Le RSSI (responsable de la sécurité des systèmes d’information) a vu ses fonctions se développer au rythme de l’évolution technologique, se transformant en véritable « chef d’orchestre ». Indépendamment de la gestion des moyens, des personnes et des opérations, il doit désormais maîtriser le droit, et appréhender les risques et les crises liés à son périmètre. Ce cumul de fonctions et de compétences rendent ce métier de plus en plus complexe. D’autant que législation et réglementations sont extrêmement diversifiées, et que nul n’est censé ignorer la loi !
Face aux vulnérabilités
L’introduction d’un code malveillant dans le réseau informatique d’une entreprise peut infliger à cette dernière des dommages considérables, tels que la modification ou la destruction de fichiers, le décryptage des mots de passe, la captation des données confidentielles, etc. La multiplication des forums et des blogs renforce également les possibilités de désinformation sur l’entreprise (avec la propagation de rumeurs), dont les actions peuvent se voir dénigrer. Dans ce contexte, il convient pour l'entreprise de ne pas hésiter à porter plainte contre X, le cas échéant, afin de déclencher une procédure d’enquête et d’avoir un accès au dossier et un statut de victime dans le cadre de cette enquête.
Afin de prendre en compte ces vulnérabilités, le RSSI va mettre en place des procédures qui décrivent les mesures à prendre en fonction d’une typologie d’incidents et fixent le rôle et les responsabilités de chaque intervenant dans leur application. Le droit est également un outil, une ressource qui permet d’accéder à certaines informations et d’organiser des stratégies.
Charte et réglementations
Indépendamment des spécificités d’une activité sectorielle (exemple : Sarbanes-Oxley pour les entreprises cotées), le RSSI doit respecter la législation sur les données à caractère personnel (déclaration auprès de la Cnil), ou encore les obligations de conservation et d’archivage des données de connexion.
La recherche d’informations, par exemple, doit s’opérer avec une grande prudence, notamment dans le cadre du respect du secret des correspondances et de la protection des données à caractère personnel. A défaut de respecter les prescriptions légales dans la collecte de preuves, ces dernières ne seraient pas recevables dans le cadre d’une procédure.
Une charte d’utilisation des outils informatiques devra, à cet effet, être mise en place au sein de l’entreprise, en concertation avec les différents institutions représentant le personnel, tout en informant individuellement le salarié. Le but étant d’encadrer la pratique tant en interne qu’en cas de connexion externe au système d’information de l’entreprise. Cette charte aura pour fonction, notamment, d’encadrer l’usage et de permettre, éventuellement, la collecte d’éléments.
Cloud computing et responsabilité juridique
Des mécanismes contractuels servent également à renforcer les droits, obligations et responsabilités entre la société et ses fournisseurs. Pour le cloud, particulièrement, il est indispensable d’insérer des clauses concernant la réversibilité, la restitution des données et la sécurité des données confiées. En effet, en cas de données à caractère personnel, le responsable du traitement restera le client et non pas le fournisseur. L’entreprise est donc responsable, y compris pénalement, de la bonne gestion desdites données.
Enfin, il ne faut pas négliger la gestion de l’après-crise et des retours d’expérience ainsi que des dysfonctionnements rencontrés aussi bien dans les comportements humains que techniques et juridiques.
Auteur : Garance Mathias pour 01net.
Avocate, elle a décidé de créer sa propre structure consacrée à l'activité des entreprises et plus particulièrement aux problématiques de sécurité informatique, de contrats tant en conseil qu'en contentieux. Garance Mathias a accepté de nous apporter un éclairage à partir de son expérience issue de la rencontre entre juridique et sécurité informatique.