Si les entreprises et administrations ont conscience de la nécessité d’adopter des mesures visant à améliorer leur sécurité, leur engagement en responsabilité civile ou pénale est encore mal appréhendée.
Voici une synthèse des risques susceptibles d’engager la responsabilité des entreprises, les règles à respecter et quelques solutions sélectionnées pour se prémunir.
La prévention des risques informatiques est encore trop souvent dévolue aux seuls informaticiens. Comme les données d’entreprise sont aujourd’hui presque toutes numérisées, leur protection nécessite d’évaluer les risques bien au-delà du cadre technologique. En ce sens, la préservation de l’information ne peut être uniquement du ressort de la DSI dans la mesure où seules les directions métiers (DAF, Comptabilité, RH, par exemple) savent précisément apprécier à leur juste valeur les données qui sont stockées ou archivées et les processus critiques.
Selon le Guide d’hygiène informatique publié par l’ANSSI (Agence nationale de la sécurité des systèmes d’information) en janvier 2013, « Il est de la responsabilité des dirigeants de vérifier que les mesures de protection adaptées sont mises en place et opérationnelles. Elles doivent faire l’objet d’une politique de sécurité écrite, comprise et connue de tous et dont l’application doit être régulièrement vérifiée par l’encadrement. » Or, une étude du cabinet d’audits et de conseil Deloitte révèle que « seuls 35,5% des services informatiques et juridiques travailleraient en étroite collaboration dans les entreprises ». En cause, l’incompréhension mutuelle sur les enjeux et la difficulté pour les non informaticiens de pouvoir faire un lien entre technologies et prévention des risques.
Pour bon nombre de professions, libérales par exemple (avocats, experts comptables, médecins, radiologues et notaires), les bases de données de leurs clients sont par nature confidentielles et précieuses. Il en va de même pour les entreprises et sous-traitants qui échangent des contrats commerciaux ou brevets, des données industrielles. Ainsi, les conséquences juridiques et donc financières, de la perte, du vol ou de la fuite de données sensibles, suite à un acte de malveillance, une erreur humaine ou encore une panne matérielle, peuvent être extrêmement lourdes.
Veiller à protéger les données stockées dans les systèmes d’information relève de la responsabilité des organisations.
Les dirigeants ont l’obligation légale de « prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données » (art. 34 de la Loi n°78-17 du 6 janvier 1978 modifiée dite loi Informatique et Libertés).
Les principales mesures de protection à prendre compte :
- La sécurisation des équipements terminaux
- La sauvegarde des données et la reprise d’activité après sinistre
- La destruction des données
- La lutte contre la fuite de données et l’intrusion de menaces
- Le contrôle des droits d’accès aux données et aux applications
- L’authentification des utilisateurs
- Les restrictions de connexions internet
- L’audit de vulnérabilité des sites web
Pour consulter le livre blanc "La responsabilité des entreprises face aux risques informatiques", vous pouvez en faire la demande à Athena Global Services.
Auteur : Athena Global Services.
Voir la liste des solutions dédiées aux risques informatique proposés par inforisque.fr.
Continuer avec Linkedin