Discussion :

[marveljojo75]

Bonjour,

Question un peu atypique: j'ai besoin de mettre en place une solution de surveillance intégrale d'un réseau de 20 ordinateurs.

Bien entendu, c'est dans un cadre légale (et c'est vrai) car il s'agit de données confidentielles.

On me demande de mettre en place un keylogger, voir un logiciel de capture d'écran.

Si je connais ces logiciels, je me demande s'il n'existerai pas de solutions plus souple avec une centralisation de ces données, car je n'ai pas envie de me balader sur ces 20 ordinateurs pour récupérer les données si besoin ..

Voili, voilou, bonne journée

[BufferBob]

salut,

données confidentielles ou pas, un keylogger ne rentre pas dans le cadre légal, pour le coup ce n'est pas une question technique, c'est de lire les textes de loi (ou faire appel à un avocat spécialisé) dont tu as besoin

pour le moins, si "on me demande de mettre en place" avec comme sous-entendu "on ne me laisse pas le choix", j'explique que ce n'est pas légal, et ensuite je m'arrange pour qu'il y ait des traces écrites (par mail ça marche aussi bien) du fait que ma hiérarchie me l'a demandé, il s'agit en l'espèce de se couvrir en cas de pépin.

[razmous]

Bonjour,

Question un peu atypique: j'ai besoin de mettre en place une solution de surveillance intégrale d'un réseau de 20 ordinateurs.

Bien entendu, c'est dans un cadre légale (et c'est vrai) car il s'agit de données confidentielles.

Qu'est ce qu'il dit le cadre légale, il faut de toute façon suivre les réglementations qui s'applique à l'entreprise !

On me demande de mettre en place un keylogger, voir un logiciel de capture d'écran.
Si c'est une mesure issue de l'analyse du risque, ..., pourquoi pas ! même si je suis convaincu que ce n'est pas le cas, et les mesures sont hors contexte et non efficaces

.... à ce que je comprend bien, on ne te demande pas d'étudier une nouvelle solution ! pourquoi en chercher une ;-)

Si je connais ces logiciels, je me demande s'il n'existerai pas de solutions plus souple avec une centralisation de ces données, car je n'ai pas envie de me balader sur ces 20 ordinateurs pour récupérer les données si besoin ..

Il y a des solutions, mais tes besoins et le cadre légal, ne sont pas spécifiés. Si je développe un peu plus, le cadre légal qui s'applique exige "peut être" la mise en œuvre de la traçabilité concernant l'accès, modification et/ou le traitement de ces données ! donc il faut avoir une politique et un système de gestion des traces pendant toute la durée de vie de ces traces et cela ne se limite pas à un logiciel de capture d'écran ou un keylogger.

Si ce sont des données confidentielles, les mesures de sécurité à mettre en place consiste en la protection de ces données :
- chiffrement des données, lors de leur transmission, sauvegarde, et traitement (tout dépend du niveau de confidentialité)
- le contrôle d'accès.
à cela, il faut rajouter les besoins en sécurité sur l'intégrité et la disponibilité de ces données s'il y en a.

Voili, voilou, bonne journée
Bonne journée

[marveljojo75]

Bonjour,

Merci pour ces 2 réponses

Tout d'abord, j'ai parlé du cadre légal, mais dans ce cas, oubliez le.
Je suis navré de vous avoir mis sur une "mauvaise piste".
C'est déjà réglé.

Je recherche juste à savoir vers quelle solution je peux me diriger.

Chaque poste est sur Windows 7/10 (en pro).
L'ensemble des postes sont derrières un simple routeur.

Voilà, si vous avez des idées, je suis preneur

[razmous]

Salut,

La question à se poser est comment sont gérés ces 20 pc, s'ils le sont d'une manière indépendante, ;-( tu n'as pas le choix, il faut y aller 1 par 1. S'ils le sont d'une manière centralisée, il faut utiliser l'outil de gestion (s'il y en a ;-) qui permet de pousser des configurations et/ou des logiciels. Je ne suis pas un spécialiste du monde Windows, mais regarde dans "déploiement logiciel" WAPT, updatengine, ou Local Update Publisher ou d'autre payant....

bon courage

[sevyc64]

Tout d'abord, j'ai parlé du cadre légal, mais dans ce cas, oubliez le.
Je suis navré de vous avoir mis sur une "mauvaise piste".
C'est déjà réglé.

