01 56 43 68 80

6, rue de Saint-Petersbourg, 75008 Paris

Une réponse juridique aux besoins de la sécurité : la politique de gestion des incidents

serveurs

Au-delà de ses exigences techniques, la sécurité informatique des Systèmes d’Informations (ci-après SI) de l’Entreprise suppose la définition de principes de gouvernance assurant réactivité, efficacité et prise en compte des contraintes juridiques.

En cas de faille de sécurité d’origine externe ou interne, les responsables des SI (DSI, RSSI, Direction) doivent en effet disposer de la marche à suivre : comment fixer la preuve des agissements litigieux ? Qui saisir et selon quelle forme ? Quelle stratégie judiciaire engager ? Quelle communication adopter ? Etc.

Pour répondre à ces différentes questions, chaque Entreprise pourra trouver un intérêt à la mise en place d’une Politique de Gestion des Incidents liées à ses Systèmes d’Information, instrument essentiel de sécurisation des données de l’Entreprise.

1. Politique de Gestion des Incidents : pierre angulaire du « Référentiel Sécurité » de l’Entreprise
La politique de gestion des incidents, dont la mise en œuvre est préconisée par la norme ISO 27035, s’intègre au « référentiel de sécurité » de l’Entreprise qui inclut principalement :
– La Charte « Utilisateurs des SI » : encadrement de l’utilisation des outils de communication mis à disposition des collaborateurs et prestataires extérieurs à l’entreprise [annexe au Règlement Intérieur de l’Entreprise]
– La Charte « Administrateurs des SI »
– La Politique d’Habilitation
– La Politique de durée de conservation des données et d’archivage
– La Politique de gestion des Incidents liés aux SI

L’objectif de ce document essentiel est de définir les typologies d’incidents (internes – externes), de fixer le cadre organisationnel et les responsabilités afférentes à la réponse à apporter à ces incidents tout en rappelant les principes légaux applicables à la fixation de la preuve et à la qualification des faits à l’origine de l’incident (vol de fichier, attaque Dos, usurpation d’identité, abus de confiance, intrusion frauduleuse etc.).
Il s’agit également de répondre à un impératif imposé par la loi n°78-17 du 6 janvier 1978 dite loi « informatique et libertés », qui fixe en son article 34 une obligation générale de sécurité et de confidentialité : « Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès » (obligation dont le non respect fait encourir aux responsables des peines pouvant aller jusqu’à 5 ans d’emprisonnement et 1 500 00 euros pour une personne morale)
La Commission Nationale Informatique et Libertés (CNIL), procède régulièrement à des contrôles et n’hésite pas à sanctionner les Sociétés en cas de violation de cette obligation essentielle (Cf. pour un exemple récent visant la Société ORANGE : https://www.haas-avocats.com/actualite-juridique/orange-avertie-par-la-cnil-suite-a-une-faille-de-securite/)

2. Comment mettre en place une Politique de gestion des incidents ?
Si le fait de définir une politique de gestion des incidents au sein de l’entreprise apparaît être autant une nécessité de gouvernance qu’un impératif légal, reste à déterminer comment procéder à son élaboration et à sa mise en place.
(a) Réaliser un audit juridique de traitement…
L’audit de traitement, qui fait l’objet d’un label CNIL, permet de cartographier les SI de l’Entreprise et d’identifier les points d’écarts éventuels à la législation (défaut de réalisation de formalités préalables, absence de politique de conservation des données, défaut de sécurisation des SI etc.). Le juridique doit donc être impliqué en amont afin d’être en mesure d’évaluer les risques juridiques encourus, notamment au regard de l’application des dispositions de la loi informatique et libertés. A l’issue de ce rapport d’audit, la direction de l’entreprise disposera d’un plan d’actions lui permettant d’identifier les mesures de consolidation à mettre en place, en ce compris la consolidation de son « référentiel sécurité ».
(b) …associé à une expertise technique des SI : « Stress tests »…
Si le juridique est un aspect fondamental de la sécurité informatique de par la nécessité de prendre en compte les garanties contractuelles, le formalisme légal ou encore les mécanismes de partage de responsabilités, il convient naturellement d’y associer une expertise technique afin d’identifier toute défaillance dans la gestion du risque informatique qu’il soit d’origine interne ou d’origine externe. Pour ce faire, des tests et mise en situation peuvent utilement être mis en place au niveau technique (vol de données, intrusions etc.)
(c) …pour une définition globale du « référentiel sécurité »
La Politique de gestion des Incidents à créer ou à actualiser devra ainsi s’appuyer tant sur les conclusions de l’audit de traitements que sur les résultats de l’expertise technique pour remplir son rôle : définir une réponse efficace en cas d’incidents d’origine internes ou externes impactant les SI de l’entreprise.
Cette réponse doit en effet à la fois prendre en compte :
– les contraintes légales générales : validité de la preuve, conditions de mise en place de dispositifs de cybersurveillance… ou encore les procédures légales de notification des failles de sécurité qui tendent à se généraliser tant au niveau national (Cf. Art. 34 bis de la loi du 6 janvier 1978 prévoyant que le fournisseur de communication électronique accessible au public avertisse, sans délai, la CNIL ainsi que la victime, lorsque la violation porte atteinte à des données à caractère personnel ou à la vie privée, Cf. également le rapport 2014 du Conseil d’Etat prévoyant d’élargir cette obligation de transparence ) qu’au niveau européen (Cf. proposition de Directive « Sécurité des Réseaux et de l’Information », cette dernière prévoyant que les acteurs du marché doivent notifier à l’autorité compétente, sans regard injustifié, les « incidents qui ont un impact significatif ». Les incidents visés sont ceux qui portent atteinte à la sécurité et à la continuité d’un réseau ou d’un système d’information et qui entraînent une perturbation notable de fonctions économiques ou sociétales essentielles).

– La situation de l’entreprise : organisation RH, architecture des SI, existence ou non d’une Charte « Utilisateurs des SI », d’une Politique d’habilitation ou encore d’une Politique de durée de conservation des données, outils de cybersurveillance, dispositifs de sécurité logique et physique, domaine d’activité spécifique (ex. e-santé, datacenter, etc.)

C’est au regard de ces différentes contraintes et à l’issue d’un processus complet d’identification des besoins de l’entreprise que pourra être élaborée une politique de gestion des incidents efficace. Celle-ci comportera utilement :
– Une typologie détaillée des sources de menaces et des impacts sur l’entreprise
– La définition d’une cellule de crise au sein de l’organisation de l’entreprise s’appuyant tant sur le support technique que sur le support juridique
– La création d’un processus juridique de réaction face à une attaque interne ou externe du système d’information
– Les outils permettant de réunir les preuves nécessaires au déclenchement d’une action en réponse efficace
– Une aide au choix de l’action (typologie des actions judiciaires ou extrajudiciaires)
– Etc.

Vous souhaitez un accompagnement en vue de la création ou de la mise à jour de votre politique de gestion des incidents ? Contactez nous sur https://www.haas-avocats.com

ENVELOPPE NEWSLETTER copie

L'actu juridique numérique
du mardi matin.

Inscrivez-vous pour recevoir nos derniers articles, podcasts, vidéos et invitations aux webinars juridiques.