 3004msrtt min/avg/max/mdev = 0.897/1.507/2.201/0.606 ms
#ping Eth0 ProxSILAB vers serveur DEPLOLABroot@ProxSILAB:/home/administrateur# ping 172.17.0.40PING 172.17.0.40 (172.17.0.40) 56(84) bytes of data.64 bytes from 172.17.0.40: icmp_seq=1 ttl=63 time=2.27 ms64 bytes from 172.17.0.40: icmp_seq=2 ttl=63 time=0.575 ms64 bytes from 172.17.0.40: icmp_seq=3 ttl=63 time=0.678 ms64 bytes from 172.17.0.40: icmp_seq=4 ttl=63 time=1.47 ms^C--- 172.17.0.40 ping statistics ---4 packets transmitted, 4 received, 0% packet loss, time 3002msrtt min/avg/max/mdev = 0.575/1.248/2.270/0.685 ms
#ping Eth1 ProxSILAB vers Internet (passerelle du lycée)Impossible car le NAT n'est pas activé (donc normal)
Nous n'effectuerons pas tout les tests mais le principe reste le même, si chacune des requêtes ping aboutissent sur tout les matériels du réseau sauf en direction de la passerellecar la translation d'adresse n'est pas activée, cela signifie que le réseau que nous avons misen place est fonctionnel et c'est le cas.
Montage du master sur DEPLOLAB
Préparation du master selon les préconisations
Dans cette partie nous allons nous consacrer à l'envoi d'une machine configuré sous Windows 7 comportant les logiciels que nous avons conseillés lors de nos précédents documents afin de pouvoir par la suite la descendre sur les différents postes visiteurs.
Pour cela nous avons donc créer un environnement virtuel sous VirtualBox en y créant une master grâce à l'ISO de Windows 7.
Nous avons paramétré la configuration de telle sorte qu'elle ne dispose uniquement des logiciels dont les utilisateurs ont besoin, tel qu'une boite mail, un antivirus, un logiciel de cryptage des données (pour le respect de la vie privée ou la sensibilité de ces dernières).
Voici quelques exemples des installations effectuées lors de la création du master,
Notamment AxCrypt qui nous permettra de crypter nos fichiers en créant ou en important une clé par un simple clic droit sur les données que l'on désire crypter :
Enfin voici la fiche descriptive de l'antivirus Avast montrant les différentes disponibilités offertes ou payantes :
Enregistrement d'un master avec la solutionClonezilla Live CD
Enregistrement d'une image sur le serveur
Dans un premier temps, nous allons récupérer l'image ISO via le FTP (172.16.252.150) puis nous configurons notre machine virtuelle en la faisant booter sur le CD/DVD virtuel dans les paramètres configuration>système ainsi que stockage>controleur IDE>cd
Nous choisissons ainsi un CD/DVD virtuel que nous pointons sur l'image de Clonezilla quenous avons récupéré sur le FTP ou sur le net.
On démarre ensuite notre machine virtuelle master, les prochaines étapes vont consister en la configuration de Clonezilla, nous démarrons donc notre machine :
Au démarrage nous choisirons l'option de paramètre par défaut (souvent la première).
On commence tout d'abord par configurer le clavier :
fr_FR.UTF-8 French | Français
Nous allons dans « choisir un codage clavier dans la liste complète » puis nous selectionnons le type de clavier (azerty) :
pc / azerty / French / Apple USB / Standard
Nous choisissons de démarrer Clonezilla :
Start_Clonezilla Démarrage de Clonezilla
Puis,
Device-image disque / partition vers / depuis image
Clonezilla va donc nous offrir plusieurs choix, soit nous clonons vers un serveur de fichiersou bien nous clonons à partir d'un autre poste qui doit également obtenir un cd-rom Clonezilla de lancé pour pouvoir effectuer la copie.
Nous choisirons dans notre cas :
nfs_server Monter un serveur NFS
L'intérêt de NFS est de permettre l'utilisation d'un répertoire ou de tout le système de fichiers d'un ordinateur de manière totalement transparente, comme s'il s'agissait d'un disque dur connecté directement à votre ordinateur.
