protection du patrimoine informationnel - cigref.typepad.fr · protection du patrimoine...
TRANSCRIPT
Pro
tect
ion
du
patr
imo
ine
info
rmati
on
nel
2007
-Fe
dIS
A-
CIG
REF
Protection du patrimoine informationnel
Eric Caprioli Paul De KervasdouéJean-François Pépin
Jean-Marc Rietsch
Pilote de l'ouvrage, JM Rietsch est expert des métiers de la confiance etplus particulièrement de l'archivage électronique. Ingénieur Civil desMines, JM Rietsch a débuté sa carrière professionnelle par le développementlogiciel et l'offre de services pour les PME-PMI. En 1993, il oriente sa carrière vers la sécurité et plus particulièrement la sauvegarde des données informatiques et dépose un brevet sur le sujet. En 2001, JM Rietsch participe au lancement du premier tiers archiveur en France.JM Rietsch est Président de FedISA (Fédération de l'ILM du Stockage etl'Archivage), créée en 2005 afin de pouvoir répondre aux attentes desutilisateurs dans le domaine. Il est également le fondateur de EIFISA(European Institute for ILM storage & Archiving), société spécialisée dansla formation sur le domaine et à l'origine d'un premier mastère sur l'archivage électronique « légal ».
Jean-Marc Rietsch
Avocat à la Cour de Paris, Docteur en droit, spécialiste en droit de la propriété intellectuelle et des NTIC, Expert aux Nations Unies sur lesquestions de droit du commerce électronique depuis plus de 12 ans,Membre du Comité directeur de la certification près le SGDN depuis 2003(arrêté du 28 janvier 2003, publié au JO), Président de l'associationnationale des professionnels de la propriété incorporelle (ANPPI). Auteurde nombreux articles sur la dématérialisation, la signature, la preuve et l'archivage électronique, conférences et ouvrages sur le droit de l'économie numérique, dont celui sur la Loi pour la Confiance dans l'économie numérique (LCEN), éditions LGDJ publié en janvier 2005. Voirle site du cabinet: www.caprioli-avocats.com. Fondateur du cabinet d'avocats Caprioli &Associés, Paris et Nice.
Eric Caprioli
Titulaire d'un master en sciences économiques et d'une formation CPA de HEC, Paul de Kervasdoué a effectué sa carrière comme responsableinformatique puis comme DSI dans le domaine de la finance avant de selancer dans le consulting. Il dispose de 30 ans d'expérience en sécuritédes technologies de l'information. Il fut également vice président duClusif pendant 12 ans et responsable de la commission d'évaluation de la sécurité des systèmes. Il dirige actuellement et depuis 11 ans lecabinet AQUIS (Actions pour la Qualité Informatique et la Sécurité) dontles domaines d'intervention concernent l'audit, la mise en place de plande continuité d'activité et l'évaluation des risques. Il intervient égalementcomme conférencier dans plusieurs universités et grandes écoles d'ingénieurs.
Paul De Kervasdoué
Délégué Général du CIGREF (www.cigref.fr) depuis juillet 2001, Jean-François PEPIN est diplômé du Centre de Perfectionnement auxAffaires (CPA) et Président fondateur du « Cercle Intelligence Economiqued’Entreprise » des Anciens HEC. Membre permanent de l’Académied’Intelligence Economique, il est le co-rédacteur du Manifested’Intelligence Economique d’Entreprise publié en 2006. Il est par ailleursDiplômé de l'Institut des Hautes Etudes de Sécurité Intérieure (IHESI -10ème session nationale), Auditeur au Centre d’Etudes Diplomatiques etStratégiques (session 2000) et à l’Institut des Hautes Etudes pour laScience et la Technologie (IHEST - 1ère Promotion - 2007). Jean-FrançoisPEPIN est chargé de cours à l’IAE (Institut d’Administration desEntreprises) Université de Paris I (Master Management des Associations).
Jean-François Pépin
Les
Au
teu
rs
Jean-Marc Rietsch
Eric Caprioli
Paul De Kervasdoué
Jean-François Pépin
1
Editorial Alain Juillet ................................................
Préface ..................................................................
Introduction ...........................................................
Les fiches ...............................................................
Sécurité technique
Fiche 1 - Définition du patrimoine informationnel ..............
Fiche 2 - Intégrité ........................................................
Fiche 3 - Identification/Authentification ..........................
Fiche 4 - Confidentialité ...............................................
Fiche 5 - Traçabilité/Preuve ..........................................
Fiche 6 - Pérennité/Archivage électronique .....................
Juridique
Fiche 7 - Les outils juridiques liés à la protection du patrimoine informationnel ........................................
Fiche 8 - La protection de l'information par le droit de la propriété intellectuelle .........................................
Fiche 9 - Obligations et responsabilités de l'entreprise et du chef d'entreprise .................................................
Assurance
Fiche 10 - Assurance perte d'exploitation informationnelle(PEI) - déterminer et garantir le risque ..........................
Enrichissement
Intelligence économique d’entreprise .............................
IE et Capital immatériel de l'entreprise ..........................
IE et Gestion des risques informationnels .......................
Index ..........................................................................
2
3
5
6
9
13
17
21
25
28
31
36
45
51
55
56
59
64
La
pro
tect
ion
du
patr
imo
ine
info
rmati
on
nel
2007
-Fe
dIS
A-
CIG
REF Sommaire
Dans le cadre de la globalisation, le développement des technologies del'information et de la communication est en train de bouleverser noshabitudes, nos techniques et nos méthodes. Des opportunités de marchéexistent partout pour ceux qui savent chercher et osent prendre desrisques calculés tandis que les menaces sont réelles pour les chantres del'immobilisme et du repli sur leur pré-carré national.
Le chef d'entreprise de demain devra intégrer la flexibilité, la réactivitéet la capacité de remise en cause permanente dans son mode de gouvernance pour être en mesure de se battre à armes égales avec desconcurrents venus de tous les horizons. Il devra prioritairement développersa recherche et s'orienter résolument vers l'innovation, tout en développantsa connaissance des marchés et de ses concurrents pour faire la coursedans le peloton de tête.
Tout ceci est rendu possible par la maîtrise de l'information stratégiqueutile permettant d'avoir tous les éléments d'appréciation nécessaire pourprendre à temps la bonne décision en attaque comme en défense. Ce constat montre combien la détention, le stockage et l'utilisation del'information sont devenus un véritable actif de l'entreprise qu'il convientde valoriser et de protéger face à des prédateurs en tout genre.
Depuis longtemps les opérateurs des pays occidentaux avaient pris l'habitude d'évaluer les entreprises sur des bases strictement financièresreposant sur des valorisations du patrimoine matériel et des flux. Depuisquelques années on a découvert qu'il fallait également prendre en comptele patrimoine immatériel pour avoir une juste évaluation de l'entreprise.
Chacun comprend les conséquences financières pour l'entreprise, d'undétournement de brevet, d'un piratage de documents, ou du vol d'unportable avec le fichier d'une négociation. Chacun comprend que lavaleur d'une bibliothèque ne s'évalue pas exclusivement au poids dupapier ou au nombre de mètres de livres qui y sont stockés.
Il est toujours frappant de constater combien nos concitoyens ont tendance à percevoir le capital immatériel comme la compilation desbrevets et des savoir-faire en oubliant que l'information en constitue unevaleur essentielle. Le capital informationnel avec ses données stockées,ses renseignements disponibles et ses analyses fournies aux décideurs,est un élément décisionnel indispensable qui doit être mieux valorisépour être reconnu.
Si l'on admet cette réalité on comprend l'absolue nécessité d'en assurerla protection tant en interne qu'en externe. Le capital informationnelcontient les clés pour la mise à niveau, le sursaut de croissance où l'ouverture de marchés pour un concurrent indélicat, ou pour faire fortuneen vendant les secrets de l'entreprise dans le cas d'un employé mécontent ou vénal. C'est une richesse de l'entreprise qu'il convient deprotéger au même titre qu'une usine ou un procédé de fabrication.
C'est tout le mérite des auteurs de ce livre blanc d'avoir travaillé sur lethème de la sécurité du patrimoine informationnel pour ouvrir les yeuxde nos concitoyens sur la valeur de ce capital et la nécessité de sa protection. Souhaitons, dans l'intérêt de tous, que les futurs nombreuxlecteurs en deviennent également convaincus.
Alain JuilletHaut Responsable à l'Intelligence Economique (HRIE)
Paris, Octobre 2007
Ed
ito
rial
Ala
inJu
illet
3
Did
ier
Lam
ber
t-
Jean
-Mar
cRie
tsch Le patrimoine informationnel de
l'entreprise a une forte valeurfinancière au titre de l'actif immatériel de l'entreprise et à cetitre doit être protégé. Ce peutêtre des données clients (données,voix et images), des logiciels maisons portables et documentés,du savoir faire, etc. Au même titreque le capital humain, il n'entrepas, en général, dans les valeursd'actifs financiers d'une entreprise.Par contre la valeur comptable deremplacement du capital humainest maintenant chiffrée et provi-sionnée dans le cadre du risqueopérationnel (Accords de Bâle II)pour la banque, la bourse et lessociétés d'assurances. Pourquoidès lors ne pas prendre en comptede la même façon la valeur financièredu patrimoine informationnel del'entreprise ? D'où l'enjeu à biendéfinir ce patrimoine, le protéger,le développer et l'enrichir.
Il est ainsi du devoir du chef d'entreprise entre autres par l'action du DSI, de manager cepatrimoine informationnel. Commeévoqué précédemment, il ne s'agitpas seulement de le sécurisermais aussi de pouvoir le développerharmonieusement et de le cultiver.Le sens en est ici d'en faire usageet de recueillir les fruits du patrimoineinformationnel propre à l'entreprise(l'usufruit). Le DSI dispose égalementdans ses fonctions du droit maisaussi de l'obligation de supprimercertaines données, comment fairealors pour ne pas détruire l'infor-mation ?
L'archivage électronique doit entreautres contribuer à protéger cepatrimoine sachant que le thèmede l'archivage électronique devientde plus en plus un sujet d'actualitépour bon nombre d'organisationstant publiques que privées. Cecis'explique certes par une augmen-tation extrêmement forte du volume de données électroniquesgérées au quotidien mais aussi parune évolution des technologies etsurtout des processus d'entreprisevoire des obligations nées à la
suite de différents événements.Pour preuve les plus récentes évolutions en la matière relativesaux réglementations financièresqui imposent désormais la conser-vation d'informations jusque lànégligées.
Ainsi que nous avons pu le traiterdans un précédent livre blanc « L'archivage électronique à l'usa-ge du dirigeant», la problématiquede l'archivage électronique ne selimite pas à une simple dématéria-lisation des techniques d'archivagetraditionnelles. Il est indispensablede prendre en compte l'ensembledu cycle de vie des données et dèslors, pourquoi ne pas profiter deces évolutions pour donner unenouvelle valeur à la donnée archivée.Ainsi, même archivée, l'informationpeut rester facilement accessibleet renforcer d'autant le systèmed'information de l'entreprise et par là même sa compétitivité enpermettant de disposer de labonne information au bonmoment.
Au regard de l'évolution des usages,des contraintes associées et destechniques, il existe aujourd'huiune véritable nécessité d'informerl'ensemble des parties prenantesintéressées aux questions de gestionet de conservation sécurisée del'information électronique.
FedISA, Fédération de l'ILM, duStockage et de l'Archivage a pourobjectif de véritablement répondreaux besoins identifiés et s'est fixéepour principales missions de :
- sensibiliser les responsablesconcernés aux nouvelles tech-nologies et aux obligations afférentes (obligation d'archiva-ge, de continuité d'activité, detraçabilité...) ;
- informer les utilisateurs sur les nouvelles technologies eneffectuant une véritable veilletant technologique que juridique,normative ou encore organisa-tionnelle et ce à un niveaunational et international ;
Pré
face
- donner au responsable de telsprojets les éléments permettantde pleinement les justifier parrapports aux risques encourus(légaux et financiers) et autresavantages compétitifs commeune meilleure réactivité ;
- participer à la formation à cesnouveaux métiers de l'entreprisecomme le « records manager ».
Pourquoi un partenariatCIGREF - FedISA ?
Compte tenu de sa mission « pro-mouvoir l'usage des systèmesd'information comme facteur decréation de valeur et source d'innovation pour l'entreprise », leCIGREF, association regroupant127 Grandes Entreprises françaises,est partenaire de cette publication.
Le présent ouvrage s'adresseessentiellement aux dirigeants etresponsables dans les entreprisesafin de les aider à y voir plus clair
Pré
face
Did
ier
Lam
ber
t-
Jean
-Mar
cRie
tsch
Didier LambertPrésident du CIGREF
et leur fournir les notions impor-tantes à avoir pour aborder cegenre de problématique.
Ce document est ainsi rédigéspour le chef d'entreprise et adres-sées au DSI, pour action en majorité à destination du ResponsableSécurité des Systèmes d'Information.
Au-delà de la sensibilisation il s'agit également de souligner lerôle essentiel que peut et doittenir le DSI compte tenu de saposition et de ses responsabilitésvis-à-vis de l'information en généralet de l'archivage en particulier entant que constituants essentiels ducapital immatériel de l'entreprise.Comme évoqué précédemment lapluralité des métiers concernés estindispensable et qui, mieux que leDSI, peut permettre d'établir undialogue entre les différentesfonctions concernées au sein del'entreprise sans oublier les autresparties prenantes intéressées.
Jean-Marc RietschPrésident de FedISA
Au fur et à mesure des progrèsincessants de notre société naissentparallèlement de nouveauxconcepts qui contribuent large-ment à semer le trouble voir lacomplexité là où il n'y a pas lieud'être. Plus nous avançons et plusce phénomène s'intensifie de tellesorte que le chef d'entreprise sevoit confronté à un ensemble d'informations apparemment dif-férentes mais qui au fond traitentdu même sujet et répondent à unemême préoccupation.
Au travers du cas particulier del'archivage électronique, de la sécuritéinformatique et de l'intelligenceéconomique nous allons nous efforcerde démontrer dans cet ouvrageque finalement le but poursuivi est quasiment le même, à savoirprotéger et enrichir le patrimoineinformationnel de l'entreprise.
Dans la mesure où cet ouvrageconstitue une des richesses del'entreprise au sens de son actifimmatériel, la sécurité consiste àprotéger ce dernier de façon généraletandis que l'archivage constitue undes éléments sécuritaires particulieren matière de pérennité et de lanon altération des données.L'intelligence économique peutêtre vue sous deux angles, l'unégalement de défense de ce patri-moine et un autre plutôt actifd'enrichissement de ce dernier.
La première partie concerne laprotection proprement dite dupatrimoine traitant de l'ensembledes aspects sécuritaires traditionnelsabordés également dans le sensde l'archivage électronique. Ladeuxième partie aborde lesaspects plus juridiques de cetteprotection et la responsabilité duchef d'entreprise face à son patri-moine. La troisième partie traite lafaçon de se protéger en matièred'assurance. Enfin la quatrième etdernière partie est plutôt destinéeà traiter la façon d'enrichir et de développer le patrimoine del'entreprise au travers de l'intelli-gence économique.
Première partie : Sécurité technique
Au niveau des éléments sécuritai-res à prendre en considérationnous nous appuyons sur la pratiqueen matière d'audit de sécuritéDICP (disponibilité, intégrité,confidentialité, preuve / traçabilité).Nous ajouterons à ces élémentsl'identification - l'authentification
et la pérennité, base de l'archivageélectronique.
Deuxième partie : Juridique
Il s'agit ici d'aborder la questionsdes outils juridiques liés à la protection du patrimoine information-nel, à savoir : politique de sécuritédes systèmes d'information, politique d'archivage, charte d'utilisation, contrats de travail,contrats avec les prestataires de services, les obligations deconfidentialité et les conditionsdestinées à l'usage du chiffrement.
Nous proposons également undéveloppement spécifique destinéà aborder de manière générale laprotection de l'information par ledroit des propriétés intellectuelles(brevets, marques, dessins, basesde données, logiciels, droits d'au-teur). De façon particulière estégalement traitée la notion dedépôt chez un tiers comme lenotariat, l'INPI (Institut Nationalepour le Protection Intellectuelle),l'APP (Agence pour la Protectiondes Programmes) ou encoreLogitas (équivalent à l'APP).
Sont également traitées les obligations et la responsabilité del'entreprise et plus particulièrementdu chef d'entreprise sous l'anglecontractuel lié à une perte d'exploitation informatique suite àun sinistre, un accident ou de lamalveillance mais aussi sous l'angle délictuel suite par exempleau non respect des recommandationset obligations de la loi informa-tique et liberté.
Troisième partie : Assurance
Malgré toutes les protections dontle chef d'entreprise peut s'entou-rer il est néanmoins nécessairepour lui de s'assurer contre l'im-pondérable. D'où cette troisièmepartie destinée à lui permettre deconnaître quels sont les moyensmis à sa disposition pour faire faceaux conséquences liées directe-ment à la perte d'une partie de cepatrimoine.
Quatrième partie : Enrichissement
L'Intelligence Economique d'EntrepriseProtéger le patrimoine informa-tionnel de l’entreprise c'est aussi,assurer la maîtrise de l'informa-tion stratégique dans un contexted’entreprise étendue et dans unenvironnement géopolitique incertain :une affaire de culture managérialepour tout dirigeant !
