Bonjour la liste,
@actual_Job, nous venons de recevoir un joli mail d'Autodesk nous demandant de réaliser un Audit sur les licences utilisées dans le parc. Honnêtement, on a rien à cacher et on doit être clean à 5% près, j'ai peu d'inquiétudes. Pour réaliser cet audit, il s'agit de .bat à lancer au logon, qui outrepasse les restrictions powershell, qui lance un agent exe qui collecte ses petites infos et concentre tout cela sur un partage. une petite usine à gaz dont le déroulement est difficilement reverse-ingeniable.
<parano>Je ne m'attarderais pas sur le doute que le code puisse être malicieux et que bien blaireaux que nous sommes -moi le premier-, on va l’exécuter sans broncher. Ce doute est amplifié par le fait que ce n'est pas Autodesk qui nous le demande mais un cabinet d'expertise en gnagnagnaConsultGnaSecuriteGnouf. </parano>
Cependant, je me pose la question du coté juridico/légalo/obligationnel. Autodesk peut-il nous imposer de passer cet outil ? J'imagine que c'est écrit en tout petit dans le CLUF que personne n'a jamais lu, mais dans le doute... Et si nous refusons de passer cet outil, quelle peut être la suite ? On enfile des baskets et on fait le tour du parc, accompagné du gentil auditeur, pour aller vérifier un par un le panneau "ajout/suppression de logiciels" ?
@Previous_Job, je bossais dans l'hospitalier.. et là, argument imparable : données de santé = secret médical. Personne ne pouvait nous imposer l’exécution d'un tel outil sur le parc. On a réussi à tenir en respect Oracle et Gartner/Microsoft avec cet argument. Mais dans le cas présent, pour $Actual_Job, j'ai pas ce type d'argument.
Quelles sont vos expériences sur ce sujet (Autodesk ou autre, bien sûr) ?
Et pour ceux qui trouveraient que je devrait plutôt m'occuper de ma prod, arrêter de chercher les poux là ou y'en à pas... et que j'ergote sans raison, je répondrais: "Si si, y'a une raison : c'est paske je suis un peu chieur et très con sur les bords... et au milieu aussi." nan mais ho ?! :-)
Olivier.
Le 04/03/2019 à 21:38, Olivier Vailleau a écrit :
Bonjour la liste,
@actual_Job, nous venons de recevoir un joli mail d'Autodesk nous demandant de réaliser un Audit sur les licences utilisées dans le parc. Honnêtement, on a rien à cacher et on doit être clean à 5% près, j'ai peu d'inquiétudes. Pour réaliser cet audit, il s'agit de .bat à lancer au logon, qui outrepasse les restrictions powershell, qui lance un agent exe qui collecte ses petites infos et concentre tout cela sur un partage. une petite usine à gaz dont le déroulement est difficilement reverse-ingeniable.
<parano>Je ne m'attarderais pas sur le doute que le code puisse être malicieux et que bien blaireaux que nous sommes -moi le premier-, on va l’exécuter sans broncher. Ce doute est amplifié par le fait que ce n'est pas Autodesk qui nous le demande mais un cabinet d'expertise en gnagnagnaConsultGnaSecuriteGnouf.
</parano>
Cependant, je me pose la question du coté juridico/légalo/obligationnel. Autodesk peut-il nous imposer de passer cet outil ? J'imagine que c'est écrit en tout petit dans le CLUF que personne n'a jamais lu, mais dans le doute... Et si nous refusons de passer cet outil, quelle peut être la suite ? On enfile des baskets et on fait le tour du parc, accompagné du gentil auditeur, pour aller vérifier un par un le panneau "ajout/suppression de logiciels" ?
@Previous_Job, je bossais dans l'hospitalier.. et là, argument imparable : données de santé = secret médical. Personne ne pouvait nous imposer l’exécution d'un tel outil sur le parc. On a réussi à tenir en respect Oracle et Gartner/Microsoft avec cet argument. Mais dans le cas présent, pour $Actual_Job, j'ai pas ce type d'argument.
Quelles sont vos expériences sur ce sujet (Autodesk ou autre, bien sûr) ?
Et pour ceux qui trouveraient que je devrait plutôt m'occuper de ma prod, arrêter de chercher les poux là ou y'en à pas... et que j'ergote sans raison, je répondrais: "Si si, y'a une raison : c'est paske je suis un peu chieur et très con sur les bords... et au milieu aussi." nan mais ho ?! :-)
Olivier.