Nous allons donc ici créer en quelque sorte un dossier sur le PC « serveur » qui permettrale partage de l'ISO au PC client.
A savoir que Clonezilla accepte différents serveurs de fichiers (ou périphériques) qui doivent être au préalable démarrés et/ou configurés, tel que :
- un disque dur, une périphérique USB ;
- un serveur SSH ;
- un partage Samba
Nous montons donc notre serveur NFS.
Puis, nous choisissons l'utilisation d'un serveur DHCP :
Dhcp Utiliser une adresse dynamique (dhcp)
Ce choix permettra d'obtenir une adresse dynamiquement allouée par le serveur.
Le choix de la version du serveur sera ensuite la suivante :
Nfs NFS v2, v3
Nous indiquons ensuite l'IP du serveur NFS à utiliser (dans notre cas 172.16.0.40).
Nous devrons ensuite indiquer où se trouvent les images ISO sur le serveur comme suit :
/home/images
Nous choisissons ensuite le mode suivant :
Beginner mode débutant : Accepter les options par défaut
Nous indiquons le nom de notre image en y inscrivant notre numéro de groupe ou autre caractéristiques personelles :
<date_image>-img-w7-visiteur
Clonezilla va détecter automatiquement nos disques durs et nous les proposer nous choisissons celui désiré.
Nous indiquons que nous ne voulons pas effectuer la vérification du système de fichiers du serveur avant l'enregistrement :
Ne pas vérifier / réparer le système de fichiers
Puis nous vérifions l'image sauvegardée comme suit :
Nous validons les paramètres et nous lançons l'enregistrement :
Après la confirmation de la vérification une barre de progression apparaît comme affiché ci-dessous :
Dès lors, notre image va être uploadée (remontée) sur notre serveur NFS (système de partage de fichier UNIX).
Le succès de la tâche est affiché :
Nous terminons cette étape par un « poweroff arrêt» :
Nous changeons ensuite l'ordre d’amorçage sur VirtualBox de façon à ce que ce sois le disque dur qui démarre en premier.
Nous pouvons alors constater que l'image à été importée sur le serveur NFS DEPLOLAB en utilisant le shell :
Descente d'une image à partir du serveur
Dans un premier temps nous allons devoir créer une machine sous Windows 7 destinée à recevoir l'image précédemment enregistrée sans oublier de configurer l'amorçage des périphérique de manière à ce que ce soit le disque dur qui démarre dorénavant en premier, cette machine fait office de poste client donc fait référence aux postes visiteurs.
Nous pointons une fois de plus sur l'image ISO de Clonezilla dans VirtualBox :
Nous démarrons notre machine virtuelle et nous répétons ensuite toutes les étapes de configuration comme fait précédemment.
Puis nous choisissons :
Restoredisk Restaurer_une_image_vers_le_disque_local
Nous choisissons notre image parmi la liste qui s'affiche à l'écran :
Puis nous poursuivons les étapes comme fait précédemment.
Conclusion
Selon moi l'utilisation de Clonezilla permet d'un côté d'être rapide et efficace, en effet, l'avantage de cette méthode est de permettre, lors d'un plantage total de votre machine oude panne de votre disque dur, de la remettre tel qu'elle était avant, et cela ne prend que quelques minutes à Clonezilla.
La sauvegarde et la restauration est donc rapide, et l'ISO peut être installé sur différents supports tel que les clés USB, CD, etc.
Il est important de souligner que Clonezilla est également un logiciel libre donc à moindre coût pour l'entreprise.
Son inconvénient cependant face à FOG est que dans le cas ou le technicien doit restaurer ou configurer plusieurs machines, il doit s'y prendre à plusieurs reprises contrairement à la fonction de déploiement multicast qu'offre FOG, le technicien peut ainsi perdre du temps.
FOG nécessite l'installation préalable de son serveur qui peut être une tâche fastidieuse mais qui se révèle par la suite économique et profitable à une entreprise.
Tout dépend du choix du technicien quant à la méthode de déploiement utilisée, tout est question de préférence.
