Le danger représenté par les salariés

8 réponses

Auteur	Message
MichaelL \| Membre Inscrit le : 29/01/2009	# Le 27/06/2016 à 20:55 Bonjour, Bon, je m'en fiche un peu à vrai dire, je travaille seul Mais depuis un bon bout de temps je m'interroge quant aux méfaits que peuvent causer les salariés sur les fichiers et les données de l'organisation, parfois de façon indécelable. C'est cet article lu par hasard qui m'amène encore à y penser : http://www.rtl.fr/actu/societe-faits-divers/toulou... Un salarié exporte le fichier client et en fait n'importe quoi. J'avais déjà constaté cela dans différentes entreprises et même dans un groupe politique national où un encadrant avait récupéré le fichier des sympathisant pour communiquer ses opinions sur un autre sujet. Aussi, on peut se rappeler de la Société Générale chez qui le compte de M. Sarkozy avait été largement consulté par les employés curieux. Ca me parait dingue. Vous laissez ces possibilités à vos salariés ? Vous avez des sécurités pour limiter la portée ou le volume des données consultées ?
francois10 \| Francois Membre Inscrit le : 14/05/2006	# Le 27/06/2016 à 23:00 Dans la pratique c'est très très compliqué de tout bien contrôler. Dans les TPE ça fait chier tout le monde Dans les PME ça fait chier et en plus ça coûter cher Dans les grands groupes ça sert à rien, ça fait chier et au final c'est inefficace => pour avoir bossé un peu dans le bancaire, on notait les mdp de prod sur des post-it et on avais accès aux comptes de n'importe qui, sauf les "VIP" qui eux avaient un traitement spécial.
tonguide \| Jeremy Modérateur Inscrit le : 09/05/2005	# Le 28/06/2016 à 11:02 A notre petit niveau, c'est jouable de contrôler quand même, même si à un moment donnée, il va bien falloir faire confiance, sinon ça sert pas à grand chose de salarié j'imagine. De mon côté, je n'ai encore jamais réussi à déléguer les parties importantes du biz. Dans mon admin, chaque page et chaque action dans la page peuvent être donner à un salarié, de sorte qu'ils n'aient accès qu'à ce qu'ils ont besoin, et chaque paramètre d'url est crypté, ce qui permet de leur donner accès à une petite partie des données sans qu'ils puissent essayer de taper des params dans l'url pour accéder à d'autres données. Et dès lors que la donnée est traité, ils ne peuvent plus y retourner par la suite. Ça limite les abus déjà, ensuite, chaque action réalisé est répertorié dans une table. Par contre, si je devais avoir un développeur, ça signifie dupliqué une table pour qu'il ne bosse qu'en local sur des données traité avant pour retirer les infos qu'on souhaite garder secret. Ça se complique là ...
MichaelL \| Michael Membre Inscrit le : 29/01/2009	# Le 29/06/2016 à 07:27 Tu as déjà bien réfléchi à la chose, il y a de bonnes idées. Je pensais par ailleurs à un blocage en fonction d'un quota de consultations par jour. Particulièrement si un salarié s'amuse à consulter toutes les fiches clients les unes après les autres parce que l'export n'est pas disponible. Sur un fichier clientèle de professionnels ou de grands comptes, l'enregistrement des accès ne suffit pas si le salarié envisage d'emporter les données chez un concurrent. francois10 a dit : Dans les PME ça fait chier et en plus ça coûter cher C'est certain. Cela dit ça peut coûter encore plus cher si les données arrivent chez le concurrent et lui permettent de rattraper un retard sans avoir à investir autant que l'entreprise qui se fait voler. Ou bien en terme de réputation cela peut aussi coûter cher. Dans le cas de la mutuelle des policiers, j'imagine que beaucoup de clients se ficheront de savoir qu'il s'agit d'un salarié vengeur, ils estimeront que leurs informations n'étaient pas suffisamment protégées (moi-même je me demande pour quelle raison une fonction d'export global était présente sur leur outil ...).
francois10 \| Francois Membre Inscrit le : 14/05/2006	# Le 29/06/2016 à 10:35 Une mutuelle n'est pas une PME, ce n'est pas comparable. Il est clair que des fonctions avancées de limitation auraient dû être présente. Par contre - hélas - je suis certains que ... 99% des personnes concernées s'en foutent et resteront affiliés à cette mutuelle (et de toute façon, je suppose que c'est pareil partout).
krucial \| Jean Christophe Administrateur Inscrit le : 09/03/2005	# Le 30/06/2016 à 12:35 J'ai le cas d'un affilié viteundevis qui m'envoyait plein de leads cuisine. En fait, c'est un ancien d'un grand groupe de cuisinistes (genre schmidt) qui avait gardé la main sur les serveurs et qui revendait les leads générés par les formulaires des sites des marques du groupe (en gros, je vendais a des cuisinistes les coordonnées de ceux qui s'etait inscrits chez cuisinella). JC - Mes sites \| Affiliation devis travaux \| Cotes voitures anciennes
publicom \| David Membre Inscrit le : 18/02/2011	# Le 30/06/2016 à 14:12 Utilisation à 100% de Google Apps pour l'hébergement de fichiers etc...En un clic tu bloques le compte.. Tu peux bloquer les IP externes pour éviter de la sortie.. mais bon.. en soit une bonne clef usb peut faire toujours le plus grand mal ;) Plateforme de cashback : https://www.prescrit.io
MichaelL \| Michael Membre Inscrit le : 29/01/2009	# Le 30/06/2016 à 16:02 Voilà, c'est là qu'est le souci, la possibilité d'accéder facilement à une quantité d'informations que le vilain peut emporter. Il se doute que ses accès seront bloqués à un moment. Bon, dans l'exemple de Krucial apparemment ça avait été oublié J'ai aussi connu des (oui, plusieurs) responsables et des commerciaux qui débarquaient au bureau et qui lançaient de la prospection à partir de la totalité des données de leur ex employeur. Ils avaient juste eu à cliquer sur un "Exporter" à un moment. Et bien sûr les dirigeants ne pensent pas toujours à piéger les fichiers.
gorapat \| Patrice Membre Inscrit le : 24/12/2008	# Le 05/07/2016 à 16:27 tonguide a dit : il va bien falloir faire confiance Oui pas le choix. De mon côté, je préfère la solution associés fulltime + une poignée d'actionnaires-investisseurs "actifs" + des presta avec des bons contrats que la formule classique associés + salariés. Trop de staf et à la fin on ne contrôle plus rien, ça peut vite devenir le bordel, surtout dans une petite boite. Cela étant dit, le vol des bases est également possible avec un associé. Si le préjudice est prouvé, il faut taper juridiquement sur le "vilain". Ca prend du temps, de l'argent mais au moins le gars ne recommencera peut-être pas s'il est poursuivi. Eldolink : Affiliation minceur pour gagner Gros !

