Comment un entrepreneur peut-il faire le choix de l’économie numérique en toute sécurité ? Maître Olivier Iteanu, expert reconnu en droit des nouvelles technologies, apporte à cette question des réponses concrètes et immédiatement opérationnelles.
Auteur d’un livre préfacé par Renaud Dutreil, ministre des PME, du commerce, de l’artisanat et des professions libérales, Maître Olivier Iteanu maîtrise parfaitement les nouveaux enjeux et responsabilités qui pèsent sur le chef d’entreprise en matière de sécurité informatique. Rapide tour d’horizon…
EetD : Vous venez de publier un livre blanc intitulé » Nouveaux enjeux et nouvelles responsabilités du chef d’entreprise en matière de sécurité informatique « . Mais au fait, que recouvre la notion de sécurité informatique ?
Maître Olivier Iteanu : Les systèmes d’information ont pris une place centrale dans la vie des entreprises, la sécurité informatique est donc un sujet stratégique essentiel.
Elle a eu plusieurs noms durant les 20 dernières années. On l’a d’abord appelée la fraude informatique, puis la cybercriminalité. Concrètement, elle recouvre toute la délinquance qui a trait aux systèmes d’information, que cette délinquance utilise ces systèmes ou les prenne pour cible.
C’est aujourd’hui fondamental parce que les entreprises créent des richesses au travers de leurs systèmes d’information, ces derniers doivent donc être en service et fiables.
EetD : Les attaques aux systèmes d’information d’une entreprise sont-elles essentiellement externes ou faut-il aussi considérer la fraude interne comme un danger important ?
Me O.I. : De manière générale, il est évidemment difficile d’avoir des statistiques sur un phénomène qui, par essence, ne se recense pas facilement. Les experts et les compagnies d’assurance, bien placés pour donner quelques indications, ont toujours considéré que la fraude interne était massivement supérieure aux attaques externes.
Mais la fraude interne, concrètement, qu’est-ce ? Cela peut être un salarié ou un ancien salarié qui, sous différents mobiles, va contourner les systèmes de sécurité -puisqu’il les connaît- et va commettre un certain nombre de délits. Par esprit de vengeance ou simplement dans le but de nuire.
Il est donc essentiel pour un chef d’entreprise de protéger son système d’information contre les attaques externes mais aussi, et surtout, contre celles internes.
EetD : Peut-on opérer une classification des fichiers à protéger au sein de l’entreprise ? Par exemple, les données personnelles doivent-elles répondre à un degré de protection plus contraignant ?
Me O.I. : Il est évident que les données à caractère personnel vont souffrir de contraintes plus sévères, tout simplement parce que c’est de la dynamite. Pourquoi ? Quand je collecte les données personnelles d’un tiers, la loi met sur mes épaules une obligation de sécurité renforcée. En effet, comme ce ne sont pas des données qui m’appartiennent mais qui touchent les intérêts particuliers d’une personne, j’ai une obligation de sécurité qui est que tout tiers non-autorisé n’ait ni accès à ces données, ni ne les déforme, ni ne les diffuse. La loi impose même au responsable du traitement de prendre » toutes précautions utiles « . Cette obligation est volontairement vague afin d’encourager le responsable du traitement à tout mettre en œuvre pour leur protection. Le manquement à cette obligation est sanctionné de peines de prison et d’amende. Il est fondamentalement important que cette obligation légale de sécurité soit respectée.
On peut aussi prendre en exemple les entreprise de hautes technologies dans lesquelles les contenus de type code-source de logiciels, bases de données… sont des éléments sensibles.
Et, de manière plus générale, tous les contenus circulant sur les systèmes d’information sont importants.
EetD : N’y-a-t-il pas un antagonisme certain entre d’un côté la protection des systèmes d’information de l’entreprise, et donc des données présentes sur l’ordinateur d’un salarié, et de l’autre le droit au respect de la vie privée des salariés dans l’entreprise ?
Me O.I. : Il est certain que, dans l’entreprise, la jurisprudence admet que le salarié a droit au respect de sa vie privée. Cela a deux conséquences. La première est que les tribunaux, depuis octobre 2001 et l’arrêt Nikon, reconnaissent aux salariés la possibilité d’utiliser les outils de l’entreprise sur leur poste de travail pour leurs besoins personnels et, en particulier, l’accès à Internet. C’est donc, depuis cette date, une tolérance légale. Cette position a ensuite été confirmée à maintes reprises et encore récemment. Donc première conséquence, une tolérance légale. A noter que, même si des normes pédagogiques ou didactiques, comme les chartes Internet, ou des normes juridiques, réglementaires… l’interdisent, cette tolérance légale, reconnue de tous, prévaudra.