Charte Informatique
Introduction
Une charte informatique sera rédigée et permettra ainsi le bon respect des conditions d'usages des technologies de l'information dans l'entreprise par les visiteurs, pour cela nous avons effectué quelques recherches sur la façon dont une charte se forme et s'écrit, nous présenterons ici une trame que nous avons trouvé sur le net et qui regroupe tout ou partie de la formation de cette dernière. Cette charte n'est pas personnelle mais peut être personnalisé au gré de son utilisation et en fonction du contexte dans lequel elle évolue.
PréambuleL'entreprise < NOM > met en œuvre un système d'information et de communication nécessaire à son activité, comprenant notamment un réseau informatique et téléphonique ainsi que des outils mobiles.
Les salariés, dans l'exercice de leurs fonctions, sont conduits à utiliser les outils informatiques et téléphoniques mis à leur disposition et à accéder aux services de communication de l’entreprise.
L'utilisation du système d'information et de communication doit être effectuée exclusivement à des fins professionnelles, sauf exception prévue dans la présente charte.
Dans un but de transparence à l'égard des utilisateurs, de promotion d'une utilisation loyale, responsable et sécurisée du système d'information, la présente charte pose les règles relatives à l'utilisation de ces ressources.
Elle définit également les moyens de contrôle et de surveillance de cette utilisation mise enplace, non seulement pour la bonne exécution du contrat de travail des salariés, mais dans le cadre de la responsabilité civile et pénale de l’employeur.
Elle dispose d’un aspect réglementaire et est annexée au règlement intérieur de l’entreprise. Elle ne remplace en aucun cas les lois en vigueur que chacun est censé connaître.
1. Champ d'application
Utilisateurs concernés
Sauf mention contraire, la présente charte s'applique à l'ensemble des utilisateurs du système d'information et de communication de l'entreprise, quel que soit leur statut, y compris les mandataires sociaux, salariés, intérimaires, stagiaires, employés de sociétés prestataires, visiteurs occasionnels.
Système d'information et de communication
Le système d'information et de communication de l'entreprise est notamment constitué des éléments suivants : ordinateurs (fixes ou portables), périphériques y compris clés USB, photocopieurs, téléphones, smartphones, tablettes, logiciels, fichiers, données et bases de données, système de messagerie, connexion internet, intranet, abonnements à des servicesinteractifs.
La composition du système d'information et de communication est indifférente à la propriété sur les éléments qui le composent.
Pour des raisons de sécurité du réseau, est également considéré comme faisant partie du système d'information et de communication le matériel personnel des salariés connecté auréseau de l'entreprise, ou contenant des informations à caractère professionnel concernant l'entreprise.
Autres accords sur l'utilisation du système d'information
La présente charte est sans préjudice des accords particuliers pouvant porter sur l'utilisation du système d'information et de communication par les institutions représentatives, l'organisation d'élections par voie électronique ou la mise en télétravail de salariés.
2. Confidentialité
Paramètres d'accès
L'accès à certains éléments du système d'information (comme la messagerie électronique ou téléphonique, les sessions sur les postes de travail, certaines applications ou services interactifs) est protégé par des paramètres de connexion (identifiants, mots de passe).
Ces paramètres sont personnels à l'utilisateur et doivent être gardés confidentiels. Ils permettent en particulier de contrôler l'activité des utilisateurs. Toutefois, pour des raisons de sécurité et de persistance des données, ils doivent être communiqués à la Direction.
Dans la mesure du possible, ces paramètres doivent être mémorisés par l'utilisateur et ne pas être conservés, sous quelque forme que ce soit. En tout état de cause, ils ne doivent pas être transmis à des tiers ou aisément accessibles. Ils doivent être saisis par l'utilisateur àchaque accès et ne pas être conservés en mémoire dans le système d'information.
Sauf demande formelle de la Direction, aucun utilisateur ne doit se servir pour accéder au système d’information de l’entreprise d’un autre compte que celui qui lui a été attribué. Il ne doit pas non plus déléguer à un tiers les droits d’utilisation qui lui sont attribués.