Réglé, non.
Ce que tu demande, ou que l'on te demande de faire est tout simplement illégal, contraire à la loi. Et c'est d'autant plus grave si les employés ainsi espionnés ne sont pas avertis.
Mais même avertis ça reste illégal.

[marveljojo75]

Coucou à tous,

Donc si j'ai bien compris, c'est complétement illégal, même si c'est validé par un avocat et que les utilisateurs soient avertis, voir s'ils ont signés un avenant, n'est ce pas ?

Alors du coup, à titre informatif, est ce qu'il existe tout de même des solutions centralisées ?
Là il s'agit d'un réseau de 20 ordinateurs, sans serveur, juste un simple NAS pour les données.

Merci tout de même

[Escapetiger]

(...)Donc si j'ai bien compris, c'est complétement illégal, même si c'est validé par un avocat et que les utilisateurs soient avertis, voir s'ils ont signés un avenant, n'est ce pas ?(...)

Je ne sais pas quel est l'avocat qui a validé ça mais c'est effectivement illégal :

Les employeurs peuvent avoir l’envie d’installer des ” logiciels espions “, appelés ” keyloggers ” pour surveiller l’utilisation de l’outil informatique professionnel mis à leur disposition des salariés sur le lieu de travail.

Cette disposition est illégale et l’employeur risque une peine de prison et une forte amende.
(...)

Source :
http://infosdroits.fr/un-employeur-n...s-ctrl-alt-f9/
Un employeur ne peut pas surveiller les salariés avec un logiciel de Keylogger : Un test d’installation avec les touches CTRL ALT F9 !
24 octobre 2015

[Edit]

L'installation et l'utilisation d'un tel logiciel ne saurait se justifier en l'absence d'un fort impératif de sécurité (lutte contre la divulgation de secrets industriels, par exemple), accompagné d'une information spécifique des personnes concernées.

https://www.cnil.fr/fr/keylogger-des...ment-intrusifs
Keylogger : des dispositifs de cybersurveillance particulièrement intrusifs | CNIL

[marveljojo75]

Bonsoir,

On vient de me conseiller les solutions GFI :
>http://www.gfi.com/products-and-solutions/all-products

Est ce quelqu'un(e) connait ce genre de solutions ?

Bonne soirée

[BufferBob]

salut,

au delà des produits de telle ou telle société la question est avant tout celle du besoin concret et de sa pertinence sur le plan technique, la discussion commence en parlant de keylogger, là tu nous file un lien sur lequel on trouve plusieurs solutions qui vont de la passerelle antispam à la gestion des évènements en passant par du proxy et de la QoS sur la bande passante
parler de "surveillance intégrale du réseau" ne dit rien de concret sur ce dont tu as besoin, au mieux ça exprime juste l'envie de "mettre de la sécurité partout", c'est quoi ton besoin précisément ?

[marveljojo75]

salut,

au delà des produits de telle ou telle société la question est avant tout celle du besoin concret et de sa pertinence sur le plan technique, la discussion commence en parlant de keylogger, là tu nous file un lien sur lequel on trouve plusieurs solutions qui vont de la passerelle antispam à la gestion des évènements en passant par du proxy et de la QoS sur la bande passante
parler de "surveillance intégrale du réseau" ne dit rien de concret sur ce dont tu as besoin, au mieux ça exprime juste l'envie de "mettre de la sécurité partout", c'est quoi ton besoin précisément ?

Bonjour BufferBodb,
Alors, voici mes besoins précisément :

- Recherche d’une solution permettant d’avoir un contrôle des données sensibles de l’entreprise et d’éviter les fuites de data-confidentielles (quel utilisateur a consulté quoi ?).
- 25 utilisateurs maximum sur 3 sites distants.
- Pas de serveur AD, uniquement 1 NAS sur un 1 seul site.
- Surveillance de l’activité internet des commerciaux qui ont des accès distant au S.I et sur lequel il n'y a aucune visibilité.

Est ce plus clair ?

