here - Feral-Schuhl/Sainte

Christiane Féral-Schuhl,
DR
avocate à la Cour, et associée fondatrice
du cabinet Féral-Schuhl Sainte-Marie
Évaluer les risques d’un
SI du secteur public
LE FAIT : la version 1.0 du référentiel général
de sécurité a été publiée le 18 mai dernier.
Elle concerne toutes les administrations
susceptibles d’échanger des données avec
les usagers ou entre elles.
La sécurité des systèmes d’information est une préoccupation pour
toute entité, quels que soient son
statut, sa taille et son secteur. Dans
la sphère publique, où les échanges
dématérialisés entre les administrés
et l’administration se multiplient,
cette problématique a pris une acuité
particulière, et le législateur a souhaité intervenir. Une ordonnance
de 2005 a créé un référentiel général
de sécurité (RGS) auquel doivent se
conformer les administrations, dont
la version 1.0 a été publiée par arrêté
le 18 mai dernier.
Recourir à des prestataires
« qualifiés »
Le RGS définit trois enjeux majeurs
en matière de sécurité : la disponibilité, l’intégrité, et la confidentialité
des données et des systèmes. S’il
propose une démarche à laquelle
toutes les autorités administratives
sont contraintes de se conformer,
l’objectif du RGS ne consiste pas à
imposer une technologie, une architecture ou une solution technique. En
revanche, lorsqu’une autorité administrative juge nécessaire, à l’issue
d’une analyse de risque, de mettre
en œuvre des fonctions de sécurité
de son système informatique, elle
doit alors se référer et respecter les
règles édictées.
Afin de favoriser la démarche interne d’analyse des risques, le RGS
référence différents outils méthodologiques pour évaluer les risques
qui pèsent sur un système d’information. Lorsqu’au terme de l’étude
des risques, la mise en œuvre de
fonctions de sécurité s’impose, le
RGS requiert de recourir à des prestataires ou des produits « qualifiés »,
c’est-à-dire qui ont été soumis à des
procédures d’évaluation définies
par un décret du 2 février 2010. Un
élément important pour les SSII et
les éditeurs. Ces procédures, qui font
intervenir l’Anssi (Agence nationale
de la sécurité des systèmes d’information) et un centre d’évaluation,
servent à attester la conformité des
produits ou des prestations au RGS.
Trois ans pour se mettre
en conformité
L’article 14 de l’ordonnance de 2005
impose une mise en conformité au
référentiel général de sécurité dans
un délai de trois ans à compter de
sa publication pour les systèmes
existants avant cette publication,
et de douze mois pour les systèmes
créés dans les six mois suivants celleci. Cela est susceptible de constituer
une contrainte importante pour les
administrations concernées, le délai
ayant déjà commencé à courir. M
CHRISTIANE FÉRAL-SCHUHL
CE QU’IL FAUT RETENIR
L’objectif du RGS n’est pas d’imposer
une technologie, une architecture ou une
solution technique. En revanche, une administration doit s’y référer et respecter les
règles édictées lorsqu’elle juge nécessaire
de mettre en œuvre des fonctions de sécurité prévues dans le RGS.
Délai de la prescription
d’un billet
Une banque avait porté plainte
contre l’auteur d’un blog
pour ses propos diffamatoires
et avait fourni un procès-verbal
d’un constat d’huissier. Néanmoins,
l’acte introductif d’instance, les
conclusions et la plainte
n’évoquaient pas la date de
publication des propos supposés
diffamatoires. Dans une ordonnance
de référé du 7 mai, le TGI de Nancy
a rappelé qu’en matière de nouvelles
technologies, la date de mise à
disposition du public constitue le
premier acte de publication. Ainsi,
l’auteur du blog a pu utilement
invoquer que le délai de trois
mois au-delà duquel il y a
prescription était dépassé.
Usurpation d’identité
sur un blog
Dans un arrêt rendu le 22 mars,
la cour d’appel d’Orléans a rappelé
qu’un blog satirique portant sur
les actions et la personnalité d’un
député maire s’inscrit dans la
tradition pamphlétaire. Les juges
ont cependant jugé qu’en l’espèce,
le site n’affichait pas sa nature
humoristique mais prétendait
émaner de sympathisants du maire
afin de le soutenir dans son action.
Le créateur du blog, qui écrivait
de façon anonyme, était en
fait un attaché territorial, inscrit
sur une liste rivale.
Réforme du crédit
à la consommation
Un projet de loi sur le crédit à la
consommation est examiné
par le parlement. Il prévoit une
modification du Fichier national des
incidents de crédits aux particuliers
(FICP). Les établissements de crédit
auraient l’obligation de le consulter
avant l’octroi d’un crédit et la faculté
de le consulter avant l’octroi d’un
moyen de paiement. Il envisage
également la création d’un Comité
de préfiguration chargé d’étudier
les modalités de mise en place d’un
registre national des crédits. Dès
2005, la Cnil (Commission nationale
de l’informatique et des libertés)
avait fait part de la nécessité d’une
loi. Son communiqué sur
http://goo.gl/fCXb.
01INFORMATIQUE I 24/06/2010 I www.01netpro.com
JURIDIQUE
NUL N’EST CENSÉ…
EXPÉRIENCES
39