5
Intr
od
uct
ion
le principal objectifde l'ouvrage est de montrer la cohérence etsurtout la continuitédes préoccupationsque doit avoir toutchef d'entrepriseen matière desécurité, d'archivageélectronique, d'intelligence économique et de patrimoineinformationnel.
Contrairement à ce qui peut apparaître aupremier abord, ces
différentes notionssont intimementliées et plutôt que de les traiterséparément nousvoulons montrercomment, aucontraire, il estpréférable de les aborder commeun ensemble indissociable.
Tout comme pour le premier livreblanc nous avonsopté pour uneorganisation sousforme de fiches qui se découpenten quatre parties.
Chacune des fiches qui suivent a été conçue de façon à pouvoir être lue indépendamment des autres. Ce choix a été dicté par un souci d'efficacité destiné à permettre de trouver rapidement les premiers éléments de réponse aux problèmes que l'on se pose. A contrario, ceciprovoque immanquablement certaines répétitions ou renvois le caséchéant à d'autres fiches complémentaires.
Chacune des fiches est organisée de la même manière en trois parties.La première, le contexte, est plus particulièrement destinée à bien positionner le problème posé, la deuxième partie précise les enjeuxconcernés tandis que la troisième énonce les recommandations qui noussemblent fondamentales.
Pour la première série de fiches sur la sécurité technique nous avonségalement ajouté une partie spécifique dédiée aux méthodes d'audit àappliquer tandis que pour les fiches juridiques cette organisation n'a paspu être respectée compte tenu des informations abordées.
Remarques liminaires sur les fiches techniques :
Méthodes d'audit recommandéesProduire un audit de sécurité informatique et télécoms vise à quantifierles facteurs de sécurité. Cela consiste à leur donner des notes de 1 à 5avec une position neutre (ou non applicative). Il semble en effet souhaitable d'élargir l'éventail des notes plutôt que de se limiter à unesimple réponse : oui ou non.
Selon l'usage visé, les méthodes d'audit sont distinctes et sans vouloirpasser ici en revue l'ensemble des méthodes disons que : EBIOS etFEROS sont particulièrement adaptées pour bâtir une cible de sécuritépour un produit sensible du type cible de sécurité d'un FIREWALL ou dumasque de la carte bancaire par exemple.
MEHARI est une méthode intéressante (mise au point par le CLUSIF il ya une dizaine d'années) mais inductive. Comme un mécano, cela dépendde la construction du questionnaire qui en est faite. Autrement dit deuxquestionnaires d'audit MEHARI pour une même cible sont normalementdifférents. Cela rend pratiquement impossible la constitution d'un référentiel des réponses d'audit pour un groupe d'entreprises ou a fortiori pour un secteur économique déterminé : les banques, le secteurindustriel, les laboratoires pharmaceutiques, les hôpitaux etc.
MARION est une méthode d'audit de sécurité qui a plus de 20 ans maintenant. Malheureusement sa mise à jour est ancienne (10 ans).Mais elle présente toujours un grand intérêt didactique car les questionssont regroupées dans 27 facteurs qui traitent l'ensemble des questionsde sécurité informatique et télécoms sur un axe déterminé. Le caractèreinvariant des questions permet de bâtir aisément un référentiel des notesd'audit par nature d'activité professionnelle. A l'intérieur d'une grandeentreprise, cela est aussi utile et permet de disposer d'une grille d'audithomogène pour l'ensemble des départements et ou des filiales.
Les
fich
es
Nous avons préférémettre directementà l'intérieur dutexte les référencesutiles afin de fairegagner du tempsau lecteur qui désirerait approfondir tel ou tel aspect.
7
Les
fich
es
Protection du patrimoine informationnel
Phase N° fiche
Thèmes
Sécuritétechnique
1
2
3
4
5
6
Disponibilité/Accessibilité
Intégrité
Identification/Authentification
Confidentialité
Traçabilité/Preuve
Pérennité/Archivage électronique
Juridique
7
8
9
Outils juridiques liés à la protection du patrimoineinformationnel
Protection de l'information par le droit de la propriété intellectuelle
Obligations et responsabilités de l'entreprise et du chef d'entreprise
Assurance10 Assurance perte d'exploitation informationnelle
- Comment évaluer et garantir le risque
EnrichissementIE et Capital immatériel de l'entreprise
IE et Gestion des risques informationnels
Définition du patrimoine informationnel
ISO 27001 (anciennement BS7799) est une méthode d'audit d'origineanglaise. Il s'agit de la plus pratiquée au monde aujourd'hui C'est essentiellement la raison qui nous amène à la recommander.
Critères premiers de sécuritéLe terme sécurité est un ensemble fourre-tout qui se décompose en 24critères différents. Les critères premiers sont au nombre de quatre :
- Disponibilité ;- Intégrité des (flux et traitements) ;- Confidentialité ;- Traçabilité (preuve et contrôle).
Dans les fiches techniques ci-après, nous découpons les méthodes d'audit ISO 27001 et MARION pour chacun de ces quatre critères premiers et seulement pour ceux-ci. De ce fait la partie audit ne sera pasabordée pour les notions de pérennité et d'identification -authentificationqui ne constituent pas les critères premiers.
Nous avons trouvé utile de faire apparaître cette notion d'audit dans lamesure où elle nous paraît indispensable afin de pouvoir établir un étatdes lieux suffisamment précis de la sécurité informatique, comme nousle verrons au cours du développement des différentes fiches.
Le détail des fiches est le suivant :
Le patrimoine informationnel peutêtre considéré comme l'ensembledes données et des connaissances,protégées ou non, valorisables ou historiques d'une personnephysique ou morale. Il s'agit doncd'assurer la protection et la valorisation de l'information. A cetitre, l'information doit être sécuriséedepuis sa création ou sa collecte,tant pendant la phase de trans-mission que pendant la phase deconservation.
Les informations doivent ainsi êtreconservées de façon intègre dansle temps. Par ailleurs la confianceen une information découle égale-ment de son imputabilité. Il fauten effet pouvoir être sûr que c'estbien la personne authentifiée qui est à l'origine de l'envoi desdonnées et de ce fait assurer unetraçabilité des dites données.L'information doit également êtredisponible, avec une garantie
d'accès sans interruption ni dégra-dation et aux seules personnesautorisées. Enfin la valeur d'uneinformation ne dépend pas uni-quement de sa conservation intègredans le temps mais également deson exactitude, de sa pertinenceet de sa validité.
Pour remplir l'ensemble des fonctionsprécédemment évoquées, le patri-moine informationnel doit ainsiêtre sécurisé au sein du systèmed'information. Sans sécurité, ilpourrait évidemment être soumisau pillage en règle effectué pardes concurrents, des prestatairesou d'autres hackers.
Nous retrouvons bien ici l'ensembledes aspects de la sécurité technique tel que nous allons latraiter avec dans l'ordre la disponi-bilité, l'intégrité, l'identification/authentification, la confidentialité,la traçabilité et la pérennité.
Les
fich
es Définition du patrimoine informationnel
La disponibilité est le premier critère de sécurité du patrimoineinformationnel. En effet, à quoipeut bien servir un ensemble dedonnées stratégiques s'il n'estplus accessible, suite à un arrêtsoudain du système d'information ?Cependant il est clair que toutesles données n'ont pas le mêmedegré d'importance. Ainsi unedonnée médicale (même archivée)concernant un patient en train d'être opéré nécessite une dispo-nibilité immédiate alors qu'uneinformation comptable pourrasouffrir quelques heures d'attenteavant d'être récupérée.
Remarque : De façon plus générale,il est très important de pouvoirclassifier les données qui constituentla base du patrimoine informationnel.En effet les solutions techniques
mise en place ont chacune un coûtdifférent suivant leur degré desophistication. Afin de pouvoireffectuer un choix optimum dupoint de vue économique, il estainsi fondamental de pouvoirdisposer de plusieurs solutions.Chacune de ces dernières seraensuite associée aux donnéesclassées par ordre d'importancesuivant le critère concerné, àsavoir : disponibilité, confidentialitéou encore valeur. Ce raisonnementrejoint ici l'idée fondamentale del'ILM (Information LifecycleManagement) qui est de différencierles règles de stockage selon lavaleur de l'information et d'ajusterau mieux les coûts de stockageaux exigences de sécurité, deconservation et de disponibilitédes données.
9
Sécu
rité
tech
niq
ue
Fich
e1
-D
isponib
ilité
/Acc
essi
bili
té Contexte
Accessibilité
Au-delà de la disponibilité, la notion d'accessibilité est bien évidemmentun élément crucial de tout système d'information puisque déterminantepour retrouver les données sachant qu'il ne s'agit pas d'un élémentsécuritaire au sens strict du terme. Cette notion revêt en fait deuxcomposantes, l'une relevant essentiellement de l'organisation des données, l'autre des performances techniques. S'ajoute à cela la notiondes droits d'accès que nous aborderons dans la fiche 3 traitant de l'identification et de l'authentification.
L'organisation des données du patrimoine informationnel constitue unélément fondamental de la qualité de ce dernier. Il convient donc d'utiliser une structure cohérente et efficace, permettant de retrouverfacilement et rapidement l'information, notamment au travers d'unplan de classement. Par ailleurs, la constitution d'un index selon lesrègles de l'art s'avère indispensable. Le recours à des moteurs derecherche est également possible, mais il faudra néanmoins faireattention au phénomène de « bruit » (beaucoup de réponses), rendantl'information inexploitable.
En ce qui concerne les performances d'accès, elles sont directementliées aux techniques utilisées tant en matière de support qu'en matièrede réseau. Du point de vue des supports il est évident que les tempsd'accès ne seront pas les mêmes suivant la technologie utilisée(disques magnétiques, bandes, etc.). En matière de réseau au niveauinterne, les choix pourront être opérés entre des architectures de typeNAS, SAN ou équivalentes, tandis qu'au niveau externe l'accessibilitésera directement liée d'une part à la bande passante du réseau et,d'autre part, au nombre de connexions simultanées que le systèmed'information sera capable de traiter.
En matière d'archivage électroniquela disponibilité intervient essen-tiellement comme un complémentà la notion d'accessibilité, destinéà définir les espaces temps pendantlesquels il est acceptable que lesystème d'archivage ne soit plusaccessible. En effet en fonctiond'un certain nombre d'élémentscomme simplement la maintenanceou encore les pannes et les dysfonctionnements de tout ordre,il peut s'avérer que le systèmed'archivage ne soit plus accessiblependant un temps donné.
Ainsi la disponibilité se définitcomme la capacité d'un systèmed'information à pouvoir êtreutilisé à tout moment en fonctiondes performances prévues.
Cela ne va pas de soi et l'arrêt dusystème pour une durée indéter-minée constitue probablement laplus grande crainte des Directeursde Systèmes d'Information. Ladisponibilité est un des premiersfacteurs qualifiant la sécurité et aussi la qualité du système d'information. Il convient alors degarantir la disponibilité pour obtenirla pérennité dans le temps du système d'information (voir Fiche6 : Pérennité) c'est-à-dire la conti-nuité des traitements et des fluxd'information : voix, données images.
En général l'unité de compte est lemillion d'euros pour un arrêt d'unejournée et moins de 100 postes detravail. La solution pour garantir la disponibilité est de nature technique informatique et télé-
coms et revient à bâtir un plande continuité. Sous l'angle financieril est également possible de s'assurer et de mobiliser des capitauxen frais supplémentaires etreconstitution des médias sinistrés(voir Fiche 10 : Assurance Perted'Exploitation Informationnelle).
La disponibilité se qualifie aussi parla durée de retour à la normaledu système d'information, aprèsarrêt de celui-ci, on distingue ainsi :
- Haute disponibilité : dequelques minutes d'arrêt à 12heures- Moyenne disponibilité : de 12heures à 48 heures- Basse disponibilité au delà de48 heures.
La haute disponibilité impacte desmétiers nombreux et variés : lacontinuité de soins médicaux ethospitaliers, le contrôle aérien, lessalles de marchés boursières, certains processus industriels etc.Autrement dit, l'absence de conti-nuité d'un système d'informationpeut entraîner la mort ou des pertes financières de plusieursdizaines de millions d'euros (salledes marchés par exemple). Lahaute disponibilité est synonymede site de replis immédiat en casde sinistre important (incendie,dégât des eaux) pour hébergerdes équipes de salariés de l'entrepriseainsi qu'un nouveau système d'information (informatique ettélécoms) chargé avec les sauve-gardes (copies de secours) pourredémarrer très rapidement laproduction de l'entreprise sinistrée.
Sécu
rité
tech
niq
ue
Fich
e1
-D
isponib
ilité
/Acc
essi
bili
té
Une analyse du risque financierpermet de quantifierles pertes directeset indirectes dues à l'indisponibilitédu système d'information.
11
Sécu
rité
tech
niq
ue
Fich
e1
-D
isponib
ilité
/Acc
essi
bili
té
Audit technique
Un état des lieux s'impose enmatière de disponibilité informa-tique et télécoms avant de bâtirun quelconque plan de continuitéafin de pouvoir tenir compte etcorriger les éventuelles faiblessesdétectées. Cet état des lieuxrevient à mettre en œuvre unaudit de sécurité informatique et télécoms. A titre indicatif, lequestionnaire d'audit MARION(Méthodologie d'Analyse de RisquesInformatiques Orientée par Niveaux)
du CLUSIF (Club de la Sécurité desSystèmes d'Information Français)classe de manière claire et indé-pendante les cinq premiers facteurs de disponibilité d'un système d'information, à savoir :
- Les systèmes et procéduresde continuité ;
- La sauvegarde ;- La sécurité des télécoms ;- L'environnement de base ;- La sécurité incendie.
Enjeux
Bâtir le plan de continuité pour la cible étudiée, tel est l'enjeuprincipal et technique d'une bonnedisponibilité. Les sinistres n'arriventpas qu'aux autres et il faut doncprévoir une solution technique desecours voire d'hébergement, àcompléter par une assurance destinée à couvrir les conséquencesfinancières du sinistre dont lesmontants sont issus de l'analysede risque menée préalablement.
L'enjeu est également financierdans la mesure où en plus desexemples donnés précédemmentcertaines réglementations imposentde pouvoir fournir des informationsdans un laps de temps donné souspeine de sanctions importantes.Sur ce dernier point nous pouvonsciter la règle 17a-4 publiée par laSEC (Security Exchange Commission)qui impose une production desdonnées en moins de 48h.
Il existe en fait deux types de plande continuité en cas de sinistrepartiel ou total :
- Continuité de Service : La continuité de serviceimplique l'hébergement de laseule équipe informatique chezun tiers pour redémarrer provi-soirement le système d'informationchez ce dernier avec le matérielet le logiciel ad hoc.- Continuité d'activité : La continuité d'activité prend encompte la continuité de service
informatique et télécoms etimplique aussi l'hébergementdes utilisateurs pour continuerleur activité. Il s'agit par exempled'une salle de marché bislorsque la salle de marché del'entreprise est sinistrée. Dansce cas, il s'agit le plus souventde « haute disponibilité » dansla mesure où une salle de marché bis doit être disponibledans les 4 heures suivant lesinistre.
En fait dans les deux cas, le plande continuité de service ou d'activité consiste en un ensemblede procédures, de planning etd'annuaires (du personnel et desfournisseurs) pour le redémarragede l'activité (sur site ou hors site),après sinistre du centre de traitementde l'information ou de l'immeublehébergeant celui-ci.
Si bâtir un plan de continuité deservice représente l'enjeu techniquedu maintien de la disponibilitéinformatique, cela doit se faire surdes bases solides avec :
- de bonnes sauvegardes(copies de recours),
- un réseau télécoms bis opéra-tionnel,
- un système informatique desubstitution compatible (testéen grandeur réelle au préalable)avec le système sinistré.
Sécu
rité
tech
niq
ue
Fich
e1
-D
isponib
ilité
/Acc
essi
bili
té
Utiliser de préférence les méthodes ISO 27001(ex BS7799) ou MARION afin de bien connaîtreavant toute chose les faiblesses à corriger aupréalable.
Effectuer une classification en terme de disponibilité,des informations gérées et transportées par lesréseaux informatiques et télécoms de l'entreprise.
Par exemple le progiciel CONTINUITY PLAN doitpermettre la mise en place d'un plan de continuité opérationnel et exhaustif.
Le matériel mis à disposition de l'entreprisesinistrée peut être mutualisé entre plusieursentreprises utilisatrices ou non. Néanmoinslouer un matériel commun auprès d'une entre-prise d'hébergement informatique et télécomspeut coûter jusqu'à dix fois moins cher qu'une solution individuelle de dotation de matérielinformatique et télécoms propre à l'entreprise.En effet dans la mesure où, heureusement unsinistre n'arrive pas tous les jours, la prise encompte des probabilités de sinistre permet auloueur de proposer des tarifs attractifs à sesclients du fait même de la mutualisation effectivedes moyens mis à disposition.
Le plan de continuité demande à être testé deuxfois par an en grandeur réelle.
Effectuer un auditde la disponibilitéinformatique et télécoms
Classifier l'information
Utiliser un progicielpour bâtir un plande continuité
Choix d'un sited'hébergementinterne ou externe
Effectuer des testsréguliers
Ces cinq premiers critères repré-sentent à eux seuls plus de la moitié du poids des 27 facteurs dela méthode MARION en matière de disponibilité. En l'absence deprocédures de continuité, les deuxpremiers facteurs de base de ladisponibilité sont la sauvegarde etles moyens télécoms.