Bonne journée ^^

[razmous]

Bonjour BufferBodb,
Alors, voici mes besoins précisément :

- Recherche d’une solution permettant d’avoir un contrôle des données sensibles de l’entreprise et d’éviter les fuites de data-confidentielles (quel utilisateur a consulté quoi ?).
- 25 utilisateurs maximum sur 3 sites distants.
- Pas de serveur AD, uniquement 1 NAS sur un 1 seul site.

Sans aller plus loin, je sens que la discussion est mal partie ;-) avec les besoins au début, ce que tu demandes maintenant, le coté légal ...etc. ça va faire une avalanche de commentaires ;-)

Avant de savoir quel utilisateur a consulté quoi, il faut être capable de savoir tel utilisateur se connecte à telle ressource et qu'est ce qu'il a comme droit d'accès à ces ressources.
Pour avoir un "contrôle" des utilisateurs, sans serveur d'authentification/autorisation centralisé, je ne vois pas comment le faire d'au moins d'une manière facile et efficace, tu peux googler DLP: Data Leakage Prevention/Protection pour avoir des infos sur les produits "vendus" ou tout ce qui touche la traçabilité des accès mais vu l'infrastructure technique (et probablement la culture sécurité de la boite), je ne vois pas si elle va débourser des 1000€ pour de tel produit.

Je peux me tromper mais je sens bien le caprice d'un responsable qui s'est réveillé un jour en pensant que les commerciaux peuvent le n..... et il se rend compte qu'il n'y a aucune mesure de sécurité et il faut les contrôler n'importe comment et avec 'importe quoi ....

- Surveillance de l’activité internet des commerciaux qui ont des accès distant au S.I et sur lequel il n'y a aucune visibilité.

Est ce plus clair ?

Bonne journée ^^

Une chose est claire, surveiller l'activité internet des salariées est illégale, si tu signifies avoir des logs de connexion c'est différent (date,user,serveur distance, ..) je ne suis pas un spécialiste mais la boite à même l'obligation de pouvoir fournir ces informations car c'est un fournisseur de service Internet à ces salariés (cependant, il faut avoir un charte, CNIL, et co ...)

La phobie des managers c'est que les salariés siphonnent les données de l'entreprise depuis internet ;-) ils se rendent compte que leur métiers est trop lié au S.I et une perte des données de leurs S.I causera leur perte c'est vrai pour une grande partie des boites, mais sans poser les bonnes questions, les vrai besoins faire une bonne analyse de risque/cout, ça ne va pas s'améliorer ....

Bon courage !

[BufferBob]

quelques exemples :

• un employé quitte la boite, combien de temps ses accès vont être encore valables ? est-ce qu'une procédure est prévue ?
• un employé ramène une clé usb de chez lui au boulot, voire il fait sortir (...) un disque dur, une clé usb ou autre et fait sortir des informations, est-ce que ce risque est envisagé ?
• et si les informations sensibles qu'il fait sortir sont simplement... des feuilles photocopiées, ça compte ?
• un voleur s'introduit en pleine nuit dans les locaux, la sécurité y est "suffisante" pour prévenir un vol de disque dur ou de documents ?
• la secrétaire reçoit un coup de téléphone en journée et se fait berner (ingénierie sociale) par un attaquant qui parvient à la faire parler suffisamment pour qu'elle révèle des informations, pas forcément sensibles, mais qui aideront ensuite à mener une attaque plus élaborée, la secrétaire est préparée à ce genre d'éventualités ?
• un employé (ou même le patron) reçoit un mail avec "calendrier aubade 2016.ppt" ou "le singe qui pète.doc" de la part d'une personne qu'il connait, et qui s'est malheureusement fait piraté elle même, l'employé va l'ouvrir depuis le boulot ? (ou... on engueule le patron ? )
• un employé un peu malin utilise du trafic chiffré pour faire sortir des données (https ou vpn sur port 443 ou autre), comment faire pour le "traquer" ?
• un employé un peu plus malin encore parvient à leurrer les systèmes de détection réseau en utilisant des covert channels, il cache des données à l'intérieur même de ses requête, une sorte de protocole caché dans le protocole, on fait quoi ? (on opte pour une solution DPI pour 25 personnes ?)
• un employé -pas forcément hyper malin mais aidé par quelqu'un qui veut vraiment les informations et est en mesure d'y mettre les moyens- parvient à contourner le trackeur installé sur sa machine ("c'est simple, tu telecharges 'wallpaper.zip', tu decompresses avec le mot de passe 'zizi-coincoin', tu executes dans l'ordre metsmoiadmin.exe, puis contournelemachin.exe et enfin envoiemoitout.exe, l'admin y verra que du feu il ira jamais fouiller l'integralité du trafic et on s'est débrouillé pour qu'il ait l'air normal, une fois que t'as fini tu lances effacelestraces.exe et tu m'appelles pour dire que c'est ok"), et on se rend alors compte que 1) on a perdu de la tune parceque les données envolées valent de l'or 2) on a perdu de la tune parcequ'on a acheté une solution soi-disant miracle hyper chère et qu'on peut quand même la contourner
• etc.