Données
Chaque utilisateur est responsable pour ce qui le concerne du respect du secret professionnel et de la confidentialité des informations qu’il est amené à détenir, consulter ou utiliser. Les règles de confidentialité ou d’autorisation préalable avant diffusion externe ou publication sont définies par la Direction et applicable quel que soit le support de communication utilisé.
L’utilisateur doit être particulièrement vigilant sur le risque de divulgation de ces informations dans le cadre d’utilisation d’outils informatiques, personnels ou appartenant àl’entreprise, dans des lieux autres que ceux de l’entreprise (hôtels, lieux publics,…).
3. Sécurité
Rôle de l’entreprise
L'entreprise met en œuvre les moyens appropriés pour assurer la sécurité matérielle et logicielle du système d'information et de communication. À ce titre, il lui appartient de limiter les accès aux ressources sensibles et d'acquérir les droits de propriété intellectuelle ou d'obtenir les autorisations nécessaires à l'utilisation des ressources mises à disposition des utilisateurs.
La Direction est responsable de la mise en œuvre et du contrôle du bon fonctionnement du système d'information et de communication. Elle veille à l’application des règles de la présente charte. Elle est assujettie à une obligation de confidentialité sur les informations qu’elle serait amenée à connaître.
Responsabilité de l’utilisateur
L'utilisateur est responsable quant à lui des ressources qui lui sont confiées dans le cadre de l'exercice de ses fonctions. Il doit concourir à la protection des dites ressources, en faisant preuve de prudence. En particulier, il doit signaler à la Direction toute violation ou tentative de violation de l’intégrité de ces ressources et, de manière générale tout dysfonctionnement, incident ou anomalie.
Sauf autorisation expresse de la Direction, l’accès au système d’information avec du matériel n’appartenant pas à l’entreprise (smartphones, appareils amovibles,…) est interdit. Dans le cas où il a été autorisé, il appartient à l’utilisateur de veiller à la sécurité du matérielutilisé et à son innocuité.
De même la sortie de matériel appartenant à l’entreprise est interdit sauf accord express dela Direction.
L'utilisateur doit effectuer des sauvegardes régulières des fichiers dont il dispose sur le matériel mis à sa disposition en suivant les procédures définies par la Direction.
L'utilisateur doit éviter d'installer ou de supprimer des logiciels, de copier ou d'installer desfichiers susceptibles de créer des risques de sécurité au sein de l'entreprise. Il ne doit pas non plus modifier les paramétrages de son poste de travail ou des différents outils mis à sadisposition, ni contourner aucun des systèmes de sécurité mis en œuvre dans l’entreprise.
Il doit dans tous les cas en alerter la Direction.
L'utilisateur s’oblige en toutes circonstances à se conformer à la législation, qui protège notamment les droits de propriété intellectuelle, le secret des correspondances, les données personnelles, les systèmes de traitement automatisé de données, le droit à l'image des personnes, l'exposition des mineurs aux contenus préjudiciables.
Il ne doit en aucun cas se livrer à une activité concurrente à celle de l'entreprise ou susceptible de lui causer un quelconque préjudice en utilisant le système d'information et de communication.
4. Internet
Accès aux sites
Dans le cadre de leur activité, les utilisateurs peuvent avoir accès à Internet. Pour des raisons de sécurité ou de déontologie, l'accès à certains sites peut être limité ou prohibé par la Direction qui peut imposer des configurations du navigateur et installer des mécanismes de filtrage limitant l’accès à certains sites.
Seule la consultation de sites ayant un rapport avec l’activité professionnelle est autorisée.
En particulier, l’utilisation de l’Internet à des fins commerciales personnelles en vue de réaliser des gains financiers ou de soutenir des activités lucratives est strictement interdite. Il est aussi prohibé de créer ou de mettre à jour au moyen de l’infrastructure de l’entreprisetout site internet, notamment des pages personnelles.
Bien sûr, il est interdit de se connecter à des sites Internet dont le contenu est contraire à l’ordre public, aux bonnes mœurs ou à l’image de marque de l’entreprise, ainsi qu’à ceux pouvant comporter un risque pour la sécurité du système d’information de l’entreprise ou engageant financièrement celle-ci.
