Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique





















Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Pascal Agosti, Cabinet Caprioli & Associés : la QoS, un concept central pour la gestion de la sécurité des SI

décembre 2008 par Pascal Agosti, Avocat associé, Docteur en droit, Cabinet Caprioli & Associés

Les systèmes d’information sont positionnés aujourd’hui comme la colonne vertébrale des entreprises et des organisations. Leur sécurité constitue donc un enjeu essentiel pour la bonne marche de celles-ci. Ainsi, en cas de déni de services, d’intrusion ou d’inaccessibilité du système d’information, leur image est rapidement mise à mal par les médias (comme, par exemple, la SNCF dont le site a été inaccessible plus de cinq heures fin novembre 2008). Outre ce préjudice d’image, la continuité de services est également visée par les textes pour certains secteurs comme le secteur financier (banques, compagnies d’assurance…) qui prévoit cette continuité dans le corps du Règlement CRBF 97-02 en date du 21 février 1997 relatif au contrôle interne des entreprises de crédit et d’investissement ou les entreprises dites vitales (articles R. 1332-1 et s. du Code de la défense et arrêté du 2 juin 2006 fixant la liste des secteurs d’activité d’importance vitale comme le secteur militaire de l’Etat et le secteur des communications électroniques).

La qualité de service (« Quality of Services » ou (QoS) en anglais) est, pour ces raisons, un concept central pour la gestion de la sécurité des systèmes d’information. On rappellera que le Droit a d’ores et déjà pris en compte cette question dans un cadre contractuel. Les contrats conclus avec des prestataires externes prévoient, le plus souvent dans une annexe détaillée, les engagements de niveaux de service concernant un système d’information fondés sur la disponibilité, l’intégrité, la fiabilité, la maintenabilité du ou des systèmes d’information concernés et ce pour chacun des processus métier de l’entreprise. Il s’agira de déterminer les indicateurs et les mesures y afférents eu égard aux résultats escomptés par le client. Ces indicateurs pourront évoluer dans le temps. Une clause de pénalité – point souvent difficile lors des négociations – viendra sanctionner tout manquement à ces indicateurs. Un arrêt de la Cour de cassation (cass.com. 7 mars 2006 IRD c/Atos) a démontré l’importance de cette qualité du service pour les contrats d’infogérance (prestataire externe).

Une entreprise doit, au préalable, analyser les risques juridiques auxquels elle est exposée

Allant au-delà de ce premier instrument de mesure de la qualité d’un prestataire externe, une telle démarche s’est développée – en interne, le plus souvent par les RSSI – dans le domaine de la sécurité des systèmes d’information où les équipes sécurité mettent en œuvre des procédures destinées à assurer au mieux la sécurité, la disponibilité et la continuité de services (mais aussi la réversibilité de services dans le cas où l’entreprise recourt à des prestataires externes). Or, la construction d’une telle démarche nécessite une analyse préalable des risques juridiques auxquels l’entreprise ou l’organisation s’expose. De ce fait, un audit des exigences posées par les textes législatifs, réglementaires mais aussi par des jurisprudences issues de la Cour de cassation, est devenu un prérequis nécessaire pour assurer une certaine prévisibilité juridique pour les organisations. Par exemple, le contrôle de la conformité légale des données à caractère personnel collectées, traitées et archivées est devenu incontournable depuis la loi du 6 août 2004, modifiant la Loi Informatique et Libertés. Le renforcement des peines et amendes liées au non respect des exigences en matière de données à caractère personnel, l’attribution d’un pouvoir de sanction à la CNIL (ex : 45.000 euros d’amende à une banque pour entrave à son action, 5.000 euros d’amende à une étude d’huissier) démontre la volonté des pouvoirs publics d’assurer une parfaite transparence dans le cadre de leurs pratiques tant commerciales que simplement techniques. D’autres corps de règles (Code pénal, Code civil, Loi pour la confiance dans l’économie numérique…) impacteront directement les procédures de qualité et de sécurité mises en place en interne.
Un référentiel juridique de la sécurité des systèmes d’informations doit être établi au regard des besoins et des risques juridiques à couvrir du point de vue de la conformité légale.

Une veille juridique et technique est nécessaire

Une fois cet état des lieux dressé, les entreprises doivent intégrer les préconisations juridiques sous forme des procédures ou des processus finalisés. Ainsi, très souvent, dans un souci de gestion de la sécurité de leurs systèmes d’information, les grands groupes édictent des politiques diverses et variées (politique de sécurité, d’accès, de confidentialité, de cryptologie, de sécurité, d’archivage des documents (mails, documents signés, …), d’horodatage, voire de gestion de preuve…). Bien évidemment, une veille juridique et technique est rendue nécessaire du fait de l’évolution constante des menaces informatiques et des textes applicables en la matière (référentiels juridiques SSI).

Il convient de rappeler que des normes internationales, telles que les normes ISO/CEI 27001 et ISO 27005, fixent les méthodes et pratiques en matière de système de gestion de sécurité de l’information. En guise d’exemple, la norme ISO 27001 fixe les étapes nécessaires à une démarche de sécurité des systèmes d’information. Elles consistent à :
- définir le périmètre du Système de gestion de sécurité de l’information ;
- apprécier les risques sur ce périmètre ;
- sélectionner les mesures de sécurité à appliquer ;
- les mettre en œuvre dans le cadre d’un plan de traitement des risques, notamment en sensibilisant et en formant les utilisateurs ;
- définir des indicateurs et élaborer les tableaux de bord pour mesurer l’amélioration ;
- et organiser des revues de direction et prendre les mesures adéquates en fonction de la situation observée.
De nombreux domaines juridiques sont concernés par les audits et l’implémentation de ces normes (ex : compliance et autres).

Ces normes, bien que dépourvues de force obligatoire, servent à déterminer l’état de l’art dans le domaine auquel elles se rapportent. Leur respect dans un environnement juridique connu conduit à une amélioration du service fournie par l’entreprise, en précisant non seulement les obligations et responsabilités de tous les acteurs de la sécurité mais aussi en assurant la conformité légale du système d’information.


Articles connexes:


Voir les articles précédents

    

Voir les articles suivants