Directions informatique et juridique se penchent sur la sécurité

L’Agora DSI et celle des directeurs juridiques se sont penchées sur les questions de la sécurité IT de leurs entreprises. Un dialogue parfois compliqué, mais une complémentarité essentielle en cas d’attaques.

« Un DSI m’explique qu’il est difficile de comprendre ce que dit un directeur juridique, je lui réponds que c’est difficile pour ce dernier de comprendre ce que fait un DSI », a indiqué en préambule Jean David Sichel, directeur juridique de TBWA France. Une boutade qui a planté le décor de la soirée organisée conjointement entre Agora DSI et celle des directeurs juridiques. Le sujet choisi, « pour tout savoir sur les enjeux de la sécurité numérique des secteurs publics et privés », prêtait moins à sourire.

La sécurité une affaire collective

Robert Eusèbe, président de l’Agora DSI et directeur des services numériques chez Ingérop était chargé d’animer la soirée et a échangé avec plusieurs invités. Le premier à passer sur le grill des questions n’est autre que Guillaume Poupard, directeur général de l’ANSSI. Il a d’abord, comme à son habitude, expliqué les missions de l’agence notamment à l’attention des responsables juridiques un peu moins au fait des services de l’Etat en charge de ces questions. Car il rappelle que les interventions de ses équipes dépassent le simple cadre des ministères pour toucher aussi les entreprises privées (13 techniciens de l’ANSSI ont été dépêchés pour régler le problème de TV5 Monde par exemple).

Sur le dialogue DSI et direction juridique, il précise que la sécurité est une affaire collective au sein de l’entreprise et la capacité de réaction est essentielle en cas d’attaques. Pour la partie juridique, il promeut l’usage de solutions qui ont été certifiées par l’ANSSI et applique les bonnes pratiques en matière de règles de sécurité.

Une réglementation et des contrats plus exigeants

Georgie Courtois, associé au cabinet d’avocats De Gaulle Fleurance & Associés, a estimé que le regard des juristes d’entreprises avait changé sur la sécurité informatique. Le cadre réglementaire est en train d’évoluer en les impliquant plus. Il rappelle qu’aujourd’hui, seuls les opérateurs de télécommunications sont soumis à la notification d’incident entraînant la perte de données personnelles. La loi de programmation militaire rend obligatoire cette notification pour tous incidents chez les OIV (opérateur d’importance vitale).

En attendant une généralisation dans le cadre d’un règlement européen, les responsables juridiques doivent donc s’assurer que leur société dispose d’outils de protection (notamment certifiés ANSSI, norme ISO, etc). Par ailleurs, il souligne que plusieurs intrusions ont impliqué des sous-traitants et leur responsabilité solidaire avec l’opérateur primaire doit être contractualisée.

Les bonnes pratiques sur les preuves numériques

Reste que les attaques informatiques sont quasi-quotidiennes et comme le rappelle Guillaume Poupard et il faut prendre conscience que la situation va perdurer. La question de l’intervention judiciaire et des enquêtes a été évoquée par Valérie Maldonado, commissaire divisionnaire et chef de l’Office Central de lutte contre la cybercriminalité (OCLCTIC) à la Direction centrale de la police judiciaire de Paris. En cas d’attaques, la conversation et l’analyse des preuves numériques est importante pour pouvoir déposer une plainte.

Le premier contact avec le RSSI est primordial, explique la spécialiste, pour connaître plusieurs éléments comme la datation de l’attaque (il se passe souvent beaucoup de jours avant la découverte de l’intrusion), les secteurs de l’entreprise où il y a eu des anomalies, préparer des copies de support… Tout ceci doit être fait, jusqu’à un certain point tempère la commissaire, comme ne pas empêcher les équipes techniques d’intervenir ou ne pas modifier la preuve.

L’exercice est complexe et compliqué, et il fait intervenir à la fois les compétences de la division informatique pour remédier au problème et la direction juridique qui doit suivre le processus contentieux en cas de poursuites. Et les cas sont nombreux, souligne Valérie Maldonado. Cela va de l’employé indélicat qui subtilise des données sensibles pour les vendre à la concurrence ou pour s’en servir comme moyen de chantage, à la cybercriminalité organisée qui nécessite une coordination européenne ou internationale. Il s’agit donc ensemble de trouver des bonnes pratiques pour une meilleure coordination.

La coopération entre les DSI et les directions juridiques sur les questions de sécurité ne semble plus faire débat. Il reste néanmoins la barrière du langage commun qui reste encore à définir, mais avec le dialogue et l’écoute les lignes bougent. Les incidents sont hélas souvent le moyen de se remettre en question et de mieux trouver des solutions ensemble.

Lire aussi : Cybersécurité : Inria pilote le transfert de technologies