Discussion :

[Stéphane le calme]

France : en 2015, 34 % des logiciels installés en entreprise ne disposaient pas d'une licence conforme
d'après une étude de la BSA

En 2015, selon une étude de la Business Software Alliance (BSA), qui rassemble plusieurs éditeurs de logiciels propriétaires décidés à combattre le piratage de leurs produits, 39 % des logiciels installés sur les ordinateurs en entreprise ne disposaient pas d’une licence conforme, ce qui représente tout de même une certaine évolution dans la mesure où le baromètre de la société indiquait qu’en 2013 43 % des logiciels étaient dans ce cas de figure. Concernant la valeur commerciale des logiciels sans licence conforme, la BSA les évalue à 51 443 millions de dollars.

La France quant à elle se situe un peu en dessous de la moyenne mondiale : 34 % des logiciels installés ne disposent pas d’une licence conforme (soit un manque à gagner de 2101 millions de dollars), contre 36 % en 2013, soit une baisse de 2 % en l’espace de deux ans, mais bien loin des 63 % enregistrés en Grèce en 2015 (soit un manque à gagner de 189 millions de dollars).

S’il est important pour une entreprise d’être au courant des logiciels qui sont installés sur son réseau, l’étude de la BSA tend à montrer que les entreprises ne sont pas réellement au fait des logiciels « non validés et inconnus » que les collaborateurs installent. La BSA avance que plusieurs directeurs technologiques n’ont pas idée du nombre de logiciels installés par leurs collaborateurs sur le réseau de l’entreprise. Ils ont estimé à 15 % la proportion de leurs collaborateurs qui installent des logiciels sur le réseau de l’entreprise à l’insu de l’entreprise « mais, en réalité, près du double en pourcentage des employés ont affirmé qu’ils le font ».

Il faut aussi noter que 36 % des employés ont admis avoir installé des logiciels pris à l’extérieur sur les ordinateurs dont ils se servent en entreprise et 84 % d’entre eux ont admis installer plusieurs programmes (deux et plus) non autorisés.

L’étude va plus loin en disant que « même dans certaines industries critiques, où un contrôle plus pointu de l’environnement numérique serait escompté, les logiciels ne disposaient pas d’une licence conforme. L’étude a montré que ce taux avoisine les 25% dans les industries bancaires, d’assurance, mais aussi de sécurité ».

Mais où veut en venir la BSA ? L’organisme indique « qu’il est établi que l’utilisation de logiciels illicites favorise les cyberattaques et augmente fortement la probabilité d’être infecté par des logiciels malveillants ». Et d’indiquer que ses résultats sur la corrélation entre les logiciels malveillants et les logiciels ne disposant pas de licence valide sont corroborés par une étude menée par le cabinet IDC : « ces résultats confirment les conclusions d’une étude menée par IDC début 2015 qui a également trouvé que l’utilisation de logiciels illicites “est un annonciateur fort d’une rencontre avec un logiciel malveillant” et qu’il y a “une évidence empirique d’une relation de cause à effet” ». Reste à savoir si le fait de brandir la menace des logiciels malveillants fonctionnera mieux que de menacer de représailles financières afin d’inciter les entreprises à acquérir des licences d’utilisation de logiciel.

Avant d’en arriver là, la BSA estime que l’une des raisons qui pourraient expliquer le recul du « piratage » est la vulgarisation du cloud computing. « Le cloud computing offre aux entreprises la perspective d’immenses avantages. Il permet à quiconque — une start-up, un consommateur privé, une entité du secteur public ou une petite entreprise — d’avoir accès à la technologie rapidement, efficacement et proportionnellement à ses besoins. Ces services en retour ont ouvert la porte à une connectivité, une productivité ainsi qu’une compétitivité sans précédent ».