Salut,
Ils nous l'ont faite à job-1.. le truc suppose que tu as un AD ou un login admin efficace sur tout ton parc... J'ai donc fait tourner le truc, qui a annoncé ne rien voir de problématique.. Puisqu'il n'a pu accéder à aucune machine (notamment la majorité du parc en linux).
Puis après on leur a filé le listing de ce qu'on utilisait pour pas se fâcher, et ils ont fait une facture... Mais pour eux leur logiciel avait tourné ils étaient contents...
@+ Gilou
On Mon, Mar 04, 2019 at 09:38:01PM +0100, Olivier Vailleau wrote:
Cependant, je me pose la question du coté juridico/légalo/obligationnel. Autodesk peut-il nous imposer de passer cet outil ? J'imagine que c'est écrit en tout petit dans le CLUF que personne n'a jamais lu, mais dans le doute... Et si nous refusons de passer cet outil, quelle peut être la suite ? On enfile des baskets et on fait le tour du parc, accompagné du gentil auditeur, pour aller vérifier un par un le panneau "ajout/suppression de logiciels" ?
De mon point de vue : - je ne lance pas d'outils qui arrivent de je ne sais où, fourni par je ne sais qui. En cas de pépin, c'est eux qui s'occupent de tout remettre en ordre ? - le temps que je vais passer à lancer leur merde, je leur facture ou je fais du bénévolat pour la BSA ? - ils veulent venir le faire ? Ben, ce sera hors des heures de production et même topo, facturation du temps passé à les accompagner et en cas pépin, c'est pour leur pomme. - ils me font pas confiance sur l'utilisation des licences ? ça tombe bien je ne fais pas confiance à leur soft. Je leur dis ce que j'utilise s'ils me montrent le code de leur soft et que je puisse reproduire le build. Ce me parait un deal honnête. - ils ont des raisons de penser que je suis un pirate ? Ils envoient la police et un juge et pas un auditeur privé.
Hello,
A toutes fins utiles :
Dans le cadre d'un audit MS au niveau groupe (4000 employés) quelques années après la fin de notre contrat de SA, nous avons réalisé des inventaires dans chaque filliale à l'aide de PDQ Inventory (gratuit) en ne fournissant à MS que les produits Microsoft (filtres dans les rapports PDQ). En parallèle, ont été fournies toutes les factures d'achat de licence : achats individuels/licences achetées en même temps qu'un PC (Office), licences serveurs, CAL, SQL Server, etc....
Cela a été accepté par MS comme inventaire valide : à la fin ils ont fait un différentiel, ont envoyé une facture, EOC.
(bon là je raccourcis l'histoire, au total ça a pris pas loin d'un an, mais dans les grands lignes on y est).
Joël
-----Message d'origine----- De : FRsAG frsag-bounces@frsag.org De la part de Denis Fondras Envoyé : lundi 4 mars 2019 22:50 À : frsag@frsag.org Objet : Re: [FRsAG] Audit de licences AutoDesk / Obligation
On Mon, Mar 04, 2019 at 09:38:01PM +0100, Olivier Vailleau wrote:
Cependant, je me pose la question du coté juridico/légalo/obligationnel. Autodesk peut-il nous imposer de passer cet outil ? J'imagine que c'est écrit en tout petit dans le CLUF que personne n'a jamais lu, mais dans le doute... Et si nous refusons de passer cet outil, quelle peut être la suite ? On enfile des baskets et on fait le tour du parc, accompagné du gentil auditeur, pour aller vérifier un par un le panneau "ajout/suppression de logiciels" ?
De mon point de vue : - je ne lance pas d'outils qui arrivent de je ne sais où, fourni par je ne sais qui. En cas de pépin, c'est eux qui s'occupent de tout remettre en ordre ? - le temps que je vais passer à lancer leur merde, je leur facture ou je fais du bénévolat pour la BSA ? - ils veulent venir le faire ? Ben, ce sera hors des heures de production et même topo, facturation du temps passé à les accompagner et en cas pépin, c'est pour leur pomme. - ils me font pas confiance sur l'utilisation des licences ? ça tombe bien je ne fais pas confiance à leur soft. Je leur dis ce que j'utilise s'ils me montrent le code de leur soft et que je puisse reproduire le build. Ce me parait un deal honnête. - ils ont des raisons de penser que je suis un pirate ? Ils envoient la police et un juge et pas un auditeur privé. _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
Salut,
Perso. pour Microsoft ou un constructeur de routeur, je n'ai pas répondu aux différents mails et lettres et ils ont laissé tomber.
