Garantie de non-accès aux données de l'entreprise

BeckieBlack · Le 27/09/2011, à 12:42

Bonjour à tous,

Je me pose une question relative à mon entreprise. Elle souhaite migrer vers le logiciel GLPI (Gestion Libre du Parc Informatique), sous licence GPL. Je suis en train de mettre en place tout un argumentaire sur les bienfaits du libre (notamment la réduction des coûts (inévitable et primordiale pour l'entreprise)) ; pourtant, on m'annonce déjà que le service Informatique est plus que réticente à cette migration. En effet, normalement, si l'on passait par une société nous proposant sa solution propriétaire, nous lui aurions fait signer un accord de confidentialité, dans un but de protéger nos données et de limiter au maximum l'accès par la société qui fournit la licence aux données de mon entreprise. Je tiens à préciser que l'entreprise est amenée à manipuler des données "sensibles" car elle travaille dans un secteur où la confidentialité est de mise. Je sais que je devrais répondre "GLPI est fourni as is, si l'on veut de la sécurité, autant développer nous-même et en faire profiter la communauté"... Mais j'ai eu vent de certaines (très) grandes entreprises françaises qui remontaient dans la chaîne des développeurs et contributeurs pour leur faire signer des accords de confidentialités comme quoi les données rentrées dans le logiciels restaient à la pleine et entière propriété de l'utilisateur et que les développeurs garantissaient qu'ils n'avaient pas accès à ces données (backdoors, tout ça...). Cette manière de faire est, en plus d'être longue et laborieuse, totalement ubuesque. Mais je n'arrive pas à trouver un juste milieu, et je suis en panne sur la justification à donner.

Voila, je vous remercie par avance de vos réponse.

J5012 · Le 27/09/2011, à 19:47

parlant de glpi :

Cette licence vous garanti les droits suivants (appelés libertés) :
1. La liberté d’exécuter GLPI, pour n’importe quel usage ;
2. La liberté d’étudier le fonctionnement de GLPI et de l’adapter à vos besoins ;
3. La liberté de redistribuer des copies de GLPI (sous licence GPL) ;
4. La liberté d’améliorer GLPI et de rendre publiques vos modifications afin que l’ensemble de la communauté en bénéficie (sous licence GPL).
GLPI n’est pas un logiciel du domaine public. Si vous modifiez GLPI ou si vous le redistribuez, vous ne pouvez pas appliquer une licence qui contredirait la licence GPL.
Précisions : Vous êtes libre d’utiliser GLPI pour toute activité quelle soit personnelle, professionnelle ou commerciale. Dans le cadre d’une activité commerciale, le contrat que vous associez à votre prestation de service ne doit pas interférer avec la licence GPL attachée à GLPI.

tout est dit, tu dois prendre le probleme par l'autre bout, t'assurer que le contrat de confidentialite ne contrevient pas a la gplv2 !

AlexandreP · Le 28/09/2011, à 04:59

Salut,

C'est exactement ça: il faut savoir dissocier le logiciel lui-même et les données traitées par le logiciel. C'est le logiciel qui est soumis aux exigences de la licence GNU GPL, pas les données qui sont traitées par le logiciel.

De plus, si le logiciel vient as is, sans aucune garantie, rien n'empêche une entreprise de conclure une entente de service avec une SSLL (ou de manière plus générale une SSII) pour s'occuper de la maintenance du logiciel (développement de nouveaux modules, application de correctifs, etc.). À ce niveau, l'entreprise applique ses propres politiques de confidentialité et de sécurité, et peut alors faire signer l'accord de confidentialité à la SSLL/SSII qu'elle engage.

redo_fr · Le 28/09/2011, à 08:33

BeckieBlack a écrit :

[...]si l'on passait par une société nous proposant sa solution propriétaire, nous lui aurions fait signer un accord de confidentialité[...]

"Les promesses n'engagent que ceux qui y croient" Surtout dans le domaine de l'espionnage industriel ^_^

Le problème d'une solution "propriétaire" (surtout si le code est fermé) est que tu ne peux pas vérifier par toi même qu'il n'y a pas de "backdoor", tu es obligé de faire confiance.

Un logiciel libre, a son code ouvert et il est régulièrement audité par de très nombreux développeurs compétents, très attachés à la sécurité. Les éventuelles failles sont corrigées très rapidement, souvent dans la journée, ce que ne peux pas toujours se permettre une petite société (coût de développement trop élevé) et qu'une grande société t'enverra "paître" ( Attendez la prochaine release pour la correction...Au hasard... Microsoft? )

La sécurité par "l'obscurantisme"(sic) n'a jamais été une bonne solution.

BeckieBlack · Le 28/09/2011, à 08:36

Merci pour vos réponses.
La distinction posée par AlexandreP est réellement l'épine dorsale de mon argumentaire.
Oui, il va sans dire que les "exigences" de la licence GPL ont été expliquées et comprises : les apports améliorant le logiciel doivent être publiés sous une licence GPL.
Le problème porte en effet sur les données entrées dans le logiciel, il aurait été préférable de préférable de pouvoir garantir ou prouver que l'utilisation du logiciel n'entraîne aucun risque. Mais je tente d'expliquer petit à petit les tenants et aboutissants du logiciel libre au service informatique. Pour info, la possibilité d'installer Firefox est relativement récente et IE est encore en version 7. J'ai aussi mis dans ma présentation un petit topo sur le comportement et l'utilisation de l'utilisateur final qui peut être plus dangereux que n'importe quel logiciel lui-même (les salariés ne sont pas formés à ceci, cela me fait peur !). GLPI a vraiment de nombreuses références et un développement qui me semble réactif et continu, je pense vraiment appuyer sur ces points. Mais globalement, j'observe de grosses réserves face au libre...
En revanche, au fil des recherches, j'ai eu la confirmation que certaines grosses sociétés tentaient de signer des NDA avec tous les développeurs...

