La sécurité informatique n’est pas seulement une question de technologies. Elle dépend également de l’organisation de l’entreprise et des contraintes règlementaires et légales qui définissent son contexte.
1. Tout peut être surveillé sauf la vie privée
La loi "Informatique et Liberté" garantit la confidentialité des informations à caractère personnel :« Le responsable du traitement doit mettre en œuvre les mesures techniques et d’organisation appropriées pour protéger les données à caractère personnel contre la destruction accidentelle ou illicite, la perte accidentelle, l’altération, la diffusion ou l’accès non autorisés, notamment lorsque le traitement comporte des transmissions de données dans un réseau, ainsi que contre toute autre forme de traitement illicite ».
2. La cybersurveillance ne se fait pas sans déclaration préalable
En effet, toute surveillance du SI entrainant la surveillance des comportements des utilisateurs (firltrage d’URL par exemple) implique la déclaration préalable auprès de la CNIL et l’information des utilisateurs, notamment via une charte (mais la charte n’a pas de valeur juridique).
3. Il faut conserver toute trace de ce qui entre et sort du réseau
L’entreprise doit être en mesure de tracer les flux d’information qui entrent et sortent de son réseau. Soit pour des contraintes règelementaires, comme la traçabilité des informations financières pour les entreprises cotées (SOX ou LSF), soit pour prouver que la machine qui a servi de rebond pour une attaque a été préalablement piratée.
4. La sécurité informatique est sous la responsabilité du chef d’entreprise
Au même titre que la sécurité des locaux ou des personnes, la sécurité du SI est sous la responsabilité des gérants de l’entreprise, ce sont eux qui seront poursuivis en cas de violation de la loi. Cela signifie que c’est une préoccupation de Direction Générale que d’être en conformité avec la règlementation.