La méthode d'audit d'origineanglaise BS7799 devenue ISO27001 permet aussi d'établir undiagnostic précis de la disponibilitédu système d'information. Cela estcependant plus délicat car les facteurs y sont moins bien cloisonnésque dans la méthode MARION. Ilexiste en effet un seul facteur « Business Continuity Management »avec un seul thème associé
« Aspects of Business ContinuityManagement ».
L'audit de la disponibilité du SIcorrespond à un simple instru-ment de mesures quantifiées et nereprésente pas une fin en soi maisun préalable indispensable. Parexemple si la sécurité des sauve-gardes obtient la note 1 sur uneéchelle allant de 1 à 4, il est fondamental de revoir le mode etla périodicité des sauvegardesavant toute chose.
En effet la construction d'un plande continuité opérationnel destinéà garantir dans le temps la dispo-nibilité du SI s'appuie forcémentsur les sauvegardes qui se doiventd'être efficientes.
Recommandations
13
La disponibilité de l'accès aux données du patrimoine informa-tionnel constitue un point clé de sasécurité (voir Fiche 1 : Disponibilité).Ne pas recueillir d'information est eneffet un problème d'indisponibilité,tandis qu'obtenir des informationsfausses ou mutantes est un soucid'intégrité. Ce dernier point estégalement très important et à traiter avec d'autant plus d'attentionque la durée de conservation desdonnées sera longue et donc lesrisques plus nombreux.
L'intégrité est ainsi définie commela propriété qui assure qu'uneinformation n'est modifiée quepar les utilisateurs habilitésdans les conditions d'accèsnormalement prévues. On recherchedonc par l'intégrité, l'absence demodification volontaire ou involon-taire des flux et des traitements.
L'article 4.f du Règlement CE n°460/2004 du Parlement européenet du Conseil du 10 mars 2004instituant l'Agence européennechargée de la sécurité des réseauxet de l'information définit l'intégritédes données comme : « la confir-mation que les données qui ontété envoyées, reçues ou stockéessont complètes et n'ont pas étémodifiées ».
Si l'intégrité représente un critèrede sécurité de base, il en estnéanmoins le plus diffus et donc leplus difficile à mettre en œuvresur la totalité de la cible du traite-ment de l'information.
L'intégrité se subdivise normalementen deux sous-ensembles distinctspour s'approcher davantage de la mécanique du traitement del'information :
- L'intégrité des flux de données,
- L'intégrité des traitements.
En général, les atteintes à l'intégritésont d'origine malveillantes. Lescas d'accidents ou d'erreurs sontbeaucoup plus rares. Selon leCLUSIF (Club de la Sécurité desSystèmes d'Information Français),sur une période de plus de 10 ans,la malveillance s'accroît de près de 15 % par an, principalement au détriment de l'intégrité des
données et des traitements. Lemonde de l'Internet est en effet unchamp d'expérimentation mondialpour l'atteinte à l'intégrité desdonnées, des messages et destraitements.
Nous attirons l'attention sur le faitqu'en matière d'archivage électro-nique, l'intégrité en constitue lavéritable clé de voûte. Ainsi, suivantles dispositions de l'article 1316-1du Code civil, l'écrit doit être « conservé dans des conditions denature à en garantir l'intégrité ».L'auteur, signataire de l'acte, doitêtre sûr que le document qu'il asigné (établissement), transmis etconservé est le même (contenuidentique) que celui reçu etconservé, le cas échéant, par le oules destinataire(s).
Cependant il existe plusieursinterprétations possibles de l'inté-grité suivant que l'on se place ducôté purement technique ou plutôtdu côté organisationnel et juridique.Par principe l'intégrité techniqued'un document électronique estmise en cause dès l'instant où unseul des bits constituant le documentest modifié. A l'inverse l'intégritéau sens juridique d'un documentconsiste à conserver le sens del'information qu'il contient sanss'attacher nécessairement à laforme. Ainsi le fait de modifier unaccent dans un texte ne va pas enchanger fondamentalement le sensalors que cela suffira à lui faireperdre son intégrité technique.
Afin d'apporter une solution àcette difficulté d'interprétation, leForum des droits sur l'internet etla Mission Économie Numériqueont recommandé dans leur rapport2006 que la notion d'intégrité dudocument telle que prévue parl'article 1316-1 du Code civil soitassurée par le respect cumulé destrois critères suivants :
- Lisibilité du document,
- Stabilité du contenu informa-tionnel,
- Traçabilité des opérations surle document (voir Fiche 5 :Traçabilité / Preuve).
Sécu
rité
tech
niq
ue
Fich
e2
-In
tégrité Contexte
Les enjeux de l'intégrité des fluxet des traitements sont fondamen-taux, spécialement à l'heured'Internet dans la mesure où il est indispensable de pouvoir faire« confiance » aux données constituantl'élément essentiel du patrimoineinformationnel. En effet la perted'intégrité peut présenter des dangersvitaux comme par exemple desmutations de données du groupesanguin d'un dossier médical partagé (stocké dans un centred'hébergement des dossiers médi-caux) ou bien d'un identifiant
patient, etc. Les cas pratiques donnant lieu ou non à des recoursjuridiques sont très nombreux et inquiétants, du fait de leurcroissance exponentielle depuisplus de quinze ans.
Par ailleurs l'enjeu est égalementjuridique dans la mesure où l'entreprise se doit de garantir l'intégrité de ses traitements etdes flux d'informations qu'elleémet, au risque d'être condamnéecomme indiqué ci-après.
Sécu
rité
tech
niq
ue
Fich
e2
-In
tégrité Enjeux
Aspects juridiques
Le législateur par l'article 323-2 du code pénal cherche à punir les auteursde virus : « Le fait d'entraver ou de fausser le fonctionnement d'un sys-tème de traitement automatisé de données (STAD) est puni de cinq ansd'emprisonnement et de 75.000 euros d'amende ».
La loi de juin 2004 relative à la confiance dans l'économie numérique :article 323-3-1 du code pénal stipule que « le fait sans motif légitime,d'importer, de détenir, d'offrir, de céder ou de mettre à disposition un équipement, un instrument, un programme informatique ou toute donnéeconçus ou spécialement adaptés pour commettre une ou plusieurs desinfractions prévues par les articles 323-1 à 323-3 est puni des peines prévues respectivement pour l'infraction elle-même ou pour l'infraction laplus sévèrement réprimée ».
Pour la retransmission de virus, la responsabilité de l'entreprise pourraitêtre retenue lorsque le virus qui s 'est propagé dans l'espace TCP/IP(Internet Protocol) est apparu depuis plusieurs mois et que l'entreprise n'apas mis en place des systèmes de sécurité suffisamment efficaces. Eneffet cela entre dans le champ de l'article 1383 du code Civil où « chacunest responsable du dommage qu'il a causé non seulement par son fait,mais encore par sa négligence ou par son imprudence ».
La responsabilité délictuelle de l'employeur est aussi engagée par le faitde ses salariés (article 1384 du CC) « dans l'exercice de ses fonctions (dusalarié) ».
15
Sécu
rité
tech
niq
ue
Fich
e2
-In
tégrité
Il est indispensable de faire unaudit de l'intégrité des flux et destraitements pour garantir lapérennité du patrimoine informa-tionnel. Nous présentons ici deuxméthodes d'audit sécurité et pourchacune d'entre elles nous précisonsles facteurs clés relatifs à l'intégritédes flux et des traitements.
- Contrôles programmés - La gestion des projets et des développements- Les procédures de recette- Le suivi de l'exploitation- La sécurité des télécommunications- La sécurité logique de base- La sauvegarde- Les contrôles permanents- La réglementation et l'audit
poids 15/100poids 8/100poids 8/100poids 8/100poids 8/100poids 8/100poids 7/100poids 7/100poids 6/100
MARION (Méthodologie d'Analysede Risques Informatiques Orientéepar Niveaux) Développée par le CLUSIF cetteméthode permet d'auditer lesatteintes potentielles à l'intégritéen prenant en compte les facteurssuivants de sécurité par ordre depoids décroissant :
Avec seulement neuf facteurs sur27, nous réunissons 75% de lapondération des facteurs d'intégrité.
BS7799 (ISO 27001)Aujourd'hui ce type de question-naire d'audit est le plus utilisé aumonde. Les neufs premiers facteurscaractéristiques de l'intégrité sont :- Security in development and
support process ;- Media handling and security ;- Information Security
Infrastructure;
- Security of system files;
- Security requirements of system;
- Equipment security ;
- Operational procedures and responsibilities ;
- Network management ;
- Review of security policy and technical compliance.
Avec ces facteurs nous dépassonsles deux tiers des critères d'intégritéà auditer.
Audit technique
Sécu
rité
tech
niq
ue
Fich
e2
-In
tégrité
Utiliser de préférence les méthodes ISO 27001(ex BS7799) ou MARION afin de bien connaîtreavant toute chose les faiblesses à corriger aupréalable
Effectuer un auditde l'intégrité des flux et des traitements
Agir de façon préventive :- Prévoir des firewall ;- Mettre en place une zone démilitarisée (DMZ)pour contrôler l'entrée et la sortie des messagesTCP/IP ;- Disposer de bons antivirus, anti spams, antichevaux de Troie aux titres de la prévention et du contrôle des flux de données et des traitements ; - Supprimer les cookies afin d'éviter une traça-bilité facile de vos accès ;- Tester les progiciels du commerce, notammentobtenus gratuitement par téléchargement,sous l'angle de leur intégrité pour détecter etdétruire d'éventuels sous-programmes pirates.
Agir de façon curative :- Auditer régulièrement le système d'informationpour supprimer les programmes (SPAM), chevaux de Troie, et autres types de codesmalicieux.
Architecture réseau,lutter contre lescodes malicieux
- Utiliser un VPN (Virtual Private Network)et/ou le chiffrement des données sensibles parles algorithmes autorisés : RSA, triple DES,AES, etc ;- Sceller/signer électroniquement les messages ;- Veiller à l'identification et à l'authentification(voir Fiche 3) des personnes ayant accès àvotre site informatique.
Transfert d'informa-tions sensibles
- Mettre en place des dispositifs permettantdes contrôles d'intégrité efficaces essentiellementbasés sur l'utilisation des empreintes ;- Effectuer des contrôles réguliers sur les donnéesde façon ponctuelle, par sondage ou sur latotalité des données en fonction de l'importancede l'information gérée.
Contrôles d'intégritédes données
La surveillance des journaux d'audit permet d'analyser les éventuelles attaques internes etexternes à l'encontre de l'entreprise et de prendre les mesures correctives en conséquence.
Contrôler les jour-naux d'audit
Recommandations
L'identification des personnes enEurope n'est pas encore choseacquise lorsque l'on sait qu'il exis-te des millions de personnes(pourtant vivantes) qui n'ont pasde nom. Authentifier une personneprocède d'une démarche encoreplus élaborée consistant à certifierle lien entre la personne et sonidentification. Au niveau du patri-moine informationnel l'importanceest évidente de pouvoir le protégeren identifiant aussi parfaitementque possible les personnes y ayantaccès afin entre autres de respecterla confidentialité des données(voir Fiche 4).
Identifier quelqu'un consiste àétablir l'identité de la personnec'est-à-dire son caractère permanent
et fondamental tandis qu'authentifierrevient à certifier l'exactitudede son identité.
L'article 4.e du Règlement CE n°460/2004 du Parlement européenet du conseil du 10 mars 2004définit l'authentification comme « la confirmation de l'identité prétendue d'entités ou d'utilisateurs ».
La dualité de ces deux notions d'identification et d'authentifica-tion est chose importante enmatière de contrôle d'accès afind'authentifier la personne aprèsl'avoir identifié. Cela touche lesystème d'information mais aussile contrôle d'accès physique à telou tel bâtiment.
17
Sécu
rité
tech
niq
ue
Fich
e3
-Id
entifica
tion/A
uth
entifica
tion Contexte
Au sujet du terme authentification
En réalité, le terme authentification ne s'applique qu'aux objets et l'onparle régulièrement, par exemple, d'authentifier une œuvre d'art.Ainsi, l'usage de ce terme en informatique est souvent employé à tortpour signifier « identification ». L'origine de cette erreur provient d'unanglicisme lié au terme anglais authentication, faux ami qui veut direà la fois « identification » et « authentification ». Mais en français, seulle terme « identification » convient pour déterminer si un objet ou uneentité est bien untel ; il s'agit d'une certaine façon d'un véritablecontrôle d'identité. À l'inverse, « l'authentification » sert à déterminersi un objet, et non plus une personne, a les caractéristiques prétendues.
Le principe est en général d'identifierla personne grâce à un systèmed'identifiant (login) assorti d'unmot de passe. Malheureusementrien n'indique de façon certainequ'il s'agit bien de la bonne personne. En effet même si l'identifiant et le mot de passesont corrects, il se peut très bienque l'utilisateur qui se connecteles ait dérobés à leur propriétaire.Afin de pallier cet inconvénientmajeur en terme de sécurité, onaura en général recours à ce que l'on a coutume d'appeler unsystème « d'authentification forte »consistant à vérifier avec quasi
certitude que la personne qui s'identifie est bien celle qu'elleprétend être.
Nous reprenons ci-après les septsystèmes d'identification/authen-tification les plus utilisés, à savoir :
1. Identifiant (login) et mot depasse (password) : dispositif leplus courant mais très peu sûr.
2. Identifiant et OTP (One-TimePassword) : L'utilisateur disposed'un token ou « calculateur » quilui fournit un mot de passe (àusage unique et à durée limitée)
au moment où il se connecte.Pour pouvoir utiliser son calculateur,il doit tout d'abord y introduireun mot de passe.
3. Le certificat électronique surcarte à puce ou clé USB :L'utilisateur dispose d'un certificatélectronique stocké sur son support et activé grâce à uncode PIN. Cette solution néces-site l'existence d'une infrastruc-ture PKI afin de pouvoir délivreret suivre la vie des certificats.
4. La clé « Confidentiel Défense » :Il s'agit en fait d'une déclinaisonparticulière du cas précédent.En général le support est multi-fonctions et permet ainsi lestockage de certificat X509, dedonnées, de ressource crypto-graphique (pour le chiffrement àla volée du disque dur et desflux applicatifs). Afin de contrerles risques des « key loggers »(enregistrement des touchesfrappées à l'insu de l'utilisateur),le code PIN doit être composédirectement sur la clé sans passer par le clavier (exempledu dispositif utilisé par laGendarmerie Nationale où lasouris fait office de lecteur decarte et dispose d'un claviernumérique pour frapper le codePIN).
5. La carte à puce avec identifiantet mot de passe : Ce systèmecorrespond à une version allégée de la troisième solutiondans la mesure où elle nenécessite pas d'infrastructurePKI.
L'authentification de l'utilisateurest faite directement à partir del'annuaire d'entreprise (par exempleen s'appuyant sur le protocoleLDAP (Lightweight DirectoryAccess Protocol).
6. Les solutions biométriquesqui utilisent des lecteurs biomé-
triques (iris de l'œil, index,configuration de la face, contourde la main, etc.) pour contrôlerles accès. Cependant le critèrechoisi est plus ou moins facile àmettre en œuvre et présenteune force variable. De fait laconfiguration de l'index avec sespoints de contrôle reste encoreaujourd'hui le mécanisme bio-métrique le plus abouti. La police scientifique de la fin duXIXème siècle avait fait le bonchoix avant que des lecteursélectroniques du doigt ne soientmis au point, cent ans plus tard !Trois possibilités sont offertesafin de conserver les données à comparer au moment de lalecture biométrique, à savoir :au niveau du poste de travail,au niveau d'une carte crypto-graphique ou au niveau d'unserveur (se pose alors le problèmelégal du stockage de donnéesbiométriques centralisées en unseul endroit).
7. Le RFID (Radio FrequencyIdentification) actif : Cette tech-nologie permet d'identifier l'utilisateur sans contact physique,à quelques mètres de distance.Le badge de l'utilisateur possèdeune alimentation propre qui luipermet de dialoguer avec uneantenne connectée au poste detravail. Ce dernier détecte alorsl'arrivé ou le départ d'un utilisa-teur sans aucune autre actionparticulière de sa part si ce n'estd'indiquer son mot de passe, aumoins une fois.
En résumé, l'authentificationd'une personne est basée sur l'un au moins des trois critèressuivants :
- Ce que sait la personne, parexemple un mot de passe ;
- Ce que possède la personne,un token ou un certificatélectronique ;
- Ce qu'est la personne, aspectbiométrique.
Sécu
rité
tech
niq
ue
Fich
e3
-Id
entifica
tion/A
uth
entifica
tion
Afin de protéger le patrimoineinformationnel sous l'angle de l'identification et de l'authentifica-tion, il est donc nécessaire deréaliser un bon contrôle d'accèstant aux informations qu'aux programmes de traitement.L'enjeu consiste à faire en sorteque les informations ne soientaccessibles qu'aux personnesconnues d'une part (notion deconfidentialité) et autorisées d'autre part (notion d'habilitationavec sa consonance légale).
Pour des données particulièrementsensibles il est parfois nécessairede limiter l'accès à l'aide d'indicesde sécurité et de niveaux d'habili-tations. Ces habilitations primentalors sur tout droit d'accès « stan-dard ». Le principe consiste àattribuer un ou plusieurs « indicesde sécurité » aux documentsconcernés tandis que les utilisateursse voient attribuer un ou plusieursniveaux d'habilitations qui lesempêchent d'accéder aux documentsdotés d'indices plus élevés.
