 Le
droit, outil de management de la sécurité technologique
Par Gérard Haas - 2002
« Tout homme qui est mal informé
ne peut s'empêcher de mal raisonner » Colbert
L'incontournable introduction des technologies dans les entreprises
génère des risques que les agents économiques doivent aussi
manager grâce à l'outil juridique.
Même incertain, le risque doit être maîtrisé, tant sur le plan
technique que juridique, pour en réduire les effets et aussi
valoriser le patrimoine informationnel de l'entreprise.
1. Prédire l'imprévisible, c'est possible
" Poser les questions, c'est les résoudre "
Albert Einstein
Aujourd'hui, on traite le risque dans son sens philosophique,
c'est-à-dire celui de la prise de risque, plutôt que sa couverture.
La société moderne tout entière est organisée autour du risque,
selon le sociologue allemand Ulrich Beck (" La société du risque
") ou encore de la rupture, c'est-à-dire de soudaines transitions
d'un état stable à une situation de crise. Ce n'est pas, que
cette société serait plus risquée qu'une autre et que nous devrions
faire face à davantage de risque que jadis, mais plutôt parce
que c'est à travers le risque que l'homme prend conscience de
lui-même. Autrement dit, lorsqu'il prend conscience de lui-même
comme individu, l'homme découvre que ses possibles dépendent
moins de lui que de décisions prises par d'autres.
Pour certains, l'entreprise devant être organisée autour du
partage du risque, elle présenterait avant tout comme une association
d'hommes et de femmes qui partagent les risques de succès( par
l'aménagement des formes de rémunération) ou d'échec d'un projet
(par diverses formes de mutualisation qui n'abandonnent personne).
Pour d'autres, il convient de définir les risques qui relèvent
de la gestion de l'entreprise dans les relations de travail
( accident du travail, formation, etc. ) et ceux qui doivent
être pris en charge par la société globale (maladie, intempéries…)
Ainsi, au niveau des entreprises, la maîtrise du risque fait
désormais partie intégrante du management, il sert à désigner
toutes les menaces dont il faudrait se protéger ou les dommages
qu'il faudrait indemniser.
C'est aussi, l'attitude adoptée face au risque qui va différencier
les agents économiques car la situation devient risquée lorsque
son issue n'est pas totalement maîtrisée par son initiateur.
1.1. Ajuster la mesure au type de risque
Les entreprises prendront des mesures allant de la simple précaution
à la gestion de la responsabilité, selon le type de risque :
• potentiel : il faut alors l'évaluer
et prendre toute précaution juridique
• avéré : il n'existe pas encore mais
nécessite des actions de prévention juridiques ( mises en garde…)
• inexcusable : il est alors indispensable
de gérer le risque de responsabilité, contractuelle ou délictuelle,
par le bais du contrat.
Notamment, la rédaction de la clause de cas de force majeure
fera l'objet d'un soin particulier. Elle peut en effet exonérer
de responsabilité contractuelle si le risque constitue u un
événement imprévisible, insurmontable et extérieur aux parties.
Il n'y aura ainsi "lieu à aucun dommages et intérêts lorsque
par suite d'une force majeure…. le débiteur a été empêché de
faire ce à quoi il s'était obligé ou a fait ce qui lui était
interdit" au titre de l'article 1148 du Code civil. De la même
façon, sur le plan délictuel, la preuve d'un cas de force majeure
supprimera la responsabilité de celui qui cause un dommage à
autrui de son propre fait ou du fait de personnes dont il répond
ou d'une chose qu'il a sous sa garde, prévue par l'article 1384
du Code civil.
1.2. Manager le risque avec méthode
Cette gestion du risque doit s'effectuer dans une perspective
temporelle : d'une part, le risque d'aujourd'hui c'est la possibilité
d'un dommage ou d'un gain demain ; d'autre part, le temps doit
permettre d'éviter que les risques se répètent.
La gestion du risque doit aussi être appréhendée individuellement
par chaque agent économique.
La sécurité des systèmes d'informations nécessite enfin, outre
des ressources économiques et technologiques, le recours à des
outils juridiques. Le droit contribue en effet à améliorer la
sécurité informatique car il fixe une norme et sera utilisé
comme instrument de solution des conflits.
Des mesures juridiques pourront ainsi être prises à titre préventif
(notamment au niveau des dispositions contractuelles, des délégations
pénales) pour réduire les responsabilités (risques et conséquences
dommageables - prévisibilité du domaine de responsabilité de
chacun, quantum des réparations en cas de mise en cause). Et
à titre curatif, via un contrôle formel et normatif dans l'entreprise.
C'est la mise en œuvre d'une démarche volontaire, planifiée,
méthodique et globale qui constitue la meilleure garantie pour
les entreprises de gérer leurs responsabilités et maîtriser
leur destin. A défaut, une bulle de risques va se former dans
l'entreprise, sans qu'elle en ait forcément conscience. Et elle
risque d'éclater d'un moment à l'autre.
