SSI : rôle et responsabilité du chef d`entreprise

SSI : rôle et responsabilité du chef d’entreprise
Dans une entreprise, la responsabilité des SSI incombe à son dirigeant. Celui-ci l’ignore trop
souvent et, méconnaissant les risques qui l’entourent, il ne prend donc aucune précaution.
Pourtant, cette responsabilité est très large et peut être liée aussi bien à un contenu
(téléchargement illégal de fichiers par un salarié par exemple) qu’à du matériel. Bien que
fastidieux à mettre en œuvre, un système de traçabilité de la responsabilité est très utile pour
identifier clairement l’origine d’une infraction. Par ailleurs, le télétravail, contrairement aux
idées reçues, est un autre moyen de renforcer la sécurité informatique de son entreprise.
Modérateur : Sylvaine LUCKX
Journaliste, rédactrice en chef de Mag Securs - Suresnes (France)
Le développement d’Internet et des réseaux complique le rôle du chef d’entreprise : la sécurité
des systèmes informatiques (SSI) relève en effet de sa responsabilité, bien que le chef
d’entreprise l’ignore souvent.
Illustrations concrètes
Adjudant chef David CASSEL
Enquêteur N'Tech, chef de la cellule IC, Groupement de gendarmerie du Pas-de-Calais - Arras (France)
La responsabilité du chef d’entreprise peut être mise en cause pour divers motifs comme la
pédopornographie (dès qu’un salarié utilise sa connexion professionnelle pour télécharger de telles
images). Le plus souvent, le chef d’entreprise est surpris par l’intervention des forces de l’ordre car il
ignore les risques encourus. Les politiques de sécurité informatique sont rares dans les entreprises et,
lorsqu’elles existent, sont souvent obsolètes du fait de l’évolution rapide des nouvelles technologies.
Colonel Joël FERRY
Commandant de la Section de recherches de Versailles (France)
La plupart des grandes entreprises ont mis au point une politique de sécurité informatique. En
revanche, les TPE et PME ne mesurent pas l’ampleur des richesses qu’elles ont à protéger
(fichiers clients, archives…) et ne prennent donc aucune mesure pour assurer la sécurité de
leurs systèmes informatiques. Ainsi, les codes de sécurité sont rarement modifiés : un ancien
salarié malveillant peut donc aisément accéder à des données à caractère privé (coordonnées
des clients notamment) stockées sur le réseau de l’entreprise. Or, le chef d’entreprise a pour
obligation légale de sécuriser ces données. Lorsque la police ou la gendarmerie intervient dans
ces affaires, elle enquête mais tente également de sensibiliser le chef d’entreprise aux risques
encourus.
L’étendue de la responsabilité du chef d’entreprise
Blandine POIDEVIN
Avocat spécialisé dans le droit des nouvelles technologies, Jurisexpert, - Lille (France)
La plupart des affaires mettent en cause la responsabilité de l’entreprise en tant que personne
morale et non le chef d’entreprise en tant que personne physique. La responsabilité
informatique peut être liée à un contenu délictueux (atteinte à la vie privée, diffamation…) ou
au matériel mis à disposition des salariés. La responsabilité liée au contenu est très large car
elle est mise en cause devant un tribunal pénal dès qu’il y a facilitation de l’infraction. Ainsi, le
chef d’entreprise peut être inquiété en tant que fournisseur d’accès à internet – tant la
connexion fixe que nomade – pour ses salariés, ou en tant qu’hébergeur de contenus. Dès
lors, la sécurisation des données et des accès est indispensable.
En tant que cabinet, nous intervenons lorsque l’infraction est commise mais nous en profitons
aussi pour apporter des conseils (rédaction d’une charte, déclaration à la CNIL…) qui
préviendront d’autres risques éventuels.
La traçabilité de la responsabilité
Sébastien VILLAIN
Consultant en sécurité, SPIE Communications – Lille (France)
Plusieurs problèmes se posent lorsque l’on cherche à retrouver la trace d’une infraction et la
responsabilité qui en découle. Tout d’abord, les entreprises ne collectent généralement pas de
façon automatique les logs qui permettent de remonter à une adresse Ip. Ensuite, le stockage
de ces logs est difficile puisqu’ils représentent plusieurs téra-octets de données. Enfin, le
filtrage et la mise en relation des logs pour faire émerger une anomalie relève d’un travail
fastidieux.
Le télétravail, source de sécurité
Serge LE ROUX
Vice-président de l'Association française du télétravail et de téléactivités (AFTT), Gérant de CAP
Télétravail, Animateur du Réseau de recherches sur l'innovation (RRI) - Noordpeene (France)
Le télétravail, outre ses effets bénéfiques sur l’entreprise (accroissement de la confiance entre
salariés et responsables, développement de la créativité…), facilite aussi la mise en place d’une
politique de sécurité informatique. Dépendant de l’outil collaboratif qu’il utilise pour travailler
(pour échanger de données et d’informations avec ses collègues au bureau), le salarié devient
en effet acteur de cette politique. Auparavant, elle aurait au contraire pu être vécue comme
une contrainte supplémentaire. La méfiance française vis-à-vis du télétravail mériterait donc
largement d’être dépassée.
Echanges avec la salle
De la salle
La responsabilité des conseils ou des infos-gérants peut-elle être mise en cause ?
Blandine POIDEVIN
Tout conseil a obligation d’information. Dans ce cadre, il peut donc être mis en cause. Par
exemple, pour l’obligation de sécurisation des données personnelles, c’est à l’hébergeur de
prouver qu’il a bien informé le chef de d’entreprise de sa responsabilité dans le domaine (dans
le contrat ou dans une charte d’utilisation par exemple).
De la salle
Peut-on se décharger de cette responsabilité grâce à une délégation de pouvoir faite au profit
du directeur informatique ?
Blandine POIDEVIN
On peut procéder ainsi à condition que le délégataire dispose de toutes les responsabilités et
de tous les moyens entourant cette délégation.