Pour réaliser un bon contrôle d'accès il faut ainsi mettre enœuvre un double processus destinéà vérifier tout d'abord l'existant etensuite à anticiper et préparertoute modification du systèmed'information.
Contrôle d'accès sur le systèmed'information existant :
- Réaliser un état des lieux en lamatière en auditant les profils(individuels ou de groupe) et lemot de passe correspondant oula caractéristique biométrique
utilisée. Il s'agit ici d'analyser laportée et les limites du systèmeactuel en matière de sécuritéphysique et ou logique ;
- Bâtir et gérer un système decontrôle d'accès aux données, à choisir parmi ceux évoquésprécédemment ;
- Filtrer l'accès aux donnéesexistantes en définissant parexemple des profils dont l'accèsest protégé par des mots depasse ou des caractéristiquesbiométriques.
Contrôle d'accès sur le systèmed'information nouveau ouréaménagé :
- Mettre en place un mot depasse unique pour faciliter latâche des utilisateurs en matièred'accès au système d'informa-tion, du type SSO (Single SignOn) ;
- Définir le périmètre et la cibledu nouveau projet de contrôled'accès ;
- Analyser puis mettre en placeet tester le triptyque : identifi-cation - autorisation d'accès -authentification ;
- Formaliser le processus d'accès ;
- Associer l'ensemble desacteurs concernés à la démarche ;
- Contrôler le système d'accèssur la base de son support réel(protocole LDAP ou autre), desflux d'informations émis etreçus, des outils d'accès, desmoyens d'audit et de reportingassociés mis à la disposition del'officier de sécurité.
19
Sécu
rité
tech
niq
ue
Fich
e3
-Id
entifica
tion/A
uth
entifica
tion Enjeux
Sécu
rité
tech
niq
ue
Fich
e3
-Id
entifica
tion/A
uth
entifica
tion
Bien définir les accès et les contrôles à instaurer.Définir au besoin des indices de sécurité pourles informations sensibles et des niveaux d'habilitation pour les utilisateurs correspondants.
Contrôle d'accès
Effectuer une classification en terme de confiden-tialité et sensibilité, des informations gérées ettransportées par les réseaux informatiques ettélécoms de l'entreprise.
Classifier l'information
Avant de rechercher les solutions techniques etles produits de sécurité sur le marché, il convientd'analyser l'identification et l'authentification des personnes et des objets comme un projetinformatique à part entière et de le traiter commetel en suivant les processus énoncés précédem-ment. Entre autres il faudra :- prendre en compte l'existant,- savoir gérer l'évolution de la solution retenue
dans le temps et dans le mode de contrôle.
Considérer l'identifi-cation/authentifica-tion comme un pro-jet informatique
Les solutions techniques d'identification et d'authentification sont techniquement au point ycompris les plus performantes de type carte à microprocesseur ou clés USB. Signalons également l'existence de cartes vocales et de cartes à piste magnétique. Attention au fait quepour chaque type est associée une grande variétéde lecteurs.
Bien analyser lessolutions techniquesexistantes afin dechoisir les mieuxadaptées
La surveillance des journaux d'audit permet d'analyser les éventuelles attaques internes etexternes à l'encontre de l'entreprise et de prendreles mesures correctives en conséquence.
Contrôler les journaux d'audit
Recommandations
Au niveau du patrimoine informa-tionnel, la confidentialité est unecaractéristique très importanteabordée également au niveau ducontrôle d'accès (voir fiche 3 :Identification/Authentification). Enfait la confidentialité revêt à la foisla notion de secret et de diffusionrestreinte à un petit nombre depersonnes.
La confidentialité représente unepropriété qui assure que dansles conditions normalement pré-vues, seuls les utilisateursautorisés (ou habilités) ont accèsaux informations concernées.
La principale limite de la confiden-tialité tient au fait qu'une personnene peut être tenue pour responsabled'aucune divulgation si les élémentsrévélés étaient déjà dans ledomaine public ou si elle en avaitdéjà connaissance ou pouvait lesobtenir de tiers par des moyenslégitimes.
Dans le cadre du patrimoine informationnel, les informationsconfidentielles sont évidemmentimportantes et en général assezpeu nombreuses : confidentialitémédicale (personne atteinte duVIH etc.), confidentialité de votrecode de carte bancaire, mot depasse personnel pour le contrôled'accès physique et (ou) logiquedans l'entreprise, secrets liés à latactique militaire, etc.
Comme vu précédemment laconfidentialité intervient au niveaudu contrôle d'accès. Néanmoinsdans certains cas il peut être judicieux d'anticiper la situation oùdes personnes non autorisées parviendraient néanmoins à accéderau système d'information. Dans ce
dernier cas la confidentialité desdonnées peut cependant être préservée grâce à la mise en oeuvre d'un système de chiffre-ment. La caractéristique principaled'un tel système est de rendre lesdonnées illisibles par toute personne ne possédant pas la clépour les déchiffrer. Cependant laconnaissance et l'accès à cette clé peuvent poser beaucoup dedifficultés, surtout au bout denombreuses années.
Suivant la situation, la confiden-tialité des informations doit êtreplus ou moins bien maîtrisée. Ainsidans le cas de l'outsourcing ou del'info gérance par exemple, ondevra porter une attention touteparticulière à la confidentialité. Demême selon la sensibilité des données traitées tant à l'intérieurqu'à l'extérieur de l'entreprise il yaura lieu d'être particulièrementvigilant quant au respect de laconfidentialité desdites données.En fait il existe trois principauxmoyens pour assurer la confiden-tialité :
- La mise en place d'un systèmede contrôle d'accès ;
- Le chiffrement des données ;
- L'externalisation des données.De part les engagements et les responsabilités prises parl'hébergeur, une solution externedoit permettre d'éviter tout problème de confidentialité eninterne dans l'entreprise.
Rappelons à ce sujet que prèsdes 2/3 des délits informatiquesont des origines internes. Pourun maximum de sécurité onpourra avoir recours à uneexternalisation de données chif-frées.
21
Sécu
rité
tech
niq
ue
Fich
e4
-Confiden
tial
ité Contexte
Comme nous allons le voir, lesenjeux sont essentiellement dedeux ordres, légal et commercialavec les conséquences financièrescorrespondantes.
Informations à caractère personnel :L'un des premiers enjeux d'atteinteà la confidentialité touche à l'accèsaux bases de données regroupanten particulier des informations àcaractère personnel. Dans cecontexte, l'article 34 de la LoiInformatique, Fichiers et Libertésmodifiée par la loi du 6 août 2004(loi n°2004-801) dispose que « leresponsable du traitement est tenude prendre toutes préoccupationsutiles, au regard de la nature desdonnées et des risques présentéspar le traitement, pour préserverla sécurité des données et, notam-ment, empêcher qu'elles soientdéformées, endommagées, ou quedes tiers non autorisés y aientaccès ».
A défaut d'avoir pris « toutes pré-occupations utiles », l'employeurs'expose aux peines prévues àl'article 226-22 du code pénal quipunit de cinq ans d'emprisonnementet de 300.000 euros d'amende lefait « par toute personne qui arecueilli, à l'occasion de leur enre-gistrement, de leur classement, deleur transmission ou d'une autreforme de traitement, des donnéesà caractère personnel dont ladivulgation aurait pour effet deporter atteinte à la considérationde l'intéressé ou à l'intimité de sa vie privée, de porter, sans autorisation de l'intéressé, cesdonnées à la connaissance d'untiers qui n'a pas qualité pour lesrecevoir ».
Même si ce délit est non intentionnel,l'employeur pourrait être tenu
pour responsable (même à soninsu) de l'imprudence ou de lanégligence de ses salariés, ayantpermis la divulgation d'une donnée à caractère personnel.D'où l'importance d'auditer lesfacteurs de sécurité pouvantgénérer les atteintes à la confiden-tialité des informations. Cela poseaussi la question de la destructiondes informations à caractère personnel et plus généralement ducycle de vie de celles ci. Le respectde la confidentialité passe effecti-vement par la non conservation,au-delà d'un certain temps (engénéral la durée de prescriptionapplicables), de données à caractèrepersonnel. Il s'agit en fait durespect du « droit à l'oubli » tel quedéveloppé par la CNIL, consacrépar la loi du 6 janvier 1978 modifiéeen août 2004. (voir fiche 9 :Obligations et responsabilités de l'entreprise et du chef d'entreprise).
Autres informations :
Le patrimoine informationnel toucheévidemment beaucoup plus dedonnées que seulement cellesayant un caractère personnel,nous pouvons encore citer : basede données clients, base de données des processus métier del'entreprise, annuaire fournisseurs,base de données des archives sensibles, contentieux, situationde trésorerie, aspect fiscal, auditcomptable, etc.
La confidentialité des donnéesconstitue également un enjeucommercial. En effet, dans lecadre de marchés importants, la connaissance des conditionsoffertes par la concurrence peutpermettre de gagner un marchéou au contraire de le perdre.
Sécu
rité
tech
niq
ue
Fich
e4
-Confiden
tial
ité Enjeux
Tout comme pour l'intégrité, il estindispensable de faire un audit dela confidentialité pour garantir lapérennité du patrimoine informa-tionnel. Nous présentons ici deuxméthodes d'audit sécurité et pourchacune d'entre elles nous préci-sons les facteurs clés relatifs à laconfidentialité.
MARION (Méthodologie d'Analysede Risques Informatiques Orientéepar Niveaux) Développée par le CLUSIF cetteméthode permet d'auditer lesatteintes potentielles à la confi-dentialité en prenant en compteles facteurs suivants de sécuritépar ordre de poids décroissant :
L'audit de ces cinq facteurs (sur27) représente 60% du poidstotal. Autrement dit, moins de20% des facteurs représente à luiseul 60% des poids. Il convientdonc, pour repérer le niveau de confidentialité du patrimoineinformationnel, de prendre encompte en priorité ces cinq facteurs.
BS7799 (ISO 27001)Aujourd'hui ce type de question-naire d'audit est le plus utilisé aumonde. Les cinq premiers facteursd'audit caractéristiques de laconfidentialité sont :
- Business requirement foraccess control ;
- Outsourcing ;
- Secure area ;
- Mobile computing & teleworking ;
- User access management
Ces cinq facteurs représententaussi à eux seuls au moins 60%des poids de la confidentialitédans le cadre de l'audit sécuritéBS 7799. Il y a naturellement uneforte convergence entre lesméthodes MARION et BS7799(ISO 27001) pour analyser ledegré de confidentialité du patrimoineinformationnel de l'entreprise.Mais cette tâche est indispensablesurtout à l'heure d'Internet et duprotocole TCP/IP qui rend possiblel'attaque à partir de l'extérieur,d'informations confidentielles àl'intérieur de l'entreprise.
La pénétration des attaquantsdépend des mesures techniques etorganisationnelles prises par l'en-treprise pour contrer ces attaquesmalveillantes.
23
Sécu
rité
tech
niq
ue
Fich
e4
-Confiden
tial
ité Audit technique
- Contrôles programmés - La sécurité logique de base- La sécurité des télécommunications- Les contrôles d'accès physiques- La réglementation et l'audit
poids 15/100poids 14/100poids 13/100poids 11/100poids 7/100
Sécu
rité
tech
niq
ue
Fich
e4
-Confiden
tial
ité
Utiliser de préférence les méthodes ISO 27001(ex BS7799) ou MARION afin de bien connaîtreavant toute chose les faiblesses à corriger au préalable.
Effectuer un auditde confidentialité
Effectuer une classification en terme de confi-dentialité, des informations gérées et transportéespar les réseaux informatiques et télécoms del'entreprise.
Classifier l'information
L'on reprend ici la notion d'identification et l'authentification des personnes et des biens. Il convient également de protéger les codesd'accès à telle ou telle application sensible.
Contrôle d'accès
Pour les données particulièrement sensibles ilpeut être utile d'avoir recours au chiffrement quiconstitue une garantie importante pour la confidentialité des informations. Le chiffrement peut également être largementemployé pour sécuriser la confidentialité desflux.
Recours au chiffrement
Le fait d'avoir recours à un hébergeur tiers peutêtre gage de confidentialité de certaines données dans la mesure où elles ne se trouventplus à l'intérieur de l'entreprise.
Externaliser
La surveillance des journaux d'audit permet d'analyser les éventuelles attaques internes etexternes à l'encontre de l'entreprise et de prendre les mesures correctives en conséquence.
Contrôler les journaux d'audit
Recommandations
La traçabilité est un des moyensde garantir l'intégrité des données(voir fiche 2 : Intégrité) et à cetitre revêt un intérêt tout particulierdans la sécurisation du patrimoineinformationnel. La preuve, telleque nous l'abordons ici, constitueégalement un élément fort dans lamesure où l'on doit pouvoir faire « confiance » aux données gérées,caractéristique également abordéeau niveau de l'intégrité.
La trace se définit simplementcomme une empreinte ou une suited'empreinte sur le sol marquant lepassage d'un homme, d'un animalou d'un véhicule (définition duPetit Larousse). La traçabilité estune procédure visant à suivreautomatiquement un objet (garderla trace des évènements vécus parcet objet) depuis sa naissance jusqu'à sa conservation finale ousa destruction. Ainsi le petitPoucet en mettant des caillouxblancs sur son chemin pour retrouver sa route en sens inversedans la forêt, faisait déjà uneaction de traçabilité en gardant latrace du chemin parcouru.
Le simple fait de constituer unjournal séquentiel et donc de tracer les différentes opérationseffectuées par exemple sur unsystème d'archivage électroniqueoffre une véritable garantie. Il
deviendra en effet extrêmementdifficile voire impossible pour untiers de mettre en doute le systèmeen insinuant par exemple qu'il a étépossible de modifier les journauxd'événements ainsi générés. Surce point la traçabilité vient doncen parfait complément de l'intégritécomme vu au sujet des recom-mandations du Forum des Droitssur Internet au sujet de l'intégritédu contenu de l'information.
La traçabilité revêt ainsi deuxaspects fondamentaux que sont le contrôle (réalité des actionseffectuées sur un objet) et lapreuve (la trace des actions opérées).
Au cours de l'épidémie de la vachefolle, il se posait un problème detraçabilité sur l'origine de la bêteet la continuité des étapes liées àla découpe de l'animal jusqu'à ceque la pièce de bœuf arrive surl'étal du boucher. A chaque instantil faut pouvoir prouver l'origine etcontrôler les phases de découpede l'animal, pour qu'il n'y ait pas d'effet de substitution, parexemple.
La traçabilité, comme critère premier de la sécurité s'appliquede manière plus large à l'ensembledes échanges de données (voix,données images).
25
Sécu
rité
tech
niq
ue
Fich
e5
-Tr
açab
ilité
/Pre
uve
Contexte
Par rapport à ce qui précède, lesenjeux pour l'entreprise sont particulièrement importants tantdu point de vue juridique quefinancier ou encore commercial(image). Notamment vis-à-vis del'accès à Internet il est indispensablede mette en place un robuste système de traçabilité. De même ilfaut absolument réaliser un auditde traçabilité régulier afin de pouvoir détecter entre autres laprésence d'images illicites sur les
serveurs de l'entreprise (y comprisle poste du salarié concerné).
La traçabilité participe égalementà la garantie d'intégrité et par lamême fera que tel documentpourra être retenu comme élémentde preuve par un juge alors qu'enl'absence d'une telle traçabilité lemême document n'aurait pas pourautant été retenu du fait parexemple de soupçons importantsconcernant son intégrité.
Sécu
rité
tech
niq
ue
Fich
e5
-Tr
açab
ilité
/Pre
uve
Enjeux
Aspects juridiques Délits liés à l'absence de traçabilité
L'usurpation d'identité est un délit grave qui doit être combattu parla traçabilité du système d'information. Cela devient un délit pénal dèsl'instant ou « le fait de prendre le nom d'un tiers (a été réalisé) dansdes circonstances qui ont déterminé ou auraient pu déterminer contrecelui-ci des poursuites pénales »(article 434-23 du Code Pénal). A l'heure actuelle, il est impossible d'affirmer que « prendre » uneadresse IP, un nom de domaine ou une adresse email soit assimilableau « nom d'une personne » au sens de l'article 434-23 du code pénal.Le droit pénal étant d'interprétation stricte, les juges refuseraient probablement une telle assimilation avec des attributs de la personneprise dans sa dimension numérique.
Si le nom patronymique d'un individu est reproduit sans son autorisationdans un nom de domaine, (cybersquatting), l'usurpation d'identitépourrait être éventuellement sanctionnée civilement (1382 du codecivil).
La détention d'images pédophiles sur les serveurs de l'entrepriseest sanctionnée avec ou sans usurpation d'identité au titre de l'article227-23 du Code Pénal « le fait de fixer, d'enregistrer ou de transmettrel'image ou la représentation d'un mineur lorsque cette image ou cettereprésentation présente un caractère pornographique ». Il en va demême du « fait d'offrir, de rendre disponible, ou de diffuser une telleimage ou représentation par quelque moyen que ce soit, de l'importerou de l'exporter, de la faire importer ou de la faire exporter ». Les peines sont portées à sept ans de prison et 100.000 euros d'amendeen cas d'utilisation d'un réseau de communications électroniques à destination d'un public non déterminé.