2. Mieux connaître les risques d'atteintes, c'est déjà s'en
prémunir
" Lorsqu'on s'est trompé, il faut persévérer, cela donne raison "
Napoléon
L'entreprise se protégera d'autant mieux si elle connaît les
atteintes dont elle risque de faire l'objet. Ceux-ci peuvent
provenir de l'intérieur comme de l'extérieur.
2.1. Risque interne : l'utilisation des outils informatiques
par les salariés
La Cour de cassation a considéré, le 2 octobre 2001 que les
correspondances électroniques sont protégées par le secret des
correspondances. Dans cette affaire, un employeur, qui avait
expressément interdit l'usage personnel des ordinateurs par
ses salariés, découvre que l'un d'entre eux exerçait une activité
parallèle pendant son temps de travail et utilisait à des fins
personnelles du matériel mis à sa disposition par la société.
Le salarié, licencié pour faute grave, a contesté en justice
son licenciement. La Cour d'appel de Paris l'a débouté sur la
base des mails produits par l'employeur attestant de cette activité
parallèle. La Chambre sociale de la Cour de cassation a cassé
cet arrêt.
L'employeur ne peut dès lors prendre connaissance des messages
personnels émis par le salarié et reçus par lui grâce à un outil
informatique mis à sa disposition pour son travail, même lorsque
l'employeur a interdit une utilisation non professionnelle de
l'ordinateur. Les chartes informatiques ne suffisent donc pas
à autoriser une stricte surveillance.
Autre risque interne : l'usage des outils informatiques pour
nuire à l'entreprise
En revanche, tout abus d'utilisation personnelle reste sanctionnable.
D'ailleurs, les juridictions de première instance sanctionnent
l'usage par des salariés ( ou anciens salariés) des outils informatiques
dans l'intention de nuire à leur employeur (ou ancien employeur).
Ainsi, le fait pour un salarié licencié d'envoyer à ses anciens
collègues, sur la messagerie mise à leur disposition sur le
lieu de travail, des messages les invitant à consulter un site
au contenu dénigrant leur employeur, constitue une faute justifiant
la condamnation de l'intéressé à réparer le préjudice qui en
est résulté (TGI Paris, 9 mai 2001, Sté Sage France SA c/ Duarte).
De la même façon, un salarié a été condamné pour avoir utilisé
Internet dans le seul but de saturer le système informatique
de son ancien employeur (TGI Lyon, 20 février 2001, Procureur
de la République près le TGI de Lyon c/ Combe).
2.2. Risque externe : l'escroquerie via le net
L'entreprise peut aussi être victime d'escroquerie sur le réseau.
Le CLUSIF a dressé un inventaire des types d'escroqueries sur
Internet :
• rumeurs pour faire monter ou chuter
les cours de la bourse
• conseils payants pour placements boursiers
fantômes
• conseils pseudos indépendants, en fait
rémunérés par certaines entreprises intéressées
• systèmes pyramidaux, dans lesquels
les personnes escroquées sont encouragées à recruter d'autres
futures victimes par la promesse de gains supérieurs
• sites web vitrines de fausses sociétés
• sites web usurpant l'apparence de vraies
institutions financières
• achats en ligne sans livraison de biens
Face aux menaces inquiétantes liées à la circulation de rumeurs,
la COB a émis, au mois de juillet 2001, un avis sur les forums
de discussions. Elle a rappelé que toute manipulation financière,
même engendrée par une simple discussion sur un forum, est passible
de deux ans de prison ainsi que d'une amende pouvant aller jusqu'à
900 000 euros.
2.3. Autre risque externe : le fléau des virus
Les virus se développent et se multiplient, provoquant de lourds
dégâts. Un virus peut par exemple, au-delà de la perte de fichiers,
falsifier la date de renouvellement des marques et des brevets
de l'entreprise, puis effacer toute trace de passage du virus.
3. Mettre en place des instruments de mesure des risques
" Il faut se méfier des ingénieurs, ça commence par la
machine à coudre et ça finit par la bombe atomique "
Marcel Pagnol
Des procédures internes de valorisation et de mesure des risques
de défaillance statistique (panne d'une machine) ou structurelle
doivent permettre la mise en place des modalités de régulations
destinées à dissoudre cette sphère de risques technologiques.
3.1. Sécuriser les infrastructures
Le monde technologique est dangereux. Les entreprises doivent
sécuriser leurs infrastructures et sauvegarder leurs données.
Bref, l'heure est à la sécurité informatique et au stockage.
La sécurité logique (collecte des journaux d'enregistrement,
logs des serveurs et postes de travail de l'entreprise) ainsi
que la sécurité physique (équipement de contrôle de l'accès
au locaux, badges etc.) constituent des solutions complémentaires
indispensables dans les stratégies sécuritaires.
