« Un DSI m’explique qu’il est difficile de comprendre ce que dit un directeur juridique, je lui réponds que c’est difficile pour ce dernier de comprendre ce que fait un DSI », a indiqué en préambule Jean David Sichel, directeur juridique de TBWA France. Une boutade qui a planté le décor de la soirée organisée conjointement entre Agora DSI et celle des directeurs juridiques. Le sujet choisi, « pour tout savoir sur les enjeux de la sécurité numérique des secteurs publics et privés », prêtait moins à sourire.
Robert Eusèbe, président de l’Agora DSI et directeur des services numériques chez Ingérop était chargé d’animer la soirée et a échangé avec plusieurs invités. Le premier à passer sur le grill des questions n’est autre que Guillaume Poupard, directeur général de l’ANSSI. Il a d’abord, comme à son habitude, expliqué les missions de l’agence notamment à l’attention des responsables juridiques un peu moins au fait des services de l’Etat en charge de ces questions. Car il rappelle que les interventions de ses équipes dépassent le simple cadre des ministères pour toucher aussi les entreprises privées (13 techniciens de l’ANSSI ont été dépêchés pour régler le problème de TV5 Monde par exemple).
Sur le dialogue DSI et direction juridique, il précise que la sécurité est une affaire collective au sein de l’entreprise et la capacité de réaction est essentielle en cas d’attaques. Pour la partie juridique, il promeut l’usage de solutions qui ont été certifiées par l’ANSSI et applique les bonnes pratiques en matière de règles de sécurité.
Georgie Courtois, associé au cabinet d’avocats De Gaulle Fleurance & Associés, a estimé que le regard des juristes d’entreprises avait changé sur la sécurité informatique. Le cadre réglementaire est en train d’évoluer en les impliquant plus. Il rappelle qu’aujourd’hui, seuls les opérateurs de télécommunications sont soumis à la notification d’incident entraînant la perte de données personnelles. La loi de programmation militaire rend obligatoire cette notification pour tous incidents chez les OIV (opérateur d’importance vitale).
En attendant une généralisation dans le cadre d’un règlement européen, les responsables juridiques doivent donc s’assurer que leur société dispose d’outils de protection (notamment certifiés ANSSI, norme ISO, etc). Par ailleurs, il souligne que plusieurs intrusions ont impliqué des sous-traitants et leur responsabilité solidaire avec l’opérateur primaire doit être contractualisée.
Reste que les attaques informatiques sont quasi-quotidiennes et comme le rappelle Guillaume Poupard et il faut prendre conscience que la situation va perdurer. La question de l’intervention judiciaire et des enquêtes a été évoquée par Valérie Maldonado, commissaire divisionnaire et chef de l’Office Central de lutte contre la cybercriminalité (OCLCTIC) à la Direction centrale de la police judiciaire de Paris. En cas d’attaques, la conversation et l’analyse des preuves numériques est importante pour pouvoir déposer une plainte.
Le premier contact avec le RSSI est primordial, explique la spécialiste, pour connaître plusieurs éléments comme la datation de l’attaque (il se passe souvent beaucoup de jours avant la découverte de l’intrusion), les secteurs de l’entreprise où il y a eu des anomalies, préparer des copies de support… Tout ceci doit être fait, jusqu’à un certain point tempère la commissaire, comme ne pas empêcher les équipes techniques d’intervenir ou ne pas modifier la preuve.
L’exercice est complexe et compliqué, et il fait intervenir à la fois les compétences de la division informatique pour remédier au problème et la direction juridique qui doit suivre le processus contentieux en cas de poursuites. Et les cas sont nombreux, souligne Valérie Maldonado. Cela va de l’employé indélicat qui subtilise des données sensibles pour les vendre à la concurrence ou pour s’en servir comme moyen de chantage, à la cybercriminalité organisée qui nécessite une coordination européenne ou internationale. Il s’agit donc ensemble de trouver des bonnes pratiques pour une meilleure coordination.
La coopération entre les DSI et les directions juridiques sur les questions de sécurité ne semble plus faire débat. Il reste néanmoins la barrière du langage commun qui reste encore à définir, mais avec le dialogue et l’écoute les lignes bougent. Les incidents sont hélas souvent le moyen de se remettre en question et de mieux trouver des solutions ensemble.
A lire aussi :
Les DSI dépensent plus dans la sécurité, le Big Data et le Cloud
Les RSSI veulent faire du DSI un porte-parole de la sécurité
À la grogne des partenaires VMware, Broadcom répond par diverses concessions.
iPadOS a une position suffisamment influente pour être soumis au DMA, estime la Commission européenne.
FT Group, éditeur du Financal Times, a signé un accord avec OpenAI afin d'utiliser ses…
Au premier trimestre, Microsoft, Meta/Facebook et Alphabet/Google ont déjà investi plus de 32 milliards $…
La société britannique de cybersécurité Darktrace a accepté une offre de rachat de 5,32 milliards…
Silicon et KPMG lancent la deuxième édition de l'étude Trends of IT. Cette édition 2024…