|
|
Les entreprises font face aujourd'hui à un dilemme lourd de conséquence. D'un côté, elles subissent l'ouverture des systèmes d'information qui se généralise. L'entreprise communique avec ses partenaires, fournisseurs, clients, employés. Mais cette débauche de communication n'est pas sans risque.
Les portes qui s'ouvrent ainsi sur l'extérieur sont guettées par une quantité de données et programmes malveillants qui attendent patiemment leur heure pour entrer sans autorisation dans le système et y commettre leurs méfaits. Cette nouvelle situation crée un risque important non seulement pour le système lui-même, mais désormais pour l'entreprise qui dépend du bon fonctionnement de son système d'information. La sécurité est devenue un enjeu stratégique.
Les limites de la course à l'armement
Pour minimiser le risque, l'entreprise est alors condamnée de se lancer dans une longue course à l'armement. Firewall, anti-virus, filtres anti-spams etc.
sont désormais des outils obligatoires pour toute entreprise raisonnable. C'est même ce que la Loi appellerait par ailleurs les règles de l'art, comme pour dire qu'en dessous de ces protections minimales, la victime d'un agissement malveillant ne pourrait s'en prendre qu'à elle-même.
Minimiser mais pas éradiquer, car la prévention par la technique est obligatoire mais ne peut pas tout. Mais cette course à l'armement est une course sans fin. L'entreprise ne court pas seule. Ses assaillants également affinent leur technique, la complexifie, l'améliore.
La responsabilité juridique des entreprises
D'un autre côté, l'ouverture des systèmes d'information crée aussi du risque juridique. L'entreprise sait elle qu'elle est susceptible d'engager sa responsabilité civile au titre des divers agissements de ses employés depuis leur poste de travail ? Téléchargement d'images pédophiles, de musiques piratées, de logiciels contrefaits, ou au contraire participation à des forums de discussion sans précaution, exportation sans autorisation de contenus appartenant à l'entreprise ou détenus par l'entreprise pour le compte de tiers etc
La Société Lucent Technologies l'a appris à ses dépens. Dans cette affaire, un salarié avait réalisé depuis son lieu de travail un site Internet jugé contrefaisant. La victime de la contrefaçon l'a assigné devant le tribunal. La victime a aussi assigné l'employeur du salarié en cause, la société Lucent Technologies. Dans un jugement du 11 Juin 2003, les juges ont considéré que " le site litigieux a été réalisé sur le lieu de travail grâce aux moyens fournis " et a déclaré la société Lucent Technologies responsable de la contrefaçon.
La solution est plutôt rude pour l'entreprise, fortement critiquable même, mais elle est conforme à une jurisprudence bien établie par la plus haute juridiction française, la Cour de Cassation, dès 1988 dans d'autres cas. Plus grave encore, le glissement législatif français constaté depuis quelques mois a fait passer l'axiome évident de défaillant en sécurité = victime, à désormais défaillant en sécurité = victime + peut-être responsable aussi.
Ici les exemples abondent : l'entreprise qui s'est faite " volée " son fichier client sans prendre toutes précautions utiles, celle qui n'a pas conservé les données de technique de connexion au titre des contenus qu'elle héberge, celle qui rediffuse des virus informatiques sans même en être l'auteur etc.
Toutes ces responsabilités sont d'ordre pénal. Elles sont susceptibles de toucher le représentant légal de la Société, voire le Responsable de la Sécurité (RSSI) ou le délégataire de cette fonction.
L'outsourcing comme solution ?
Comment dans ces conditions faire face au double défi de la course technique et du risque juridique ? Les grandes entreprises sont, dans ce domaine, bien mieux armées que ne le sont les PME. Elles disposent des ressources internes, technique, juridique, pour comprendre, analyser et agir en conséquence. Mais pour les PME, quelles solutions ?
Il se murmure alors que l'externalisation ou l'outsourcing de l'exploitation des moyens informatiques pourrait être la solution. Trouver le professionnel qui saura garantir par voie contractuelle l'usage des meilleurs outils techniques, les administrer et les faire évoluer, pour bien protéger le système. Contractualiser également les responsabilités lorsque cela est possible. Là, le contrat sera l'outil juridique qui pourra répondre à certains risques nouveaux nés sur le plan juridique.
Mais, l'outsourcing commence déjà à soulever d'autres questions. Le "papier ne refuse pas l'encre" et certaines prestataires n'hésiteront pas à prendre des engagements qu'ils seront incapables d'assumer le moment venu. Aussi, le choix d'un prestataire pérenne, justiciable de juridictions connues et un minimum efficaces, est une exigence minimale.
Les fondements contractuels
Déjà, la Loi nouvelle relative à l'informatique, aux fichiers et aux libertés votée par le Parlement le 15 juillet dernier, prévient "le sous-traitant (défini par la Loi comme toute personne traitant de données à caractère personnel pour un donneur d'ordre) doit présenter des garanties suffisantes pour assurer la mise en uvre des mesures de sécurité et de confidentialité " (article 35). La formule est plutôt vague mais elle sonne comme une alerte.
Le contrat devra prévoir des engagements précis et, à défaut d'une obligation de résultat générale, impossible en matière de sécurité, des engagements de résultat ciblés sur des points précis, sont la seconde précaution à prendre pour l'entreprise cliente.
Là encore, la nouvelle Loi informatique et libertés prévient :
"Le contrat liant le sous-traitant au responsable du traitement comporte l'indication des obligations incombant au sous-traitant en matière de protection de la sécurité et de la confidentialité et prévoit que le sous-traitant ne peut agir que sur instruction du responsable du traitement". La question ne pourra donc être éludée et mêmes des stipulations trop générales ne pourraient pas suffire.
Oui, à ces conditions minimales, l'outsourcing de l'exploitation de son système d'information pour faire face aux nouveaux défis de la sécurité informatique, est bien une voie à explorer pour les Pme.
|
