Charte informatique : Le Garant ou Officier de sécurité

Le Garant de la Charte informatique

L’introduction d’une charte informatique dans une entreprise nécessite une réflexion qui va plus loin que son contenu, car elle impacte l’organisation et le fonctionnement de l’entreprise.

C’est la raison pour laquelle la rédaction d’une charte est de la responsabilité de la Direction, patron en tête.

Toutes les conséquences de cette introduction et de chaque phrase dans la charte doivent être analysées de façon à ne laisser qu’une seule interprétation possible. Les termes choisis doivent être compréhensibles même par du personnel maîtrisant peu le français.

La charte doit être signée par tout le personnel, y compris ceux qui n’ont pas accès aux ressources informatiques. En effet, il est probable, qu’occasionnellement, ils aient à s’en servir : Remplacement d’un chef ou d’un collègue malade, besoin d’accéder à titre privé, promotion ou nomination à un autre poste, etc.

La charte informatique décrit les droits et les devoirs des informaticiens et des utilisateurs.

Ces derniers, par ignorance ou/et par méfiance, veulent avoir le plus de liberté possible dans l’usage des outils et des matériels informatiques, alors que les premiers se doivent de préserver le bon fonctionnement de l’informatique et du système d’information. C’est parfois incompatible, d’où l’utilité de la charte.

C’est là qu’intervient le Garant de la charte, appelé aussi Officier de sécurité selon les entreprises

Qui est le Garant de la charte ?

Un Garant de la charte sera nommé parmi les volontaires, issu d’un service indépendant du service informatique.

La mise en place d’un Garant a pour but de rassurer les utilisateurs qui craignent toujours que les actes des informaticiens dépassent le contenu de la charte. De savoir que cette personne, est volontaire, il en faut toujours une, permet de rassurer.

Il est préférable qu’il ne soit pas un représentant du personnel pour garantir à la Direction, sa neutralité. Son nom est donc divulgué à l’ensemble du personnel. Son rôle et les modalités de sa nomination, ainsi que ses droits et devoirs, moyens et limites d’action sont dans la charte, mais pas son nom.

S’il n’est pas indispensable qu’il est une culture informatique ou juridique, il faut néanmoins qu’il soit capable d’appréhender ces questions et de juger du respect ou non de la charte par tous.

Le rôle du Garant de la charte

Le rôle principal du Garant de la charte est de vérifier que le service informatique respecte la charte, notamment les administrateurs du réseau, et que les droits et devoirs indiqués dans la charte soient respectés par tous.

Le Garant de la charte vérifie et conserve les formulaires d’acceptation de la charte signés par les salariés.

Un utilisateur peut s’adresser au Garant de la charte lorsqu’il soupçonne un non-respect de la charte, et réciproquement.

Le Garant de la charte sert de modérateur en cas de conflit entre un utilisateur et la Direction ou/et le SI. Il est le témoin en remplacement d’un salarié absent ou d’un salarié récalcitrant, par exemple.

Avant de mettre en place ce rôle, il faut convenir qu’il a un droit de consultation, de supervision, de conseil et aussi d’alerte de l’inspection du travail en cas d’abus.

Ce Garant de la charte est aussi celui qui doit informer tout collaborateur occasionnel des règles à respecter, avec ou sans le responsable de ces collaborateurs, stagiaire, sous-traitants, visiteurs, etc.

C’est donc lui qui organise les réunions de rappel des règles, deux fois par an par exemple, à l’ensemble du personnel, par petits groupes pour ne pas désorganiser les services.

Le Garant ou la Garante n’a aucun pouvoir de décision.

Il rédige un rapport annuel, remis à la Direction. Ce rapport fait l’objet d’une communication interne, dont la forme est conforme aux pratiques de communication interne de l’entreprise, de telle façon que tous les personnels puissent consulter le rapport.

Ce rapport doit contenir les incidents reconnus comme étant non conformes à la charte, et omettant tout ce qui pourrait permettre d’identifier les personnes concernées, de façon à respecter lui-même la loi sur l’Informatique et les Libertés.

Les moyens du Garant de la charte

Le Garant de la charte dispose d’un crédit temps, comme un représentant du personnel, pour exercer cette activité et sans autre compensation, dans le seul but d’être le gardien de la charte.

Il participe à toutes les réunions ayant pour objet la rédaction de la charte, qu’il doit connaître la charte sur le bout des doigts.

C’est à lui que s’adresse la Direction et les utilisateurs pour demander avis sur les changements à apporter à la charte.