Cependant, l’étude met en garde sur le partage des identifiants de connexion, qui peut s’avérer être une menace pour les entreprises faisant appel à des services cloud. Elle note que cette pratique est plutôt répandue : « l'enquête a révélé que 58 % des utilisateurs ont partagé leurs informations d'identification pour faire usage de services logiciels cloud commerciaux. Plus alarmant encore, plus d'un utilisateur sur 10 a partagé ses informations d'identification avec des personnes se trouvant en dehors de l’entreprise. Parmi ceux qui ont partagé les informations d'identification avec les autres, 72 % ont indiqué qu'ils l’ont fait de manière occasionnelle ou fréquemment ».

Source : BSA

[RyzenOC]

Beaucoup d'entreprise utilisent des versions pour usage personnel, je pense notamment a teamViewer et a VmWare player...


Mais en meme temps, quand tu vois le bordel qu'il faut faire pour demander un stylo par exemple alors imagine avec l'achat d'une licence

[grunk]

Mais en meme temps, quand tu vois le bordel qu'il faut faire pour demander un stylo par exemple alors imagine avec l'achat d'une licence

C'est exactement ça. Il y'a pas si longtemps , j'ai fait la demande d'une licence d'un logiciel dont j'avais besoin rapidement (19$ ...). La demande remonte , N+1 , N+2 ... On va sans doute se poser la question si on devrait pas le développer nous même pour économiser la licence (19$ je rappel) ...
Ca fait 3 semaines que j'attends , malgré plusieurs relances ...

[AoCannaille]

C'est exactement ça. Il y'a pas si longtemps , j'ai fait la demande d'une licence d'un logiciel dont j'avais besoin rapidement (19$ ...). La demande remonte , N+1 , N+2 ... On va sans doute se poser la question si on devrait pas le développer nous même pour économiser la licence (19$ je rappel) ...
Ca fait 3 semaines que j'attends , malgré plusieurs relances ...

Chez nous, il y a la technique dîte " des kilomètres" pour ces petits montant.

Le mec qui veut sa licence la paye et indique un faux déplacement du nombre de km necessaire pour se faire rembourser. Bon, on s'arrange quoi. (et puis ça donne des situations caucasse du genre : Ce logiciel, il m'a couté 3 tours de périph'!)

Evidement, si ça représente un paris-pékin, ça ne passe plus. Impossible de s'approvisionner en Oracle ou en solutions IBM

[grunk]

Ce qui serait intelligent c'est que chaque employé dispose d'un petit budget de l'ordre de 100/200€ pour éviter tous le tracas administratif quand t'as besoin d'une licence ou d'un bloc de postit. Tu fais une note de frais "fourniture" qu'on te rembourse sans discuter.
Malheureusement y'aura toujours un rigolo pour essayer de profiter de l'occasion pour gratter 100 balles , donc dans le doute on reste avec la grosse machine administrative pour la moindre dépense.

[Aurelien Plazzotta]

Un informaticien qui ose réclamer 19 $ de budget ? si c'est pas scandaleux !
Je pense que l'abscence de reconnaissance sociale dans le métier de programmeur contribue à justifier la machine administrative. Ce n'est pas ancré dans les moeurs en France qu'un salarié en bas de l'organigramme puisse exprimer des besoins.

Le jour où la recherche et développement seront considéré comme un centre de profits et non comme un centre de coûts, on aura plus besoin d'alimenter ce genre de débat car il n'aura plus lieu d'exister.... mais ce jour n'arrivera peut-être jamais !

[Cafeinoman]

Il y a un truc que j'ai toujours du mal a comprendre : commet font ces gens pour installer des trucs? Moi, si quelqu'un a besoin d'installer quelques chose, il demande. Parce que sinon, pas d'accès admin. Je vérifie le programme, je lance l'installation, et il se débrouille après. Et si je dit non, c'est non...

Pour ce qui est des budgets, je suis d'accord qu'il ne faut pas abuser. En dessous de 100€, je valide moi même. Après, la contrepartie c'est que si quelqu'un doit se faire taper sur les doigts, c'est moi.

