01 Informatique : Après deux ans d’activité en tant que conseil en sécurité des systèmes d’information, comment évaluez-vous la prise en compte de la sécurité dans les entreprises ? Joël Rivière : Nous avons effectué à ce jour plus de deux cents audits sur les systèmes de sécurité dans les entreprises. Aujourd’hui, toute société a déjà été atteinte soit par un virus, soit par un piratage. Il est donc indéniable que les dirigeants ont pris conscience de l’importance de la sécurité des systèmes d’information. Mais les moyens qui sont mis en ?”uvre se révèlent souvent insuffisants, car les retours sur investissement n’apparaissent pas clairement. Le budget sécurité est donc encore trop souvent identifié comme un centre de coût.Comment se positionnent les DSI face au problème de la sécurité ? J’ai observé deux catégories de DSI : d’un côté, les minimalistes, qui se contentent de mettre en ?”uvre quelques outils, croyant ainsi garantir leur responsabilité ; de l’autre, à l’extrême inverse, on trouve les paranoïaques, qui visent une sécurité à 100 %. Ce qui est impossible à obtenir. Dans ce domaine, c’est la loi de Pareto qui s’applique : il faut dépenser 20 % d’énergie pour 80 % d’efficacité. Au-dessus de 90 %, je considère que c’est de la paranoïa. Sauf cas particulier, comme les centrales nucléaires.Que risquent les dirigeants en cas de défaut de sécurité ? Ce que les directions générales ignorent encore bien souvent, c’est qu’elles risquent de lourdes peines, allant jusqu’à cinq ans d’emprisonnement et 2 millions de francs d’amende. Sans compter les réparations des dommages subis par l’entreprise ou les tiers. Depuis le début de l’année 2001, nous avons ainsi conseillé trois dirigeants mis en cause pénalement pour un délit de manquement à la sécurité. L’un d’entre eux a été mis en examen, puis condamné à une sanction pénale.Qui est responsable dans l’entreprise ? Au premier rang, c’est le dirigeant de l’entreprise qui est pénalement responsable. Mais attention : les contrats de travail des DSI incluent fréquemment une délégation de signature, qui rend ces derniers solidairement responsables. Ce qu’ils ne savent parfois même pas… Résultat : en cas de condamnation, patron et DSI partageront les oranges en prison !Qui peut déclencher une procédure pour manquement à la sécurité ? Lorsque des dommages sont causés à des tiers par suite d’un manquement à la sécurité du système d’information, ces derniers peuvent bien évidemment porter plainte et, ainsi, déclencher une procédure pénale à l’encontre du dirigeant. Mais le ministère public est également habilité à déclencher cette procédure, même en l’absence de plainte.En quoi consiste le manquement à la sécurité du système d’information ? Ce délit est mentionné dans l’article 226-17 du nouveau Code pénal. Le premier niveau repose sur une batterie d’obligations légales incontournables, qu’il faut absolument connaître. Citons, parmi les plus importantes, les déclarations à la Cnil, l’information des salariés et du CE sur les mesures de surveillance et les limites d’utilisation des outils de type internet, messagerie, etc. Plus généralement, le dirigeant peut être accusé de délit de manquement à la sécurité s’il s’avère qu’il n’a pas mis en ?”uvre les systèmes adéquats pour protéger son système d’information.Le DSI peut donc être inculpé dès qu’une attaque n’a pas pu être repoussée ? Non, car les textes sont très clairs : c’est une obligation de moyens, et non de résultat. Ce qui serait impossible à mettre en ?”uvre. L’essentiel est de prouver qu’on a pris les précautions nécessaires et suffisantes pour protéger le système d’information et ses données. Par exemple, l’installation pure et simple d’un pare-feu ne suffit pas. Si ce dernier n’est pas géré, il ne sert à rien. En revanche, les plans informatiques de l’entreprise doivent impérativement inclure un volet relatif à la sécurité. Notamment en ce qui concerne la confidentialité des données personnelles.Mis à part l’aspect budgétaire, qu’est-ce qui freine les responsables sécurité dans la mise en place des moyens nécessaires ? Le principal écueil dans ce domaine est l’ignorance des dirigeants. Ignorance des réglementations, d’abord. Ces dernières évoluent sans cesse, la jurisprudence commençant à s’étoffer. Peu de responsables de sécurité suivent ce domaine d’information. Plus surprenant, les DSI et leurs responsables sécurité disposent de peu d’informations techniques : nouveaux produits, nouvelles failles, parades… C’est bien davantage par manque d’information que pèchent les entreprises que par négligence ou malveillance.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.