Charte de gestion du poste de travail

Ce document a pour but de préciser les bonnes pratiques concernant la gestion des postes de travail à l’université de Nîmes. Il tient compte des recommandations de la politique de sécurité des systèmes d’information de l’État (PSSI-E). Il a pour but de permettre une utilisation rationnelle et organisée des moyens informatiques.

Les postes de travail (fixes ou portables) sont fournis par l’établissement ou par les partenaires institutionnels. Les personnels, quel que soit leur statut, ne sont donc pas propriétaires des postes mis à leur disposition. Les personnels doivent restituer les postes mis à leur disposition sur simple demande et en tous les cas lors de leur départ de l’établissement, quelle qu’en soit la raison. Les postes portables sont étiquetés au nom de l’établissement.

Les postes qui ne sont pas fournis par UNÎMES ne sont en aucun cas connectés au réseau filaire de l’établissement. La connexion d’équipements non fournis par UNÎMES ou par les partenaires institutionnels est néanmoins possible via le réseau sans-fil (Wi-Fi) eduroam ou via les réseaux « invités ».

En accord avec sa hiérarchie, chaque agent peut opter pour un poste fixe ou pour un ordinateur portable (associé à une station d’accueil et ses périphériques) selon ses besoins. Un seul poste est mis à disposition par agent. La puissance actuelle des ordinateurs portables ne justifie pas la mise à disposition d’un poste fixe et d’un ordinateur portable. Compte tenu du développement des usages en situation de mobilité (enseignement et recherche, déplacements, réunions, télétravail…), le choix d’un ordinateur portable est préconisé en priorité au niveau de l’établissement.

Lors de la remise de l’équipement, l’utilisateur doit signer une « remise de matériel » et s’engager à en respecter les conditions. Dans certains cas, si l’utilisateur demande les droits d’administration, il doit signer une « délégation d’administration du poste de travail informatique » et s’engager à en respecter les conditions.  

La DSIUN propose des configurations types pour les postes Mac et PC :

• Processeur i5
• Mémoire 16Go
• Disque dur SSD 1 To
• Ecran 14” pour les ordinateurs portables.
• Ecran 24” pour les ordinateurs fixes.

En cas d’équipement portable, l’utilisateur pourra être équipé d’une station d’accueil avec des périphériques externes (écran 24”, clavier, souris, etc.). En revanche, sauf dérogation spécifique, un seul écran externe sera attribué par poste.

Connectique : Les ordinateurs portables sont fournis avec toute la connectique nécessaire (Chargeur, adaptateur réseau, vidéo …). En cas de perte ou détérioration, le rééquipement est à la charge de l’utilisateur.

En cas de travail à distance, l’équipement sera obligatoirement de type portable. Il ne sera pas fourni de station d’accueil ou de périphériques externes pour équiper le domicile des agents. Pour un meilleur confort de travail, un écran pourra être mis à disposition sur demande.

La DSIUN met à disposition des personnels des postes informatiques de gamme professionnelle équipés par défaut de processeur i5, de 16Go de mémoire et d’un disque dur SSD de 1To. Cette configuration permet de couvrir tous les besoins des personnels.

Les postes fixes fournis reprennent les caractéristiques ci-dessus et sont livrés avec un écran 24 pouces. Les formats tout-en-un sont privilégiés.

Les ordinateurs portables fournis reprennent les caractéristiques ci-dessus avec un écran de 14 pouces. Ils peuvent être fournis avec une station d’accueil et un écran 24 pouces.

Les utilisateurs peuvent exprimer leurs besoins fonctionnels auprès des personnels informatiques de l’établissement. Ces besoins fonctionnels sont pris en compte pour le choix du matériel dans la mesure des moyens de l’établissement. Les personnels informatiques sont compétents pour le choix technique du matériel.

Les utilisateurs peuvent exprimer leurs besoins pour l’acquisition de configuration particulière dans le cadre d’activités de recherche. Ces demandes doivent être effectuées auprès du service recherche qui démarche ensuite la DSIUN pour établir une configuration et un chiffrage.

L’adaptation du poste de travail à un éventuel handicap ou pour répondre à une exigence médicale est possible sur demande directe auprès du service hygiène et sécurité (SHS).

La gestion des postes est assurée par les personnels informaticiens de l’établissement. En conformité avec la politique de sécurité des systèmes d’information de l’État (17 juillet 2014), par défaut, les utilisateurs ne disposent pas des droits d’administration de leur poste de travail.

L’accès à tous les postes de travail doit être protégé par des identifiants (login et mot de passe).

Afin de permettre une homogénéité de gestion du parc informatique de l’établissement, les postes doivent, chaque fois que c’est possible, être intégrés aux domaines de l’établissement

UNÎMES utilise des mécanismes de déploiement de logiciels, cela permet une standardisation des postes de travail, accélérant les déploiements et facilitant les maintenances et mises à jour ultérieures.