Mais bon, ca doit être les avantages de bosser en PME!

[RyzenOC]

Il y a un truc que j'ai toujours du mal a comprendre : commet font ces gens pour installer des trucs? Moi, si quelqu'un a besoin d'installer quelques chose, il demande. Parce que sinon, pas d'accès admin. Je vérifie le programme, je lance l'installation, et il se débrouille après. Et si je dit non, c'est non...

Un développeur qui n'a pas les droits d'admin sur sa machine, sa risque d’être compliqué...
Sa m'arrive assez souvent de devoir installer une lib ou une dépendance (qui nécessite les droits d'admin)

Sinon si tu n'as pas les droits d'admin, ben on utilise la technique de la VM ou on mets tous ces softs cracké, ou bien on utilise des programmes portables.

Désolé de te décevoir, mais tu ne peut pas controller des utilisateurs, si tu leurs dit non, ils trouverons un moyen de contourner des restrictions.
Moi en tous cas je me suis jamais embêté avec l'admin système, si il refuse, je contourne par des moyens légaux ou pas.

Une fois j'ai le mec il avait carrément bloquer vmware et virtualbox, je me suis retrouvé à utilisé Qemu portable et émulé windows server 2012...

[Zirak]

Désolé de te décevoir, mais tu ne peut pas controller des utilisateurs, si tu leurs dit non, ils trouverons un moyen de contourner des restrictions.
Moi en tous cas je me suis jamais embêté avec l'admin système, si il refuse, je contourne par des moyens légaux ou pas.

Si il y a des restrictions, c'est qu'il y a bien une raison.

Et si les gens les contournent, il ne faut pas s'étonner qu'il y ait des problèmes de ransomware, des fichiers perdus, de licences piratées à rembourser, etc etc

Limite la moitié des news sur DVP, c'est à cause des gens qui contournent les restrictions.

Donc oui, c'est chiant, (et je parle en connaissance de cause, je n'ai récupéré les droits admin sur ma machine que depuis peu xD), mais d'un autre côté, il faut aussi voir le nombre de problème que cela peut éviter à l'entreprise.

[el_slapper]

Un développeur qui n'a pas les droits d'admin sur sa machine, sa risque d’être compliqué...
Sa m'arrive assez souvent de devoir installer une lib ou une dépendance (qui nécessite les droits d'admin)

Sinon si tu n'as pas les droits d'admin, ben on utilise la technique de la VM ou on mets tous ces softs cracké, ou bien on utilise des programmes portables.

Désolé de te décevoir, mais tu ne peut pas controller des utilisateurs, si tu leurs dit non, ils trouverons un moyen de contourner des restrictions.
Moi en tous cas je me suis jamais embêté avec l'admin système, si il refuse, je contourne par des moyens légaux ou pas.

Une fois j'ai le mec il avait carrément bloquer vmware et virtualbox, je me suis retrouvé à utilisé Qemu portable et émulé windows server 2012...

J'ai connu une banque au logo étoilé(non, pas celle-là, l'autre) ou un collègue avait installé un produit tiers, avec l'assentiment de l'IT. Le produit venait avec un CD de doc. Par facilité, il a copié le contenu du CD sur son C:\. Il n'avait pas remarqué qu'il y avait un .exe dans le tas(qui lançait juste la consultation des documents). Le lendemain matin, les malabars de la sécurité bancaire sont venus lui taper sur l'épaule en lui demandant gentiment(et en faisant rouler leur muscles) de se débarrasser de tout ça.

J'ai connu une fililale d'une banque au logo étoilé(non, pas l'autre, celle-là) ou on m'a fourni un script python(pour transférer des fichiers vers le mainframe), et il a fallu une semaine à l'IT pour me donner les billes pour exécuter du Python(j'ai fait une macro EXCEL qui faisait pareil, au final, je ne pouvais pas me permettre de perdre une semaine - et on se demande pourquoi VBA est si populaire dans ces grands comptes - c'est le seul langage de programmation auquel les gens ont accès, tout simplement).