Autres utilisations
La contribution des utilisateurs à des forums de discussion, systèmes de discussion instantanée, blogs, sites est interdite, sauf à titre professionnel et sur autorisation expresse de la Direction.
De même, tout téléchargement de fichier, en particulier de fichier média, est prohibé, sauf justification professionnelle dûment validée par la hiérarchie.
Il est rappelé que les utilisateurs ne doivent en aucun cas se livrer sur Internet à une
activité illicite ou portant atteinte aux intérêts de l'entreprise.
Ils sont informés que la Direction enregistre leur activité sur Internet et que ces traces pourront être exploitées à des fins de statistiques, contrôle et vérifications dans les limites prévues par la loi, en particulier en cas de perte importante de bande passante sur le réseau de l’entreprise.
5. Messagerie électronique
Certains salariés disposent, pour l’exercice de leur activité professionnelle, d’une adresse de
messagerie électronique normalisée attribuée par la Direction. La messagerie est accessible
aussi bien à partir d’un logiciel de messagerie qu’à partir d’un navigateur Internet grâce à un Webmail.
Les messages électroniques reçus sur la messagerie professionnelle font l'objet d'un contrôle antiviral et d'un filtrage anti-spam. Les salariés sont invités à informer la Direction des dysfonctionnements qu'ils constatent dans le dispositif de filtrage.
Conseils généraux
L'attention des utilisateurs est attirée sur le fait qu'un message électronique a la même portée qu'un courrier postal : il obéit donc aux mêmes règles, en particulier en termes d’organisation hiérarchique. En cas de doute sur l’expéditeur compétent pour envoyer le message, il convient d’en référer à son supérieur.
Un message électronique peut être communiqué très rapidement à des tiers et il convient de prendre garde au respect d'un certain nombre de principes, afin d'éviter les dysfonctionnements du système d'information, de limiter l'envoi de messages non sollicités et de ne pas engager la responsabilité civile ou pénale de l'entreprise et/ou de l'utilisateur.
Avant tout envoi, il est impératif de vérifier l'identité des destinataires du message et de leur qualité à recevoir communication des informations transmises. En présence d’information à caractère confidentiel, ces vérifications doivent être renforcées.
En cas d'envoi à une pluralité de destinataires, l'utilisateur doit respecter les dispositions relatives à la lutte contre l'envoi en masse de courriers non sollicités. Il doit également envisager l'opportunité de dissimuler certains destinataires, en les mettant en copie
cachée, pour ne pas communiquer leur adresse électronique à l'ensemble des destinataires.
En cas d'envoi à une liste de diffusion, il est important d’en vérifier les modalités d'abonnement, de contrôler la liste des abonnés et de prévoir l’accessibilité aux archives.
Le risque de retard, de non remise et de suppression automatique des messages électroniques doit être pris en considération pour l'envoi de correspondances importantes.Les messages importants doivent être envoyés avec un accusé de réception ou signés électroniquement. Ils doivent, le cas échéant, être doublés par des envois postaux.
Les utilisateurs doivent veiller au respect des lois et règlements, et notamment à la protection des droits de propriété intellectuelle et des droits des tiers. Les correspondancesélectroniques ne doivent comporter aucun élément illicite, tel que des propos diffamatoires, injurieux, contrefaisants ou susceptibles de constituer des actes de concurrence déloyale ou parasitaire.
La forme des messages professionnels doit respecter les règles définies par la Direction, notamment en ce qui concerne la mise en forme et surtout la signature des messages.
En cas d’absence supérieure à trois jours, le salarié doit mettre en place un répondeur automatique.
Limites techniques
Pour des raisons techniques, l'envoi de messages électroniques n'est possible, directement,que vers un nombre limité de destinataires, fixé par la Direction. Cette limite est susceptibled'être levée temporairement ou définitivement selon les nécessités professionnelles et sur demande.
De même, la taille, le nombre et le type des pièces jointes peuvent être limités pour éviter l'engorgement du système de messagerie.