BS7799 (ISO 27001)
Aujourd'hui ce type de question-naire d'audit est le plus utilisé aumonde. Les cinq premiers facteursd'audit caractéristiques de la traçabilité sont :
- System audit considerations ;- Review of security policy andtechnical compliance ;- Accountability for assets ;- Protections against malicioussoftware ;- Monitoring system access and use.
Ces cinq facteurs représentent àeux seuls au moins 70% des poidsde la traçabilité dans le cadre del'audit sécurité BS 7799 (ISO27001). La traçabilité pour la cibled'un système d'information estplus délicate à mesurer que cellede la traçabilité d'un produit. Maisaujourd'hui il est pratiquementimpossible de mesure la traçabilitéd'un produit sensible (exemple lespoches de sang) sans avoirrecours à l'usage d'un systèmed'information.
27
Sécu
rité
tech
niq
ue
Fich
e5
-Tr
açab
ilité
/Pre
uve
Audit technique
Utiliser de préférence la méthode ISO 27001 (exBS7799) afin de bien connaître avant toutechose les faiblesses à corriger au préalable.
Effectuer un auditde traçabilité
Effectuer une classification en terme de sensibilité,des informations gérées et transportées par lesréseaux informatiques et télécoms de l'entreprise.
Classifier l'information
Etablir un journal d'audit sécurisé à ne pas diffuserde manière ouverte.
Le contrôle a priori
Auditer les menaces subies et les caractéristiquesde l'attaquant potentiel en appliquant par exemplela classification PISE (Grand Public - Initié -Spécialiste - Expert)
Le contrôle a posteriori
- Utiliser une Tierce Partie de Confiance (« Notaireélectronique ») pour certifier un transfert d'information à l'extérieur de l'entreprise ;
- Mettre en œuvre les mesures d'enregistrementsvocaux et de télésurveillance nécessaires et permises par l'activité de l'entreprise et son environnement ;
- Le cas échéant avoir recours au scellement /signature des informations (voir Fiche 6 : Pérennitéet Archivage Electronique).
La preuve
Recommandations
La pérennité du patrimoine infor-mationnel consiste outre saconservation dans le temps, àassurer la continuité des traite-ments et des flux d'informationquels qu'ils soient (voix, donnéesimages). Ce dernier point rejointainsi la notion de disponibilité (voirfiche 1 : Disponibilité / Accessibilité).Le terme de « patrimoine » prendégalement ici tout son sens enmettant en avant sa notion historique.
Une des caractéristiques de lapérennité consiste certes à êtrecapable d'accéder à l'informationdans le temps mais surtout de façonintelligible c'est-à-dire permettantde l'interpréter. Compte tenu del'évolution particulièrement rapidedes technologies, la conservationsur le long terme représente unvéritable défi dont la réponse estautant technologique qu'organisa-tionnelle. Ceci nécessite d'une partun codage des données indépendantdes systèmes : soit par des formats de codage très simples,ouverts et de ce fait relativementpérennes ; soit par des formatsnormalisés adaptés à la conserva-tion, comme le PDF/A ; soit parune structuration des données detype XML qui permet de s'affranchird'un format propriétaire tout enfacilitant la navigation au sein dudocument et son exploitation.D'autre part s'ajoute à cela lanécessité d'effectuer des migrationspériodiques vers de nouveauxsupports
La conservation dans le temps netouche pas que les supports, lescontenus risquent également deperdre de leur exploitabilité s'ilsne sont pas entretenus car plus letemps passe et plus l'informationpeut devenir difficile d'accès. Parailleurs la conservation de lasignature numérique pose un véritable problème dans la mesureoù elle interdit toute migration deformat de codage (au risque deperdre son intégrité) pourtantindispensable afin d'assurer la
lisibilité sur le long terme.Cependant ceci est vrai si l'on veutconserver la possibilité de vérifierla signature dans le temps. Enrevanche, il est tout à fait possiblede vérifier la signature une foispour toute avant l'archivage desdocuments et de conserver latrace de ces contrôles en ayantpar exemple recours à un tiers dutype autorité de gestion de preuvequi par ailleurs permettra égalementde régler le problème de la faiblessede tout procédé cryptographiquequi ne peut résister indéfinimentaux avancées et évolutions techniquesqui font qu'un jour ou l'autre ilsera percé.
L'archivage électronique se doit pardéfinition de garantir la pérennitémais plus encore, dans la mesureoù il correspond à l'organisationraisonnée d'une conservationsécurisée de l'information crééeaujourd'hui afin de pouvoir laréutiliser demain ou après-demain. De plus en plus ce besoind'archivage est ressenti commeune nécessité pour les entrepriseset devient une obligation.L'archivage répond en fait à troisbesoins distincts :
1. l'entreprise se doit de prouverce qu'elle a fait ou ce qu'elle n'a pas fait et doit égalementpouvoir produire, en cas decontentieux, les pièces néces-saires à la défense de ses droitset de ses intérêts ;2. l'on doit pouvoir réutiliser desdonnées dans la conduite desaffaires comme des études déjàréalisées et réutilisables dans lecadre d'un nouveau projet, aulieu de recréer l'information,opération qui peut coûter cheret faire perdre un temps précieux ;3. l'intérêt pour l'entreprise depréserver sa mémoire, tant pourconstituer une culture d'entre-prise, que pour communiquerenvers ses clients, ses partenaireset ses salariés.
Sécu
rité
tech
niq
ue
Fich
e6
-Pé
rennité/
Arc
hiv
age
élec
troniq
ue Contexte
Pour le patrimoine informationnel,la notion historique est évidem-ment fondamentale et l'enjeu peutse résumer aux conséquencespour l'entreprise de ne pouvoirretrouver des informations alorsqu'elle a besoin de les communiquerou de les utiliser. Il en va de mêmepour l'archivage électronique pourlequel nous avons néanmoinsdétaillé cinq enjeux qui s'appliquentégalement parfaitement au patrimoineinformationnel :
1. juridique : le principal risqueest de ne pas pouvoir produireles données requises par unaudit ou un juge dans la formerequise ; non seulement les donnéesdoivent avoir été archivées maiselles doivent présenter descaractéristiques d'authenticité,d'intégrité et de non répudiation ;
2. logistique : les données ontété bien archivées techniquementmais il est pratiquement impossibled'y accéder car elles n'ont pasété caractérisées pour pouvoireffectuer des recherches et les moteurs de recherche neproduisent que du « bruit »inexploitable ; ou encore, les
données existent mais ne sontpas intelligibles (on a perdu lemoyen de les décoder et de lesinterpréter) ;
3. sécuritaire : des donnéesconfidentielles (données straté-giques, personnelles) risquentd'être divulguées parce qu'ellesne sont pas ou insuffisammentprotégées, ou encore parce qu'ellesauraient du être détruites ;
4. technique : l'enjeu techniqueest double : dans l'espace avecles problèmes d'interopérabilitéentre systèmes, et dans letemps avec le défi de pérennitédes données sur le long terme,face à l'obsolescence récurrentedes formats, supports et outilsde restitution ;
5. financier : l'enjeu financierest double également : coûtd'une amende ou d'unecondamnation judiciaire et dansune moindre mesure, mais à nepas négliger tout de même,temps perdu à la recherche d'information ou investissementperdu dans des outils non maintenus dans le temps.
29
Sécu
rité
tech
niq
ue
Fich
e6
-Pé
rennité/
Arc
hiv
age
élec
troniq
ue Enjeux
Sécu
rité
tech
niq
ue
Fich
e6
-Pé
rennité/
Arc
hiv
age
élec
troniq
ue
Effectuer une classification en terme de duréede conservation des informations gérées parl'entreprise et constituant le patrimoine informationnel, mais également en terme desensibilité (confidentialité - valeur) et d'accessibilité.
Classifier l'information
Utiliser un codage des données indépendant dessystèmes :- formats très simples et ouverts ;- formats normalisés adaptés à la conservation ;- structuration des données de type XML.
Choix du format
La maîtrise des volumes est utile afin de :- définir les priorités de gestion (les types dedonnées et de documents les plus volumineuxseront prioritaires) ;- estimer les besoins en stockage (critère àcombiner à la durée de conservation) et doncune partie des coûts.
Evaluation des volumes
Prévoir d'utiliser plusieurs types de support àadapter en fonction des durées de conservationmais aussi d'accessibilité et de sensibilité de l'information.
Choix du support
Plutôt que de chercher le support idéal quin'existe pas encore, prévoir dès l'origine lesmigrations indispensables permettant de garantirla conservation des données dans le temps.
Prévoir les migrations
Avoir recours à un tiers du type autorité de gestion de preuve. Dans le cas contraire garderl'ensemble des éléments nécessaires à la vérification dans le temps et surtout prévoir aminima d'horodater régulièrement les documentsconcernés afin de contourner l'obsolescence desprocédés cryptographiques.
Vérification des scellements /signatures électroniques
Recommandations
Le patrimoine informationnelconstitue une réalité économique,susceptible d'une valorisation àplus ou moins long terme pour lesgrandes entreprises comme pourles PME innovantes (à titred'exemple, les droits attachés aubrevet, les bases de données, lessecrets de fabrique, les droits surun logiciel, etc., font partie de cepatrimoine immatériel susceptibled'être valorisé ; voir notammentconcernant l'innovation le dossierdu Journal Spécial des Sociétés dejuillet 2007 « Le Management del'innovation », sous la directiond'Eric Caprioli, p.24 et s). Le Droitdoit donc s'employer à en définirles contours puis à en assurer efficacement la protection.
Contours juridiques de la notionde patrimoine informationnel
Le droit n'a pas encore appréhendéle concept de patrimoine informa-tionnel dans toute sa nouveauté etsa plénitude. Il sera donc étudié àpartir des définitions juridiquespréexistantes et établies tant parle législateur que par la pratique.
La notion de patrimoine
Le patrimoine est une notion juridique classique. Il se définitjuridiquement comme « l'ensembledes biens et des obligations d'unemême personne (c'est-à-dire deses droits et charges appréciablesen argent), de l'actif et du passifenvisagés comme formant une universalité de droit, un tout comprenant non seulement sesbiens présents mais aussi sesbiens à venir » (Gérard Cornu,Vocabulaire juridique, P.U.F., V°Patrimoine). Il s'agit de l'ensembledes rapports de droits qui sontappréciables en valeur monétaire,dans lesquels une personne estengagée soit positivement soitnégativement. Les titulaires d'unpatrimoine peuvent être des personnes physiques ou des personnes morales (sociétés
notamment). Les biens composantsce patrimoine peuvent être matérielsou immatériels, corporels ouincorporels (par exemple, descréances, un fonds de commerce,des droits de propriétés intellec-tuelles). La richesse s'affranchitdésormais de toute matérialité etla notion de patrimoine évoluedonc en fonction de l'orientationprise par la Société.
L'information
En s'affranchissant de toute maté-rialité, le patrimoine intègre unbien qui jusqu'à présent n'étaitsusceptible d'appropriation qu'avecdifficulté : l'information. Elle sedéfinit, selon l'arrêté du 3 octobre1984 du Ministre de l'éducationnationale et du Ministre chargédes P.T.T., portant enrichissement duvocabulaire de télécommunications,comme « un élément de connais-sance susceptible d'être représentésous une forme adaptée à unecommunication, un enregistrementou un traitement » (Arrêté du 3octobre 1984 du Ministre de l'éducation nationale et du Ministredélégué auprès du Ministre duredéploiement industriel et ducommerce extérieur, chargé desPTT, portant enrichissement duvocabulaire de télécommunica-tions, J.O. du 10 novembre 1984).
Le patrimoine informationnel
En fonction des définitions mentionnées ci-dessus, le patrimoineinformationnel pourrait êtreconsidéré comme l'ensemble desdonnées, protégées ou non,valorisables ou historiquesd'une personne physique oumorale. Il s'agit donc d'assurer laprotection et la valorisation de l'information. A ce titre, elle doitêtre sécurisée depuis sa créationou sa collecte, tant pendant laphase de transmission que pen-dant la phase de conservation(Eric A. Caprioli, Jean-MarcRietsch, Marie-Anne Chabin,Dématérialisation et archivage
31
Juri
diq
ue
Fich
e7
-Le
sou
tils
jurid
ique
slié
sà
lapr
otec
tion
dupa
trim
oine
info
rmat
ionn
el Contexte
électronique, éd. Dunod, 2006 ;des mêmes auteurs, L'archivageélectronique à l'usage du diri-geant, Livre blanc FEDISA CIGREF,2005, disponible sur le sitewww.cigref.fr.).
Les informations doivent êtreconservées de façon intègre dansle temps (voir fiche 2 : Intégrité),c'est-à-dire qu'elles doiventdemeurer intactes depuis lemoment de leur création jusqu'àleur destruction. L'article 4.f duRèglement CE n° 460/2004 duParlement européen et du conseildu 10 mars 2004 instituant l'Agenceeuropéenne chargée de la sécuritédes réseaux et de l'informationdéfinit l'intégrité des donnéescomme : « la confirmation que lesdonnées qui ont été envoyées,reçues ou stockées sont complèteset n'ont pas été modifiées ».Aucune modification des données,aussi infime soit-elle ne doit êtrepermise, et ce pendant toute ladurée de vie. Cette certitude permet d'acquérir une certaineconfiance dans les données transmises.
La confiance en une informationdécoule également de son impu-tabilité. Il faut pouvoir être sûrque c'est bien la personne authen-tifiée qui est à l'origine de l'envoides données et de ce fait assurerune traçabilité des dites données.L'article 4.e du Règlement CE n°460/2004 du Parlement européenet du conseil du 10 mars 2004définit l'authentification comme « la confirmation de l'identité prétendue d'entités ou d'utilisa-teurs ». L'anonymat constitue unrisque évident pour la valorisationd'une donnée. Lorsqu'une donnéeest imputable, il est plus difficile dela dénier. Cela implique qu'aucunecontestation ne doit pouvoir êtreélevée (ou alors très difficilement)concernant l'existence, l'origine oula destination d'une action oud'une transaction.
L'information doit également êtredisponible (voir fiche 1 : Disponibilité/ Accessibilité), c'est-à-dire que son
accès doit être garanti sans inter-ruption ni dégradation et aux seules personnes autorisées. La valeur d'une information nedépend pas uniquement de saconservation intègre dans letemps mais également de sonexactitude, de sa pertinence etde sa validité. Pour cela, la sécuri-té commence au moment de la collecte et de l'enregistrement desdonnées. Les informations doiventêtre contrôlées par l'entreprise etsi elles ne le sont pas, leur degréde vraisemblance doit être reconnucomme moindre. Leur contenu nedoit pas être entaché d'erreur ou de négligence directementimputable à l'intervention humaine.Les informations collectées et destinées à figurer dans une base de données ou un systèmed'information peuvent être, audépart, exactes, mais faire l'objetde traitements défectueux impu-tables à des négligences ou à deserreurs humaines, voire à desmanipulations. D'autres fois, ellesproviennent d'erreurs dues autraitement de l'information. Danscertains cas, les défauts entachant lecorpus documentaire ne procèdentpas d'erreurs de nature intellec-tuelle mais trouvent plutôt leurorigine dans une défaillance d'ordretechnique liée à la saisie des données.
L'exactitude - au sens strict -vise la conformité avec la réalité del'information fournie. La jurispru-dence fourmille d'exemples où laresponsabilité d'un fournisseur derenseignements est retenue pouravoir communiqué une informationinexacte, c'est-à-dire contraire àla « vérité objective » (Cass. civ.,14 mars 1978, D. 1979, p.549).De plus, l'exactitude de ces don-nées s'envisage dans la durée etpostule, dès lors, une exigence demise à jour de l'information.Plusieurs décisions de justicetémoignent de cette obligation dediffuser des informations actuelles,à jour, non périmées. Ainsi, l'arrêtrendu le 30 janvier 1974 par laCour de cassation confirme qu'à
Juri
diq
ue
Fich
e7
-Le
sou
tils
jurid
ique
slié
sà
lapr
otec
tion
dupa
trim
oine
info
rmat
ionn
el
bon droit, les juges du fond ont pu décider qu'une agence de renseignements commerciauxavait commis une faute engageantsa responsabilité contractuelle enfournissant une information sansémettre aucune réserve alorsqu'elle n'avait en sa possession surla personne concernée que « des ren-seignements périmés et sommai-res remontant à plus de six mois »(Cass. com., 30 janvier 1974, D.S.1974, p. 428).
Pour remplir les fonctions men-tionnées ci-dessus, le patrimoineinformationnel doit être sécuriséau sein du système d'information.Sans sécurité, il pourrait être soumis au pillage en règle effectuépar des concurrents, des presta-taires ou d'autres hackers.
C'est pourquoi la sécurité des systèmes d'information est devenueun enjeu essentiel au sein del'Union européenne comme le prouvele Règlement communautaireinstituant l'Agence européennechargée de la sécurité des réseauxet de l'information. Cette Agence apour mission principale de réaliserdes analyses à long terme sur lesrisques émergents et qui affectentles systèmes d'information enEurope. Ce Règlement communautairedonne une définition de sa sécuritédes systèmes d'information en sonarticle 4. c. : « sécurité desréseaux et de l'information » : lacapacité d'un réseau ou d'un système d'information de résister,à un niveau de confiance donné, àdes événements accidentels ou àdes actions illégales ou malveillantesqui compromettent la disponibilité,l'authenticité, l'intégrité et laconfidentialité de données stockéesou transmises et des servicesconnexes que ces réseaux et systèmes offrent ou qu'ils rendentaccessibles » (J.O.U.E. 13.3.2004,p 1 et s.).