Donc oui, c'est chiantissime. Mais dans certains contextes, tricher devient difficile, surtout si la VM est bannie, que les scans de nuit détectent tout .exe non référencé, que tu n'as pas les droits d'admin, voire que tu n'as même pas internet(vécu en 2006, les devs JAVA n'avaient pas le droit à internet au prétexte qu'ils n'avaient qu'à connaitre leur langage).

[RyzenOC]

Donc oui, c'est chiantissime. Mais dans certains contextes, tricher devient difficile, surtout si la VM est bannie, que les scans de nuit détectent tout .exe non référencé, que tu n'as pas les droits d'admin, voire que tu n'as même pas internet

Dans ce genre de cas, Qemu sur clé USB.
Si les clé USB sont interdite (je n'ai pas le droit d'écriture dans ma boite par exemple), j'ai réussie a bricoler un mini serveur avec un raspberry, que je branchait en ethernet, je m'en servait de clé USB, mais via l'ethernet. j'avais accès a ma VM et qemu portable.
Si il bloque qemu, utilse Boch ou dosbox, et si il bloque tous sa, modifier la signature de l’exécutable et le nom du fichier

Si je le fait c'est parce que j'en ai besoin, je peut pas me permettre de passer 3 jours a me tourner les pouces...

Dans tous les cas, les admin système ne peuvent pas bloquer un utilisateur, ils peuvent imposer des restrictions, mais il sera toujours possible de les contourner.

Mais dans certains contextes, tricher devient difficile, surtout si la VM est bannie, que les scans de nuit détectent tout .exe non référencé

J'ai installer un pare-feu efficace sur ma machine, aucune connexion entrante/sortante ne peut se faire sans que je valide (seul mon navigateur vivaldi peut se connecter au réseau), j'ai pu bloquer les spyware de ma boite.

[el_slapper]

(.../...)J'ai installer un pare-feu efficace sur ma machine, aucune connexion entrante/sortante ne peut se faire sans que je valide (seul mon navigateur vivaldi peut se connecter au réseau), j'ai pu bloquer les spyware de ma boite.

Et si ils te chopent, c'est procès, et probablement prison. Je parle de banquiers, là, ils sont assez chatouilleux sur le sujet. Encore plus depuis l'affaire Kerviel(puisse-t-il cramer en enfer pour l'éternité).

[Bousk]

Je me souviens dans ma première boîte, un jour en arrivant on reçoit un email "désinstallez tous Visual Studio de vos PC" (on était dans l'équipe R&D - aucune considération et matos obsolète il y a 5 ans déjà, ça situe le niveau), j'ai appris que c'était parce qu'il allait y avoir un contrôle des licenses par Microsoft dans les jours qui viennent. Et on utilisait une license sur beaucoup plus de postes qu'elle n'était faîte pour.
3j à ne faire que du browsing web, c'est long

[Glutinus]

Ce qui serait intelligent c'est que chaque employé dispose d'un petit budget de l'ordre de 100/200€ pour éviter tous le tracas administratif quand t'as besoin d'une licence ou d'un bloc de postit. Tu fais une note de frais "fourniture" qu'on te rembourse sans discuter.
Malheureusement y'aura toujours un rigolo pour essayer de profiter de l'occasion pour gratter 100 balles , donc dans le doute on reste avec la grosse machine administrative pour la moindre dépense.

- Dis-moi, Kevin, c'est quoi cette facture "abonnement WoW ?"
- Ha, c'est un nouvel outil, Workshop of Ware...
- Moui...

Quand je pense que dans une de mes missions, on a voulu supprimer la partie Monitoring de l'outil qui gère 90%, j'étais moi-meme en suivi de prod. "mais oui, on sait que tu vas te démerder en requêtant sur le repository et avec les logs..."