Pour des raisons de capacité de mémoire, les messages électroniques sont conservés sur leserveur de messagerie pendant une durée maximale d’un an. Passé ce délai, ils sont automatiquement supprimés. Le salarié est tenu de supprimer lui-même dès que possibles tous les messages inutiles.
Utilisation personnelle de la messagerie
Les messages à caractère personnel sont tolérés, à condition de respecter la législation en vigueur, de ne pas perturber et de respecter les principes posés dans la présente charte.
Les messages envoyés doivent être signalés par la mention "Privé " dans leur objet et être classés dès l'envoi dans un dossier lui-même dénommé de la même façon. Les messages reçus doivent être également classés, dès réception, dans un dossier lui-même dénommé "Privé".
En cas de manquement à ces règles, les messages sont présumés être à caractère professionnel.
Toutefois, les utilisateurs sont invités, dans la mesure du possible, à utiliser leur messagerie personnelle via un client en ligne pour l'envoi de message à caractère personnel plutôt quela messagerie de l’entreprise.
Utilisation de la messagerie pour la communication destinée aux institutions représentatives du personnel.
Afin d'éviter l'interception de tout message destiné à une institution représentative du personnel, les messages présentant une telle nature doivent être signalés et classés de la même manière que les messages à caractère personnel, mais en utilisant la mention "Délégué" dans leur objet à l’émission et dans le dossier où ils doivent être classés.
6. Téléphonie
Pour leur activité professionnelle, les utilisateurs peuvent disposer d’un poste fixe et d’un terminal mobile, smartphone, tablette ou clé 3G.
Pour ce qui est de l’utilisation des terminaux mobiles en connexion pour accès à des sites Internet ou la messagerie électronique, les règles édictées ci-dessus s’appliquent de la même manière.
De plus, il est rappelé que l’envoi de SMS est réservé aux communications professionnelles et qu’il engage la responsabilité de l’émetteur au même titre que l’envoi d’un courriel. Il estdonc soumis aux mêmes règles rappelées plus haut.
Enfin, les connexions depuis l’étranger sont strictement interdites sauf autorisation exceptionnelle en cas d’urgence professionnelle.
Utilisation personnelle de la téléphonie
L’utilisation à caractère personnel du téléphone, fixe ou mobile, est tolérée, à condition qu’elle reste dans des limites raisonnables en termes tant de temps passé que de quantité d’appels.
Les surcoûts pour l’entreprise engendrés par l’utilisation de la téléphonie à des fins personnelles devront être remboursés par les utilisateurs concernés. Il s’agit tout particulièrement des appels à des numéros surtaxés et des appels depuis l’étranger ou à destination de l’étranger, au sens de la facturation téléphonique.
Les utilisateurs sont informés que la Direction enregistre leur activité téléphonique, aussi bien sur les postes fixes que sur les mobiles. Ces traces seront exploitées à des fins de statistiques, contrôle et vérification dans les limites prévues par la loi. La Direction pourra avoir accès aux numéros détaillés, permettant d’identifier les interlocuteurs d’un utilisateur, et seulement en cas de différend avec lui.
7. Données personnelles
La loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, définitles conditions dans lesquelles des traitements de données personnels peuvent être opérés.Elle institue au profit des personnes concernées par les traitements des droits que la présente invite à respecter, tant à l'égard des utilisateurs que des tiers.
Des traitements de données automatisés et manuels sont effectués dans le cadre des systèmes de contrôle, prévus dans la présente charte. Ils sont, en tant que de besoin, déclarés conformément à la loi du 6 janvier 1978. Tout utilisateur pourra avoir accès aux données le concernant et ces données ne seront conservées que sur une durée maximale de 1 an.
Il est rappelé aux utilisateurs que les traitements de données à caractère personnel doiventêtre déclarés à la Commission nationale de l'informatique et des libertés, en vertu de la loi n° 78-17 du 6 janvier 1978. Les utilisateurs souhaitant réaliser, dans le cadre professionnel, des traitements relevant de ladite loi sont invités à prendre contact avec la Direction avant d'y procéder.
8. Contrôle des activités
Contrôles automatisés
Le système d'information et de communication s'appuie sur des fichiers journaux ("logs"), créés en grande partie automatiquement par les équipements informatiques et de télécommunication.
