Intéressez vous au droit avant que le droit ne s’intéresse a vous
par Eric Barbry
Les aspects juridiques du monde de l’informatique bougent beaucoup ces derniers temps. Le problème c’est qu’en pratique, le temps manque pour s’y intéresser, même si nul n’est censé ignorer la loi.
Le travail des acteurs de la sécurité informatique est donc impacté par ces lois et le nombre de rôles attribués aux DSI/RSSI complexifie grandement le travail.
Le problème c’est que les données de l’entreprise et son périmètre deviens flou (télétravail, SaaS, Cloud …) et en prime les réseaux sociaux posent des problèmes concrets en matière de communication. Ajoutez à cela l’usurpation d’identité, les problèmes de suppression de contenus publiés indument sur internet, le phishing et les problématiques des licences open-source et vous obtenez un magnifique cocktail explosif au niveau juridique.
Avec cet explosion de problématiques techniques est arrivé une explosion du nombre de lois impactant les SI (et là c’est le drame, parce qu’il y en a beaucoup !!!)
La LOPSSI II avec l’usurpation d’identité condamnée, la vidéo-protection, l’intelligence économique … elle s’accompagne forcément d’obligations pour l’entreprise (sensibilisation des utilisateurs, définition de l’identité numérique )
Jeux d’argent et ARJEL : en dehors des sites agréés, il faut rendre inaccessibles les sites illégaux, etc…
LCEN : les décrets d’application sur la conservation des données de connexion pendant un an a un impact fort.
HADOPI : l’autorité est presque en place, et l’employeur a pour obligation de veiller aux usages de l’accès internet, et réagir aux notifications de coupure d’accès qui seront reçues par l’entreprise.
Loi Informatique et Libertés 3.0 : toute IP est à caractère individuel. Le correspondant Informatique et Liberté deviens obligatoire pour toute entreprise sous le coup de la loi I&L ou disposant de plus de 100 personnes connecté à son SI.
L’article 34 modifié qui impose l’obligation de sécuriser son système mais n’impliquait pas forcément d’obligation de résultat. Dans sa nouvelle mouture, c’est OBLIGATOIRE, et en cas d’incident il faut obligatoirement et sans délai contacter le CIL ou la CNIL (s’il n’y a pas de CIL) ainsi que l’ensemble des utilisateurs du SI impacté. La loi I&L étant déjà en vigeur, il n’y aura pas de délai de mise en application !!!
Et pour le reste des baffes je vous invite à regarder les slides quand ils seront dispo sur sstic.org…
2 réponses sur « SSTIC 2010 – Mercredi après-midi : 4ème conf »
Bonjour
bravo pour ce billet.
Il faudrait aussi évoquer le niveau très bas des antivirus : http://securiteoff.blogspot.com/2010/05/challenge.html
j'aurais plutôt tendance à rejoindre l'avis de sid sur ce point : http://sid.rstack.org/blog/index.php/405-antivirus-faut-il-encore-tirer-sur-l-ambulance
certes le niveau de sécurité des antivirus peut être perçu comme faible, mais bon faut voir ce qu'il y a en face aussi 🙂 et puis c'est les limites intrinsèques des techniques de détection employées, et de la sécurité du système d'exploitation sur lequel ils reposent.
si des initiatives comme celle d'iawacs perdurent, je pense que les choses irons dans le bon sens de ce coté là.
sinon coté juridique hum… disons que les contraintes que le DSI/RSSI ne pourra pas faire mieux que de mettre en œuvre des réponses adapté à certaines menaces, mais sa réponse restera limité par l'état de l'art de la défense. Et je ne pense pas qu'il pourra se voir accusé de négligence coupable suite à une infection de son parc informatique s'il à déployé une solution antivirus sur ce dernier…