Les instruments juridiques etorganisationnels de protection
La protection du patrimoine infor-mationnel repose certes sur desmoyens techniques (pares-feux,antivirus, routeurs, cryptologie,etc.) (voir fiches sur la sécuritétechnique), mais nécessite aussi lamise en place d'instruments juri-diques dont nous allons présenterles principales caractéristiques.Ces instruments s'inscrivent dansune véritable stratégie où le droitjoue un rôle essentiel : celui d'in-telligence juridique et stratégique.Il s'agit de la maîtrise, la valorisation et la protection du patrimoine informationnelappartenant à une entitépublique ou privée, par la miseen place de procédés légaux,réglementaires, contractuelsou organisationnels (V. Eric A.Caprioli, Introduction au droit de la sécurité des systèmes d'information, in Mélanges enl'honneur de Xavier Linant deBellefonds, éd. LexisNexis, àparaître en 2007).
La politique de sécurité dessystèmes d'information
L'entreprise et les administrationsdoivent prévoir le rôle et lesresponsabilités de tous les acteursconcernés par la sécurité informa-tique (utilisateurs, DSI, RSSI,prestataires externes, stagiairesetc.). Cette première mesure estimposée par la nécessité de protégerle patrimoine informationnel deses acteurs car le facteur humainconstitue le premier risque, cedernier étant souvent à l'originede vols, de pannes, d'erreurs d'utilisation, de délits divers ou demalveillances. La première démarchede l'entreprise doit donc consisterà élaborer une Politique de
33
Juri
diq
ue
Fich
e7
-Le
sou
tils
jurid
ique
slié
sà
lapr
otec
tion
dupa
trim
oine
info
rmat
ionn
el
Sécurité des Systèmes d'Information(PSSI) fondée sur l'édiction derègles clairement définies, notam-ment concernant les actions opéréessur le patrimoine informationnel(règles concernant la modificationd'un fichier, l'enrichissement d'unebase de données, etc.).
La confidentialité des informa-tions de l'entreprise est un autrefacteur fondamental à prendre encompte et des règles de mise enœuvre devraient figurer au sein dela PSSI (ou dans un autre docu-ment qui pourrait s'intituler " poli-tique de confidentialité "). Il s'agi-ra notamment de procéder à laclassification des informationsgénérées, traitées et archivées surle patrimoine informationnel et dedéterminer les niveaux de confi-dentialité que les salariés et tiersdoivent respecter en fonction deleur rôle au sein de l'entreprise etdes droits d'accès qui leur ont étéconférés.
L'entreprise doit également prévoirune politique de délégation depouvoir en ce qui concerne lasécurité et l'administration destechnologies de l'information (voirfiche 9 : Obligations et responsabilitésde l'entreprise et du chef d'entreprise).
Charte d'utilisation des communications électroniques
La charte d'utilisation des commu-nications électroniques constitueun recueil fonctionnel des règlesapplicables aux salariés et auxprestataires externes lorsqu'ilsutilisent les moyens informatiqueset les réseaux (matériels et logiciels)mis à leur disposition dans et/oupar l'entreprise. En fonction del'environnement technique de l'entreprise, cette charte devraintégrer notamment une clauseprévoyant l'interdiction du télé-chargement ou de l'introductiond'œuvres protégées par le droitd'auteur sur les postes informatiquesmis à disposition des salariés, maisaussi l'interdiction de communiquerdes données confidentielles faisant
partie du patrimoine informationnelde la société à d'autres personnes(C. Prud. Nanterre, 15 septembre2005, R.D.B.F., Mars-avril 2006, p.31 et s, note Eric A. Caprioli).
Cette charte devrait inclure deséléments permettant l'administrationdes preuves et des traces informa-tiques qui conditionnent, en grandepartie, la pertinence et l'efficacité desrecours judiciaires de l'entreprisevoire à des fins de preuve pourdégager sa responsabilité. Lacharte peut aussi parfaitementintégrer les questions relatives àla conservation des données deconnexion et de la gestion desaccès aux postes de travail et auxréseaux. Il s'agit de légitimer lacybersurveillance au sein d'uneentreprise (et notamment celle despersonnes pouvant accéder aupatrimoine informationnel de l'en-treprise). Les mesures de sécuritédevront être proportionnées euégard à la finalité poursuivie parl'entreprise. Mais la simple adop-tion d'une charte peut s'avérerinsuffisante. L'entreprise doitassurer ce changement par desactions de sensibilisation et de formation. La sécurité du patrimoineinformationnel doit faire partieintégrante de la culture de l'entre-prise.
Contrats de travail et règlementsintérieurs
L'élaboration d'une charte d'utilisationdes communications électroniquesne se suffit pas à elle-même. Elledoit pouvoir être opposable à l'ensemble des salariés et pourcela il est indispensable de l'intégrercomme annexe du contrat de travail des salariés ou du règlementintérieur de l'entreprise. De lasorte, tout non respect de la chartepeut être sanctionné.
Il est cependant nécessaire des'assurer du respect d'un certainformalisme entourant cette oppo-sabilité. Les instances représentativesdu personnel doivent être consultéeset informées de tout ce qui
Juri
diq
ue
Fich
e7
-Le
sou
tils
jurid
ique
slié
sà
lapr
otec
tion
dupa
trim
oine
info
rmat
ionn
el
concerne les décisions de mise enœuvre dans l'entreprise demoyens techniques permettant uncontrôle de l'activité des salariés(cybersurveillance) conformémentà l'article L. 432-2 al. 1 du Codedu travail. De plus, les salariésdoivent être informés de la miseen place de cette charte (art. L.121-8 du Code du travail). Tous lesdispositifs techniques qui collectentet traitent des données à caractèrepersonnel doivent être déclarés ouautorisés (biométrie) à la CNIL.
Contrats avec des tiers
Il arrive souvent que des prestatairesexternes, des sous-traitants ou desstagiaires utilisent les systèmesd'information de l'entreprise.Cette utilisation qui présente desrisques importants doit être encadrée et contrôlée. En 2005,une stagiaire chinoise travaillantchez un équipementier automobilea été accusée d'avoir copié desdonnées sur son disque dur avantde les emporter chez elle. Ce téléchargement anormal defichiers a alerté l'administrateurinformatique. En conséquence dequoi, l'entreprise a porté plainteen se fondant sur un accès frauduleuxdans un système automatisé dedonnées (STAD). La stagiaire aquant à elle justifié la copie de cesdonnées par la rédaction de sonrapport de stage ainsi que par lefait que ces données étaient parfaitement accessibles sur l'intranet de l'entreprise.
Il semble donc indispensable deprévoir des clauses de confidentialitéet de propriété intellectuelle et de rendre opposable la Charte d'utilisation par le biais des différentscontrats ayant trait à la sécuritédes systèmes d'information del'entreprise et qui sont souscritsavec des tiers.
Le guide juridique du DSI oudu RSSI
Le RSSI (Responsable Sécuritédes Systèmes d'Information) ou leRSI (Responsable Sécurité del'Information) est en charge de lasécurité de l'information au seinde l'entreprise (ou dans un grouped'entreprises). Mais le plus souvent,les fonctions de RSSI sont directe-ment effectuées par le Directeurdes Systèmes d'Information (DSI)Le périmètre de son intervention estessentiel, mais la position hiérar-chique nécessairement transversaledu RSSI est également très importante dans la mesure où ellea une incidence directe sur lespouvoirs et responsabilités decelui-ci. L'efficacité de la sécuritédes systèmes d'information est ainsiconditionnée par son positionnementinterne et par les délégations depouvoirs qui lui sont confiées.
Dans la détermination de ces pouvoirs,il sera important d'étudier l'orga-nisation interne de l'entreprise(organigramme et périmètre desfonctions attribuées). Cette démarcheest nécessaire puisqu'elle permetd'analyser les contraintes propresà l'entité et de prévoir les règles desécurité qui lui seront applicables.Pour cela il faudra mettre en placeune politique de sécurité de l'information mais aussi une formalisation des obligations etresponsabilités du RSSI que l'ontrouve dans le Guide juridique duDSI ou du RSSI. Cela permettrade mieux évaluer les risques juridiques qui relèvent de la fonction ainsi que le périmètre deses attributions (E. A. Caprioli,Régime juridique du ResponsableSécurité des Systèmes d'Information,Livre bleu Tome III, Octobre 2006,disponible sur le site www.caprio-li-avocats.com. Bernard Foray, Lafonction RSSI, éd. Dunod, 2007).
35
Juri
diq
ue
Fich
e7
-Le
sou
tils
jurid
ique
slié
sà
lapr
otec
tion
dupa
trim
oine
info
rmat
ionn
el
Certaines informations constituentdes créations ou des œuvres del'esprit et sont donc susceptiblesd'être protégées par des droits depropriété intellectuelle. La violationde ces droits est passible dessanctions civiles et/ou pénalesprévues pour le délit de contrefaçon.D'autres informations ne peuventpas être protégées par ces droits,mais uniquement par le secret. La protection de l'information peut être abordée de deux façonscomplémentaires :
- l'une purement juridique enfonction des droits de propriétéintellectuelle visés ;- l'autre plus technique : lamesure technique de protectionet d'information.
Protection juridique par les droitsde propriété intellectuelle
Les différents droits intellectuelsseront envisagés tour à tour, étantprécisé que chacun possède unrégime juridique spécifique.
Les différents droits de propriétéintellectuelle susceptibles deprotéger l'information
1. Le droit d'auteur
Les œuvres de l'esprit sont protégéespar le droit d'auteur. Il convient derappeler qu'un monopole estreconnu au titulaire des droits surl'œuvre (pour une durée desoixante-dix ans après la mort del'auteur) assorti de certainesexceptions. L'atteinte portée à cemonopole est constitutive du délitde contrefaçon (Art. L. 335-2 CPIpour les compositions musicales,écrits, dessins, peintures et touteautre production imprimée ou gravée en entier ou en partie, Art.L. 335-3 pour les œuvres de l'espritet pour les logiciels. V égalementles art. L. 335-4 et s CPI).
Pour bénéficier de cette protection, ilconvient de rappeler que l'oeuvre
doit présenter une forme perceptiblequi est originale, c'est-à-dire marquée de l'empreinte de la personnalité de l'auteur. Le titulairedes droits pourra alors faire interdire tout acte de reproductionou de représentation de l'information.Les prérogatives relevant du droitmoral n'appartiennent qu'à la personne de l'auteur et ne sontpas cessibles (paternité, respect,divulgation, retrait et repentir).
Dans le domaine particulier deslogiciels, en France comme cheztous les signataires de laConvention de Münich sur le brevet européen, le logiciel estprotégé par le seul droit d'auteuret non par le droit des brevets(Article 52-2 c de la CBE du 5octobre 1973, entrée en vigueur le 7 octobre 1977) même si denombreux brevets européens delogiciels visant la France font l'objet de dépôts à l'Office européendes brevets et que l'exclusion desprogrammes d'ordinateur desmatières brevetables fait l'objet deremises en cause régulières (V.sur le sujet, Ch. Caron, L'Europetimide des logiciels, Comm. com.électr. 2002, chron. 20). C'est laloi du 3 juillet 1985 qui a levétoute ambiguïté à ce sujet enajoutant le logiciel aux œuvres del'esprit susceptibles d'être protégées.Le logiciel doit pour cela remplir lacondition d'originalité qui s'entendici d'un « apport intellectuel » del'auteur (Cass. ass. Plén., 7 mars1986, D. 1986, jurisp. p. 405,concl. Cabannes).
Ce qui est protégé c'est à la fois lelogiciel et le matériel de conceptionpréparatoire (L. 112-2, 13° du Codede la propriété intellectuelle).C'est l'expression du logiciel quiest protégeable, donc une séried'instructions rédigées par le programmeur en code source oucode objet. Quant au matériel deconception préparatoire, on peutciter l'exemple du manuel d'utilisation, qui peut constituer
Juri
diq
ue
Fich
e8
-La
prot
ectio
nde
l'inf
orm
atio
npa
rle
droi
tde
lapr
oprié
téin
telle
ctue
lle Contexte
une œuvre littéraire. En revanche,sont exclus de la protection, lesfonctionnalités du logiciel qui procurent le résultat recherché(TGI Paris, 4 oct. 1995 : JCP G1996, II, 22673, note H. Croze).
Le droit d'auteur sur un logicielconfère un monopole, détaillé àl'article L. 122-6 du Code de lapropriété intellectuelle, qui permetà son bénéficiaire de faire interdirela reproduction de son logiciel, latraduction, l'adaptation, l'arrange-ment ou toute modification dulogiciel et la mise sur le marché, ycompris la location d'exemplairesdu logiciel. On pourra souligner icil'absence de droit de représentation.Toutefois, la protection de l'infor-mation contenue dans un logiciel ades limites. Ces exceptions, qui nebénéficient qu'à l'utilisateur licite dulogiciel, sont détaillées à l'article L.122-6-1 du Code de la propriétéintellectuelle. Il s'agit du droit d'utilisation et de correction dulogiciel, de la possibilité d'étudierle logiciel, du droit de réaliser unecopie de sauvegarde, et enfin dudroit à décompilation. Ce dernier aune importance toute particulièreet peut être un facteur de risque pourl'entreprise car il peut permettrede récupérer des informations afinde réaliser des actes de contrefaçon.Mais la décompilation n'autorisepas toute utilisation des informa-tions recueillies, l'article L. 122-6,IV CPI, imposant notamment qu'ellesne soient pas, sauf nécessité,communiquées à des tiers, ni utilisées pour mettre au point unautre logiciel.
Si la protection d'une œuvre originalepar le droit d'auteur naît du seulfait de la création et n'est doncsubordonnée à l'accomplissementd'aucune formalité particulière, ilpeut être judicieux d'effectuer undépôt privé de l'œuvre (chez unhuissier, un notaire grâce au servicede dépôt électronique notarial ouauprès d'organismes d'auteurs).Le dépôt offre en effet l'avantaged'apporter une date certaine à lacréation. Il permet ainsi de faire
échec à une revendication effectuéepar un tiers de mauvaise foi. Dansle domaine des logiciels et desbases de données, des organismestels que l'APP (agence pour la protection des programmes), ouLogitas, permettent d'effectuerdes dépôts (aux Etats-Unis, lecopyright office). A l'APP, le dépôtse déroule de la façon suivante :Lors d'un dépôt de diffusion, deuxexemplaires de l'œuvre, tellequ'elle est diffusée au public, sontplacés dans deux logibox dont uneest conservée par l'APP et l'autreremise au titulaire des droits. Cetype de dépôt concerne notammentles bases de données, les manuelsd'utilisation ou les programmesinformatiques sous formes exécu-tables. Lors d'un dépôt des sourcesd'un logiciel, deux exemplaires del'œuvre, dans sa version non destinée à être diffusée au public,sont placés dans deux logiboxdont l'une est conservée par l'APPet l'autre remise à l'adhérent. Cetype de dépôt permet de prévoircontractuellement l'accès auxsources du logiciel. Contrairementà l'APP et pour un service équivalent,Logitas effectue un contrôle systé-matique des procédures décritesen accompagnement des sources.
2. Les droits sur les bases de données
La base de données que le Codede la propriété intellectuelle définitdans son article L. 112-3, alinéa 2comme « un recueil d'œuvres, dedonnées ou d'autres élémentsindépendants, disposés de manièresystématique ou méthodique, etindividuellement accessible pardes moyens électroniques ou partout autre moyen », fait égalementl'objet d'une protection par le droitd'auteur, quelque soit son support(électronique ou papier). Pourdémontrer son originalité, ilconviendra de prendre en comptele choix ou la disposition desmatières. Un recueil dans lequelles informations sont classées parordre alphabétique ne sera pasprotégé (CA Paris, 29 oct. 2003 :Comm. com. électr. 2004, comm.
37
Juri
diq
ue
Fich
e8
-La
prot
ectio
nde
l'inf
orm
atio
npa
rle
droi
tde
lapr
oprié
téin
telle
ctue
lle
37, note Ch. Caron). Un apportintellectuel de l'auteur doit nécessairement être caractérisé.L'information contenue dans labase de données n'est ici pas protégée mais elle fait l'objetd'une protection spécifique.
L'entreprise peut, en effet, bénéficierd'une protection sur le contenud'une base de données qu'elle adéveloppée (droit sui generis duproducteur de la base de donnéesde l'article L. 341-1 du Code de lapropriété intellectuelle). Pour êtreconsidéré comme producteur de labase, et donc bénéficier de cetteprotection, l'entreprise doit prendrel'initiative et le risque des investis-sements correspondants. Uninvestissement substantiel estdonc exigé, et doit être prouvé parcelui qui s'en prévaut.L'investissement porte sur la constitution de la base (recherche,rassemblement des informationset vérification de leur fiabilité(CJCE, 9 nov. 2004 : Comm. com.électr. 2005, comm. 2, note Ch.Caron.). Cet investissement pourraêtre financier, matériel ou humain.
