L'information est sans conteste un des actifs les plus précieux pour beaucoup d'entreprises. La haute valeur de cette information implique que l'entreprise doive assurer sa disponibilité, sa confidentialité et son intégrité.

Une information qui n'est plus disponible pour l'entreprise n'a évidemment aucune valeur. Une information dont le contenu est éventé est susceptible de causer un dommage financier et de réputation à l'entreprise. C'est le cas, par exemple, lorsque l'information renferme un secret d'affaires ou des données à caractère personnel de clients (les mots de passe utilisés, etc.). Enfin, une donnée dont l'exactitude n'est plus garantie peut évidemment engager la responsabilité de l'entreprise.

Imaginons le cas de données médicales qui ne sont plus à jours à cause du crash d'un serveur et d'un back-up trop ancien ou corrompu. Dans ce cas, ce serait à bon droit qu'un patient, dont la santé se serait sérieusement dégradée à cause d'un dossier médical devenu incorrect, réclamerait des dommages et intérêts. Disponibilité, confidentialité et intégrité sont donc les trois objectifs auxquels les entreprises doivent rester chevillées.

Acquérir une culture de la sécurité informatique

Les entreprises disposent en général d'une bonne culture de la sécurité physique. Elles ont également le réflexe de rapporter toute intrusion physique aux autorités compétentes.

Le parallèle n'est pas forcément vrai en matière de cyber-sécurité. À titre d'exemple, il est courant que d'importants efforts en sécurité informatiques soient entrepris à un moment donné, mais que passé cet instant les investissements et l'attention se relâchent alors que les techniques de hacking continuent d'évoluer.

De même, beaucoup d'entreprises préfèrent ne pas porter plainte, suite à une intrusion informatique, de peur de se construire une mauvaise réputation en matière de cyber-sécurité.

Bref, pour être efficace, la sécurité informatique doit se penser par rapport à tous les échelons de l'entreprise, en ce compris les plus élevés, s'organiser autour de procédures et s'entretenir pour finalement s'incorporer à l'ADNde l'entreprise.

D'un point de vue juridique, les procédures doivent intégrer tant l'aspect compliance (respect de dispositions légales) que la dynamique dynamique contractuelle visant à assurer la sécurité de manière plus globale. Du côté de la «compliance», c'est essentiellement l'obligation de traiter les données à caractère personnel conformément aux textes applicables qui est concernée.

Comme déjà dit, l'obligation de sécurité informatique va toutefois au-delà de cet aspect, raison pour laquelle un bouquet contractuel est nécessaire pour atteindre le Graal de la cyber-sécurité.

Les contrats avec les prestataires

Les contrats avec les prestataires informatiques doivent bien évidemment contenir une disposition en vertu de laquelle le prestataire garanti un niveau de sécurité adéquat. Ce niveau de sécurité peut se décliner sous diverses formes suivant l'entreprise concernée.

Ci-après quelques exemples de dispositions utiles stipulant les obligations du prestataire informatique:

  • l'obligation de respecter les directives ou standards généralement admis en matière de sécurité informatique (ISO, ISACA etc...);
  • l'obligation d'appliquer le principe de «privacy by design»;
  • le report des obligations de l'entreprise à l'égard de tiers sur le prestataire informatique;
  • une obligation de rapporter les failles de sécurité dans un délai déterminé;
  • une obligation de documenter certaines actions ou faits; - une obligation de se soumettre à un audit;
  • des obligations d'information (localisation géographique de données, etc.);
  • l'obligation de permettre l'effacement de données à distance pour les appareils mobiles;
  • la contractualisation de tests de pénétration;

L'homme, maillon faible de la sécurité

On le sait, l'homme est certainement le maillon faible en matière de sécurité informatique. Des polices internes d'entreprise et des dispositions contractuelles peuvent diminuer le risque humain.

Il est donc très utile d'avoir une police qui explicite la politique de l'entreprise en matière d'usage des outils informatiques et qui contient, par exemple, une délimitation des fins pour lesquelles l'outil informatique est autorisé; une régulation claire et transparente du «bring your own device»; une régulation de la navigation web et des «download»; une information des collaborateurs quant à l'utilisation par l'entreprise de certains outils visant à assurer la sécurité ou la compliance de l'entreprise (contrôle des logs, scan automatique des emails, contrôle de flux) etc...

Enfin, il peut être utile de développer certains points repris cidessus dans le contrat de travail de certains collaborateurs compte tenu des fonctions qu'ils exercent.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.