Auteur

Message

Inscrit le : 29/01/2009

# Le 27/06/2016 à 20:55

Bonjour,

Bon, je m'en fiche un peu à vrai dire, je travaille seul Mais depuis un bon bout de temps je m'interroge quant aux méfaits que peuvent causer les salariés sur les fichiers et les données de l'organisation, parfois de façon indécelable. C'est cet article lu par hasard qui m'amène encore à y penser :
http://www.rtl.fr/actu/societe-faits-divers/toulou...
Un salarié exporte le fichier client et en fait n'importe quoi.
J'avais déjà constaté cela dans différentes entreprises et même dans un groupe politique national où un encadrant avait récupéré le fichier des sympathisant pour communiquer ses opinions sur un autre sujet. Aussi, on peut se rappeler de la Société Générale chez qui le compte de M. Sarkozy avait été largement consulté par les employés curieux.
Ca me parait dingue. Vous laissez ces possibilités à vos salariés ? Vous avez des sécurités pour limiter la portée ou le volume des données consultées ?

francois10 | Francois
Membre

Inscrit le : 14/05/2006

# Le 27/06/2016 à 23:00

Dans la pratique c'est très très compliqué de tout bien contrôler.

Dans les TPE ça fait chier tout le monde
Dans les PME ça fait chier et en plus ça coûter cher
Dans les grands groupes ça sert à rien, ça fait chier et au final c'est inefficace => pour avoir bossé un peu dans le bancaire, on notait les mdp de prod sur des post-it et on avais accès aux comptes de n'importe qui, sauf les "VIP" qui eux avaient un traitement spécial.

tonguide | Jeremy
Modérateur

Inscrit le : 09/05/2005

# Le 28/06/2016 à 11:02

A notre petit niveau, c'est jouable de contrôler quand même, même si à un moment donnée, il va bien falloir faire confiance, sinon ça sert pas à grand chose de salarié j'imagine. De mon côté, je n'ai encore jamais réussi à déléguer les parties importantes du biz.

Dans mon admin, chaque page et chaque action dans la page peuvent être donner à un salarié, de sorte qu'ils n'aient accès qu'à ce qu'ils ont besoin, et chaque paramètre d'url est crypté, ce qui permet de leur donner accès à une petite partie des données sans qu'ils puissent essayer de taper des params dans l'url pour accéder à d'autres données. Et dès lors que la donnée est traité, ils ne peuvent plus y retourner par la suite. Ça limite les abus déjà, ensuite, chaque action réalisé est répertorié dans une table.

