DSI et mots de passes

[Pzible]

Salut !

 

Je suis inquiet à propos d'un certain nombre de collègues suite à une visite de mon DSSI.

 

Je m'explique, étant de l'équipe d'administrateurs du domaine de ma boite, celui ci m'a demandé de lui remettre une copie de la base SAM du serveur. il a ensuite commencer à chercher des poux chez ceux dont le mot de passe ne respectait pas la "charte" et dont chaque employé a signé un exemplaire avant d'utiliser son poste de travail,la plupart risquent un avertissement !

 

Je ne suis pas d'accord avec ces procédés fachos, d'autant plus que je suppose qu'il a utilisé une version crackée d'un logiciel bien connu ! ( la licence valant quelques milliers d'euros d'ailleurs )

 

Maintenant ce que j'aimerais savoir, si parmis vous certains peuvent me conseiller :

 

1: a t'il le droit d'essayer de "casser" la base SAM contenant des mots de passes personnels ?

 

2: puis je lui refuser l'accès à ce fichier ?

 

3: j'ai aussi utilisé le même logiciel ( je suppose ) juste cette fois ci pour "voir" son mot de passe, il ne respectait également pas la charte ! , puis je porter le "pet" ?

[Florent]

beaucoup des pb dérivent de la charte info, m'enfin de là a créer un paragraphe pour les mots de passe !!!

 

la tu peux relever un pb est sur l'utilisation du soft... s'il s'agit effectivement d'un soft cracké, il faut poser la question sous la forme de l'origine du logiciel, achat interne,... société d'audit... ? mais bon la charte est là et je ne sais pas dans qu'elle mesure le service info est "maitre" pour ces mots de passe

en théorie si c'est dans la charte ne devrait-il y avoir de spécifier un paragraphe sur les méthode de vérification ?

 

 

 

ps: ca faisait longtemps..

 

p-ps : d'ailleurs je me demande si c'est le bon forum, si ca gêne un modo, qu'il le déplace...

[minos]

Mmm, je ne saurai pas dire

Je suis également admin, et c'est un pb épineux dont l'interprétation est très subjective.

 

Mes opinions personnelles (nb: je mets MDP, mais ça concerne également toutes les informations personnelles : login, habitudes de l'utilisateur, surf, etc.) :

- Le responsable de la société a-t-il de voir les MDP ? Oui, mais dans une certaine limite : par ex, ne lui fournir que les mots de passe mais sans association avec un utilisateur quelconque. C'est l'administrateur qui fera la liaison.

 

- Le DSI a-t-il de voir les MDP ? Seulement s'il a été mandaté par le responsable de la société.

Pourquoi cette distinction ? Je la fais à cause des responsabilités externes (civiles/pénales) des dites personnes.

 

Un administrateur réseau est le responsable de l'intégrité des données de l'entreprise : il est également le responsable pénale devant la loi dans le cas de perte ou de mauvaise utilisation (c'est ce que mes profs m'ont appris mais je ne sais pas dans quel mesure ça s'applique).

Pas de leur diffusion.

Les abus doivent faire l'objet d'une procédure écrite par le responsable : en gros, que doit faire l'admin (vérification, rappels à l'ordre, etc) et à quelles fréquences.

 

Bien sûr tout doit être acté/daté/signé par tout le monde pour te protéger.

 

Pour ta dernière question, c'est très délicat.

Là c'est à toi de voir quels sont tes rapports avec lui.

Moi je sais que je pourrais pq je m'entends très bien avec les responsables, même en dehors des heures de travail.

[Pzible]

merci pour vos réponses, pour répondre à minos, j'ai des relations tout à fait "normales" avec cette personne, le seul fait qu'il essaïes de tailler dans le vif plutôt que de responsabiliser les employés sur la sécurité informatique me fait gerber !

 

sachant d'autant plus que lui même n'est pas crédible ! je me ferais un malin plaisir de le tailler par sous-entendu à la prochaine reunion du staff !

 

mais bon je vais en rester là, je ne pense pas que je puisse faire grand chose en fait, peut être aller prendre le conseil d'un avocat.....