Le Garant de la charte est habilité à réclamer des modifications de la charte, permanentes ou temporaires, sans être décisionnaire puisque le contenu reste de la responsabilité de la Direction. À celle-ci de jouer le jeu et de ne pas créer un rôle fantoche.

Le Garant de la charte a, par ailleurs, l’autorisation de pénétrer dans les locaux réservés au personnel informatique de façon à ce que les informaticiens ne puissent pas se réunir pour effectuer des tâches contraires à la charte d’une manière cachée.

À contrario, les actions de supervision, d’actions de sécurité, restent du ressort du service informatique et sont exécutées sans autorisation préalable ni même d’information auprès du Garant de la charte. Chacun son boulot.

Philippe Garin, plus de 20 de management en entreprise

Pour plus de conseils, contactez-moi : phgarin@gmail.com

Pour en avoir plus :

Inscrivez-moi à la Newsletter (recommandé)

Nom Prénom(obligatoire)

Email(obligatoire)

Envoyer

Δ

En complément :

Sommaire d’une charte informatique
Surveillance en entreprise : caméra, micro et charte informatique
Sécurité des données : Les 7 points capitaux du comportement responsable

Keylogger : Espionnage facile de votre PC
Démission d’un salarié = fuite d’informations : Comment s’en prémunir
Filtrage Internet : Pas de brimade des salariés

Autres Informatique, Management et Sécurité :

Récapitulatif 15 Informatique
Récapitulatif 15 Management
Récapitulatif 15 Sécurité

Sécurité des données : Les 7 points capitaux du comportement responsable

La protection des données en 7 points

Tous les collaborateurs d’une organisation sont impliqués dans la protection des données dont ils ont connaissance dans leurs activités.

Les 7 points capitaux suivants doivent impérativement être respectés par tous :

1. Préserver la confidentialité des données

Cela ressemble à une évidence et pourtant nombreux sont les collaborateurs insuffisamment sensibilisés aux comportements à adopter et aux outils de protection des données à utiliser.

Il convient donc que chacun se pose la question, systématiquement, pour chaque fichier ou information, du degré de confidentialité et des mesures de protection à prendre.

2. Éviter les abus et la désinformation

En interne ou en externe, les abus vont conduire à une surprotection des données, surtout lorsqu’elles sont banales et non confidentielles. La désinformation part du même principe et peut faire croire à la confidentialité d’une donnée alors qu’il s’agit d’une information banale.

3. Éviter l’atteinte à des droits privatifs

Que ce soit des informations personnelles du collaborateur, protégées théoriquement contre l’intrusion de la hiérarchie, ou des informations professionnelles extérieures à l’entreprise, des droits protègent les informations d’autrui : droits à l’image, droits de propriété, brevets, etc.

4. Protéger l’entreprise de la concurrence et de poursuites judiciaires.

Moins une information est diffusée à l’extérieur et moins il y a de risques d’en informer sa concurrence. La séparation d’un collaborateur indélicat peut conduire à la perte d’information et même à la perte de chiffre d’affaires, sans compter la diffusion de méthodes et techniques employées au quotidien. Toutes informations diffusées ou enregistrées sans autorisation peuvent aussi mener à des poursuites judiciaires, contre l’entreprise ou ses collaborateurs ou anciens collaborateurs.

5. Ne pas implanter de nouveaux logiciels et/ou de nouvelles versions

Tout logiciel installé par un collaborateur dans le système d’informations de l’entreprise est susceptible de provoquer de graves dégâts.

Il peut contenir un virus. Il peut aussi être incompatible avec les autres logiciels installés dans l’entreprise, ou encore faire doublon avec ceux qui existent, surtout lorsqu’il s’agit de versions différentes. Toute suggestion de nouvelles versions ou de nouveaux logiciels est à transmettre au service informatique pour une intégration, dans les règles, et dans le budget, dans le système d’information.

6. Penser aux performances de l’outil informatique et du système de communication

C’est un élément qui sort souvent de la tête d’un utilisateur du système d’information et de communication de son organisation : la performance.

C’est la raison pour laquelle, par exemple, la vidéo en streaming, est interdite dans la quasi-totalité des organisations. Un seul utilisateur peut ainsi mettre à plat le système d’informatique de l’ensemble de l’entreprise car il prend ainsi toute la place disponible sur ce réseau pour faire transiter d’énormes quantités d’informations, pour lui tout seul.

7. Penser à la sécurité de l’outil informatique et du système de communication

Rien de plus bête que de brancher un disque dur externe, ou une clé USB, sur son ordinateur au bureau pour contaminer l’ensemble du réseau de l’entreprise. Pour pallier à cela, une charte informatique, associée au règlement intérieur, définit les droits et les devoirs en termes d’usages à respecter pour assurer la sécurité des données et du système d’information et de communication.

