J'ai ma direction qui me demande de lui fournir l'intégralité des mots de passe de la Société. Je m'y refuse pour plusieurs raisons, la principale étant le danger de faire "n'importe quoi" après s'être signé en administrateur sur nos systèmes. Existe-t-il une jurisprudence en la matière ?
Merci d'avance
Tout d'abord bonjour,
Pour commencer es-tu allé sur le site de la CNIL ? http://www.cnil.fr/ peut-être y trouveras-tu des informations.
Ensuite dans quel(s) but(s) ta direction a t-elle besoin de ces "sésame", car d'un point de vue purement sécurité il faut rappeler qu'un mot de passe ne se donne pas, direction ou pas.
@+ et bonne journée
Bonjour,
je réagis à chaud, donc sans l'appui d'une quelconque loi ou législation:
De quel droit l'employé (car je suppose que c'est le cas) d'une société se permet il de désobéir à sa direction?
Ne pas tenir compte de la relative sécheresse de ma réponse, je ne savais pas exprimer cette question aussi clairement autrement, ce n'est donc pas une agression a ton encontre, mais une autre façon, je pense de poser ta question.
Dernière modification par yoda1234 ; 23/07/2008 à 11h20.
Là où l'ignorance est un bienfait, c'est de la folie d'être sage (Thomas Gray).
Bonjour Yoda,
Rassure-toi je ne me sens pas agressé
Cependant, et c'est pour ça que je demande en début de message dans quel but est faite cette requête, c'est pour pouvoir en mesurer les conséquences.
Exemple 1: cette demande à pour but de vérifier la sécurité "relative " des pass (de 123456, en passant par azerty, et allant jusque e18v;qp3/j8) afin de d'exiger des utilisateurs un mot de passe un peu plus sérieux.
Exemple 2 : cette demande est uniquement destinée à fouiner dans les boites mails des salariés, et dans ce cas il peut s’agir d’une atteinte à la vie privée (point à vérifier surtout dans les cas particuliers, espionnage industriel par exemple, où sont définis tout particulièrement les droits et limites d’utilisation des boites mails à usage perso).
Maintenant la sécurité informatique reste un vaste débat, on pourrait évoquer nombre d’exemples qui se contrediraient tous autant qu’ils sont, mais dans ce cadre mieux vaut se prévaloir de ce que dit la CNIL.
Et pour mon avis (je suis têtu) un mot de passe ne se donne pas.
Si mon banquier me demande ma carte bleue et son code je ne lui donnerais pas, même si c’est mon banquier et qu’il a d’autres moyens d’intervenir sur mon compte bancaire.
@+
Euh... si ma direction me dit de détourner de l'argent, je ne le ferai pas... parce que c'est illégal, et contraire à mes principes.Envoyé par yoda1234
Ce que lui a demandé sa direction est clairement illégal. Et peut permettre d'accéder à d'autres services pour ceux qui utilisent le même mot de passe à plusieurs endroits.
Pour un audit de sécurité, il n'y a pas besoin de connaître la liste des mots de passe: des statistiques sur la présence ou non dans un dictionnaire de passwords et sur la complexité/longueur du password devrait suffire.
Enfin (et surtout), personne ne devrait être capable, dans une entreprise disposant d'un réseau digne de ce nom, de récupérer les mots de passe: Ils doivent être stockés de manière cryptée et normalement impossibles à retrouver... ou alors la société va avoir de gros soucis !
Bonsoir,
ok, mais sur quel article de loi s'appuyer?
As tu des sources?
Merci.
Là où l'ignorance est un bienfait, c'est de la folie d'être sage (Thomas Gray).
S'il s'agit des mots de passes utilisateurs, ceux ci sont des données personnelles dont l'acces est soumis à réglementation (voir les articles concernant les données personnelles).
S'il s'agit des mots de passes entreprises (équipements / serveur), alors tu dois le leur donner, puisque ces données leur appartiennent. Par contre, je te conseille de te blinder dans ce cas la : ne les donner que sur ordre écrit de son supérieur (ou tout autre personne au dessus dans la hiérarchie ascendante (ie pas le collegue de son supérieur hiérarchique)). Et remettre la liste sur format papier, avec une signature du supérieur, et en conserver une copie (et precise dedans que tu te décharges des responsabilités, que les mot de passes seront regénérés après utilisation ...)
Mais normalement, il n'y a aucune raison quelle ne les demandes.
The only limiting factor of the Linux operating system, is his user. - Linus Torvalds
Bonjour.
On peut aussi se demander ce que feraient les propriétaires des mots de passe s'ils avaient connaissance de ce qui se trame à leur insu. Qu' un 'bruit de couloir' ou tout autre tuyau d' information parallèle se répande dans la société.... bonjour l' état d' esprit....
Et les mots de passe seraient bien vite changés, et en plus costauds.
Si la direction veut connaître les mots de passe, elle doit les demander à leurs propriétaires, et non pas de façon détournée. Cette façon de faire incite à penser que les vue directoriales ne sont pas très ???? je ne trouve pas le mot exact: correctes? honnêtes?
Quant à moi, si on me demande mon mot de passe, je coopère: je le donne et cours le changer.
A+
Il n'y a que dans le dictionnaire où 'réussite' vient avant 'travail'.