Par contre, si je devais avoir un développeur, ça signifie dupliqué une table pour qu'il ne bosse qu'en local sur des données traité avant pour retirer les infos qu'on souhaite garder secret. Ça se complique là ...

MichaelL | Michael
Membre

Inscrit le : 29/01/2009

# Le 29/06/2016 à 07:27

Tu as déjà bien réfléchi à la chose, il y a de bonnes idées.
Je pensais par ailleurs à un blocage en fonction d'un quota de consultations par jour. Particulièrement si un salarié s'amuse à consulter toutes les fiches clients les unes après les autres parce que l'export n'est pas disponible. Sur un fichier clientèle de professionnels ou de grands comptes, l'enregistrement des accès ne suffit pas si le salarié envisage d'emporter les données chez un concurrent.

francois10 a dit :
Dans les PME ça fait chier et en plus ça coûter cher

C'est certain. Cela dit ça peut coûter encore plus cher si les données arrivent chez le concurrent et lui permettent de rattraper un retard sans avoir à investir autant que l'entreprise qui se fait voler. Ou bien en terme de réputation cela peut aussi coûter cher. Dans le cas de la mutuelle des policiers, j'imagine que beaucoup de clients se ficheront de savoir qu'il s'agit d'un salarié vengeur, ils estimeront que leurs informations n'étaient pas suffisamment protégées (moi-même je me demande pour quelle raison une fonction d'export global était présente sur leur outil ...).

francois10 | Francois
Membre

Inscrit le : 14/05/2006

# Le 29/06/2016 à 10:35

Une mutuelle n'est pas une PME, ce n'est pas comparable. Il est clair que des fonctions avancées de limitation auraient dû être présente. Par contre - hélas - je suis certains que ... 99% des personnes concernées s'en foutent et resteront affiliés à cette mutuelle (et de toute façon, je suppose que c'est pareil partout).

krucial | Jean Christophe
Administrateur

Inscrit le : 09/03/2005

# Le 30/06/2016 à 12:35

J'ai le cas d'un affilié viteundevis qui m'envoyait plein de leads cuisine. En fait, c'est un ancien d'un grand groupe de cuisinistes (genre schmidt) qui avait gardé la main sur les serveurs et qui revendait les leads générés par les formulaires des sites des marques du groupe (en gros, je vendais a des cuisinistes les coordonnées de ceux qui s'etait inscrits chez cuisinella).

JC - Mes sites | Affiliation devis travaux | Cotes voitures anciennes

publicom | David
Membre

Inscrit le : 18/02/2011

# Le 30/06/2016 à 14:12

Utilisation à 100% de Google Apps pour l'hébergement de fichiers etc...En un clic tu bloques le compte..
Tu peux bloquer les IP externes pour éviter de la sortie.. mais bon.. en soit une bonne clef usb peut faire toujours le plus grand mal ;)

Plateforme de cashback : https://www.prescrit.io

MichaelL | Michael
Membre

Inscrit le : 29/01/2009

# Le 30/06/2016 à 16:02

Voilà, c'est là qu'est le souci, la possibilité d'accéder facilement à une quantité d'informations que le vilain peut emporter. Il se doute que ses accès seront bloqués à un moment. Bon, dans l'exemple de Krucial apparemment ça avait été oublié
J'ai aussi connu des (oui, plusieurs) responsables et des commerciaux qui débarquaient au bureau et qui lançaient de la prospection à partir de la totalité des données de leur ex employeur. Ils avaient juste eu à cliquer sur un "Exporter" à un moment. Et bien sûr les dirigeants ne pensent pas toujours à piéger les fichiers.

gorapat | Patrice
Membre

Inscrit le : 24/12/2008

# Le 05/07/2016 à 16:27

tonguide a dit :
il va bien falloir faire confiance

Oui pas le choix.

De mon côté, je préfère la solution associés fulltime + une poignée d'actionnaires-investisseurs "actifs" + des presta avec des bons contrats que la formule classique associés + salariés. Trop de staf et à la fin on ne contrôle plus rien, ça peut vite devenir le bordel, surtout dans une petite boite.

Cela étant dit, le vol des bases est également possible avec un associé.

Si le préjudice est prouvé, il faut taper juridiquement sur le "vilain". Ca prend du temps, de l'argent mais au moins le gars ne recommencera peut-être pas s'il est poursuivi.

Eldolink : Affiliation minceur pour gagner Gros !

Répondre

Vous ne pouvez pas participer au forum, car votre inscription n'a pas été validée. Pour vous faire valider en tant que Membre, cliquez ici.