Devoir DROIT: Veille juridique Alexis CORION SIO2 VEILLE JURIDIQUE : Consigne : En vous appuyant sur votre activité de veille juridique, vous montrerez les obligations juridiques de l’administrateur système et réseaux puis vous préciserez dans quelles mesures la responsabilité de l’administrateur systèmes et réseaux peut être engagée Ses obligations Professionnelles : L’administrateur systèmes et réseaux doit pour conduire des projets informatiques, administrer le réseau et apporter un support aux utilisateurs : - Établir les exigences de performance du réseau Définir les projets d’extension, de modification du réseau Configurer le matériel à intégrer au réseau Développer des tableaux de bord de performance du réseau Mettre en place et contrôler les procédures de sécurité (droits d’accès, mots de passe…) Apporter son aide aux utilisateurs sur un problème lié au réseau Prévenir les anomalies et les pannes de fonctionnement du réseau Faire de la veille technologique Juridiques : L’administrateur réseaux a aussi des obligations juridiques qu’il doit absolument respecter dans la mesure où le non-respect de ces obligations peut entrainer des poursuites pénales à son égard : - Obligation de confidentialité. Assurer la sécurité de réseau et des informations. (Tout en respectant les données personnelles des salariés) Encadrer et de limiter un usage excessif de l’Internet sur le lieu de travail. Exécuter le travail convenu. Respecter la durée du temps de travail. L’obligation de loyauté (refusé de faire des actes qui pourraient nuire à l’employeur). Droit aux congés payés. Selon l’entreprise obligation de tenue vestimentaire. Droit de faire des heures supplémentaires. La responsabilité de l’administrateur systèmes et réseaux peut être engagée en cas de non-respect de ces devoirs : Partie Pénale : La responsabilité pénale consiste à répondre en justice du dommage causé par la contravention à une norme légale pénale censée protéger l'ordre public. L’administrateur réseau risque d’engager sa responsabilité pénale au titre de l’article 2 6-15 du code pénal qui condamne le fait d’ouvrir ou de prendre connaissance par mauvaise foi des informations destinées à autrui. Mais il peut être confronté quelque fois à lire des messages sans le vouloir cependant il doit garder le secret professionnel et ne pas donner le contenu du message à son employeur sinon il risquerait d’y avoir des sanctions à son égard. Si il y a intrusion frauduleuse de fichiers pour fausser le fonctionnement d’un système de traitement automatisé de données cela est puni de trois ans d’emprisonnement et de 300000 francs d’amende’ (45735). Devoir DROIT: Veille juridique Alexis CORION SIO2 Partie Civile : Le principe général de la responsabilité civile est prévu et décrit dans le Code civil. Il est une obligation légale qui impose à toute personne de réparer les dommages causés à une victime de son fait, de celui des personnes dont elle doit répondre ou des choses dont elle a la charge. Elle vise donc principal à réparer le non-respect d'une obligation ou d'un devoir envers autrui. Il vise à indemniser une victime. Les administrateurs peuvent être tenus personnellement responsables. L'ignorance n'est pas une défense. Les administrateurs peuvent être responsables d'inexécution. Devoir de diligence (prudence) : agir de façon raisonnable dans les intérêts supérieurs de l'entreprise. Devoir de loyauté : placez les intérêts de l'entreprise au-devant des vôtres. Devoir d'obéissance : Agir selon les possibilités de l'entreprise/organisme, en respectant les règles et les lois applicables. Partie Contractuelle : Responsabilité civile contractuelle : Elle est engagée en cas de mauvaise exécution des obligations nées d'un contrat. Le débiteur est condamné au paiement de dommages et intérêts à raison de l'inexécution de l'obligation. Responsabilité civile délictuelle : regroupe différents délits qui permettent à une personne d'être indemnisée par une autre par exemple : la diffamation. Dans ce cas : La responsabilité de l’administrateur système et réseaux peut être engagé dans le piratage d’une entreprise de e-commerce dans la mesure où la protection défaillante est la cause de l’intrusion et la protection d’un site relève du devoir de l’administrateur et il est donc considéré responsable et fautif et peut subir des poursuites. La mise en place des pare-feu, proxy, protection des données sensibles relève uniquement de la compétence de l’administrateur systèmes et réseaux et toute intrusion ou prise de connaissance de ces données par une personne étrangère à l’entreprise engagera la responsabilité de l’administrateur système et réseaux. Sanction possible : Cf Responsabilité pénale. Devoir DROIT: Veille juridique Alexis CORION SIO2 Exemples : - Acte de concurrence déloyale : Transmission de données confidentielles a la concurrence Accès à des données destinées à autrui. Faille dans la sécurité du système d’une entreprise à cause de l’incompétence de l’administrateur Non-respect de la vie privée des salariés à cause de ces droits sur le réseau de l’entreprise Téléchargement illégal, utilisation de logiciel non autorisé qui impacte la sécurité de l’entreprise Exemples concret et connus : - La faille dans la sécurité de Sony dût à l’infection du système de l’entreprise par un logiciel malveillant qui a été détecté trop tard par l’administrateur. - L'utilisation des ressources informatiques de l'entreprise à des fins personnelles est autorisée dans un cadre résiduel. Mais, à partir du moment où le salarié en fait un usage abusif, il s'agit d'un manquement à ses obligations contractuelles qui légitime un licenciement pour faute grave. - Lors de cet audit, il avait été découvert la présence d'un logiciel de partage de données baptisé « GNUTELLA » qui avait permis à l'administrateur de télécharger des logiciels et fichiers MP3 en quantité impressionnante.