Appellez-nous au (+34) 63 84 555 72

Risques et responsabilités du DSI


Avec la multiplication des textes législatifs, des contraintes réglementaires en matière de sécurité et les nouvelles méthodes de communication et de partage de l’information, assurer la conformité juridique du système d’information de l’entreprise est devenu particulièrement complexe. La gestion juridique du risque informatique et les responsabilités associées sont plus que jamais au cœur des préoccupations du Directeur des Systèmes d’Information. Nous faisons ci-après le point sur les risques et les responsabilités auxquelles le DSI peut être exposé.
 
1. Les risques encourus par l’entreprise
Il ne se passe pas une semaine sans que les médias ne relatent des cyberattaques, fuites de données personnelles, ransomware, escroqueries au Président et autres incidents dont les entreprises sont victimes. L’entreprise (et par extension le DSI), bien que victime dans ces hypothèses, n’exclut pas pour autant sa responsabilité. A titre d’exemple, la responsabilité de l’entreprise peut être engagée pour défaut de sécurité des données personnelles. En effet, la loi Informatique et Libertés impose au responsable du traitement de mettre en œuvre des mesures de sécurité technique et physique visant à assurer l’intégrité et la confidentialité des données. L’entreprise peut alors être sanctionnée (sanctions administrative et pénale jusqu’à 300.000€ d’amende et 5 ans d’emprisonnement), même en cas de négligence. Ces sanctions, qui ont vocation à s’alourdir avec l’adoption prochaine du règlement européen, s’appliquent que la faille de sécurité provienne de l’entreprise ou de son sous-traitant (ex : prestataire d’hébergement).

Par ailleurs, l’action des salariés via le système d’information peut également être une source de responsabilité pour l’entreprise, et indirectement pour le DSI.


A savoir notamment :
-  en cas d’intrusion non autorisée d’un salarié dans un autre système d’information, et ce à partir des moyens fournis par son employeur, l’atteinte à un STAD étant pénalement sanctionnée ;
- dans l’hypothèse où un salarié, toujours grâce aux ressources informatiques de l’entreprise, publie des contenus illicites (propos diffamatoires, injurieux et racistes), commet une escroquerie, ou encore procède au téléchargement illicite de contenus protégés par le droit d’auteur ;
- lors de l’utilisation de logiciels, en dehors des termes de leur licence, celle-ci étant, d’une part, susceptible d’entrainer des pénalités pour l’entreprise (en cas d’audit de licence l’éditeur) et, d’autre part, considérée comme un acte de contrefaçon réprimé pénalement (jusqu’à 3 ans d’emprisonnement 300.000€ d’amende).

Ces atteintes au système d’information et aux données de l’entreprise, ainsi que les autres infractions susmentionnées peuvent, en outre, avoir des conséquences indirectes particulièrement dommageables : pertes financières, perte de clientèle, atteinte à la réputation, désorganisation de l’entreprise, etc.
 
2. Les responsabilités auxquelles le DSI est exposé
Le DSI peut engager sa responsabilité par la commission d’un acte positif, ou en cas d’une omission, d’une négligence ou d’une imprudence de sa part. Ainsi, le DSI peut être responsable pénalement des atteintes et ses conséquences à la sécurité du système d’information, dès lors que :

- il dispose d’une délégation de pouvoir valable par le chef d’entreprise, à savoir notamment une délégation non ambiguë, précise, limitée à certains domaines et dans le temps, et acceptée par un délégataire disposant des compétences, de l’autorité et des moyens humain et financier nécessaires ;

- il a commis une faute personnelle à l’origine du sinistre ou de l’infraction constaté, et ce notamment s’il est démontré qu’il n’a pas pris des mesures de sécurité raisonnables visant à protéger le système d’information (ex : faille de sécurité entrainant une fuite de données).

Si sa responsabilité pénale est effectivement engagée, le DSI encourt des peines d’amende, d’emprisonnement et complémentaires, telles que l’interdiction d’exercer certaines activités ou certains droits.

Le DSI peut également engager sa responsabilité professionnelle en cas d’inexécution ou mauvaise exécution de son contrat de travail (et le cas échéant, du règlement intérieur). Des sanctions disciplinaires (avertissement, mise à pied, rétrogradation, etc.) ou un licenciement pourront être prononcés par l’employeur à son encontre, en cas de faute lourde notamment (ex : intention de nuire à son employeur).

A titre d’exemple, le recours à la sanction disciplinaire pourrait être envisagée dans l’hypothèse où, du fait d’une grave négligence, le DSI aurait laissé se propager un virus causant un sinistre à des tiers.
 
3. Les bons réflexes juridiques
Afin de se prémunir contre la mise en jeu de la responsabilité de l’entreprise et/ou du DSI, voici quelques bonnes pratiques juridiques à mettre en place au sein de l’organisme.

L’édition ou la mise à jour d’une charte informatique est un premier exemple. Cette charte a vocation à encadrer l’utilisation d’internet, des ressources informatiques et du système d’information de l’entreprise par les salariés. Elle charte peut être complétée par une politique de sécurité SI afin d’organiser la gestion des accès et la traçabilité des incidents.

De même, une attention particulière doit être portée sur la contractualisation des délégations de pouvoirs mais également des relations avec les sous-traitants. Il est indispensable de verrouiller les contrats avec ces derniers et d’obtenir des sous-traitants, ayant accès au SI et aux données de l’entreprise, de solides garanties en termes d’intégrité et de confidentialité.