tu saisis peut-être mieux le caractère global de la chose ?

pour le dire très simplement, mettre de la sécurité en entreprise demande de connaitre la sécurité informatique, mettre un firewall par ci et une sonde d'intrusion par là sans en maitriser les tenants et aboutissants se résumera à une perte nette pour la société tôt ou tard (c'est pas tant le produit qui sécurise que la qualité de l'admin en gros, et par qualité on sous-entend que la parano ne se suffit pas à elle même), d'autant qu'il ne s'agit pas que d'une question purement technique mais aussi humaine; chercher à traquer les employés ne passera évidemment pas inaperçu, et si consciemment les gens diront tous qu'ils comprennent, dans les discussions à la machine à café ça se traduit par "ils ne nous font pas confiance", et ça c'est très mauvais, tout est donc question de dosage (sans maitrise la puissance n'est rien comme disait la pub)

alors bon, pour une pme avec 25 employés perso je mettrais à minima un proxy pour sortir sur internet c'est la moindre des choses, et un résolveur DNS interne à l'entreprise (avec obligation de résoudre dessus pour les clients donc, les requêtes vers d'autres serveurs DNS ne doivent pas pouvoir sortir), ça permet en cas de pépin/doute d'avoir des logs et d'investiguer
au delà ton entreprise pourrait faire réaliser un audit de sécurité par une boite spécialisée, le propos étant de tester la sécurité du SI dans sa globalité et à l'issue de fournir un rapport et des recommandations
et enfin, si c'est véritablement le besoin, il y a les solutions dites DLP (data leak prevention) mais ça coûte un bras, c'est "pas tout à fait fiable" et ça s'adresse en général plutôt aux grosses entreprises, quand on a 25 salariés on en est encore au stade où on choisit ses collaborateurs avec un soin extrême, uniquement des ninjas qui ont juré fidélité en se faisant tatouer au fer rouge, avis perso

[sevyc64]

- Recherche d’une solution permettant d’avoir un contrôle des données sensibles de l’entreprise et d’éviter les fuites de data-confidentielles (quel utilisateur a consulté quoi ?).

Si les données sont si sensibles que ça, elles doivent être stockées sur des machines non reliées au réseau principal de la boite, accessible à un nombre restreint de personnes, avec un contrôle d'accès spécifique, etc...

- Recherche d’une solution permettant d’avoir un contrôle des données sensibles de l’entreprise et d’éviter les fuites de data-confidentielles (quel utilisateur a consulté quoi ?).- Pas de serveur AD, uniquement 1 NAS sur un 1 seul site.

Là déjà il y a quand même de belles incohérences. Un système de gestion et de contrôle type AD est quand même un strict minimum dont on ne peut pas s'affranchir dans ce genre de situation.

Un NAS n'est pas fait pour un stockage sécurisé de données sensibles dans une entreprise. Il faut des serveurs sécurisés, redondés, etc...
J'ai même envie de dire, un NAS n'a rien à faire dans une entreprise, qu'il stocke des données sensibles ou pas. Un NAS c'est bien pour la maison, pour sa vidéothèque, c'est pas (pour moi) un matériel professionnel.

- Surveillance de l’activité internet des commerciaux qui ont des accès distant au S.I et sur lequel il n'y a aucune visibilité.

Y accèdent-ils, au moins, avec une connexion sécurisée et à travers un VPN ? C'est là aussi le minimum syndical.