[FRsAG] Audit de licences AutoDesk / Obligation

Gilou contact+frsag at gilouweb.com
Lun 4 Mar 22:04:19 CET 2019


Le 04/03/2019 à 21:38, Olivier Vailleau a écrit :
> Bonjour la liste,
> 
> @actual_Job, nous venons de recevoir un joli mail d'Autodesk nous
> demandant de réaliser un Audit sur les licences utilisées dans le parc.
> Honnêtement, on a rien à cacher et on doit être clean à 5% près, j'ai
> peu d'inquiétudes.
> Pour réaliser cet audit, il s'agit de .bat à lancer au logon, qui
> outrepasse les restrictions powershell, qui lance un agent exe qui
> collecte ses petites infos et concentre tout cela sur un partage. une
> petite usine à gaz dont le déroulement est difficilement reverse-ingeniable.
> 
> <parano>Je ne m'attarderais pas sur le doute que le code puisse être
> malicieux et que bien blaireaux que nous sommes -moi le premier-, on va
> l’exécuter sans broncher. Ce doute est amplifié par le fait que ce n'est
> pas Autodesk qui nous le demande mais un cabinet d'expertise en
> gnagnagnaConsultGnaSecuriteGnouf.
> </parano>
> 
> Cependant, je me pose la question du coté juridico/légalo/obligationnel.
> Autodesk peut-il nous imposer de passer cet outil ? J'imagine que c'est
> écrit en tout petit dans le CLUF que personne n'a jamais lu, mais dans
> le doute...
> Et si nous refusons de passer cet outil, quelle peut être la suite ? On
> enfile des baskets et on fait le tour du parc, accompagné du gentil
> auditeur, pour aller vérifier un par un le panneau "ajout/suppression de
> logiciels" ?
> 
> @Previous_Job, je bossais dans l'hospitalier.. et là, argument imparable
> : données de santé = secret médical. Personne ne pouvait nous imposer
> l’exécution d'un tel outil sur le parc. On a réussi à tenir en respect
> Oracle et Gartner/Microsoft avec cet argument. Mais dans le cas présent,
> pour $Actual_Job, j'ai pas ce type d'argument.
> 
> Quelles sont vos expériences sur ce sujet (Autodesk ou autre, bien sûr) ?
> 
> Et pour ceux qui trouveraient que je devrait plutôt m'occuper de ma
> prod, arrêter de chercher les poux là ou y'en à pas... et que j'ergote
> sans raison, je répondrais: "Si si, y'a une raison : c'est paske je suis
> un peu chieur et très con sur les bords... et au milieu aussi." nan mais
> ho ?! :-)
> 
> Olivier.
> 

Salut,

Ils nous l'ont faite à job-1.. le truc suppose que tu as un AD ou un
login admin efficace sur tout ton parc... J'ai donc fait tourner le
truc, qui a annoncé ne rien voir de problématique.. Puisqu'il n'a pu
accéder à aucune machine (notamment la majorité du parc en linux).

Puis après on leur a filé le listing de ce qu'on utilisait pour pas se
fâcher, et ils ont fait une facture... Mais pour eux leur logiciel avait
tourné ils étaient contents...

@+
Gilou



Plus d'informations sur la liste de diffusion FRsAG