Bonsoir à tous,

Dans mon entreprise, j'utilise un NAS Synology pour stocker mes données professionnelles.

A votre avis, quel est le meilleur moyen pour se protéger contre un utilisateur interne qui souhaiterait copier l'intégralité des données pour les embarquer avec lui chez un concurrent (c'est fréquent dans mon domaine)?

Bonjour,
Ne lui donner accès qu'à ce dont il a besoin pour travailler ?
Et mettre en place une culture de respect mutuel ?

Citation

Ne lui donner accès qu'à ce dont il a besoin pour travailler?

Les utilisateurs ont accès à l'intégralité du répertoire hébergeant nos dossiers, il n'est pas possible de faire autrement.

Citation

Et mettre en place une culture de respect mutuel ?

Vous faites comment avec des gens mal intentionnés dès le départ?

Un RH peut demander des recommandations, ou appeler les précédents employeurs lors du process de recrutement...

Si les utilisateurs ont accès à tout, je ne vois pas comment les copies peuvent être bloquées.

Un moyen serait d'avoir des pc connectés uniquement sur le réseau interne (pas d'internet), sans ports de connexion autre que l'ethernet, disque dur chiffré (pour se prémunir des vols), des IP dédiées hors plage DHCP, accès au NAS autorisé aux seules IP des PC. Ce qui ne garanti pas l'inviolabilité des données. Il est possible par exemple de modifier une adresse MAC d'un PC pour emprunter une IP autorisée et se connecter au NAS.

Et si les accès sont verrouillés, le plus simple serait alors de voler carrément le NAS....

Mais je suppose que vos "collaborateurs" doivent avoir accès aux données de l'extérieur ce qui exclue la notion de réseau confiné et de facto autorise la copie de tout fichier.

En tout état de cause, le NAS ne vous apportera pas de solution à votre problème. Il s'agit là de sécurisation d'un réseau d'entreprise. Aussi je vous conseille de vous tourner plutôt vers des entreprises spécialisées dans ce domaine.

il y a 36 minutes, Mic13710 a dit :

Si les utilisateurs ont accès à tout, je ne vois pas comment les copies peuvent être bloquées.

Un moyen serait d'avoir des pc connectés uniquement sur le réseau interne (pas d'internet), sans ports de connexion autre que l'ethernet, disque dur chiffré (pour se prémunir des vols), des IP dédiées hors plage DHCP, accès au NAS autorisé aux seules IP des PC. Ce qui ne garanti pas l'inviolabilité des données. Il est possible par exemple de modifier une adresse MAC d'un PC pour emprunter une IP autorisée et se connecter au NAS.

Et si les accès sont verrouillés, le plus simple serait alors de voler carrément le NAS....

Mais je suppose que vos "collaborateurs" doivent avoir accès aux données de l'extérieur ce qui exclue la notion de réseau confiné et de facto autorise la copie de tout fichier.

En tout état de cause, le NAS ne vous apportera pas de solution à votre problème. Il s'agit là de sécurisation d'un réseau d'entreprise. Aussi je vous conseille de vous tourner plutôt vers des entreprises spécialisées dans ce domaine.

Je vous remercie pour votre réponse, n'étant pas admin sys, je cherchais à savoir s'il existait une solution standard et bien maîtrisée à mon problème. J'avais pensé par exemple qu'il serait possible d'attribuer un quota périodique de déplacement de fichiers par utilisateur.

A l'heure actuelle, mes collaborateurs n'ont pas accès au NAS de l'extérieur. En revanche, la solution du disque dur chiffré est déjà un premier pas. Je vais me renseigner là-dessus. Merci encore.

 

Hello !

Dans une démarche de contrôle, en fonction du protocole de partage de fichiers retenu, des logs d'accès, modification, transfert peuvent aussi être paramétrés, non ?

Si cela ne bloque pas la démarche, cela peut au moins servir de "preuve" et permettre d'identifier une copie massive des fichiers d'un répertoire ?

Des quotas de copie/transfert peuvent aussi être mis en place sur un répertoire.

Et enfin, s'il y a de vrais enjeux sur cette question, même si cela pourrait être fastidieux pour les utilisateurs, pourquoi ne pas mettre en place une authentification systématique à chaque accès aux fichiers de ce répertoire ? Cela limiterait d'office une tentative de copie massive.

il y a 29 minutes, church a dit :

Hello !

Dans une démarche de contrôle, en fonction du protocole de partage de fichiers retenu, des logs d'accès, modification, transfert peuvent aussi être paramétrés, non ?

Oui, j'ai oublié de préciser que j'utilise SMB, et que j'ai activé le journal de transfert pour avoir au moins une surveillance.

Citation

Et enfin, s'il y a de vrais enjeux sur cette question, même si cela pourrait être fastidieux pour les utilisateurs, pourquoi ne pas mettre en place une authentification systématique à chaque accès aux fichiers de ce répertoire ? Cela limiterait d'office une tentative de copie massive.

Pour le coup, oui ce serait trop contraignant.

Modifié le 29 septembre 20232 a par jean daux