Philippe Garin, plus de 20 ans manager en entreprise

Pour une meilleure sécurité de vos données, contactez-moi : phgarin@gmail.com

Pour en savoir plus :

Inscrivez-moi à la Newsletter (recommandé)

Nom Prénom(obligatoire)

Email(obligatoire)

Envoyer

Δ

En complément :

Les paramètres de la maturité des systèmes d’information
Protection des données personnelles : un projet de la Commission européenne
Protection de la salle informatique : Les mesures

Arnaques, fraude, virus : Pôle emploi met en garde
Botnet et machines zombies
Sauvegarde : Un pirate détruit 4800 sites

Autres Informatique et Sécurité :

Récapitulatif 14 Informatique
Récapitulatif 14 Sécurité

PCA Plan de continuité d’activité : des besoins très différents

Le PCA est unique et personnalisé

Le Plan de Continuité d’Activité pour une entreprise ou une organisation est obligatoirement unique et personnalisé.
Même les entreprises d’un même secteur professionnel, avec un établissement dans la même zone géographique, de même taille et avec des produits similaires ont chacune des PCA différents.

Chaque entreprise a ses priorités, ce qui est important pour une entreprise peut être différent de ce qui est important pour une autre entreprise.

Exemple, pour une entreprise de distribution

C’est le client qui passe à la caisse, dépose ses produits, ses produits sont enregistrés, figurent sur la facture et le client part après avoir payé sa facture.

Dans un tel cas de figure, le plan de continuité, comme le PRA ou Plan de Reprise d’Activité, doivent répondre immédiatement en cas de sinistre,

• soit par une solution informatique de secours qui prend le relais immédiatement et automatiquement,
• soit par une procédure dégradée, c’est-à-dire que la facture est faite manuellement, quitte à créer une procédure pour saisir manuellement (au lieu de la caisse enregistreuse) la sortie de stock, le prix de chaque produit, le montant de la facture, le mode de paiement, etc.

Exemple, pour une entreprise qui fabrique des produits sur mesure

Lorsque les produits sont de très haute technicité, l’entreprise a besoin impérativement de pouvoir établir des devis avec tous les documents techniques en pièces jointes issus de calculs mathématiques compliqués et longs, et de dessins techniques de CAO (Conception assistée par ordinateur).

Il est évident que, dans un tel environnement, la sécurité par des disques en RAID 1 doit être mis en place sur les machines de calcul, qu’un SAN soit mis en place pour les sauvegardes et qu’au moins une machine de même puissance soit disponible en permanence en guise de machine de remplacement.

RAID 1

Le RAID 1 est la duplication immédiate et automatique d’un disque interne d’un ordinateur sur un autre disque, de telle façon qu’il existe toujours une version non endommagée des données en cas de problème physique sur l’un des deux disques. Il s’agit d’une solution de sécurité du poste de travail.

SAN

Le SAN est un système qui permet aussi une duplication du disque dur d’un PC, sur un disque externe, placé généralement dans une salle informatique. Le SAN permet la duplication de disques durs de plusieurs PC d’un réseau informatique local.

Les mesures propres à chacun

Selon les priorités que l’entreprise définit et le budget que la Direction accorde, les mesures de protection et de continuité de l’activité sont différentes.

Elles seront différentes aussi en raison de l’évaluation des risques auxquels l’organisation est soumise.

Si la rigueur et la fermeté manquent dans l’application des mesures préventives de sécurité, alors le risque de pannes, de casses, de vol augmentera d’autant.

• Sans charte informatique, tous les abus sont possibles.
• Sans contrat d’assurance, les coûts seront augmentés.
• Sans réunion d’information pour le personnel, les consignes seront moins prises au sérieux.

Philippe Garin, plus de 20 ans de management en entreprise

Pour plus de conseils, contactez-moi : phgarin@gmail.com

Pour en savoir plus :

Inscrivez-moi à la Newsletter (recommandé)

Nom Prénom(obligatoire)

Email(obligatoire)

Envoyer

Δ

En complément :

Sauvegarde : Premiers pas vers la Reprise d’Activité (PRA)
Pare-feu : Documenter les responsabilités et les procédures
Sécurité informatique : 1 milliard de dollars volé

Liste de mesures de sécurité informatique
Menace – Vulnérabilité – Risque
Redémarrer après une panne : 74% des entreprises sont mal préparées

Autres Sécurité et Informatique :

Récapitulatif 12 Informatique
Récapitulatif 12 Sécurité