SSI : rôle et responsabilité du chef d`entreprise
Transcription
SSI : rôle et responsabilité du chef d`entreprise
SSI : rôle et responsabilité du chef d’entreprise Dans une entreprise, la responsabilité des SSI incombe à son dirigeant. Celui-ci l’ignore trop souvent et, méconnaissant les risques qui l’entourent, il ne prend donc aucune précaution. Pourtant, cette responsabilité est très large et peut être liée aussi bien à un contenu (téléchargement illégal de fichiers par un salarié par exemple) qu’à du matériel. Bien que fastidieux à mettre en œuvre, un système de traçabilité de la responsabilité est très utile pour identifier clairement l’origine d’une infraction. Par ailleurs, le télétravail, contrairement aux idées reçues, est un autre moyen de renforcer la sécurité informatique de son entreprise. Modérateur : Sylvaine LUCKX Journaliste, rédactrice en chef de Mag Securs - Suresnes (France) Le développement d’Internet et des réseaux complique le rôle du chef d’entreprise : la sécurité des systèmes informatiques (SSI) relève en effet de sa responsabilité, bien que le chef d’entreprise l’ignore souvent. Illustrations concrètes Adjudant chef David CASSEL Enquêteur N'Tech, chef de la cellule IC, Groupement de gendarmerie du Pas-de-Calais - Arras (France) La responsabilité du chef d’entreprise peut être mise en cause pour divers motifs comme la pédopornographie (dès qu’un salarié utilise sa connexion professionnelle pour télécharger de telles images). Le plus souvent, le chef d’entreprise est surpris par l’intervention des forces de l’ordre car il ignore les risques encourus. Les politiques de sécurité informatique sont rares dans les entreprises et, lorsqu’elles existent, sont souvent obsolètes du fait de l’évolution rapide des nouvelles technologies. Colonel Joël FERRY Commandant de la Section de recherches de Versailles (France) La plupart des grandes entreprises ont mis au point une politique de sécurité informatique. En revanche, les TPE et PME ne mesurent pas l’ampleur des richesses qu’elles ont à protéger (fichiers clients, archives…) et ne prennent donc aucune mesure pour assurer la sécurité de leurs systèmes informatiques. Ainsi, les codes de sécurité sont rarement modifiés : un ancien salarié malveillant peut donc aisément accéder à des données à caractère privé (coordonnées des clients notamment) stockées sur le réseau de l’entreprise. Or, le chef d’entreprise a pour obligation légale de sécuriser ces données. Lorsque la police ou la gendarmerie intervient dans ces affaires, elle enquête mais tente également de sensibiliser le chef d’entreprise aux risques encourus. L’étendue de la responsabilité du chef d’entreprise Blandine POIDEVIN Avocat spécialisé dans le droit des nouvelles technologies, Jurisexpert, - Lille (France) La plupart des affaires mettent en cause la responsabilité de l’entreprise en tant que personne morale et non le chef d’entreprise en tant que personne physique. La responsabilité informatique peut être liée à un contenu délictueux (atteinte à la vie privée, diffamation…) ou au matériel mis à disposition des salariés. La responsabilité liée au contenu est très large car elle est mise en cause devant un tribunal pénal dès qu’il y a facilitation de l’infraction. Ainsi, le chef d’entreprise peut être inquiété en tant que fournisseur d’accès à internet – tant la connexion fixe que nomade – pour ses salariés, ou en tant qu’hébergeur de contenus. Dès lors, la sécurisation des données et des accès est indispensable. En tant que cabinet, nous intervenons lorsque l’infraction est commise mais nous en profitons aussi pour apporter des conseils (rédaction d’une charte, déclaration à la CNIL…) qui préviendront d’autres risques éventuels. La traçabilité de la responsabilité Sébastien VILLAIN Consultant en sécurité, SPIE Communications – Lille (France) Plusieurs problèmes se posent lorsque l’on cherche à retrouver la trace d’une infraction et la responsabilité qui en découle. Tout d’abord, les entreprises ne collectent généralement pas de façon automatique les logs qui permettent de remonter à une adresse Ip. Ensuite, le stockage de ces logs est difficile puisqu’ils représentent plusieurs téra-octets de données. Enfin, le filtrage et la mise en relation des logs pour faire émerger une anomalie relève d’un travail fastidieux. Le télétravail, source de sécurité Serge LE ROUX Vice-président de l'Association française du télétravail et de téléactivités (AFTT), Gérant de CAP Télétravail, Animateur du Réseau de recherches sur l'innovation (RRI) - Noordpeene (France) Le télétravail, outre ses effets bénéfiques sur l’entreprise (accroissement de la confiance entre salariés et responsables, développement de la créativité…), facilite aussi la mise en place d’une politique de sécurité informatique. Dépendant de l’outil collaboratif qu’il utilise pour travailler (pour échanger de données et d’informations avec ses collègues au bureau), le salarié devient en effet acteur de cette politique. Auparavant, elle aurait au contraire pu être vécue comme une contrainte supplémentaire. La méfiance française vis-à-vis du télétravail mériterait donc largement d’être dépassée. Echanges avec la salle De la salle La responsabilité des conseils ou des infos-gérants peut-elle être mise en cause ? Blandine POIDEVIN Tout conseil a obligation d’information. Dans ce cadre, il peut donc être mis en cause. Par exemple, pour l’obligation de sécurisation des données personnelles, c’est à l’hébergeur de prouver qu’il a bien informé le chef de d’entreprise de sa responsabilité dans le domaine (dans le contrat ou dans une charte d’utilisation par exemple). De la salle Peut-on se décharger de cette responsabilité grâce à une délégation de pouvoir faite au profit du directeur informatique ? Blandine POIDEVIN On peut procéder ainsi à condition que le délégataire dispose de toutes les responsabilités et de tous les moyens entourant cette délégation.