Ces fichiers sont stockés sur les postes informatiques et sur le réseau. Ils permettent d'assurer le bon fonctionnement du système, en protégeant la sécurité des informations del'entreprise, en 7 détectant des erreurs matérielles ou logicielles et en contrôlant les accès et l'activité des utilisateurs et des tiers accédant au système d'information.
Les utilisateurs sont informés que de multiples traitements sont réalisés afin de surveiller l'activité du système d'information et de communication. Sont notamment surveillées et conservées les données relatives :
- à l'utilisation des logiciels applicatifs, pour contrôler l'accès, les modifications et
suppressions de fichiers ;
- aux connexions entrantes et sortantes au réseau interne, à la messagerie et à Internet,
pour détecter les anomalies liées à l'utilisation de la messagerie et surveiller les
tentatives d'intrusion et les activités, telles que la consultation de sites web ou le
téléchargement de fichiers ;
- aux appels téléphoniques émis ou reçus à partir des postes fixes ou mobiles pour
surveiller le volume d’activités et détecter des dysfonctionnements.
L'attention des utilisateurs est attirée sur le fait qu'il est ainsi possible de contrôler leur activité et leurs échanges. Des contrôles automatiques et généralisés sont susceptibles d'être effectués pour limiter les dysfonctionnements, dans le respect des règles en vigueur.
Il est précisé que chaque utilisateur pourra avoir accès aux informations enregistrées lors de ces contrôles le concernant sur demande préalable à la Direction.
De plus, les fichiers journaux énumérés ci-dessus sont automatiquement détruits dans un délai maximum de 6 mois après leur enregistrement.
Procédure de contrôle manuel
En cas de dysfonctionnement constaté par la Direction, il peut être procédé à un contrôle manuel et à une vérification de toute opération effectuée par un ou plusieurs utilisateurs.
Le contrôle concernant un utilisateur peut porter sur les fichiers contenus sur le disque dur de l’ordinateur, sur un support de sauvegarde mis à sa disposition ou sur le réseau de l’entreprise, ou sur sa messagerie. Alors, sauf risque ou événement particulier, la Direction ne peut ouvrir les fichiers ou messages identifiés par l’utilisateur comme personnels ou liésà la délégation de personnel conformément à la présente charte, qu'en présence de l’utilisateur ou celui-ci dûment appelé et éventuellement représenté par un délégué du personnel.
9. Informations et sanctions
La présente charte est affichée publiquement en annexe du règlement intérieur. Elle est communiquée individuellement à chaque salarié.
Chaque utilisateur doit se conformer aux procédures et règles de sécurité édictées par la Direction dans le cadre de la présente charte.
Le manquement aux règles et mesures de sécurité de la présente charte est susceptible d'engager la responsabilité de l'utilisateur et d'entraîner à son encontre des avertissements, des limitations ou suspensions d'utiliser tout ou partie du système d'information et de communication, voire des sanctions disciplinaires, proportionnées la gravité des faits concernés.
Dans ce dernier cas, les procédures prévues dans le règlement intérieur et dans le Code du travail seront appliquées.
L’utilisation reconnue à des fins personnelles de certains services payants à travers le système de communication de l’entreprise donnera également lieu à remboursement de la part de l’utilisateur concerné.
10. Entrée en vigueur
La présente charte est applicable à compter du : …/…/….
(Elle a été adoptée après information et consultation du comité d'entreprise OU des délégués du personnel et du comité d'hygiène et de sécurité en date du …/…/…)
![[Industrie pharmaceutique] dynamiser votre réseau de distribution pharmaceutique](https://img.pdfslide.fr/doc/110x75/548c7d22b479594e508b46d7/industrie-pharmaceutique-dynamiser-votre-reseau-de-distribution-pharmaceutique.jpg)
![[Industrie pharmaceutique] secteur industrie pharmaceutique](https://img.pdfslide.fr/doc/110x75/5574813ad8b42a0f178b52eb/industrie-pharmaceutique-secteur-industrie-pharmaceutique.jpg)