Evidement, si ça représente un paris-pékin, ça ne passe plus. Impossible de s'approvisionner en Oracle ou en solutions IBM

En attendant, ton N+4 peut se payer un hotel en day-use, avec lit-double, champagne et framboises, "oreiller supplémentaire", on se demande pourquoi...

[RyzenOC]

j'ai appris que c'était parce qu'il allait y avoir un contrôle des licenses par Microsoft dans les jours qui viennent. Et on utilisait une license sur beaucoup plus de postes qu'elle n'était faîte pour.

1) Des types de MS ont le droit de venir dans ta boite et de trifouiller les pc ?

2) Acquérir des licences c'est devenue de plus en plus hard, avant t'achetais le cd et tu installait ton programme (que tu avait a vie)
Aujourd'hui, tu dois te faire un n-ieme compte machin, télécharger le logiciel, acheter une clé (qu'ils faudra souvent renouveler tous les ans).
On peut comprendre que certains soient tenter d'emprunter des chemins plus "obscure".

[Zirak]

1) Des types de MS ont le droit de venir dans ta boite et de trifouiller les pc ?

2) Acquérir des licences c'est devenue de plus en plus hard, avant t'achetais le cd et tu installait ton programme (que tu avait a vie)
Aujourd'hui, tu dois te faire un n-ieme compte machin, télécharger le logiciel, acheter une clé (qu'ils faudra souvent renouveler tous les ans).
On peut comprendre que certains soient tenter d'emprunter des chemins plus "obscure".

Pour le point 2 oui, mais c'est ton SI qui se tape tout ça, c'est sensé être transparent pour l'utilisateur, donc rien à vori avec les affaires de restrictions de droits ou autres.


Pour le point 1, je ne sais pas si c'est effectivement effectué par Microsoft, mais oui tu peux avoir des contrôles au niveau des licences (même si j'aurais plus vu un organisme officiel, genre répression des fraudes perso, directement par Microsoft, ça me parait bizarre aussi).


Sinon je me prends un -3 parce que je dis tout haut que sans restrictions des sysadmin, on aurait encore plus de problèmes liés au truc situé entre le clavier et la chaise ?

Y'a des gens si frustrés que ça par les sysadmin ?

[RyzenOC]

Sinon je me prends un -3 parce que je dis tout haut que sans restrictions des sysadmin, on aurait encore plus de problèmes liés au truc situé entre le clavier et la chaise ?

Y'a des gens si frustrés que ça par les sysadmin ?

Je y'ai pas mis -1, mais oui je suis frustré par les sysadmin.

Les admin systèmes se comporte parfois comme de vrai tirant qui nous empêche de bosser.
Pour la secrétaire qui ouvre juste word sa devrait pas trop poser de probleme.

Mais pour le développeur sa rime a quoi de lui bloquer les clés USB par exemple ! On m'autorise à lire une clé usb (et a exécuter des virus contenus dedans) mais on m'interdit de copier un fichier dedans, super je fais comment pour mettre mon programme sur un pc non connecter au réseau ? (je passe par vmware et le drag and drop dans ma clé)

Sa rime à quoi de lui interdire les droits admin alors que des que tu installe le moindre truc, par exemple une fonctionnalité de visual studio (au hasard) faut les droits admin !!!

Et enfin dans ma boite si je devais etre suivre le process, ben ma demmande mettrais juste 1 mois pour etre traité (sans garantit que sa passe).

Donc résumons, j'attend 1 mois qu'on m'installe visual studio, je code, j'attends 1 mois pour qu'on m'installe une lib ou un compilateur. J'attends encore 1 mois pour que je puisse tester mon exécutable sur ma machine de test.
3 mois pour faire un truc qui prendre 1 semaine, donc voila je suis hors process, traité moi de criminel si vous le voulez.

[el_slapper]

(.../...)

Je ne donnerais aucun indice sur le nom de ce client ou un fichier vérolé sur une clef USB a fait des dommages terribles chez un gros paquets d'utilisateurs.

