Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Ne pas filtrer aujourd’hui, est-ce dangereux ?

juin 2009 par Emmanuelle Lamandé

Olfeo a co-écrit un livre blanc en partenariat avec le cabinet d’avocats Alain Bensoussan sur le thème « Filtrage et Internet au bureau : enjeux et cadre juridique ». Face aux menaces liées à l’utilisation d’Internet en entreprise, est-ce trop risqué de ne pas contrôler le trafic des collaborateurs ? Quelles sont les obligations légales ?

Alexandre Souillé, Président d’Olfeo, souligne les principales menaces liées à l’utilisation d’Internet en entreprise :
 Le risque juridique pour l’employeur, à la fois pénal et civil,
 Le risque de sécurité. Les nouvelles utilisations non professionnelles d’Internet développent de nouvelles vulnérabilités pour l’entreprise et son SI. Selon JDN, 80% des attaques ont pour origine la fréquentation de sites infectés par les utilisateurs au sein de l’entreprise. Le temps passé sur Internet à des fins personnelles au bureau ne cesse d’augmenter.
 Ce phénomène a pour conséquences une chute de la productivité. Selon Olfeo, le temps perdu par l’usage personnel d’Internet en entreprise représente une perte de productivité de 15,7%, soit 6 semaines de congés par an.
 La surconsommation de la bande passante : les nouveaux usages d’Internet demandent des ressources en bande passante de plus en plus importantes.
 Le risque de fuite d’informations : l’utilisation de médias comme la messagerie instantanée ou les réseaux sociaux peut conduire les employés à diffuser des informations confidentielles.

Le droit des filtres

Il existe un problème de compréhension de la notion de filtrage au sens juridique du terme, souligne Eric Barbry, Avocat, Cabinet Bensoussan. On parle de filtrage des accès, de contenu, de personnes ou encore de filtrage protocolaire. Pourtant, la notion de filtrage est apparue juridiquement dès 1999. La décision de 276/1999 CE mettait en avant « le fait que les outils de filtrage constituent des éléments essentiels pour assurer un environnement plus sûr sur Internet ». Il aura fallu 10 ans pour que ça se développe. Néanmoins, il n’existe pas pour le moment de loi dédiée aux logs ou aux filtres.

Ne pas filtrer aujourd’hui, est-ce dangereux ?

Ne pas filtrer, c’est ne pas respecter la loi, engager sa responsabilité, ne pas pouvoir se séparer d’un collaborateur « trop connecté » et enfin ne pas être un « bon professionnel ». Mettre en place une solution de filtrage fait partie des bonnes pratiques. Pour Eric Barbry, il s’avère trop risqué de ne pas contrôler le trafic des collaborateurs.

Ne pas filtrer représente un risque juridique à trois niveaux :
 un premier risque entoure les sites présentant un caractère illicite,
 un second niveau de risque existe lorsque les entreprises sont légalement tenues de mettre des outils de contrôle d’accès à Internet et décident de ne pas satisfaire à cette obligation légale,
 enfin, le risque juridique est lié à la responsabilité du chef d’entreprise face aux agissements de ses préposés.

L’obligation légale de filtrage concerne principalement les fournisseurs d’accès à Internet (article 6 I.-1° de la LCEN). A priori, la LCEN vise les fournisseurs d’accès au sens premier du terme, néanmoins le doute s’installe au regard de l’article L.34-1 du Code des postes et communications électroniques qui élargit de manière considérable la notion même d’opérateur de communications électroniques. L’obligation concernerait alors toute personne permettant au public une connexion à Internet (espace d’accès libre à Internet, point d’information publique, cybercafés,…). Le doute se renforce par l’arrêt de la Cour d’appel de Paris du 4 février 2005 qui aurait, pour certains auteurs, assimilé l’employeur, qui donne accès à ses employés à Internet, à un fournisseur d’accès. Les entreprises ont-elles alors l’obligation de filtrer ?

Cette problématique s’inscrit dans le débat relatif au niveau de responsabilité de l’employeur face à un usage illicite de l’Internet par ses employés. L’article 1384 alinéa 5 du code civil pose le principe d’une possible responsabilité de l’employeur concernant les agissements de ses employés, y compris sur Internet. De plus, au regard de l’article 121-2 du Code pénal, la responsabilité pénale de l’employeur est susceptible d’être engagée. « Que l’employeur soit tenu de manière exprès ou qu’il soit vivement invité, selon le fameux principe de précaution, il est dans son intérêt aujourd’hui de mettre en œuvre et de déployer des mesures de contrôle d’accès à Internet ».

Qu’en sera-t-il demain, avec des lois comme Hadopi ou Loppsi ?

Demain, des réglementations, qu’il s’agisse d’Hadopi, Loppsi ou autre, imposeront le filtrage aux entreprises. Depuis 2001, sept lois autour de la sécurité ont été adoptées, c’est une tendance forte.

Pour Eric Barbry, dans le futur de la jurisprudence, on retrouvera certainement une jurisprudence sur l’absence de filtrage, une jurisprudence sur la mise en œuvre des filtres, une responsabilité parentale, une évolution juridique vers l’employeur, avec peut-être une évolution du code du travail, ainsi qu’une évolution de la cybersurveillance.

Olfeo, une passerelle française de sécurité Internet

La société Olfeo propose une passerelle française de sécurité Internet, qui comprend 4 briques indépendantes :
 le filtrage d’url : il permet de réguler l’accès Internet à travers des catégories conformes au droit pénal et aux habitudes de surf des français.
 le filtrage protocolaire : il permet de bloquer les contenus indésirables qu’elle que soient les formes qu’ils peuvent prendre. Il reconnaît plus de 100 protocoles, regroupés dans une liste d’une vingtaine de thèmes (messagerie instantanée, P2P,…).
 un antivirus de passerelle : associé au filtrage d’urls, il permet d’offrir une double couche de protection. Olfeo s’appuie sur les signatures du produit ClamAV et s’enrichit fonctionnellement avec le filtrage url Olfeo.
 cache QoS : en parallèle de filtrage url et protocolaire, le cache et la QoS vont permettre de privilégier les flux autorisés pendant les heures de bureau.


Voir les articles précédents

    

Voir les articles suivants