Le monopole dont bénéficiera l'entreprise est d'une grande utilité et d'une grande efficacitécar il protège tout le contenu de labase de données, quand bienmême les informations appartien-draient au domaine public.L'article L. 342-1 du Code de lapropriété intellectuelle confère unpremier droit au producteur de labase de données, c'est celui d'interdire certaines extractionsdu contenu de sa base. Lorsquel'extraction est partielle, elle devraêtre quantitativement ou qualitati-vement substantielle. L'article L.342-1, 2° du Code de la propriétéintellectuelle, permet quant à luiau producteur de la base d'interdirela « réutilisation, par la mise àdisposition du public de la totalitéou d'une partie qualitativement ouquantitativement substantielle ducontenu de la base, quelle qu'ensoit la forme ». Enfin, une caracté-ristique forte de ce droit sui
generis provient également du faitque la protection peut, dans lapratique, être perpétuelle puisquela durée de protection initiale de15 ans recommence à courir àchaque fois qu'un investissementsubstantiel est réalisé.
3. Le droit des brevets d'invention
Les créations de caractère techniquepeuvent faire l'objet d'une protectionpar le brevet. Ce titre délivré parl'INPI ou par l'Office européen des brevets (OEB) confère à sontitulaire un monopole temporaired'exploitation sur l'invention déposée(20 ans non renouvelable). C'estce droit exclusif conféré au titulairedu brevet qui en fait une armeindustrielle et commerciale redou-table. Pour bénéficier de la protection,l'invention doit respecter plusieursconditions énumérées par l'articleL. 611-10 du Code de la propriétéintellectuelle : elle doit être nouvelle et impliquer une activitéinventive (ces deux conditionss'appréciant par rapport à l'état dela technique), et elle doit être susceptible d'application industrielle.L'article exclut par la même occasion un certain nombre decréations qui ne remplissent pasces conditions, à savoir : les théories scientifiques et méthodesmathématiques, les créationsesthétiques, les plans, principes etméthodes, les programmes d'ordi-nateurs et enfin les présentationsd'informations. Une invention brevetable peut être un produit,un procédé, une application ouune combinaison nouvelle demoyens connus.
Des informations peuvent doncprésenter des caractéristiques quien font un procédé brevetable. Eneffet, un procédé (ou moyen) peutrevêtir une forme immatérielle(une façon de faire, une manièred'opérer). Il sera alors indispensa-ble à l'entreprise propriétaire duprocédé, d'effectuer un dépôtauprès de l'INPI en prenant soinde ne pas divulguer l'invention aurisque de la faire tomber dans l'état de la technique.
Juri
diq
ue
Fich
e8
-La
prot
ectio
nde
l'inf
orm
atio
npa
rle
droi
tde
lapr
oprié
téin
telle
ctue
lle
Il est à noter que ce dépôt peuts'effectuer par voie électronique.Développé en collaboration avecl'Office européen des brevets, ledépôt électronique de brevets estun service offert par l'INPI qui permet de déposer par voieélectronique et en toute sécuritéles demandes de brevets français,européens et PCT (patent coope-ration treaty) ainsi que les piècescomplémentaires pour la procédurefrançaise, sans avoir recours aupapier. Soulignons que le breveteuropéen n'est pas un titre de propriété intellectuelle uniquecomme la marque communautaire.La procédure d'examen de lademande est unique et se dérouledevant l'OEB. La demande doitviser les Etats pour lesquels onsouhaite une protection (parmi lessignataires de la Convention sur lebrevet européen du 5 octobre1973). Après sa délivrance parl'OEB, le brevet européen éclateen brevets nationaux dans chacundes Etats où il est demandé.
4. Le droit des marques
La marque est un signe distinctif.Elle peut être apposée sur un produit, ou bien accompagner unservice. Sa fonction est de permettre au consommateur dedistinguer les produits ou servicesd'une personne physique ou moralede ceux de ses concurrents (articleL. 711-1 du Code de la propriétéintellectuelle). Elle constitue unmoyen pour les commerçants d'attirer et retenir une clientèle, etdans l'esprit du consommateur,elle est souvent la garantie d'unecertaine qualité. Le dépôt d'unemarque confère à son titulaire undroit exclusif d'une période de 10ans renouvelable indéfiniment,mais qui produit des effets unique-ment sur le territoire où elle a étéenregistrée. Le signe doit présentercertaines caractéristiques pourfaire l'objet d'un dépôt. En premierlieu, il doit pouvoir être représentégraphiquement. L'article L. 711-1du CPI nous donne une liste nonlimitative de signes susceptibles
de constituer des marques. On peutles regrouper en trois groupes : lesmarques nominales, les marquesfiguratives (logos, graphismes,couleurs, formes, etc.) et lesmarques sonores. Les marquesnominales et figuratives peuventd'ailleurs se combiner, on dit alorsqu'elles sont « semi-figuratives ».
Le signe doit aussi respecter desconditions de validité. Il doit êtrelicite et distinctif (article L. 711-2du CPI). Le signe licite s'entend decelui qui n'est pas contraire à laloi, l'ordre public et les bonnesmœurs, et qui n'est pas frauduleuxou déceptif, c'est-à-dire qu'il n'induit pas le public en erreur. Lesigne est distinctif lorsqu'il permetd'identifier un produit ou un serviceparmi les produits ou services demême nature, proposés par lesconcurrents. La marque ne doit doncpas être générique ou nécessaire,ni être descriptive du produit ouservice (notamment de l'espèce,la qualité, la quantité, la destina-tion, la valeur ou la provenance du produit ou service). Le signechoisi doit également être disponible,c'est-à-dire ne pas porter atteinteà des droits antérieurs (L. 711-4du CPI). Ces droits antérieurs peuvent être constitués par desmarques, dénominations sociales,noms commerciaux, enseignes ounoms de domaine. Ces droits nesont opposables que dans la limitedu principe de spécialité, c'est àdire qu'ils existent dans le mêmesecteur commercial que celui danslequel on veut déposer la marque.En revanche, certains droits antérieurssont opposables même dans le cadred'un secteur d'activité totalementdifférent : le droit d'auteur, le dessin ou modèle protégé, uneappellation d'origine, un droit de lapersonnalité.
La marque est un droit de propriétéindustrielle particulier en ce sensqu'il oblige son titulaire à exploitercommercialement son signe. Letitulaire d'une marque qui ne faitpas l'objet d'un usage sérieuxpendant une période ininterrompue
39
Juri
diq
ue
Fich
e8
-La
prot
ectio
nde
l'inf
orm
atio
npa
rle
droi
tde
lapr
oprié
téin
telle
ctue
lle
de cinq ans encourt la déchéancede sa marque (L. 714-5 du CPI).
Le droit sur la marque permet defaire sanctionner les actes decontrefaçon qui s'entendent de lareproduction à l'identique du signe(L. 713-2) ou de son imitation.Dans le cas d'une imitation dusigne, la démonstration d'unrisque de confusion entre lesmarques est nécessaire (L. 713-3du CPI). D'autres actes sont susceptibles s'être sanctionnéspar l'action en contrefaçon : c'estnotamment le cas de l'usage nonautorisé d'une marque, son appo-sition, ou encore l'importation etl'exportation de marchandisesprésentées sous une marquecontrefaite.
La marque communautaire a étécréée par le règlement CE n°40/94 du 20 décembre 1993. Ellene se substitue pas aux marquesnationales. C'est un titre uniquequi produit ses effets sur tout leterritoire de la Communauté. Sondépôt et son examen s'effectuentauprès de l'Organisation del'harmonisation du marché intérieur(OHMI). Le dépôt au niveau inter-national existe également grâce à l'Arrangement de Madrid quipermet à celui qui a déposé samarque dans le pays d'origine, dedéposer sa marque auprès del'OMPI (organisation mondiale de laprotection industrielle) à Genève.Une fois enregistrée, l'OMPI notifiela marque aux diverses adminis-trations nationales qui peuventl'admettre ou la refuser.
5. Le droit des dessins et modèles
Ce droit a pour objet de protégerl'apparence d'un produit ou d'unepartie de produit. L'objet déposédoit présenter certaines caractéris-tiques à savoir : être visible (objetconcret et apparent), nouveau (auregard de l'art antérieur), et avoirun caractère propre c'est-à-direque l'impression d'ensemble qu'ilsuscite chez l'observateur avertidoit différer de celle produite par
tout dessin ou modèle divulguéavant le dépôt de la demanded'enregistrement. Ce caractèrepropre est une condition qui a étéajoutée par le nouveau droit des dessins et modèles issu del'ordonnance n°2001-670 du 25juillet 2001 portant adaptation ducode de la propriété intellectuelleau droit communautaire. Un arrêtde la chambre commerciale de laCour de cassation en date du 6février 2007 (N° pourvoi : 04-17274, disponible sur le sitewww.legifrance.gouv.fr) est venuconfirmer que l'appréciation de lavalidité d'un dépôt d'un modèlerelève du droit en vigueur aumoment de ce dépôt. L'exigencede caractère propre ne s'appliquedonc pas aux modèles déposésantérieurement à l'ordonnance.Certaines créations sont, enrevanche, écartées de toute protection par les dessins etmodèles : les formes exclusivementimposées par la fonction techniquedu produit, les formes des piècesd'assemblage et les créationscontraires à l'ordre public et auxbonnes mœurs.
Comme la marque, le modèle doitêtre déposé à l'INPI (ou l'OHMIpour le modèle communautaire),et confère un droit exclusif à sontitulaire sur le territorial où ledépôt a été effectué. La duréeinitiale du droit protégé est de 5 ans et peut être prorogée plusieurs fois pour atteindre unedurée maximale de 25 ans. Laprotection conférée par ce droitpermet de s'opposer à toutecontrefaçon. Il peut s'agir de lareproduction à l'identique ou del'imitation du dessin ou modèle.Les actes de commercialisationd'objets contrefaisants sont descontrefaçons, tout comme leurimportation.
Le modèle peut parfaitementbénéficier d'un cumul de protectionavec le droit d'auteur s'il constitueune création de forme originalemarquée de l'empreinte de la personnalité de son auteur.
Juri
diq
ue
Fich
e8
-La
prot
ectio
nde
l'inf
orm
atio
npa
rle
droi
tde
lapr
oprié
téin
telle
ctue
lle
Il existe également deux types demodèles communautaires : lemodèle communautaire enregistré(auprès de l'OHMI), qui bénéficied'une période de protection maximale de 25 ans, et le modèlecommunautaire non enregistré quiconfère à son titulaire un monopoled'exploitation de trois ans à compterde la date à laquelle il a été divulguépour la première fois au public ausein de l'Union européenne.
6. Le savoir-faire et le secret defabrique
Certaines informations, qui ne sontpas susceptibles d'être protégées parun droit de propriété intellectuelleou que l'entreprise ne souhaitesimplement pas voir divulguées aupublic, peuvent faire l'objet d'uneréservation par le secret. Bienentendu, le secret ne constituepas un droit privatif. Il revêt deuxformes juridiques : le savoir-faire(ou know-how) et le secret defabrique.
Le savoir-faire est défini par lerèglement d'exemption n° 772/2004du 27 avril 2004 (article 1 (i))comme : « un ensemble d'informationspratiques non brevetées, résultantde l'expérience et testées, qui est :(i) secret, c'est-à-dire qu'il n'est pasgénéralement connu ou facilementaccessible ; (ii) substantiel, c'est-à-dire important et utile pour laproduction des produits contractuels ;(iii) identifié, c'est-à-dire décritd'une façon suffisamment complètepour permettre de vérifier qu'ilremplit les conditions de secret etde substantialité ». La définitioncommunément retenue est cellede Monsieur le Professeur Jean-MarcMousseron : le savoir-faire est une « connaissance techniquetransmissible, mais non immédia-tement accessible au public et nonbrevetée ». La réservation dusavoir-faire n'est en principe paspossible par voie d'appropriationcar seul un droit de propriété intellectuelle tel que le brevet,peut conférer un droit de propriétésur de simples informations.
Toutefois, la protection du savoir-fairepeut être assurée de différentesmanières. En premier lieu, lajurisprudence a eu l'occasion dereconnaître l'incrimination de vold'informations, par exemple lorsqu'unemployé recopie des formules defabrications confidentielles (Lyon,24 février 1988, PIBD 1988, III p.225). Deuxièmement, le titulairedu savoir-faire bénéficie desrègles de la responsabilité civile,avec l'action en concurrencedéloyale contre ses concurrents,et l'action en responsabilité dedroit commun contre les nonconcurrents. Enfin, l'utilisation demécanismes contractuels peut s'avérer indispensable par exemplelorsque dans le contexte d'unenégociation avec un tiers, l'accèsdoit être accordé à une partie dusavoir-faire. Le titulaire devraimposer au tiers la signature d'unaccord de confidentialité. Ce typed'accord se divise le plus souventen deux obligations : une obligationde non divulgation à des tiers dusavoir-faire, et une obligation denon exploitation de ce savoir-faire.
Le secret de fabrique s'entendquant à lui de « tout procédé defabrication, offrant un intérêt pratiqueou commercial, mis en œuvre parun industriel et gardé secret à l'égard de ses concurrents »(Cass. crim., 29 mars 1935 :Bull.crim., p.350). Les peines sanctionnantla divulgation du secret defabrique, par tout directeur ousalarié d'une entreprise, sont prévues aux articles L. 621-1 duCode le la propriété intellectuelleet l'article L.152-7 du Code du travail. Ce délit est puni de deuxans d'emprisonnement et de30.000 euros d'amende. La tentativede révélation est punie de lamême manière.
7. Autres signes distinctifs : nomcommercial, enseigne, dénominationsociale et nom de domaine
A côté de la marque, le patrimoineinformationnel de l'entreprise estconstitué d'autres signes distinctifs
41
Juri
diq
ue
Fich
e8
-La
prot
ectio
nde
l'inf
orm
atio
npa
rle
droi
tde
lapr
oprié
téin
telle
ctue
lle
utilisés dans la vie des affaires,produisant des effets quand ilssont exploités dans les relationsavec la clientèle. Ainsi, la dénomi-nation sociale identifie la personnemorale, le nom commercial unfonds de commerce, l'enseigne lelieu d'une exploitation commercialeet le nom de domaine un siteInternet.
Le choix de ces signes diffère decelui d'une marque car il n'existepas à proprement parler de conditionsde validité ou d'acquisition de telssignes. Même totalement dépourvude caractère distinctif, un signepeut parfaitement être exploitédans le commerce. Cependant sadéfense, fondée sur la responsabilitécivile, contre l'usage d'un signesimilaire, suppose qu'il soit distinctif.Par conséquent la distinctivitén'est pas une condition légale maispermet d'assurer la protection dusigne.
Le signe doit par ailleurs êtredisponible. La dénomination sociale,le nom commercial, l'enseigne oule nom de domaine peuvent seheurter à des droits antérieurs. Ilpeut d'agir d'une marque, et dansce cas le titulaire du signe visantdes produits ou services similairesà ceux de la marque antérieure,sera éventuellement condamnépour contrefaçon. Le signe ne doitpas non plus porter atteinte àune marque de renommée(bénéficiant d'une protection spécialeà l'article L. 713-5 du CPI), ni àune dénomination géogra-phique antérieure telle qu'uneappellation d'origine. Enfin, ladénomination sociale, le nomcommercial, l'enseigne ou le nomde domaine ne doivent pas porter atteinte au nom d'untiers. Concernant le cas danslequel le signe correspond au nomde famille de l'exploitant, le nompeut déjà être exploité dans lemême secteur d'activité et unetelle situation est de nature àcréer un risque de confusion dansl'esprit du public. Mais par analogieau droit des marques, l'exploitant
pourra utiliser son nom sauf dansle cas où il chercherait à profiter dela réputation du signe antérieur.
La protection de ces signesdistinctifs, est assurée par lavoie non privative du droitcommun de la responsabilitécivile. Cette protection est subor-donnée à son usage dans les rapports avec la clientèle. Cetusage est une condition nécessaireet suffisante de la protection.L'inscription au RCS ne constituepas une condition de protection dela dénomination sociale, du nomcommercial et de l'enseigne. Ladate à prendre en compte pour sedéfendre contre un signe postérieurest celle du commencement del'exploitation du signe et non cellede l'inscription au RCS.
Pour le nom de domaine, la formalitéd'enregistrement n'est pas nonplus comparable avec l'enregistrementd'une marque. Si l'enregistrementdu nom de domaine est nécessaireà son utilisation sur l'Internet, ilconstitue une réservation techniquedu signe qui n'est pas de nature àconférer de droit privatif.L'exploitant du site identifié sousle signe a en revanche qualitépour agir en concurrence déloyalemême s'il n'est pas personnellementle bénéficiaire de l'enregistrement,car il est la victime d'un risque deconfusion avec un signe postérieur
La protection de ces signes setrouve limitée, au même titre queles marques, par le principe despécialité. Le nom commercial etl'enseigne ne sont protégés qu'àl'égard des produits ou servicesqui constituent l'objet de l'activitédu fonds ou du lieu d'exploitationqu'ils identifient. Pour la dénomi-nation sociale, la question est plusdélicate car une jurisprudencelongtemps dominante estimait quela dénomination sociale était protégée en dehors du domained'activité de la personne morale.La Cour de cassation soumet désormais clairement la protectionde la dénomination sociale au
Juri
diq
ue
Fich
e8
-La
prot
ectio
nde
l'inf
orm
atio
npa
rle
droi
tde
lapr
oprié
téin
telle
ctue
lle
principe de spécialité (Cass.com.,30 novembre 2004, PIBD 2005, n°802, III, 117). Le nom de domaineest lui aussi soumis au principe despécialité. La protection de tousces signes soumise au régime despécialité s'étend en revanche auxspécialités similaires. Mais si le signe bénéficie d'uneprotection, celle-ci est nécessairementlimitée géographiquement. En casde conflit avec une marque postérieure, la dénomination sociale,le nom commercial ou l'enseigne,doivent avoir un rayonnementnational.