Après ce genre d'expériences, ben, comment dire, la sécurité se durcit. C'est inévitable.

C'est toujours pareil : un connard fout le boxon, et des milliers de gens en subissent les conséquences. Un grand classique de la vie.

[grunk]

Les admin systèmes se comporte parfois comme de vrai tirant qui nous empêche de bosser.

Après faut se mettre à leur place , quand t'as une merde sur le réseau qui se met à crypter tout ce qui trouve c'est pour le gueule. C'est eux qui vont rester jusqu'à 2h du mat, qui vont prendre une tomber par le grand chef voir se faire éjecter.

Chez nous l'équipe R&D est maître de son PC , mais ça implique qu'on soit sur un réseau étanche.

[Zirak]

Je y'ai pas mis -1, mais oui je suis frustré par les sysadmin.

Les admin systèmes se comporte parfois comme de vrai tirant qui nous empêche de bosser.
Pour la secrétaire qui ouvre juste word sa devrait pas trop poser de probleme.

Mais pour le développeur sa rime a quoi de lui bloquer les clés USB par exemple ! On m'autorise à lire une clé usb (et a exécuter des virus contenus dedans) mais on m'interdit de copier un fichier dedans, super je fais comment pour mettre mon programme sur un pc non connecter au réseau ? (je passe par vmware et le drag and drop dans ma clé)

Sa rime à quoi de lui interdire les droits admin alors que des que tu installe le moindre truc, par exemple une fonctionnalité de visual studio (au hasard) faut les droits admin !!!

Et enfin dans ma boite si je devais etre suivre le process, ben ma demmande mettrais juste 1 mois pour etre traité (sans garantit que sa passe).

Donc résumons, j'attend 1 mois qu'on m'installe visual studio, je code, j'attends 1 mois pour qu'on m'installe une lib ou un compilateur. J'attends encore 1 mois pour que je puisse tester mon exécutable sur ma machine de test.
3 mois pour faire un truc qui prendre 1 semaine, donc voila je suis hors process, traité moi de criminel si vous le voulez.

Encore une fois, je comprends très bien ton ressentit.

J'étais emmerdé comme toi, niveau dev, et ne faisant pas que du dev, (on est que 2 dans le services, donc on gère aussi le support utilisateur, les pannes machines, on sert de mains sur place pour les sysadmin qui sont à la maison mère, etc etc), il a fallu que j'attende plus de 2 ans, pour avoir droit à une licence DameWare, pour pouvoir prendre la main à distance sur les pcs des utilisateurs au lieu de traverser tout le site 2 fois sur 3 (car oui, forcément, tous les bureaux ne sont pas dans le même bâtiment).

Et quand j'ai fini par avoir une licence, comme je n'étais pas admin, je pouvais seulement me connecter sur les postes utilisateurs, voir ce qui se passait à l'écran, mais je ne pouvais pas prendre la main. Ce qui était donc super utile... Merci les sysadmins

Comme beaucoup d'entres-nous, j'en aurais pleins des trucs à raconter sur les sysadmins, maintenant, comme je l'ai dit plus haut, et comme l'ont répété el-slapper et grunk, d'un autre côté, vu le bordel foutu par certains utilisateurs (téléchargement des films / musiques, installations de jeux ou de trucs vérolés sans faire gaffe, etc etc), cela ne m'étonne pas qu'ils en soient arrivés à ce genre de mesures.


Dans ma boite, quand on subit une vague de spam avec un fichier vérolé, et que le mail passe à travers les solutions mises en place par nos chers sysadmin, il y a toujours encore X personnes pour aller ouvrir le fichier ou cliquer sur le lien qui t'envois sur une page HTML vérolé (malgré 150 mails de sensibilisations).

Du coup, je pense que ce n'est pas un mal que ce genre de personnes ne soient pas admin de leur poste. ^^