ComitePilotageReunion22052008

Réunion du Comité de Pilotage du 22 mai 2008



Pour le mois de Juin

Formation juridique

Organisation

Finance Coût: Formation 3500 €HT Repas (Buffet) : 2*50*15=1500€HT

Recettes: Formation permanente CNRS : (Repas) ~1500 €HT RESINFO : reste 1000€ + 1000€ partis mais non arrivés

Pre-inscriptions 47 inscrits (CP compris) dont 14 de labos CNRS

Limite à 50 personnes pour des raisons de logistique.

Il manque à priori 1500€. Marido se charge de voir avec Alexandre Teste (DR CNRS) si le CNRS peut prendre en charge (administrativement) l'organisation de la formation. Le repas ne serait pas pris en compte par CAPITOUL. Dans ce cas, le financement serait 100% CNRS.

Programme

Contenu de la formation (Voir cours de Barbry) : On ne modifiera pas le cours, mais on peut lui demander que durant celui-ci il réponde à un certain nombre de questions. Une remarque, ne comptez pas sur lui pour savoir s'il faut appeler le CERT, le FSD ou le concierge en cas de problème. C'est beaucoup trop lié à la structure.

Je propose qu'on fasse un document court que je lui transmettrai rapidement avec : - une entête sur le contexte des structures : labos de recherche, universités, écoles, IUT, possibilité d'avoir beaucoup d'étudiants et pas que des personnels (quelques lignes) - une liste de questions (2 pages maxi)

Voici la liste des questions suggérées (avec une certaine redondance) :

- j'ai surtout besoin de précisions sur l'applicabilité de toutes ces règlementations au sein d'un laboratoire de Recherche en matière de responsabilité, droits et devoirs, et surtout dans le cadre du droit pénal

- Est-ce que la loi du 21 juin 2004 (notamment conservation des logs), impose de tracer le detail des transactions web (=protocol http) vers l'ensemble des sites web consultes depuis le reseau d'une universite?... Si oui, cela impose-t-il donc d'avoir un mecanisme de filtrage d'URL en entrée/sortie du réseau de l'établissement, dans le but de journaliser tout le trafic?....

- Est-ce qu'il peut etre reproche a un etablissement d'enseignement superieur de laisser l' acces a des ressources sur le web qui sont interdites par la loi (ex: sites pedopornographiques, revisionnistes, incitant la haine raciale,...)? si oui, cela impose-t-il donc d'a voir un mecanisme de filtrage d'URL en entrée/sortie du réseau de l'établissement, dans le but d'interdire l'acces aux sites illegaux?....

- serait il possible d'aborder également les problèmes liés aux droits d'auteurs et mise en ligne partielle de contenus publiés ou en cours de publication

-Quels sont les devoirs et les responsabilités des différents protagonistes (administrateur système/réseau, directeur de laboratoire, président de l'Université) dans le cadre :

- Certaines informations "sensibles" sont protégées par le code pénal, quels sont les risques liés à la "non protection" de ces données ?

- Après j'aimerai connaître la chaîne de responsabilité en cas de problèmes graves (piratage, accès sites pédophiles, installation et utilisation de logiciels pirates).

- plus généralement sur les responsabilités editeurs et hébergeurs prévues par la loi sur la confiance dans l'economie numerique et leur déclinaison dans le monde universitaire.

-La loi n°2004-575 du 21 juin 2004 , son article 6, son décret d'application (?) son implication pour les établissements d'enseignement supérieur sont des éléments qui m'intéressent parmi d'autres.

La formation est effectivement très orientée laboratoire. Il faudrait prendre en compte le contexte des établissements d'enseignement supérieur : * acteurs peu sensibilisés à la sécurité mais en quête de simplicité/liberté = pas de contraintes (y compris les Présidents/Directeurs), * rarement de PSSI définie et mise en place, * structure de la SSI légèrement différente : - 1 FSSI : bien identifiée, au ministère, - 1 AQSSI dans chaque établissement qui est désigné (plus ou moins tacitement) et qui s'interesse peu à la SSI (généralement le Directeur/Président ou le secrétaire général), - 2 RSSI (un titulaire, un suppléant) souvent multi-casquettes, débordés et pas forcément reconnus.

Par exemple, le chapitre sur les responsabilités juridiques est à adapter par rapport à la structure (AQSSI, RSSI, Directeur de Service Informatique, Directeur/Président d'établissement). Il serait peut-être bien également de lui demander de bien redire que ce n'est pas juste l'affaire des RSSI mais également de tous les ASR (même si cela se retrouve bien dans tout le document que Maurice Libes lui a fait passer).

Concernant, la d écouverte de contenus illicites est-ce qu'il ne faudrait pas séparer les contenus sous copyright et les contenus à caractère pédophile ou incitant à la haine raciale. Et dans ces cas là, jusqu'où doit-on aller avant de contacter qui que ce soit ? En général, on découvre ces documents de façon fortuite durant une opération d'administration et seul le nom du document nous met la puce à l'oreille. Doit-on alors ouvrir les documents pour vérifier que ce n'est pas ce que l'on pense ? Doit-on également tenir compte de ces "informations" sur un portable personnel sur lequel on nous demanderais d'intervenir ?

Est-ce qu'il lui serait possible de nous indiquer vers qui nous tourner quand nous avons un doute sur les réponses à apporter en fonction de nos tutelles ? Cert-A, Cnil, Renater, Cru, Urec ou directement un avocat ?

Dans les questions diverses on pourrait rajouter : * Comment faire respecter les licences même sur les postes que nous contrôlons (ex un logiciel qui n'effectue pas de contrôle sur le nombre d'utilisateurs concomitants et du coup le laboratoire refuse de payer le nbr de licences réellement utilisé) ? * Est-ce qu'on a le droit d'interdire l'utilisation d'un logiciel dans nos entités ? Exemple de Skype : comment interdire à l'utilisateur de s'en servir sans pouvoir lui montrer quoi que ce soit venant du HFD ? * Que faire en cas de pression d'un responsable pour une "fouille" d'une machine, de l'exploitation des données de connexion (sites, horaires) ? Ou en cas de pression pour limiter l'accès réseau de la machine d'un personnel ? * Comment doit-on gérer les demande d'hébergement des pages web personnelles pour les étudiants ou les personnels ? Sommes-nous considéré comme des hébergeurs ? Que sommes-nous obligé de réaliser (vérification de contenu, limiter à des informations strictement professionnelles) ? * Les ASR sont-ils soumis au secret professionnel ? Dans quelle mesure ? * Quelle est la valeur juridique d'un courrier électronique ou d'un compte rendu de réunion ? * Peut-on être tenu responsable si des informations sont absentes d'un fichier de log ?

Sous-groupe de travail (Cédric envoie le mail) :

CNRS : Laurent et Cédric INSA : David Parker Université : Anne Berckmans ou Viviane Corrégé (Claudine s'occupe de les contacter)

Date : le mardi 27 mai 2008 à l'INSA (CRI) à 14h00.


Prochaine réunion du comité de pilotage :

Date : le mardi 08 juillet 2008 à 10h00. Le lieu, chez Jacques à Pechbusque... On fera un barbecue dans la foulée (prévoir 1 ou 2 petits barbecues à apporter).


ComitePilotageReunion22052008 (dernière édition le 2010-03-10 15:11:34 par MatthieuHerrb)