Que cela soit pour protéger les secrets, pour veiller au respect de la vie privée des salariés, des clients ou au respect de la loi et à la protection des données, la sécurité des systèmes d’information est au cœur de l’actualité de nombreuses entreprises.
La démarche de protection juridique des systemes d'informations.
Aucune protection n’est parfaite. Les menaces viennent de l’intérieur comme de l’extérieur. Il s’agit de trouver un équilibre entre le contrôle des acteurs dans le cadre de la loi informatique et liberté, le respect de leur vie privée et la sécurité des données . La proportionnalité est ici une importante notion : si vous vendez des frites dans un snack et que vous mettez en place des solutions d’identification par biométrie, vous aurez du mal à justifier les moyens par rapport à la menace. À l’inverse, si vous détenez des données médicales et que vous travaillez avec un réseau wifi ouvert, vous aurez du mal à justifier votre imprudence. Le «je ne savais pas où je n’ai pas pensé n’est pas acceptable.»
La sécurité informatique est un processus permanent
Notons que la sécurité est un processus permanent, audit, correction, audit correction, etc.. La démarche permanente est la suivante : Étudier toutes les menaces Prendre en compte les conséquences et les quantifier Solutionner et limiter le risque juridique.
La normalisation au secours de DSI
Vous pouvez vous appuyer sur des normes et des processus comme la norme iso 29 000 et sur la famille ISO/IEC 27000 — Systèmes de gestion de sécurité de l’information. Extrait de ISO.org La famille de normes ISO 27000 aide les organisations à assurer la sécurité de leurs informations. Ces normes vous faciliteront le management de la sécurité des informations, notamment les données financières, les documents soumis à la propriété intellectuelle, les informations relatives au personnel ou les données qui vous sont confiées par des tiers. ISO/IEC 27001, qui expose les exigences relatives aux systèmes de management de la sécurité des informations (SMSI), est la norme la plus célèbre de cette famille. Il existe plus d’une douzaine de normes dans la famille ISO/IEC 27000.
Les bases de données
Au cœur des CRM et des systèmes d’informations, les BDD sont souvent l’un des actifs les plus stratégiques et les plus précieux des entreprises. En dehors des recours via le secret des affaires, exposé dans la page consacrée aux logiciels, l’’article L. 112-3 du code de la propriété intellectuelle protège les bases de données de deux façons : par son architecture en droit d’auteur, même s’il y a très peu d’exemples d’originalité reconnue à ce jour, et le contenu selon les dispositions des articles L. 341-1 et suivants, pour lequel la condition de la protection n’est plus à ce moment-là l’originalité de la base, mais l’investissement substantiel (financier, matériel ou humain) consenti pour réaliser cette base. La jurisprudence européenne compte notamment un arrêt concernant les moteurs de recherche (CJUE, 5e ch., 3 juin 2021, Aff. C-762/19, CV-Online Latvia) et en France, la cour d’appel de Paris a également reconnu ce droit à la société «le bon coin» sur sa base de données d’annonces (CA Paris, Pôle 5, 2e ch., 2 février 2021, n° 17/17688).
Un adage gravé dans le marbre !
Aucun système n’est inviolable et totalement sûr. Vous connaissez sans doute le vieil adage que les informaticiens utilisent : en informatique, le problème se situe entre la chaise et le clavier. Autrement formulé, tant qu’il y a un utilisateur, on ne peut pas être à l’abri d’un acte malveillant ou d’une maladresse. Il faut garder le système d’informations au service des organisations et la sécurité implique une restriction des libertés d’utilisation. Si l’outil prend le pas sur l’usage, alors le système est contreproductif. Ceci étant, la cybercriminalité est une vrai souci d’ampleur mondiale. .
Olivier NALLIS
Auteur et professionnel du marketing et de la communication numérique/analogique.