La seconde conséquence résultant du droit au respect de la vie privée du salarié qui pèse sur l’entreprise en terme de sécurité informatique et qui complique encore une fois sa tâche est qu’il y a, sur le poste de travail de chaque salarié, un sanctuaire, un » saint des saints » auquel on ne peut pas accéder sous peine d’enfreindre la loi et de commettre un délit : celui de la violation de correspondances privées. Ce sanctuaire, c’est la boîte aux lettres électronique du salarié. On peut y ajouter également le disque dur mis à disposition du salarié, soit en local, soit à distance.
Tant qu’on n’est pas dans l’abus, cet usage est toléré.
EetD : Y a-t-il des limites à cette tolérance ?
Me O.I. : S’il y a abus, la sanction est, pour un salarié, le licenciement. Il y a ensuite une graduation qui correspond au préjudice subit par l’entreprise. Une simple utilisation d’un accès Internet n’est pas une faute évidemment puisque c’est toléré. Une utilisation massive va porter atteinte à la productivité. A condition de pouvoir la prouver, elle peut constituer une cause réelle et sérieuse de licenciement. Puis, le téléchargement d’images pédophiles, pornographiques ou de fichiers piratés est qualifié de faute grave.
EetD : Des campagnes d’information sont menées depuis quelques années pour sensibiliser les chefs d’entreprise à la sécurité informatique, mais ont-ils vraiment conscience de son importance ?
Me O.I. : Il y a clairement une évolution qui va dans ce sens-là et les chefs d’entreprise prennent de plus en plus conscience que la sécurité informatique recouvre désormais une activité extrêmement sensible. Pourquoi ? Il y a eu un événement majeur ces dernières années qui découle directement de la banalisation d’Internet : les entreprises, dont les systèmes d’information n’évoluaient qu’en vase clos, les ont ouverts sur l’extérieur au travers des deux principaux et plus populaires services de l’Internet qui sont le courrier électronique et le web.
La création de ces passerelles a généré deux réalités. Premièrement, une économie des flux qui fait qu’aujourd’hui l’entreprise ne peut plus fonctionner sans un dialogue électronique avec ses fournisseurs, ses clients, ses prospects, ses partenaires… Secondement, ces flux entrants et sortants ont eux-mêmes un statut juridique qui peut effectivement ne pas être licite, c’est-à-dire porter atteinte à l’ordre public ou aux droits des tiers.
EetD : Quelles vont-être les réponses apportées à ces évolutions et aux risques ainsi générés ?
Me O.I. : Vous allez avoir trois types de réponse. Tout d’abord, une réponse technique qui se traduira par l’installation d’outils de protection type firewall, antivirus, filtres anti-spam… A cela, il faut ajouter une réponse organisationnelle consistant à trouver un mode d’organisation de l’entreprise qui va gérer le risque. Enfin, il y a, bien évidemment, une réponse juridique. Tout ceci crée une vraie stratégie.
Prenons l’exemple d’un salarié destinataire d’un spam contenant un lien vers un site pédophile et que le salarié clique dessus. L’entreprise, dans l’hypothèse où elle est informée de ce cas, doit porter plainte immédiatement car la pédophilie est un délittrès sévèrement puni où la simple détention est suffisante pour caractériser la faute. Si une telle hypothèse advient, cela signifie que les coordonnées du salarié, voire celles de l’entreprise via la collecte des données de connexion (adresse IP) se trouvent sur les bases de données du site pédophile. Si demain cette base de données est saisie par la police, il y aura forcément des contrôles.
Il faut donc avoir une action immédiate. Dans notre cas d’étude, la solution est de déposer une plainte pénale par une lettre recommandée avec accusé de réception adressé au parquet du tribunal dont on dépend. Voici un exemple de réponse juridique obligatoire.
L’interopérabilité des systèmes a généré des risques nouveaux dans l’entreprise. Il est très important d’en avoir conscience et d’accepter de financer les mesures nécessaires à leur anticipation. Et les moyens à mettre en œuvre ne sont pas que techniques, ils sont aussi organisationnels et juridiques. La sécurité informatique doit absolument être conçue comme une vraie stratégie.