Comme il a été dit, ils ont aucun droit en suivant la législation française. Donc en bref tu laisses couler. S'ils veulent vraiment chercher quelque chose, il faut qu'un juge leur donne l'autorisation. Bref ils peuvent prendre un titre ronflant comme les huissiers de justice, ils sont obligé d'avoir une autorisation.
Donc ne répond pas.
Au pire même s'il y a un juge qui donne son aval tu es toujours libre de contester le résultat (et surtout encore moins ils n'ont pas à te facturer le service)
Aparté (vu sur un forum) : marrant le mois dernier, il y a eu quelqu'un qui a laissé un controle d'Autodesk, il a pris 25000 euros pour une licence d'autocad qui trainait.
Voilou,
Le mar. 5 mars 2019 à 16:21, Joel DEREFINKO joel.derefinko@118218.fr a écrit :
Hello,
A toutes fins utiles :
Dans le cadre d'un audit MS au niveau groupe (4000 employés) quelques années après la fin de notre contrat de SA, nous avons réalisé des inventaires dans chaque filliale à l'aide de PDQ Inventory (gratuit) en ne fournissant à MS que les produits Microsoft (filtres dans les rapports PDQ). En parallèle, ont été fournies toutes les factures d'achat de licence : achats individuels/licences achetées en même temps qu'un PC (Office), licences serveurs, CAL, SQL Server, etc....
Cela a été accepté par MS comme inventaire valide : à la fin ils ont fait un différentiel, ont envoyé une facture, EOC.
(bon là je raccourcis l'histoire, au total ça a pris pas loin d'un an, mais dans les grands lignes on y est).
Joël
-----Message d'origine----- De : FRsAG frsag-bounces@frsag.org De la part de Denis Fondras Envoyé : lundi 4 mars 2019 22:50 À : frsag@frsag.org Objet : Re: [FRsAG] Audit de licences AutoDesk / Obligation
On Mon, Mar 04, 2019 at 09:38:01PM +0100, Olivier Vailleau wrote:
Cependant, je me pose la question du coté juridico/légalo/obligationnel. Autodesk peut-il nous imposer de passer cet outil ? J'imagine que c'est écrit en tout petit dans le CLUF que personne n'a jamais lu, mais dans le doute... Et si nous refusons de passer cet outil, quelle peut être la suite ? On enfile des baskets et on fait le tour du parc, accompagné du gentil auditeur, pour aller vérifier un par un le panneau "ajout/suppression de logiciels" ?
De mon point de vue :
- je ne lance pas d'outils qui arrivent de je ne sais où, fourni par je ne
sais qui. En cas de pépin, c'est eux qui s'occupent de tout remettre en ordre ?
- le temps que je vais passer à lancer leur merde, je leur facture ou je
fais du bénévolat pour la BSA ?
- ils veulent venir le faire ? Ben, ce sera hors des heures de production
et même topo, facturation du temps passé à les accompagner et en cas pépin, c'est pour leur pomme.
- ils me font pas confiance sur l'utilisation des licences ? ça tombe bien
je ne fais pas confiance à leur soft. Je leur dis ce que j'utilise s'ils me montrent le code de leur soft et que je puisse reproduire le build. Ce me parait un deal honnête.
- ils ont des raisons de penser que je suis un pirate ? Ils envoient la
police et un juge et pas un auditeur privé. _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/ _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
Perso. pour Microsoft ou un constructeur de routeur, je n'ai pas répondu aux différents mails et lettres et ils ont laissé tomber.
+1 Dans ma première boite, ils m'ont fait le coup (microsoft via une merdouille, bsa je suppose, sais plus), il y a 20 ans (sic)... J'étais sur Bdx à l'époque... Lettre + lettre + au moins 2 appels tels pour prise directe de rdv. Durée de la pression : quelques mois. Lettres jamais répondu, appels resté poli. Leur argumentaire était assez débridé, surtout au tel, intéressant à écouter dans le genre FUD.
