Veille juridique :
Définition du métier et rôle :
Il est chargé de la mise en place et de la configuration des différents réseaux d’une organisation, et garant de leurs performances, l’administrateur systèmes & réseaux est un technicien polyvalent. Il administre et exploite les moyens informatiques d’une ou plusieurs unités (Comptabilité, ressource humaine, etc..), dans une organisation. ASR est également responsable des serveurs d’une organisation Il doit assurer le bon fonctionnement technique du système informatique de l’entreprise. De ce fait, un administrateur système et réseaux possède de nombreuses responsabilités. Ils sont susceptibles d’avoir accès, dans l’exercice de cette mission, à des informations personnelles relatives aux utilisateurs (messageries, logs de connexion, etc.). Un ASR ne peut garantir la sécurité du réseau s’il ne dispose pas des moyens nécessaires, impliquant donc l’accès à toutes les données contenues par les utilisateurs mis à part à caractère privé. Article de base sur la responsabilité : - Art 1383 : « chacun est responsable du dommage qu’il a causé non seulement par son fait, mais encore par sa négligence ou par son imprudence» - Art 1384 : « on est responsable non seulement du dommage que l’on cause par son propre fait, mais encore de celui qui est causé par le fait des personnes dont on doit répondre … les maitres et les commettants du dommage causé par leurs domestiques et préposé dans les fonctions auxquelles ils les ont employés » - 121-2 Code pénal : « Les personnes morales, à l’exclusion de l’état sont responsables pénalement … des infractions commises, pour leur compte, par les organes dirigeants ou représentants ». - Art .432-2-1 Code du travail : Le comité d'entreprise, ou à défaut les délégués du personnel, devra avoir été informé et consulté préalablement à la décision de mise en œuvre d'un dispositif de contrôle et de surveillance de l'activité des salariés sur leur lieu de travail. . - Art 432-9 Code pénal : Si l’ASR peut accéder aux données à caractère personnel des salariés, il n’est cependant pas autorisé à les divulguer. À défaut, il mettrait en œuvre sa responsabilité pénale en vertu de l’article 226.15 du code pénal. Cette obligation de confidentialité de l’administrateur système et réseau fait également l’objet d’une clause dans son contrat de travail. Problématique : Un administrateur possède des référentiels qui délimitent ses responsabilités, elles se retrouvent dans les documents suivant : Contrat de travail, fiche de poste, charte des systèmes d’informations, la charte d’administrateur. Exemples : secret professionnels, secret défense, confidentialité, vie privé d’autrui ainsi que respect de droit d’autrui. Il en résulte donc des responsabilités personnelles, par ses agissements, refus d’appliquer un ordre légitime ou obligation, ainsi que des responsabilités partagées, c’est-à-dire toute complicité, cascade de responsabilité. De plus, un ASR (administrateur système et réseau) se dote d’une obligation de collaboration et de coopération interne à l’entreprise (enquêtes internet, relation de subordination) ou externe (police, justice, etc) A cet égard, Quels sont les limites de la responsabilité d’un administrateur SI ? Le droit pour l’ASR est de plus en plus complexe et est de plus en plus exigeant de part ces fonctions qui lui donne accès à tout un tas de litige. De ce fait la jurisprudence lui donne un statut particulier et les sanctions sont elles aussi de plus en plus lourdes. Sanctions : Le non-respect des règles de la charte ainsi que de lois conduisent à des sanctions de type disciplinaire et/ou pénal : - disciplinaire : Les responsables fonctionnels ont pleine autorité pour prendre les mesures conservatoires nécessaires en cas de manquement à la présente charte et interdire aux utilisateurs fautifs l'accès aux moyens informatiques et au réseau, ces utilisateurs fautifs peuvent être déférés devant la commission de discipline compétente. - pénale : L'évolution des techniques électroniques et informatiques a conduit le législateur à définir des sanctions pénales d'une grande sévérité à la mesure du risque que peut faire courir aux libertés individuelles, l'usage incontrôlé des fichiers ou des traitements informatiques. Exemple : Art 432-9 : le détournement, la suppression ou l'ouverture de correspondances ou la révélation du contenu de ces correspondances, est puni jusqu’à trois ans d'emprisonnement ainsi que 45000 euros d'amende. Jurisprudences et articles : - Cour de cassation arrêt du 2 octobre 2001 : pour le salarié, même pendant le temps et sur le lieu de travail, est lié au respect de l’intimité de sa vie privée. Cela implique en particulier le secret des correspondances. L’employeur ne peut prendre connaissance des messages personnels émis par le salarié et reçus par lui grâce à un outil informatique mis à sa disposition pour son travail et ceci même au cas où l’employeur aurait interdit une utilisation non professionnelle de l’ordinateur. - Cour d’appel dans un arrêt du 17 décembre 2001 : il est dans la fonction des administrateurs réseaux d’assurer le fonctionnement normal de