Il est souhaitable, dans la mesure du possible, d’utiliser exclusivement les logiciels référencés par l’établissement. Des dérogations sont possibles pour répondre à des besoins fonctionnels particuliers. Ces installations spécifiques ne pourront se faire qu’après expression explicite de ces besoins par les utilisateurs et après validation par la DSI. Dans tous les cas :

• Les licences logicielles seront strictement respectées
• Les logiciels préconisés par l’établissement ne seront ni désactivés ni désinstallés

De manière exceptionnelle, certains utilisateurs peuvent souhaiter disposer des droits d’administration de leur poste. Cette possibilité est soumise à l’appréciation du responsable informatique local ou de la DSI.

Dans ce cas, un compte local supplémentaire disposant des droits d’administration doit être créé. Les utilisateurs ne doivent pas se connecter avec ce compte disposant des privilèges « administrateur », mais utiliser temporairement le mécanisme d’élévation de privilèges.

Les utilisateurs souhaitant disposer de droits d’administrateur sur leur poste s’engagent :

• À respecter l’ensemble des lois, règlements, chartes et politiques en vigueur dans l’établissement
• À assurer eux-mêmes la gestion de leur poste en autonomie

En matière de stockage de données, l’université de Nîmes propose les solutions suivantes aux personnels : *• Le stockage local (Disque local), avec la sauvegarde journalière automatique de ces dernières sur une baie de disque de l’Université via un agent logiciel. *• Le dossier réseau personnel P: hébergé dans les salles serveurs de l’Université avec sauvegarde journalière. *• Les dossiers partagés U: hébergés dans les salles serveur de l’Université avec sauvegarde journalière. *• Un espace OneDrive (Cloud) basé en France d’une capacité de 1 To (redondance des données entre Paris et Marseille).

Les données stockées localement sur : *• un ordinateur fixe ne sont pas sauvegardées. *• un ordinateur fixe dédié à la recherche sont sauvegardées (Labo, Doctorants, …) *• un ordinateur portable n’est pas sauvegardé sauf si l’utilisateur en fait la demande auprès de la DSIUN. Dans ce cas l’agent de sauvegarde est installé sur le poste. Il appartient à l’utilisateur de stocker les données qu’il souhaite sauvegarder sur les espaces partagés mis à sa disposition par la DSIUN et ceci selon le type de données (Cf. ci-dessous).

Les données professionnelles qui nécessitent d’être partagées avec d’autres utilisateurs doivent trouver leur place sur l’espace « Partages » (dénommés T: ou U: en environnement Windows).

Les données professionnelles propres à l’utilisateur d’un ordinateur fixe doivent être stockées en priorité sur l’espace personnel (P: ) ou dans l’espace OneDrive.

Pour les données de recherche (volumétrie importante), il convient de prendre contact avec la DSIUN pour envisager une solution adaptée (disponibilité, intégrité, confidentialité, etc.)

En application du droit à la vie privée résiduelle, les utilisateurs peuvent stocker leurs données personnelles dans un dossier local ou OneDrive dénommé « privé ». Le but étant de n’avoir aucune donnée privée dans les dossiers réseau et les sauvegardes.

Ces données doivent être légales (pas de téléchargement illicite, logiciels piratés, etc.) et respecter le caractère résiduel de la vie privée sur le lieu de travail (volumétrie raisonnable, sans impact financier pour l’établissement).

Les utilisateurs sont informés qu’afin d’assurer le respect de la présente charte, la DSIUN peut être amenée à mettre en place des traitements automatiques (via robots logiciels) parcourant les espaces et les données qu’ils contiennent.

En cas de compromission du poste de travail (virus, ransomware, etc.), le poste peut être repris par les personnels informatiques de l’établissement afin d’être réinstallé sans récupération des données locales. Il appartient à l’utilisateur de s’assurer que : *• Ses données professionnelles sont stockées à un endroit où la sauvegarde est assurée. *• Ses données personnelles sont sauvegardées par ses propres moyens.

Tout vol ou perte d’un poste de travail doit systématiquement être signalé dans les meilleurs délais à la DSIUN (dsi@unimes.fr).

Afin d’assurer la protection des données stockées localement sur le poste en cas de vol, il est nécessaire de chiffrer l’intégralité du disque dur. Cette mesure technique concerne particulièrement les ordinateurs portables. Elle correspond à la mesure “PDT-NOMAD-STOCK” de la PSSI de l’État (17 juillet 2014).

L’intégralité du disque dur sera donc chiffrée en utilisant la solution associée au système d’exploitation natif : *• BitLocker pour Windows *• FileVault pour macOS Afin de respecter les règles de l’art, les mesures complémentaires suivantes seront systématiquement appliquées : *• Mise en place d’une clé de recouvrement : Cette clé permet l’accès aux données en cas d’oubli, d’indisponibilité de l’utilisateur ou de réquisition judiciaire *• Séquestre de cette clé dans une infrastructure de stockage à accès hiérarchisé : Conservation dans les coffres-forts numériques mis à disposition par l’établissement ou éventuellement au sein des domaines Active Directory. *• Stockage des données conformément au paragraphe 5-Stockage des Données (ci-dessus) : Cette mesure permet de garantir la récupération des données en cas de vol du poste ou d’incident technique