here - Feral-Schuhl/Sainte
Transcription
here - Feral-Schuhl/Sainte
Christiane Féral-Schuhl, DR avocate à la Cour, et associée fondatrice du cabinet Féral-Schuhl Sainte-Marie Évaluer les risques d’un SI du secteur public LE FAIT : la version 1.0 du référentiel général de sécurité a été publiée le 18 mai dernier. Elle concerne toutes les administrations susceptibles d’échanger des données avec les usagers ou entre elles. La sécurité des systèmes d’information est une préoccupation pour toute entité, quels que soient son statut, sa taille et son secteur. Dans la sphère publique, où les échanges dématérialisés entre les administrés et l’administration se multiplient, cette problématique a pris une acuité particulière, et le législateur a souhaité intervenir. Une ordonnance de 2005 a créé un référentiel général de sécurité (RGS) auquel doivent se conformer les administrations, dont la version 1.0 a été publiée par arrêté le 18 mai dernier. Recourir à des prestataires « qualifiés » Le RGS définit trois enjeux majeurs en matière de sécurité : la disponibilité, l’intégrité, et la confidentialité des données et des systèmes. S’il propose une démarche à laquelle toutes les autorités administratives sont contraintes de se conformer, l’objectif du RGS ne consiste pas à imposer une technologie, une architecture ou une solution technique. En revanche, lorsqu’une autorité administrative juge nécessaire, à l’issue d’une analyse de risque, de mettre en œuvre des fonctions de sécurité de son système informatique, elle doit alors se référer et respecter les règles édictées. Afin de favoriser la démarche interne d’analyse des risques, le RGS référence différents outils méthodologiques pour évaluer les risques qui pèsent sur un système d’information. Lorsqu’au terme de l’étude des risques, la mise en œuvre de fonctions de sécurité s’impose, le RGS requiert de recourir à des prestataires ou des produits « qualifiés », c’est-à-dire qui ont été soumis à des procédures d’évaluation définies par un décret du 2 février 2010. Un élément important pour les SSII et les éditeurs. Ces procédures, qui font intervenir l’Anssi (Agence nationale de la sécurité des systèmes d’information) et un centre d’évaluation, servent à attester la conformité des produits ou des prestations au RGS. Trois ans pour se mettre en conformité L’article 14 de l’ordonnance de 2005 impose une mise en conformité au référentiel général de sécurité dans un délai de trois ans à compter de sa publication pour les systèmes existants avant cette publication, et de douze mois pour les systèmes créés dans les six mois suivants celleci. Cela est susceptible de constituer une contrainte importante pour les administrations concernées, le délai ayant déjà commencé à courir. M CHRISTIANE FÉRAL-SCHUHL CE QU’IL FAUT RETENIR L’objectif du RGS n’est pas d’imposer une technologie, une architecture ou une solution technique. En revanche, une administration doit s’y référer et respecter les règles édictées lorsqu’elle juge nécessaire de mettre en œuvre des fonctions de sécurité prévues dans le RGS. Délai de la prescription d’un billet Une banque avait porté plainte contre l’auteur d’un blog pour ses propos diffamatoires et avait fourni un procès-verbal d’un constat d’huissier. Néanmoins, l’acte introductif d’instance, les conclusions et la plainte n’évoquaient pas la date de publication des propos supposés diffamatoires. Dans une ordonnance de référé du 7 mai, le TGI de Nancy a rappelé qu’en matière de nouvelles technologies, la date de mise à disposition du public constitue le premier acte de publication. Ainsi, l’auteur du blog a pu utilement invoquer que le délai de trois mois au-delà duquel il y a prescription était dépassé. Usurpation d’identité sur un blog Dans un arrêt rendu le 22 mars, la cour d’appel d’Orléans a rappelé qu’un blog satirique portant sur les actions et la personnalité d’un député maire s’inscrit dans la tradition pamphlétaire. Les juges ont cependant jugé qu’en l’espèce, le site n’affichait pas sa nature humoristique mais prétendait émaner de sympathisants du maire afin de le soutenir dans son action. Le créateur du blog, qui écrivait de façon anonyme, était en fait un attaché territorial, inscrit sur une liste rivale. Réforme du crédit à la consommation Un projet de loi sur le crédit à la consommation est examiné par le parlement. Il prévoit une modification du Fichier national des incidents de crédits aux particuliers (FICP). Les établissements de crédit auraient l’obligation de le consulter avant l’octroi d’un crédit et la faculté de le consulter avant l’octroi d’un moyen de paiement. Il envisage également la création d’un Comité de préfiguration chargé d’étudier les modalités de mise en place d’un registre national des crédits. Dès 2005, la Cnil (Commission nationale de l’informatique et des libertés) avait fait part de la nécessité d’une loi. Son communiqué sur http://goo.gl/fCXb. 01INFORMATIQUE I 24/06/2010 I www.01netpro.com JURIDIQUE NUL N’EST CENSÉ… EXPÉRIENCES 39