Pas de suite. Il ne peut pas y avoir de suite sans du judiciaire. Et le judiciaire ne se déclenche que sur des éléments tangibles (quand on est pas dans le politique bien sûr). Faut juste pas céder (mais être propre sur soit).
Le RGPD peut être l'occasion de bien faire le tour de ses machines et de ce qu'il y a dessus. C'est un job normal imho dans une entreprise. Et on peut critique doze mais ça se verrouille grave comme un manchot si on sait faire.
Bon, après, j'étais clean, à l'époque on était full doze stations et serveurs. Aujourd'hui on est full penguin stations (distrib perso debian 9 stable pour les stations de dev ou Ubuntu 18.04 LTS pour les gestionnaires et commerciaux - portables avec WAN/4G inside) et serveurs. Sur bar@ovh, quand je vois des potes galérer avec des licences dodoze, pleurer pour récupérer des licences de servs legacy, ça fait peine.
Alors oui, il reste des softs purs doze incontournables, dans l'industrie entre autres... Dans notre biz on s'en passe. D'autres ne pourront pas.
On a toutefois quelques softs commerciaux et payés (on joue toujours le jeu, on est nous mêmes devs) car c'était les meilleurs pour nos besoins, et ils tournent sous Nux (Sublime Text, Treepad business pro, Da Vinci Resolve). Même mon colorimètre X-Rite gaze sous Nux.
J'aime l'informatique à l'aube de 2020.
Bonjour,
Merci à tout le monde pour les réponses. Elles m'ont permis d’étayer mon point de vue, qui est "Laisse le temps faire son affaire. Quand ils se seront bien usés, si leur motivation les poussent à continuer, on verra à ce moment les modalités". Cela a quand même déclenché un audit interne et surtout un nettoyage de notre base GLPI qui remonte des vieux enregistrements et des doublons.
A bientôt pour de nouvelles aventures. Olivier.
Le mer. 6 mars 2019 à 08:22, Stéphane Rivière stef@genesix.org a écrit :
Perso. pour Microsoft ou un constructeur de routeur, je n'ai pas répondu aux différents mails et lettres et ils ont laissé tomber.
+1 Dans ma première boite, ils m'ont fait le coup (microsoft via une merdouille, bsa je suppose, sais plus), il y a 20 ans (sic)... J'étais sur Bdx à l'époque... Lettre + lettre + au moins 2 appels tels pour prise directe de rdv. Durée de la pression : quelques mois. Lettres jamais répondu, appels resté poli. Leur argumentaire était assez débridé, surtout au tel, intéressant à écouter dans le genre FUD.
Pas de suite. Il ne peut pas y avoir de suite sans du judiciaire. Et le judiciaire ne se déclenche que sur des éléments tangibles (quand on est pas dans le politique bien sûr). Faut juste pas céder (mais être propre sur soit).
Le RGPD peut être l'occasion de bien faire le tour de ses machines et de ce qu'il y a dessus. C'est un job normal imho dans une entreprise. Et on peut critique doze mais ça se verrouille grave comme un manchot si on sait faire.
Bon, après, j'étais clean, à l'époque on était full doze stations et serveurs. Aujourd'hui on est full penguin stations (distrib perso debian 9 stable pour les stations de dev ou Ubuntu 18.04 LTS pour les gestionnaires et commerciaux - portables avec WAN/4G inside) et serveurs. Sur bar@ovh, quand je vois des potes galérer avec des licences dodoze, pleurer pour récupérer des licences de servs legacy, ça fait peine.
Alors oui, il reste des softs purs doze incontournables, dans l'industrie entre autres... Dans notre biz on s'en passe. D'autres ne pourront pas.
On a toutefois quelques softs commerciaux et payés (on joue toujours le jeu, on est nous mêmes devs) car c'était les meilleurs pour nos besoins, et ils tournent sous Nux (Sublime Text, Treepad business pro, Da Vinci Resolve). Même mon colorimètre X-Rite gaze sous Nux.
J'aime l'informatique à l'aube de 2020.
-- Be Seeing You Number Six
Liste de diffusion du FRsAG http://www.frsag.org/
-
Denis Fondras -
Gilou -
Joel DEREFINKO -
Olivier Vailleau -
Refuznik -
Stéphane Rivière