Discussion :

[bokud]

Salutations,

C'est un peu paumé que je poste ici, enfin j'ai quand même hésité avec la section psy de doctissimo avant ... désolé pour le pavé, j'espère que quelqu'un aura la force de lire jusqu'au bout

Embauché d'abord comme dev dans une petite boite d'audiovisuel (8 fixes), devenant progressivement responsable plus par accumulation de casquettes que par accès au décisionnel, j'ai fini par me retrouver il y a deux ans avec le super titre ronflant de DSI pour quelques poignées de bécanes, un admin sys et deux stagiaires motivés ... un pas si grand laboratoire que ça mais qui en veut à mort !

Tableau pas très reluisant, un service informatique qui n'en portait que le nom (toi qu'es tech tu peux réparer la chaudière ?), pas de budget fixé (le mois prochain on facture des trucs !), pas de stratégie de développement (on s'en fout fait au mieux), et bien sûr un parc logiciel royalement douteux (lance pas toshop faut que je refasse ton etc/hosts ;p). Bref, une sorte de grand dawa total comme il en existe beaucoup, mais j'avais signé pour m'en occuper et ça me plaisait ^^

Le prédécesseur s'était barré à l'étranger, faisait des apparitions de plus en plus éloignées pour nous guider à travers les crises tel un Seldon, et laissait derrière lui un plan de bataille flou sous réserve de bons résultats pour la boite, et visant entre autres à régulariser nos licences par une politique d'achat progressif sur les deux ans à venir.

Les deux ans sont passés, ce qui devait arriver arriva, on commence à se faire allumer par un éditeur qui aurait tort de se priver, on risque de prendre cher vu qu'on est trop petits pour représenter une perte mais assez connus pour que ça pousse nos confrères à faire du nettoyage, et c'est l'heure des constats :

- des licences, on en a pas beaucoup plus, le départ de l'ancien "DSI" ayant signé l'arrêt des dépenses informatiques (en tant qu'associé il pouvait imposer qu'on sorte le chéquier, en tant que simple salarié je n'ai jamais pu ou plus probablement su le faire)
- le contexte de crise dans notre profession n'explique pas tout, quand les boss se versent chaque mois des primes de CA de plusieurs milliers d'euros, envoient l'admin leur acheter un portable au darty du coin alors que la veille ils refusaient le remplacement d'un disque serveur (bah l'autre il marche ?), et expliquent sans trembler des genoux chaque fois que le sujet des licences revient sur le tapis "tu sais bien qu'on a pas les moyens", j'ai du mal
- la réalité par contre est limpide, sans ces softs piratés c'est une sessation d'activité immédiate, et la trésorerie nécessaire pour se remettre en conformité, nous ne l'avons pas

De mon côté, ça ne sent pas bon du tout :

- de par mon poste JE suis responsable de ce qui tourne ou pas chez nous, c'est à moi de m'assurer qu'on respecte le cadre légal, et je ne peux pas ignorer que nous sommes en dehors des clous
- par mon implication active, c'est encore moi qui ai permis le maintien de cette situation
- si j'inverse la vapeur en imposant une remise en confo totale, grosso modo je coule la boite
- mais si je ne fais rien je suis complice
- et si je m'en vais aussi ...

J'ai l'impression d'être dans la peau du voleur de voiture qui explique "j'avais pas le choix il faut bien vivre", et c'est probablement le cas, je vais prendre des pierres. Mais j'avoue ne pas savoir quoi faire, pour me protéger, et protéger mon équipe. J'ai conseillé à l'admin ne communiquer qu'oralement sur le sujet, il doit rester exécutant et moi responsable, et également demandé aux associés de se charger des échanges avec l'éditeur en leur nom, mais ça ne les empêche pas de jouer les ingénues et tout nous mettre sur le dos ...

Et puis bon, pour l'avenir si jamais on y survit, que peut faire un responsable SI quand sa direction biaise pour rester dans l'illégalité ? porter plainte ? demander une injonction de faire au tribunal le plus proche ? démissionner et perdre tous ses droits ? à moins que l'absence de moyens pour réaliser la mission ne soit un motif de rupture de contrat ? remplir la page de délation de la BSA et attendre ses trente deniers à la sortie ?

Hum bon, plein d'interrogations, je ne sais pas si un lecteur sera arrivé jusqu'ici, mais si vous aviez des lumières, des retours d'expérience, des jurisprudences, ou une approche tantriste pour gérer la situation, j'en serais reconnaissant ! (à coups de pintes si c'est dans la région)

[garheb]

Je ne suis pas juriste, mais as-tu des documents écrits, comme quoi tu as demandé à plusieurs reprises d'acheter les licences (mails principalement)? Prouvant ta bonne foi, et la mauvaise de tes supérieurs.