3.2. Centraliser les accès aux postes et applications
L'entreprise doit obtenir une vue générale des accès de chaque
salarié, qu'il passe une porte ou se connecte à un ordinateur
pour accéder à son e-mail ou à une base de données clients.
Ces données doivent être constamment enregistrées et analysées
afin de permettre de relever les comportements anormaux et de
les signaler à l'administrateur réseau.
3.3. Disposer d'instruments d'analyse et de mesure de la vulnérabilité
du système informatique
La dépendance des entreprises à l'égard de leur système informatique
s'accroît régulièrement. Or dans le meilleur des cas, si l'entreprise
subit des pertes consécutives à une dégradation matérielle,
l'assureur n'indemnisera que l'opération de back-up de données.
La question du management des risques informatiques devient
donc fondamentale : l'entreprise doit mesurer son risque de
sinistralité informatique et ses conséquences.
Cette analyse du réseau doit ensuite être suivie dans le temps
( recensement régulier des vulnérabilités, logiciel de surveillance,
analyse de performance, etc.) et être complétée par un suivi
juridique permanent des réalisations.
3.4. Réaliser une évaluation des facteurs de risques
L'entreprise doit auditer les risques induits par :
• l'utilisation des systèmes de surveillance
(caméras, badges…)
• l'utilisation des technologies de l'information
( web, e-mail…)
• le respect de la loi Informatique et
libertés
• la confidentialité
• le contrat informatique sous l'angle
de la sécurité et de la gestion juridique des risques (analyser
les vulnérabilités au moyen d'une grille reprenant les principaux
risques, dresser les points de faiblesse et renforcer la sécurité
juridique via des avenants de sécurité)
• le secret de fabrication
• le lobbying
• l'intégrité des salariés
4. Perfectionner les mesures de sécurité juridiques
" les grandes questions de responsabilité morales ne doivent
pas
nous faire perdre de vue les questions d'ordre et de comptabilité
"
Casimir Perier
La sécurité est souvent définie par son contraire : elle serait
l'absence de danger, de risque, d'accident ou de sinistre. Le
droit la définit ainsi par rapport à la notion de défaut. La
loi du 19 mai 1998 sur la responsabilité du fait des produits
défectueux précise ainsi qu'un produit "qui n'offre pas la sécurité
à laquelle on peut légitimement s'attendre" est un produit "défectueux".
Au sens de l'article 1386-4 du Code civil, la sécurité aurait
ainsi pour finalité de rendre nos actes efficaces, et donc de
rendre prévisible le résultat de ces actes, ainsi que d'assurer
le respect de la loi et de la réglementation en vigueur. La
loi de 1998 donne une définition circonstancielle de la sécurité
: " Dans l'appréciation de la sécurité à laquelle on peut
légitimement s'attendre, il doit être tenu compte de toutes
les circonstances et notamment…..". et fixe les règles de
responsabilité en cas de défaut de sécurité d'un produit.
Appliquée à la matière informatique, la sécurité regroupe l'ensemble
des moyens et des actions destinés à maintenir en exploitation
opérationnelle un système d'information ainsi qu'à en protéger
les accès, les programmes et les données.
Les entreprises doivent envisager les démarches nécessaires
à maîtriser l'évolution de leur environnement, à protéger le
pouvoir gestionnaire du chef d'entreprise et leur image de marque.
Concrètement, elles doivent :
• lister les actions prioritaires à mener
• se fixer un échéancier de réalisation
• rédiger ou amender les documents tels
que contrats, chaîne des processus et des engagements de responsabilités,
chartes régissant l'utilisation de l'accès à l'intranet et internet,
règlement intérieur
• consulter les représentants du personnel
• sensibiliser le personnel
• diffuser les informations
• former les managers, salariés et leurs
représentants
La gestion des risques technologiques concerne en effet plusieurs
acteurs de l'entreprise : l'employeur bien sûr, qui engage sa
responsabilité civile et pénale, mais aussi les managers qui
vont aider l'employeur à déterminer les données à risques (directeurs
des achats, DRH, DSI, directeurs de la communication, directeurs
commerciaux, directeurs juridiques).
Au-delà des métiers, ce sont les fonctions même dans l'entreprise
qui évoluent au contact des NTIC. La sécurité sera d'autant
plus efficace que ces différents départements seront coordonnés.
***
" La bouse de vache est plus utile que les dogmes ;
on peut en faire de l'engrais "
Mao Zetong
Le risque ainsi géré, loin de constituer un coût pour l'entreprise,
deviendra alors un véritable investissement de sécurité.
Il servira, en effet, à évaluer le patrimoine informationnel
de l'entreprise : le coût supporté pour mettre en place une
méthodologie, sortir des rapports réguliers d'évaluation et
instaurer une vraie politique de sécurité valorisera directement
les données traitées par l'entreprise.
|