Enfin, il est recommandé d’anticiper l’entrée en vigueur du règlement européen portant sur les données personnelles (GDPR – General Data Protection Regulation, ou Règlement général sur la protection des données – RGPD) entre en application le 25 mai 2018. Parmi les actions à mener on peut citer : réaliser un audit CNIL, réfléchir à la mise en œuvre de procédures internes formalisées (études d’impact, analyses de risques, et codes de conduite), rédiger une politique de vie privée prenant en compte le principe de « Privacy by Design » et désigner un délégué à la protection des données (DPO), facilitant la mise en conformité de l’entreprise à la loi.

Betty Sfez - Avocat au barreau de Paris

Source : http://www.atout-dsi.com



Quelles sont les statistiques des cyber-risques dont vous disposez ?
Dans son enquête 2016, le World Forum Economic place le cyber risque sur le podium des risques majeurs. Le coût pour l’économie mondiale des cyber-attaques est évalué à 445 milliards de dollars, dont 3 milliards pour la France. D’ici à 2020, il pourrait s’élever autour de 2.000 milliards de dollars à cause d’une accélération des cyber-attaques, soit une multiplication par cinq de l’impact en moins de cinq ans. Le risque principal vient de l’intérieur : une autre étude d’IBM Sécurity indique que 60 % des attaques proviennent des collaborateurs, anciens salariés ou fournisseurs.

Comment expliquez-vous que la principale menace ne soit pas liée à la technique ?

Dans les années 90, Richard de Courcy, un Canadien, définissait le système d’information comme un ensemble organisé de ressources qui permet de collecter, stocker, traiter et distribuer de l’information, composé de deux sous-systèmes, l’un social, donc humain et l’autre technique. Les gens se font de fausses idées sur les cyber-risques. Tous les analystes s’accordent à dire que même avec le meilleur système au monde, s’il n’est pas paramétré correctement, il existe un danger dont les failles sont humaines. Une part importante du cyber-risque provient de l’intérieur même de l’organisation. C’est pourquoi le DRH doit être au cœur de la gouvernance du cyber risque.

N’est-ce pas plutôt un sujet qui concerne la direction générale, voire la direction juridique plutôt que le DRH ?
Vous avez raison, le cyber risque concerne toute la direction générale, à commencer par le DG et le comité de direction. La cyber-sécurité est une chaîne et la solidité de celle-ci dépend de son maillon le plus faible. Il faut donc mobiliser beaucoup de fonctions dans l’entreprise : le service juridique, la DSI, les opérationnels, les managers mais aussi la DRH, qui est la co-architecte de la cyber-stratégie mais aussi l’artisan de la cyber-sécurité.

Quels sont les principaux risques qui menacent les entreprises ?
On peut penser par exemple, à l’utilisation abusive des droits dans le système d’information, de l’extraction d’information à caractère commercial ou personnel pour la révéler au public ou bien la vendre à des concurrents, de la part des collaborateurs ou des prestataires mécontents qui veulent chercher à nuire à l’entreprise. En juin dernier, nous apprenions qu’une mutuelle de fonctionnaires était victime d’une cyber-attaque. Un salarié avait utilisé à des fins inappropriées les droits dont il disposait. Ainsi, les données personnelles de nombreux policiers ont été diffusées sur Internet. Aujourd’hui, un salarié mécontent peut décider de se venger envers son employeur avec des moyens d’actions simples et pas plus compliqués que le téléchargement d’un fichier. Avec la digitalisation, une entreprise n’est pas à l’abri d’un acte de malveillance, de sabotage, d’espionnage, d’extorsion et de piratage. Ces attaques concernent aujourd’hui 13 % de PME et 26 % d’ETI.

Quels sont les impacts pour une entreprise victime d’une cyber-attaque ?
L’entreprise peut être fragilisée non seulement dans le mois qui suit la cyber-attaque mais aussi dans les années à venir : sa réputation via une campagne médiatique peut être atteinte, elle peut subir des pertes commerciales, avoir son système de production endommagé durablement, elle peut être touchée d’un point de vue réglementaire et vis-à-vis de sa clientèle.

Que doit faire une entreprise face à cette menace ?

Le point de départ de toute action est de définir une politique de sécurité en construisant un référentiel. Car, selon le secteur d’activité, agroalimentaire ou bancaire, par exemple, l’entreprise n’est pas confrontée au même type de risque. L’entreprise doit aussi monter une organisation sécurité, en intégrant toutes les composantes comme la gestion du risque. Il faut qu’elle mette en œuvre une gouvernance qui rassemble tous ses métiers, puis définir un plan de sécurité souvent basé sur un audit, avec des formations ciblées et un plan de continuité de l’activité en cas d’occurrence du risque. Il faut donc allouer des moyens humains et financiers.

Concrètement que conseillez-vous comme plan d’action pour la DRH ?
La gestion des droits représente un des maillons essentiels à la sécurité. Il faut d’abord mettre en place une procédure des arrivées et départs. En effet, il est courant qu’un an après son départ de l’entreprise, le salarié conserve encore au moins trois droits d’accès dans le système d’information. Dans un grand nombre de cas, les droits ne sont pas supprimés. Et lors d’une mobilité, on ajoute de nouveaux droits, sans supprimer les anciens. Il n’existe pas de barrière d’accès à l’information à la bonne personne alors qu’il s’agit uniquement de process sans complexité de mise en œuvre. Il faut aussi former et sensibiliser les collaborateurs sur ces sujets.

Quel est le regard des entreprises envers ce problème de cyber-attaque ?
Les entreprises commencent à s’en préoccuper. Je constate un début de prise de conscience. Désormais chez Verlingue, les DRH nous questionnent au-delà de l’assurance de personnes. Mais c’est encore un sujet à faible maturité. Il faut pourtant commencer à se mobiliser car le règlement européen sur la protection des données sera applicable au printemps 2018 et la sécurité devra être renforcée dans les entreprises.

Source : Les echos.fr - Sylvie Aghabachian | Le 03/01/2017