[Carhiboux]

Salut, je ne suis aucunement juriste, et une rapide recherche sur Google rapporte étonnamment peu de résultats.

Dans ton cas, je pense que c'est un peu malheureux à dire, mais :

• Monte toi un dossier ou tu prouves que tu as agis de la sorte par pression de tes supérieurs. Que tu as demandé à plusieurs reprises, traces à l'appui, l'achat de ces licences. Bref, tout ce qui prouve que tu as agis de la sorte parce que tu n'avais pas trop le choix. Notamment le fait que les patrons n'ont pas respecté le fait d'acheter les licences sur deux ans?
• Peut être consulter un avocat pour avoir une idée claire de ce que dit la loi sur les responsabilités des uns et des autres. Ca va te couter quelques sous, mais autant avoir un conseil de quelqu’un qui saura te donner une réponse claire et précise. (je sais pas si du coté de l'APEC ya des avocats? Ou si l'assoc des anciens élèves de ton école offrent une assistance juridique, ou ...)
• Et peut être le plus important : sois égoïste sur ce coup là. Tes patrons n'ont pas pensé aux autres eux, ce n'est pas à toi de le faire pour eux. Ca serait con de te prendre tout dans les dents alors que tu as subi cette situation toi aussi.

[Invité]

Je vais dans le même sens que Carhiboux, essaie de réunir des preuves écrites pour te couvrir. Relance tes demandes d'achat de licences.
Est-ce que tu as chiffré ce que ça couterait d'acheter les licences manquantes ? Il s'agit d'une grosse somme ?

- la réalité par contre est limpide, sans ces softs piratés c'est une sessation d'activité immédiate, et la trésorerie nécessaire pour se remettre en conformité, nous ne l'avons pas

Si la direction se verse des primes, ils ont la tréso.

Tu peux aussi dire que tu refuses ce rôle, et l'avertir que tu désinstalleras tous les logiciels piratés. Si le patron ne veut pas que sa boîte coule, il devra se régulariser.
Ou alors tu menaces de démissionner.

[-]

Ou plus violent : tu balances le tout à la BSA, en spécifiant bien que tu fais ça n'ayant d'autre solution. En tant que délateur tu te retrouveras d'une certaine manière protégé...

[scydx]

Des logiciels libres/open source ? suivant le secteur ça peut être envisageable ...

[deathness]

Ou plus violent : tu balances le tout à la BSA, en spécifiant bien que tu fais ça n'ayant d'autre solution. En tant que délateur tu te retrouveras d'une certaine manière protégé...

Et bien grillé après. Alors certe c'est la loi, il n'a "théoriquement" rien fait de mal mais dans les faits se griller comme ça c'est un truc qui se paie cher.
Se protéger en écrivant des mails a la direction et partir de là me semble la voie la plus sage.

[Invité]

T'en fais des tonnes pour pas grand chose...
Tout ce que tu risques c'est un contrôle et ils constateront les logiciels piratés et te forceront à te mettre en règle. Toi ou ton patron devra négocier avec la boîte qui a réalisé le contrôle. Je sais que microsoft et oracle en font et qu'en général après on s'assoit autour d'une table et on négocie.

ça c'est la réalité, oui je sais ce n'est pas la loi, mais ça ne marche pas comme ça le bizness.

Si c'est un petit éditeur que tu "pirates". Lorsqu'il s'en apercevra, il te menacera d'entamer des recours si tu régularises pas, point barre. Et la c'est pareil tu négocies autour d'une table. C'est pour ça que tu trouveras rien sur internet. C'est comme une ssii qui porte plainte contre un client pour démarchage illégal, c'est du même niveau, tu n'as aucun intérêt objectif à le faire. Après il faut le prouver c'est pas si évident mine de rien.

Au pire, l'entreprise condamnée et toi viré, mais c'est plus qu'improbable, à mon avis y a 50 000 fois plus de chance que ta boîte coule, ou que tu sois déjà partit depuis long...temps.

[Invité]

Au pire, l'entreprise condamnée et toi viré, mais c'est plus qu'improbable, à mon avis y a 50 000 fois plus de chance que ta boîte coule, ou que tu sois déjà partit depuis long...temps.