ceux-ci ainsi que leur sécurité ce qui entraîne entre autre, qu’ils aient accès aux messageries et à leur contenu, ne serait-ce que pour débloquer ou éviter des démarches hostiles. - Rapport du 5 février 2002 concernant la cyber-surveillance sur les lieux de travail, que les administrateurs de réseaux "sont conduits par leurs fonctions même à avoir accès à l'ensemble des informations relatives aux utilisateurs (messagerie, connexions au réseau internet, fichiers "logs" ou de journalisation, etc.) - Cours d’appel arrêt du 17 décembre 2002 : renforce le rôle des ASR quant à la nécessité de surveiller le trafic sur les réseaux de leurs entreprises. La découverte de la consultation par un salarié, de sites pédophiles s'est faite à l'occasion d'une opération ordinaire de maintenance par l'administrateur système. - Cours de cassation arrêt du 17 mai 2005 : en tout état de cause être fait application des règles posées par la jurisprudence, relatives à l’ouverture de fichiers ou courriers électroniques identifiés comme personnels Ainsi, la présence du salarié est exigée. Il doit être averti de la démarche mise en œuvre. - Cours de cassation dans un arrêt du 10 juin 2008 : le respect de la vie personnelle du salarié ne constitue pas en lui-même un obstacle à l’application de l’article 145 du Code de Procédure Civile, dès lors que le juge constate que les mesures qu’il ordonne procèdent d’un motif légitime et sont nécessaires à la protection des droits de la partie qui les a sollicitées. Conclusion : De par sa position au sein d’une entreprise et de par les moyens qui lui sont mis en œuvre pour pouvoir effectuer ses différentes taches, un ASR se doit donc d’être très prudent au point de vue pénale mais aussi en tant que salarié. En effet un ASR doit trouver le juste milieu entre « avertir » et « intervenir », il doit tout de suite prendre en compte la gravité du problème auquel il doit faire face et en avertir son employeur ou même les autorités (si le cas est grave). Pour cela il doit agir en respectant des principes : Loyauté : Sa démarche doit être impartiale, sincère et être uniquement justifiée par un impératif de sécurité. Elle doit être conforme à la finalité pour laquelle le contrôle a été décidé. Dans le cas contraire, il engagerait sa responsabilité pénale et professionnelle. Transparence : Les acteurs internes à l’organisation ainsi que les tiers doivent être informés de l’éventualité d’un contrôle. Le règlement intérieur et la charte informatique informent les acteurs de l’entreprise des dispositifs de contrôle mis en œuvre. Les conditions d’intervention, de contrôle et les moyens utilisés par l’ASR pour investiguer doivent également et spécifiquement être portés à la connaissance des institutions représentatives du personnel Confidentialité : L’Administrateur système et réseau est tenu au secret professionnel : il a l’interdiction de diffuser à quiconque, les informations qu’il aurait eu à connaître dans le cadre de ses fonctions. |
Veille technologique:
Disque dur SSD:
Le terme anglais solid state désigne un appareil ou composant électronique sans pièces mobiles, c'est un disque dur permettant le stockage de données sur de la mémoire flash. La mémoire flash est une mémoire de masse à semi-conducteurs ré-inscriptible, c'est-à-dire une mémoire possédant les caractéristiques d'une mémoire vive mais dont les données ne disparaissent pas lors d'une mise hors tension. Les données sont écrites sur un support magnétique en rotation rapide. Avantages: Son principal avantage est son temps d'accès particulièrement faible, généralement de 0,1 ms. Sa consommation électrique est également plus faible, en particulier en veille. Par ailleurs, le silence total et sa résistance accrue aux chocs sont des atouts incontournables. Ces disques utilisent généralement une interface SATA et sont disponibles en 3" ½ ou 2" ½. Inconvénients: Pour autant, le nombre d'écritures sur une même zone du « disque » est limité à quelques centaines de milliers (ce qui est rapidement atteint en cas d'utilisation de mémoire virtuelle ou de fichiers de log). En attendant des solutions pour contourner ce défaut, augmenter la capacité (à ce jour, 256 Go maximum) et surtout réduire le coût, les utilisations du SSD comme disque principal restent limitées à certaines applications telles que les mini PC. Type de puces: Il existe deux puces différentes sur les SSD: Puce MLC: Elle est l'abréviation de "Multi-Level Cell" literralement cellule à multi-niveaux. Cette puce est utilisée dans les SSD grand public. Son avantage réside dans son faible coût de production. Elle ne permet pas d'atteindre d'importantes vitesses de transfert, elle consomme beaucoup plus, et à une durée de vie plus faible que la puce SLC. Puce SLC: Elle est l'abréviation de "Single Level Cell", ce qui signifie cellule à un niveau. On trouve cette puce dans les SSD professionnel, ainsi que dans les SSD haut de gamme. Elle présente l'avantage d'avoir des vitesses de transfert accrues, une consommation moindre, et une durée de vie plus importante que la puce MLC. Son seul inconvénient est son coût de fabrication trés elevé. |