Bonjour à tous,
 
Suite au départ d'un de nos collaborateurs, nous nous somme aperçu (Via cacti) que celui-ci est partie avec 2.2go de données. De plus, il ne s’est pas arrêté là puisqu'il a racheté 50% d'une société concurrente.  
Jusqu'alors nous avions confiance en notre personnelle et aucune mesure de surveillance, d'extraction de données, n’était en place. Malheureusement nous avons appris que la confiance ne suffit pas.
 
Nous avons alors lancé une action en justice. Malheureusement je n'ai aucun moyen de dire qu'elle données ont été sorties ! Connaissez-vous un moyen de récupérer la liste des documents copiés ?
 
Je vous remercie d'avance pour vos réponses !

Si tu as pas activé d'audit non tu pourras pas

retroactivement , non, je vois vraiment pas comment ce serait fesable.
par la suite, mettre un AD, gerer des droits, voir des solutions du genre varonis peut etre?
comment on voit avec cacti qu'il est parti avec XGo de données? oO
quel compteur snmp on regarde?
il est parti avec sur quel support?

T'es sur que c'est pas des films et musiques copiés sur un serveur ?

@ProGrammeHeure Nos switch son supervisé donc on récupère le port sur lequel est branché l'utilisateur, on vois le pique de debit et on calcul en fonction du temps . C'est approximatif mais ca donne une assez bonne idée.
 
En parlant de Varonis, as tu eu des retours d’expériences ? Car j'ai contacté leur service com pour une période d'essais et je n'ai pas eu de réponse.  
 
il est parti avec sur quel support? Cle USB ou DD sans doute . (Les support amovibles, graveurs, mp3,etc... sont maintenant bloqués en écriture)
 
@ShonGail : Je ne peux pas prouver ce qu'il a pris si ce n'est que ce n'est pas des films ou musiques. Aucune données de ce type ce baladent et nous somme strict avec cela.

Pour varonis je n'ai pas de retours/recul, j'ai juste eu qq info et vu une pres' suite a un maquettage quand j'etais stagiaire je serais donc pas de bon conseil sur ce point pour toi.
 
ben si y'a un "pique" sur le reseau entre son poste et la baie de disque par exemple (de la baie vers sa machine et uniquement dans ce cas) juste avant qu'il parte en effet ça peut ressembler à de la fuite d'info.
Pour retrouver une trace: eventuellement des historiques (sur la baie??? si oui voir en fonction des I/O à quel volume logique ça peut correspondre peut etre, quel serveur, recouper ça peut etre avec d'autre outil de supervision (si vous bosser en virtuel, voir quel serveur a eu a peut pres ce volume de donnés tirés sous vsphere par ex , si vous avez plusieur serveurs de fichier, ou si ce n'est pas des fichiers...))  
sur sa machine si desfois tu as encore la machine et pk pas sa session, alors essayer de trouver des historiques: observateur d'evenement de windows, documents recents,histo de gravage, historique applicatif proprietaire particulier, keylogger (de l'entreprise ou meme d'un virus, qui finalement te serait peut etre utile \o/) etc...
voir si eventuellement des info ne restent pas meme sur la machine qu'il lui etait attribuée, et qu'il n'aurait pas suprimer (dans le cas d'une copie en deux fois).
demander si qqun l'a vu faire qq chose de particulier (personne du mm bureau), avoir un support particulier (dd, "clé usb rouge je me souviens elle etait comme mon tshirt",cd,...), faire sa poubelle (trop tard surement). voir les infos supprimer sur sa machine (ds la corbeille simplement) ou y'a des logiciel pour retrouver les trucs effacés par fois (d'où d'autre logiciel pour parano, qui ecrive/efface jusqu'à 40 fois la meme zone).
 
monitorer les ports correspondant a chaque personne sur tout les switchs avec cacti c'est chaud quand meme ^^ paye le volume de données a enregistrés, le nombre de graph, ou alors c'est une petite PME...
En tout cas vous vous etes bien cassé la tete, mais ça semble donner de petit resultat, gg qd meme.
 
A voir aussi a quoi peuvent correspondre ses 2,2Go, sur quel espace il avait des droits? depuis combien de temps travaillait il pour vous (avec le temps on accumule des pdf, ppt de tt sorte)? desfois il a pu prendre que des truc qui pourrait lui servir, mais qui ne mettent pas en danger l'entreprise: comme les procedures de tel ou tel logiciel ou panne: util, mais pas forcement revelateur. il a pu tout simplement vider son espace, comme on vire dans un carton ses effets perso.
desfois meme trouver une solution pour lui demander, en face, meme ce serait mieux, afin de voir sa reaction, s'il repond tout de suite, a une hesitation, pagaye, etc....
 
il faut mettre aux gens des droits en rapport avec la confiance et les responsabilité qu'ils ont (d'un point de vu system d'info et pas forcement hierarchique) et leur faire signer des doc de confidentialité, voir d'exclusivité s'il le faut en plus.
 
voila deja quelque idées (totalement parano/nulle/inutile pour certaine, mais sait on jamais.
 
cordialement, P.

Merci pour cette réponse !
 
Donc nous savons que les données ont été extrait de notre serveur de fichier. Et les 2.2 GO correspondent (à 100mo prêt) au dossier le plus important de notre secteur d'activité... Donc nous savons ce qu'il a pris mais légalement, nous avons aucun moyen de le prouver. Légalement, ce ne sont que des suspicions...  
 
Nous n'avons malheureusement rien trouvé sur son poste. Il a sans doute fait une copie direct sur sa cle ou DD.
 
Pour les droits d'accès, nous avons une politique strict mais il devait acceder à ses fichiers puisqu'il travaillé dessus.
 
Les docs de confidentialités étaient aussi signés, mais cela nous sert a rien puisque nous ne pouvons pas prouver formellement avec quoi il est partie.