Parfait, c'est exactement toutes les choses que l'auteur du post souhaite éviter...

[Invité]

J'ai bien compris ce qu'il désire, et ma réponse est simple, ne fais rien. Tout ce que ça tu va réussir à faire c'est énerver ton patron, pour un risque négligeable.

Tu lui en parlé, tu lui as expliqué les risques. Il n'en tient pas compte, c'est son problème.
Vous réagissez comme si c'était un particulier qui piratait. C'est une entreprise et ça change tout. Toute société éditrice veut qu'on utilise ses produits, il ne vont pas prendre le risque qu'il passe chez un concurrent, et c'est jamais bon pour les affaires de porter plainte.

La phrase que tu as quote, je l'ai mise uniquement parce que le risque 0 n'existe pas. Mais là honnêtement, pour moi il est de 0.

C'est mon avis basé sur des contrôles réels.

[fregolo52]

Tu lui en parlé, tu lui as expliqué les risques. Il n'en tient pas compte, c'est son problème.

Certes, mais pas que ... Je pense que bokud peut être accusé de complicité.

Toutes les sociétés (surtout les PME) ne sont pas tout le temps à jour avec leurs licences (surtout celles de Microsoft) : combien d'MS Office 2010 sont installés alors que les licences sont encore en partie sous 2003.

Si tu n'es pas à jour, ce n'est pas très "grave", ça se régularise.

Par contre, que veux-tu dire par "piratés", est ce que tu as une licences pour 10 postes et tu l'as installé sur 50 ou est ce que tu as installé des softs sans la moindre licence ?

[maxusn]

Par contre, que veux-tu dire par "piratés", est ce que tu as une licences pour 10 postes et tu l'as installé sur 50 ou est ce que tu as installé des softs sans la moindre licence ?

D’après ce que j'ai compris, il n'y a pas de licence du tout.

[Carhiboux]

Par contre, que veux-tu dire par "piratés"

Tu sais, copier le contenu d'un repertoire avec les exe piratés dans un autre, utiliser des keygen, etc...

Autant ne pas avoir ses licences à jour, je veux bien croire que c'est pas trop grave.

Autant quand dans ce que je comprends de la situation, on a mis en place (ou perpetué) un système de contournement des protections des logiciels, on est en mesure de se dire que ca pourrait chauffer pour nos petites fesses qu'on peut avoir envie de trouver un caleçon ignifugé au plus vite.

[Mr_Exal]

§On avait parlé lors d'un forum de la responsabilité d'un ingénieur sécurité sur les données de l'entreprise. Résultat des courses si la personne s'est plantée, elle peut être virée mais en aucun cas tenue responsable (même si les données sont sensibles pour la boîte).

Après il faut réussir à prouver que ça n'a pas été fait volontairement mais ça c'est une autre histoire.

Je pense que tu n'as pas ta responsabilité si tu as conseillé ton patron et qu'il n'a pas voulu t'écouter. Tu peux perdre ta place oui (il peut te virer pour ça) mais tu n'es pas responsable.

[transgohan]

§On avait parlé lors d'un forum de la responsabilité d'un ingénieur sécurité sur les données de l'entreprise. Résultat des courses si la personne s'est plantée, elle peut être virée mais en aucun cas tenue responsable (même si les données sont sensibles pour la boîte).

Après il faut réussir à prouver que ça n'a pas été fait volontairement mais ça c'est une autre histoire.

Je pense que tu n'as pas ta responsabilité si tu as conseillé ton patron et qu'il n'a pas voulu t'écouter. Tu peux perdre ta place oui (il peut te virer pour ça) mais tu n'es pas responsable.

Cela dépend des données. Un ingénieur sécurité chez Airbus, Thales, EADS, [...] risque gros si des données confidentielles sont perdues...
Pour ma part je n'ai rien à voir avec le domaine de la sécurité, mais je travaille sur des données classifiées, du coup si j'en perds je peux être amené à faire de la prison et payer une forte amende.

Après on est d'accord qu'il y a donnée et donnée.

[Mr_Exal]

Cela dépend des données. Un ingénieur sécurité chez Airbus, Thales, EADS, [...] risque gros si des données confidentielles sont perdues...
Pour ma part je n'ai rien à voir avec le domaine de la sécurité, mais je travaille sur des données classifiées, du coup si j'en perds je peux être amené à faire de la prison et payer une forte amende.

Après on est d'accord qu'il y a donnée et donnée.

Bah justement, j'avais demandé si la personne était attaquable sur le plan juridique si les données sensibles voire extra sensibles. Et d'après la personne qui avait fait la conférence, non.

