J'ai récemment travaillé à l'élaboration de ce document, qui me semble capital dans l'Entreprise: il précise les droits et obligations de chacun vis à vis de l'utilisation du Système d'Information - usage de l'Internet, de la messagerie d'entreprise, authentifications, utilisation des données d'entreprise, etc....
A mon sens, le terme de Charte Informatique est d'ailleurs trop réducteur, je préfère parler de Charte d'utilisation du Système d'Information.
Dans son rapport 2008 sur les menaces informatiques et pratiques de la sécurité en France, le Clusif, qui a interrogé 354 entreprises de plus de 200 salariés et 194 collectivités (mairies de plus de 30 000 hab., communautés de communes et d'agglomération, conseils généraux et régionaux) et 1139 internautes, précise que la charte est loin d'être généralisée puisque seules 50% des entreprises et 41% des collectivités déclarent l'avoir mise en place.
Concernant le contenu, je propose pour ma part de scinder le document en 3 grandes parties relatives: aux droits et devoirs vis à vis du SI, aux moyens mis en place à des fins d'analyse et de contrôle de l'utilisation des ressources, aux règles (filtrage) applicables à l'utilisation d'Internet.
Je vous propose donc ci-dessous ma vision synthétique du document, elle n'est, bien entendu, pas exhaustive et je suis ouvert aux suggestions d'amélioration.
Droits et devoirs
Droits et devoirs de la direction
Dans ce chapitre on précisera principalement les moyens humains et techniques mis en place pour assurer le fonctionnement optimal du SI (sauvegardes, continuité de service), les attributions de l'Administrateur, notamment pour toutes les questions touchant à l'exploitation des fichiers personnels (correspondance), les modalités d'application des sanctions disciplinaires.
Droits et devoirs des utilisateurs
Ce sera sans doute la partie la plus longue à rédiger. Au delà des règles à édicter, elle sera aussi fonction de la culture d'entreprise et surtout de son organisation qu'il pourra d'ailleurs être nécessaire de modifier...
On rappellera donc ici les règles à suivre pour utiliser le SI en conformité avec l'organisation du travail et les droits d'accès (utilisation à des fin professionnelles), les règles déontologiques et légales (manipulation des fichiers et bases de données, restrictions en vigueur pour l'utilisation "raisonnable" du SI à des fins personnelles (messagerie, accès web, ...), réserve et confidentialité des données transmises à l'extérieur de l'entreprise.
On s'attachera également à préciser aux utilisateurs les principes inhérents à la sécurité et à l'efficacité du SI notamment les règles concernant les mots de passe, l'utilisation contrôlée des logiciels (piratage), les dispositifs de protection (antivirus, antispam, pare-feu du poste de travail), les règles de bon sens à appliquer dans le cadre des déplacements professionnels (protection/cryptage des informations des PC nomades, conduite à tenir dans les lieux publics hôtels, ...)
Droits et devoirs des représentants du personnel
Ce sera ici l'occasion de rappeler/préciser les modalités d'utilisation du SI de l'entreprise par les RP, dans le cadre de leur mantat: modalités d'utilisation du portail Intranet (espace dédié) et de la messagerie, etc....
Analyse et contrôle de l'utilisation des ressources
Ce chapitre est prépondérant dans la charte puisqu'il doit préciser de manière la plus exhaustive possible les dispositifs en place permettant de suivre l'activité du SI.
On détaillera donc tous les dispositifs d'analyse des logs (connexions intranet, accès web, connexion distantes sur le LAN,...), les systèmes de protection de la messagerie d'entreprise qui analysent les méls (antivirus SMTP, antispam notamment), les statistiques mises en place afin de suivre l'activité Télécom (appels entrants/sortants, pics de trafic, ...), les dispositifs d'enregistrement dans le cadre de centres d'appels, les modalités de suivi des impressions (compteurs),etc..
Règles d'utilisation d'Internet
Dans son rapport sur la réalité de l'utilisation du web en entreprise, Olfeo estimait le temps moyen d’utilisation du Web à 66 minutes par personne et par jour en 2007.
66 minutes qui se décomposaient en 16,5 pour l'usage professionnel et 49,5 pour l'usage personnel (soit 4 heures par semaine...)
Il est donc prépondérant de fixer dans ce chapitre les règles qui encadrent l'utilisation d'Internet. On précisera par exemple les catégories de sites interdites, les modalités d'utilisation du web durant les pauses, etc...
Pour terminer, quelles sont les Modalités de mise en place de la Charte ?
Ce document revêt un caractère officiel et doit donc, à ce titre être connu de l'ensemble des personnels de l'entreprise. Document vivant destiné à évoluer dans le temps, il doit être annexé au règlement intérieur et donc remis à chaque salarié. Pour ma part, je l'utilise aussi comme document de base à toute sensibilisation à la SSI.
Enfin, il est important que la Charte d'utilisation du Système d'Information ne soit pas perçue comme une mesure de flicage et de contrôle intempestif: il faudra donc appuyer sa rédaction sur le principe de proportionnalité...
Liens utiles:
Site du Clusif: http://www.clusif.asso.fr
Rapport 2008 du Clusif: http://www.clusif.asso.fr/fr/production/sinistralite/docs/CLUSIF-rapport-2008.pdf
Site de la CNIL: http://www.cnil.fr
Quelques outils de filtrage d'URL: Websense, Olfeo, Netasq,cisco
Jeu de briques
Snake
Pacman
Bubble