jplemoine · Le 30/09/2011, à 21:57

Encore une fois, il ne faut pas confondre le logiciel avec les données utilisées par le logiciel.
J'ai travaillé dans l'informatique hospitalière (secret médical de mise) et un secteur où la sécurité est de mise..., je n'ai jamais eu accès aux données de production mais à des données de test faites par des personnes représentant les utilisateurs. L'accès aux données de production était physiquement impossible car pas sur le même réseau.
--> Comme mes "petits camarades", je pense qu'il est plus difficile d'avoir une "backdoor" sur un logiciel libre qu'un logiciel propriétaire.
Ne pas oublier que le principal trou de sécurité se trouve entre le clavier et la chaise....
Cordialement,
Jean-Philippe

AlexandreP · Le 01/10/2011, à 00:29

Salut,

redo_fr a écrit :

"Les promesses n'engagent que ceux qui y croient" Surtout dans le domaine de l'espionnage industriel ^_^
Le problème d'une solution "propriétaire" (surtout si le code est fermé) est que tu ne peux pas vérifier par toi même qu'il n'y a pas de "backdoor", tu es obligé de faire confiance.

Il s'agit d'un contrat, pas d'une simple promesse faite dans le vent. Si une entreprise ne respecte pas son accord de non-divulgation et qu'elle se fait repérer, l'entreprise peut être poursuivie. Il va dons sans dire que ce ne serait pas avantageux pour ladite entreprise de ne pas respecter son contrat.

Je suis d'accord avec toi que c'est tout de même une possible faille (puisque, tu le mentionnes, l'espionnage industriel existe). Cela dit, à un certain moment, il faut savoir faire confiance aux employés que l'on engage et aux entreprises avec lesquelles on fait affaires.

BeckieBlack a écrit :

Le problème porte en effet sur les données entrées dans le logiciel, il aurait été préférable de préférable de pouvoir garantir ou prouver que l'utilisation du logiciel n'entraîne aucun risque.

Sachant que des gouvernements utilisent des logiciels libres au sein de leurs administrations -- des endroits où on s'attend à ce que la sécurité et la confidentialité des données soit respectée -- tu pourrais voir avec Nour Al Imen, qui fait une étude sur l'utilisation des logiciels libres et open sources dans les institutions gouvernementales à travers le monde. Il pourra peut-être t'aiguiller vers des rapports ou des études préliminaires expliquant la motivation à passer à des logiciels libres, et de quelle manière le volet concernant la confidentialité des données a été abordé.

Tu pourrais aussi contacter directement quelques SSLL pour en apprendre davantage sur la manière par laquelle elles garantissent la confidentialité des données. Par exemple, Linagora a travaillé avec le Ministère de l'intérieur et de Ministère de la défense en ce qui concerne la migration et l'évolution de leur système de messagerie; on s'entend qu'à ce niveau, il a des données confidentielles en jeu. Les SSLL sauront davantage t'en dire.

Cela dit, on le répète encore: il ne faut pas confondre le code du logiciel, qui lui est ouvert, et les données qui sont traitées par le logiciel, qui sont confidentielles. L'exemple proposé par Jplemoine (l'utilisation de données de tests uniquement) est très judicieux.

BeckieBlack a écrit :

J'ai aussi mis dans ma présentation un petit topo sur le comportement et l'utilisation de l'utilisateur final qui peut être plus dangereux que n'importe quel logiciel lui-même (les salariés ne sont pas formés à ceci, cela me fait peur !). GLPI a vraiment de nombreuses références et un développement qui me semble réactif et continu, je pense vraiment appuyer sur ces points. Mais globalement, j'observe de grosses réserves face au libre...

Ça n'est pas exclusif aux logiciels libres: avec n'importe quel logiciel, si l'utilisateur n'est pas formé, il peut facilement faire des bourdes et être ainsi un maillon faible de la sécurité des données de l'entreprise. La meilleure prévention pour renforcer la chaîne demeure la formation. Des SSLL sont capables de donner des formations pour l'utilisation de plusieurs logiciels libres.

Ce qu'il faut garder en tête, c'est que pour GLPI, par exemple, il n'est pas obligatoire de faire affaire uniquement avec des développeurs (ou membre de l'équipe) de GLPI. D'autres entreprises, spécialisées dans les offres de services, de conseils et de formations (les SSLL, et les SSII plus généralement) sont aussi des intermédiaires à considérer.

BeckieBlack a écrit :

En revanche, au fil des recherches, j'ai eu la confirmation que certaines grosses sociétés tentaient de signer des NDA avec tous les développeurs...

Assez difficile dans le monde du logiciel libre, puisque ça impliquerait de retracer et faire signer un NDA à tous les développeurs d'un logiciel -- ça peut signifier des centaines, des milliers de contributeurs pour certains projets (le noyau Linux, par exemple) -- et que tous ceux qui veulent contribuer au logiciel par la suite devront aussi signer le NDA.

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 27/09/2011, à 12:42

Garantie de non-accès aux données de l'entreprise

#2 Le 27/09/2011, à 19:47

Re : Garantie de non-accès aux données de l'entreprise

#3 Le 28/09/2011, à 04:59

Re : Garantie de non-accès aux données de l'entreprise

#4 Le 28/09/2011, à 08:33

Re : Garantie de non-accès aux données de l'entreprise

#5 Le 28/09/2011, à 08:36

Re : Garantie de non-accès aux données de l'entreprise

#6 Le 30/09/2011, à 21:57

Re : Garantie de non-accès aux données de l'entreprise

#7 Le 01/10/2011, à 00:29

Re : Garantie de non-accès aux données de l'entreprise

Pied de page des forums