Après il faut bien entendu prouver que ça n'était pas intentionnel et ça c'est autre chose.

[Lady]

Pour les données confidentielles je pense que c'est un peu différent car avant de les avoir "en main" tu signe un papier en nom propre te stipulant ce que tu peux / ne peux pas faire et ce que tu encoure le cas échéant (genre envoyer le fichier secret défense via Gmail à ton collègue, ce genre de truc ).

Par contre pour ce qui est licences je pense effectivement que c'est l'entreprise qui a la responsabilité légal et que donc l'employé à part ce faire licencier pour faute ne risque rien niveau pénal.

[bokud]

Hello,

Désolé d'avoir mis tant de temps à revenir, les journées ont été fortes en chocolat, on a mis les bouchées doubles pour faire un grand nettoyage, sensibiliser (à coups de pieds au cul) au fait qu'avec des méthodes de travail adaptées on pouvait revoir nos "moyens" à la baisse, limiter les postes installés etc.

Des licences on en a pour tous les logiciels, mais pas du tout le bon nombre, pas forcément sur des versions à jour etc. … en fonction des éditeurs, les licences floating étaient tellement chères à l'époque qu'ils avaient principalement des nodelock pour se donner "bonne conscience", mais c'était finalement des versions crack qui étaient installées partout, par facilité … donc potentiellement un gros dépassement, même si dans les faits l'usage restait restreint, si par exemple un soft était "déployé" sur une vingtaine de machines, il n'était réellement utilisé que sur deux.

Maintenant, des solutions existent, la plupart des éditeurs adaptent leur tarification pour rendre le floating accessible, les principes de cloud sont très intéressants pour moduler en fonction du besoin (Adobe CC par exemple), donc on peut se permettre de remettre en conformité une bonne partie des logiciels qu'on utilise sans investir des centaines de milliers d'euros … c'est en cours, les boss tirent la langue, mais vu qu'on a tout "gelé" ils n'ont pas le choix si ils veulent continuer à travailler.

L'éditeur qui nous attaque n'est pas un petit, et ils sont en plein campagne de régularisation vu qu'ils ont pris le lead sur le marché, mais on vient de découvrir qu'ils n'étaient pas encore membres du BSA, ce qui ne devrait pas les aider vu qu'ils n'existent en france qu'à travers un réseau de distributeurs. On est en négociation avec eux justement, mais ils réclament pour l'instant des sommes aberrantes, un achat forcé de licences qui dépasse de loin nos besoins, et à peu près l'équivalent en dommages … notre réponse est simple pour l'instant : soit ils continuent à demander l'impossible, on coule, et ils n'auront rien … soit on se met d'accord sur quelquechose de raisonnable, on étale dans le temps, et ils auront gagné un client régulier.

De mon côté je me détends progressivement, je crois qu'on a fait ce qu'il fallait pour rentrer dans le rang, la négo est passée du côté des patrons qui communiquent en leur nom, et le premier mail à l'éditeur est un bel aveu : ils admettent qu'on est dans une impasse financière depuis deux ans, et qu'une pression a été mise sur l'équipe pour qu'on atteigne quand même nos objectifs par tous les moyens, et qu'ils étaient conscients de la situation. Sans me dédouaner de mes responsabilités, je pense que ça pèse dans la balance … Au passage un collègue juriste (droit civil mais bon :/) m'a rassuré sur le fait que dans une structure de maintenant 6 employés fixes dont trois patrons, je n'ai de responsable que le titre, et a priori je reste un simple salarié qui fait au mieux et il sera difficile de me poursuivre.

Ce qui fait peur c'est l'exemple d'un petit studio du sud, il y a deux ou trois ans, qui s'est fait redresser sauvagement, et si la boite avait été condamnée à plus de 300k euros de dommages, l'administrateur lui même avait pris pour 10000 d'amende à titre personnel … mais je pense que la situation était différente : ils ne payaient strictement rien pour le coup, et ils avaient recommencé à tout cracker dans les deux mois suivant le contrôle, pas très malin

Je pense qu'on (au SI) tient le bon bout en ayant fait le nettoyage complet du parc et en refusant désormais toute disgression tant qu'un plan financier n'a pas été mis en place pour sortir de cette situation. Des mails très "formels" sont partis pour mettre les choses au clair, et l'absence de réponse sonne comme un consentement. Après, si ils veulent me virer pour prendre quelqu'un de plus complaisant, grand bien leur fasse, mais :
- ça va leur coûter cher, dur de justifier un licenciement pour "refus d'obtempérer"
- former quelqu'un pour me remplacer, ça va prendre plus que trois mois de préavis (il y a 5 ans de développement acharné derrière ^^)
- et le nouveau sera immédiatement mis au courant de la situation, ça risque de refroidir les candidats potentiels …

De ce que j'ai lu il semblerait que quand on considère une situation comme impossible à tenir, il soit possible de démissionner et faire requalifier ça par les prudhommes en licenciement sans cause réelle, mais la procédure est compliquée et absolument pas garantie, et de toute façon ça n'est pas mon objectif : j'aime cette boite (pas ses propriétaires mais c'est un autre problème ), j'aime mon boulot, et si on peut trouver une issue pour continuer à travailler dans des conditions acceptables, je ne demande que ça !

Merci encore pour vos conseils, je m'attendais à un caillassage en règle, après tout si on en est là c'est aussi parceque j'ai manqué de lucidité et de fermeté quand il le fallait … ce qu'on fait aujourd'hui, on aurait pu le faire plus tôt (quoi que le couteau de la justice sous la gorge ça aide à faire passer des messages), bref, j'ai clairement été incompétent :/

[pmithrandir]

Bonjour,

J'arrive un peu tard sur ce post, mais je pense que ce qui t'a posé problème, c'est en fait la compréhension de ton travail, de tes responsabilités et de ton pouvoir de décision.

POur faire simple, ton travail consiste a tenir informer tes patrons de la situation, a mettre en place des plans de mise en conformité, voir de faire une estimation.

En aucun cas il ne nécessite de prendre la moindre décision.

Hors, quand tu dis par exemple :

- si j'inverse la vapeur en imposant une remise en confo totale, grosso modo je coule la boite
- mais si je ne fais rien je suis complice

Tu sous entends que tu as le pouvoir de prendre le chéquier, d'aller payer les licences et de couler la boite, hors ce n'est pas le cas. Ton patron a ce pouvoir.

Ici, on a juste un cas très simple ou ton rôle se borne à informer par écrit ton patron(ton conseil sur l'oral est une belle bêtise) et à garder une copie de cet échange.
Tous les titres ronflants ne font rien, si tu n'a pas les moyens, budgets pour faire une action que tu demandes, toujours par écrit, tu n'es plus responsable.

[bokud]

...
En aucun cas il ne nécessite de prendre la moindre décision.
...
Tu sous entends que tu as le pouvoir de prendre le chéquier, d'aller payer les licences et de couler la boite, hors ce n'est pas le cas.
...

Bonjour,

Effectivement, c'est ce que j'ai du mal à cerner, où s'arrête ma bonne foi et où commence ma complicité.

Sur le plan financier, je ne peux certes prendre le chéquier de ma propre initiative, mais de ce que j'ai compris je peux (dois !), en tant que dir tech, rsi ou peu importe le titre, taper du poing sur la table, émettre un besoin en financement clair, et refuser de bouger tant qu'il n'est pas respecté.

Sur le plan technique c'est quelquechose que je n'ai pas l'intention de nier, c'est moi qui donne les moyens de pirater, je pouvais également refuser de le faire, et je peux encore à l'heure actuelle (c'est ce qu'on a fait d'ailleurs), faire les efforts pour qu'on ne fraude plus. De ce que je lis sur différents sites (ie: http://www.symantec.com/region/fr/resources/dsi.html), la justice semble vouloir aller plus loin et appuyer le fait qu'en tant qu'expert, on a également le devoir de mettre en place les sécurités nécessaires pour que la fraude ne soit pas possible, pas seulement l'ignorer … ça semble logique d'ailleurs d'impliquer au delà des patrons directement, lorsqu'on est en train de se tirer dans les pattes pour déterminer les responsabilités, on a plus tendance à aller vers une régularisation plutôt qu'à s'enfoncer dans l'illégal. Un autre lien qui m'a fait peur : http://www.usinenouvelle.com/article...etenir.N139001

Pour répondre aux questions initiales (millexcuses), on bosse dans 140 m2, en mode familial, donc on échange rarement par mail, et c'est le genre de sujet qui n'était abordé qu'à l'oral, en réunion de temps en temps, mais le plus souvent à la machine à café … j'essaye maintenant de n'envoyer que des mails stricts, quitte à adoucir le discours à l'oral, mais c'est un peu tard et … je n'ai aucune réponse (écrite) d'ailleurs !