Les sûretés sur le patrimoineinformationnel
Le patrimoine informationnel estcomposé de biens meubles incor-porels. Cette catégorie éclatéeregroupe des biens aussi disparateque le fonds de commerce, lescréances, les propriétés industrielles,les instruments financiers, la monnaie, les parts sociales, ouencore les droits d'exploitation deslogiciels, etc.
L'ordonnance n° 2006-346 du 23mars 2006 relative aux sûretés(J.O n° 71 du 24 mars 2006 p.4475) a bouleversé le régimeapplicable aux sûretés portant surdes biens incorporels. Désormaisle nantissement ne porte que surdes meubles incorporels. L'article2355 du code civil le définitcomme « l'affectation en garantied'une obligation, d'un bien meubleincorporel ou d'un ensemble debiens meubles incorporels, présentsou futurs ». Le débiteur (la personnequi entend effectuer un nantissementd'un bien meuble incorporel) n'aplus à se déposséder du bien auprofit du créancier du bien faisantl'objet du gage pour le rendreopposable. Ce gage est publié sur un registre spécial dont lesmodalités seront fixées par undécret en Conseil d'Etat. La dépossession n'est donc plus qu'une simple modalité d'opposabilitédu gage. Les gages portant surdes droits de propriété intellec-
tuelle nécessitent l'établissementd'un contrat écrit (à titre d'exemple,l'article L.714-1 du CPI l'exigepour les marques). En revanche, àdéfaut de publicité sur un registre,la connaissance personnelle del'acte par les tiers vaut publicité.L'entreprise qui donne en garantiedes éléments de son patrimoineinformationnel a une obligation deconservation de l'élément du patri-moine informationnel (obligationd'exploiter les droits et obligationd'agir en contrefaçon le caséchéant).
La gestion du patrimoine informa-tionnel s'inscrit donc dans cetteoptique de valorisation des biensmeubles incorporels.
Les mesures techniques de protection et d'information
Les informations détenues par uneentreprise sont, nous l'avons vu,susceptibles de constituer desœuvres de l'esprit protégées par ledroit d'auteur. Néanmoins, faceaux insuffisances du seul droitd'auteur pour sauvegarder lesintérêts des auteurs dans lecontexte du tout numérique, sontutilisées des mesures techniquespermettant d'empêcher les actesnon autorisés par le titulaire dedroits. La loi n° 2006-961 du 1eraoût 2006 relative au droit d'auteuret aux droits voisins dans la sociétéde l'information (J.O n° 178 du 3août 2006 p. 11529), a posé leprincipe de validité du recours auxmesures techniques de protection(MTP) et d'information (MTI) desœuvres (E. A. Caprioli, Mesurestechniques de protection et d'in-formation des droits d'auteur,Com. com. électr. Nov. 2006,Etude n° 30, p. 25). La directiveeuropéenne du 22 mai 2001 surl'harmonisation de certainsaspects du droit d'auteur et desdroits voisins dans la société del'information définit ces mesuresen son article 6 § 3 comme : « toute technologie, dispositif oucomposant qui, dans le cadre normal de son fonctionnement, est
43
Juri
diq
ue
Fich
e8
-La
prot
ectio
nde
l'inf
orm
atio
npa
rle
droi
tde
lapr
oprié
téin
telle
ctue
lle
destiné à empêcher ou à limiter, ence qui concerne les œuvres ouautres objets protégés, les actesnon autorisés par le titulaire d'undroit d'auteur ou d'un droit voisindu droit d'auteur prévu par la loi,ou du droit sui generis prévu auchapitre III de la directive n°96/9/CE ». Le nouvel article L.331-5 du Code de la propriétéintellectuelle introduit les mesurestechniques de protection tandisque l'article L. 331-22 du même codeintroduit les mesures techniquesd'information. Les premières(MTP) auront pour fonction soit decontrôler l'accès à l'œuvre soitlimiter l'utilisation de celle-ci. Lessecondes (MTI) regroupent « toute information fournie par untitulaire de droits qui permet d'identifier une œuvre, une interprétation, un phonogramme,un vidéogramme, un programmeou un titulaire de droit, touteinformation sur les conditions etmodalités d'utilisation d'une œuvre,d'une interprétation, d'un phono-gramme, d'un vidéogramme, oud'un programme, ainsi que toutnuméro ou code représentant toutou partie de ces informations ».
La loi du 1er août 2006 introduitles articles L. 335-3-1 (pour ledroit d'auteur) et L. 335-4-1 (pourles droits voisins) du Code de lapropriété intellectuelle pour sanc-tionner l'atteinte contre ces mesures.Les sanctions sont les suivantes :tout d'abord, est punie de 3.750euros d'amende toute atteintedélibérée, à des fins autres que larecherche et la sécurité informa-tique, aux mesures techniquesréalisée par un internaute par sespropres moyens ; ensuite, est punide six mois d'emprisonnement etde 30.000 euros d'amende le fait deprocurer ou de proposer sciemmentà autrui, directement ou indirectement,
des moyens de contournement.Pour pouvoir bénéficier de cetteprotection, il faut souligner quedeux conditions sont nécessaires :les mesures techniques doiventrépondre aux critères d'efficacitéet de fonctionnalité.
Le décret n° 2006-1763 du 23décembre 2006 relatif à la répressionpénale de certaines atteintes portéesau droit d'auteur et aux droits voisins (J.O. du 30 décembre2006) est venu fixer les sanctionspénales encourues à l'occasion decertaines atteintes portées au droitd'auteur et aux droits voisins.L'article premier du texte ajoutedeux articles à la partie réglementairedu Code de la propriété intellec-tuelle : l'article R. 335-3 relatif àla détention en vue d'un usagepersonnel ou l'utilisation d'undispositif anti-mesures techniquesde protection mentionné à l'articleL. 331-5 du CPI ou de recourir àun service pour y porter atteinteet l'article R. 335-4 relatif à ladétention en vue d'un usage personnel ou l'utilisation d'undispositif anti-mesures techniquesd'information détaillé à l'article L.331-22 du CPI ou de recourir à unservice pour porter atteinte à undroit d'auteur, un droit voisin ou àun droit de producteur de base dedonnées. Les actes visés sont désormais passibles de contraventionsde quatrième classe, soit uneamende de 750 euros. Ces sanctionsn'ont pas vocation à s'appliquer àla détention d'un dispositif decontournement ou de neutralisationd'une MTP ou d'une MTI en vue desa distribution, mais uniquementpour un usage personnel. Enfin, larecherche informatique et la sécurité des systèmes d'informationconstituent les exceptions à cesrègles
Juri
diq
ue
Fich
e8
-La
prot
ectio
nde
l'inf
orm
atio
npa
rle
droi
tde
lapr
oprié
téin
telle
ctue
lle
En tant que valeur d'une entreprise,le patrimoine informationnel doitêtre protégé. Cette protectionrepose sur les propriétés intellec-tuelles et industrielle (voir fiche 8 :La protection de l'information par ledroit de la propriété intellectuelle)mais aussi sur la sécurité des systèmes d'information utiliséspar l'entreprise (voir fiches sur laSécurité technique). A ce titre,l'entreprise et ses représentantsdoivent respecter les obligationslégales qui en découlent car ladimension juridique ne sauraitêtre négligée.
La définition du régime juridiqueapplicable au patrimoine informa-tionnel permet de prévoir lesrisques auxquels l'entreprise etses dirigeants sont soumis. Cetteétape constitue un pré requisnécessaire afin de déterminer lessolutions contractuelles et organi-sationnelles envisageables pourdégager - au maximum - l'entrepriseet ses dirigeants de tout ou partiede leur responsabilité.
Obligations et responsabilités
Le patrimoine informationnel depar sa nature est soumis à descorps de règles différents : la loiInformatique, Fichiers et Libertés,le droit de la responsabilité civileou le Code pénal.
Non-respect des obligationsdécoulant de la loi Informatique,Fichiers et Libertés
Le patrimoine informationneldétenu par une entreprise estconstitué de différents types d'informations, et notamment dedonnées à caractère personnelcontenues dans des bases de données, qu'il s'agisse de celles deprospects, de clients, partenairescommerciaux, etc. C'est à ce titreque la Loi Informatique, Fichiers et Libertés du 6 janvier 1978
modifiée par la loi du 4 août 2004,crée des obligations à la charge deces entreprises. Cette loi préciseles sanctions pénales applicables àtoute entreprise qui ne respecteraitpas les principes en matière dedonnées à caractère personnel. Laloi pose en principe que c'est leresponsable du traitement quiengage sa responsabilité pénaleen cas de non-respect des prescriptions qu'elle impose.
Les principales obligations sont lessuivantes :
- L'obligation d'information quisignifie que toute personne a ledroit de savoir si elle est fichéeet dans quels fichiers elle estrecensée (article 32 de la loiInformatique, Fichiers etLibertés) ;- Le respect du droit d'accès,impliquant que toute personnejustifiant de son identité a ledroit d'interroger le responsabled'un fichier ou d'un traitementpour savoir s'il détient des infor-mations sur elle, et le caséchéant d'en obtenir communi-cation (article 39, 41 et 42 de laloi) ;- Le respect du droit de rectifi-cation, permettant à toute personne de faire rectifier, compléter, actualiser, verrouillerou effacer des informations quila concernent lorsqu'ont étédécelées des erreurs, desinexactitudes ou la présence de données dont la collecte, l'utilisation, la communicationou la conservation est interdite(article 40 de la loi) ;- Le respect du droit d'opposition,qui autorise toute personne às'opposer, pour des motifs légitimes, à figurer dans unfichier (article 38 de la loi) ;- Le respect de formalités préalables car certains traitementsinformatiques de données per-sonnelles qui présentent desrisques particuliers d'atteinte
45
Juri
diq
ue
Fich
e9
-O
blig
atio
nset
resp
onsa
bilit
ésde
l'ent
repr
ise
etdu
chef
d'en
trep
rise Contexte
aux droits et aux libertés doivent,avant leur mise en oeuvre, être déclarés ou soumis pourautorisation à la CNIL. Le nonaccomplissement des formalitésdéclaratives est sanctionné de 5ans d'emprisonnement et300.000 euros d'amende (art.226-16 du code pénal).
Les personnes morales peuventégalement être déclarées pénale-ment responsables (article 226-24du code pénal) et sont passiblesde peines plus lourdes (le tauxmaximum de l'amende est portéau quintuple de celui prévu pourles personnes physiques).
Les données à caractère personnelsont diverses et leur traitementn'entraîne pas les mêmes obliga-tions. Par exemple, l'utilisation desdonnées biométriques pour les accèsphysiques ou l'authentificationsont soumises à autorisation(deux autorisations uniques ontété adoptées en 2006 : une pourla reconnaissance du contours dela main, une autre pour lesempreintes digitales).
De plus, en vertu de l'article 34 de la loi Informatique et liberté,l'entreprise doit prendre toutes lesmesures de sécurité utiles pourpréserver les données saisies afinqu'elles ne soient pas « déformées,endommagées ou que des tiersnon autorisés y ait accès ». Cetteobligation est en principe une obligation de moyens (Cass. crim.Arrêt du 30 octobre 2001, Pourvoir99-82136. Inédit). L'article 226-17 du code pénal prévoit des peines allant jusqu'à 5 ans d'emprisonnement et 300.000euros d'amende (V. par exemple,Cass. crim. 19 décembre 1995,Bull. crim. n°387, Rev. Sc. Crim.1996, 676, obs. J. Francillon).Cependant, ce manquement peutaussi avoir pour conséquenced'engager la responsabilité civiledu responsable du traitementaccompagnée de sanctions prononcéespar la CNIL. La sécurité de cesdonnées doit être proportionnelle
à leur nature et au risque qu'implique le traitement concerné.
Le responsable du traitementengage également sa responsabilitéet pourra se voir sanctionné par laCNIL. Il ne peut en conséquencequ'être conseillé aux entreprisesde mettre en place une politique « Vie privée et données personnelles »,passant notamment par la réalisationdu recensement des fichiers et des formalités préalables aux traitements. Pour assurer cettepolitique, la désignation d'un « Responsable Vie privée et donnéespersonnelles » de l'entrepriseapparaît nécessaire. Dans certainscas l'entreprise pourra nommer unCorrespondant à la protection desdonnées à caractère personnel (E.A. Caprioli et I. Cantéro, Le choixd'un correspondant à la protectiondes données, JCP éd. E, 2006,1976).
Une bonne gestion des données àcaractère personnel est doncnécessaire pour disposer d'unpatrimoine informationnel « légal ».Cela implique que la personneresponsable des traitements del'entité définisse une politique,nomme des correspondants (dansun groupe avec de multiples filiales,succursales, etc.) et sensibilise lepersonnel à cette problématique.
Responsabilité civile découlantdu fait d'un salarié
Les articles 1382 et 1383 du Codecivil énoncent un principe deresponsabilité à raison des dommagescausés de son propre fait maisencore par sa négligence ou parson imprudence. Pour écartercette responsabilité de droit commun, il est possible d'apporterla preuve que la cause du dommagerelève d'un cas de force majeure.L'appréciation de ces cas d'exoné-ration de responsabilité ne pourrase faire qu'au cas par cas.
Les systèmes d'informations peuventêtre la cible d'attaques informatiques
Juri
diq
ue
Fich
e9
-O
blig
atio
nset
resp
onsa
bilit
ésde
l'ent
repr
ise
etdu
chef
d'en
trep
rise
engendrant un sinistre, une menaceou un risque portant atteinte aupatrimoine informationnel desentreprises. On peut définir un « sinistre » comme l'incident dontla survenance entraîne des dom-mages pour le système touché. Un « risque » est un événementpouvant causer des dégâts. Une « menace » est un sinistre dont laprobabilité d'occurrence est élevéepour une cible donnée. Uneattaque est la concrétisation decette menace par l'exploitationd'une vulnérabilité du système. On peut citer comme exempled'attaques, les intrusions ou la diffusion de virus détruisant lepatrimoine informationnel.
A défaut de mettre en place unepolitique de sécurité en internepour protéger ce patrimoine, l'entreprise risque de voir saresponsabilité engagée. En l'absenced'un minimum de diligence (à travers des outils techniquescomme les anti-virus (voir fichesSécurité technique) et des outilsjuridiques tels que des chartesd'utilisation des communicationsélectroniques (voir fiche 7 : Les outilsjuridiques liés à la protection du patri-moine informationnel), l'entreprises'expose à des graves risquesd'attaques informatiques susceptiblesd'engendrer un sinistre.
Dans le cadre d'un contentieux, ilappartiendra au juge de déterminerla responsabilité de l'entreprise auregard des mesures de sécuritépréventives qui ont été prises.L'appréciation de cette responsabilitése fera au regard de l'état de l'art.On peut par exemple imaginerqu'un sinistre causé par un virusnon connu au jour du dommagepar les anti-virus n'engagera pasla responsabilité de l'entreprise.Un sinistre causé par un virusconnu depuis plusieurs moispourra, en revanche, engager saresponsabilité.
Le chef d'entreprise peut lui aussivoir sa responsabilité civile engagéedu fait d'un dommage causé par
l'absence de sécurité entourant le patrimoine informationnel del'entreprise ou l'agissement d'unsalarié dans les fonctions pour lesquelles ils sont employés. Lescas d'exonération de l'employeursont interprétés très strictementpas les tribunaux (article 1384, al.5 du code civil, relatif à la respon-sabilité du commettant du fait deses préposés).
Les atteintes aux Systèmesd'information (STAD, systèmede traitement automatisé desdonnées)
En dehors du risque de sinistreinformatique, le patrimoine infor-mationnel peut se voir piller pardes intrusions non autorisées dans le système informatique del'entreprise. Ces actes, quelquesoit le moyen utilisé, sont sanc-tionnés par les articles 323-1 à323-7 du Code pénal. La loi n°2004-575 du 21 juin 2004 pour la confiance dans l'économienumérique (JO du 22 juin 2004, p.11175 et s. Eric A. Caprioli, PascalAgosti, La confiance dans l'économienumérique, Petites Affiches du 3juin 2005, p. 4 et s) a créé unenouvelle incrimination en matièred'atteinte aux STAD (système detraitement automatisé de données)par virus informatique. Un STADs'entend de l'ensemble des éléments physiques et des programmes employés pour letraitement des données, ainsi que des réseaux assurant la communication entre les différentséléments du système informatique.Pour ces raisons, le patrimoineinformationnel est considérécomme inclus au sein du systèmed'information d'une entreprise (quece dernier soit ou non externalisé).
Plusieurs actes sont ici susceptiblesd'être sanctionnés. C'est le cas enpremier lieu de l'accès frauduleuxà tout ou partie du patrimoineinformationnel. Il s'agit de touteaction de pénétration ou d'intrusion(connexion pirate, interrogationd'un fichier sans autorisation). Ledeuxième acte susceptible d'êtreréprimé est le maintien frauduleuxdans le patrimoine informationnel
47
Juri
diq
ue
Fich
e9
-O
blig
atio
nset
resp
onsa
bilit
ésde
l'ent
repr
ise
etdu
chef
d'en
trep
rise
de l'entreprise qui correspond auxsituations anormales telles queconnexion, visualisation, ou opérationsmultiples alors que la personnequi y accède a pris conscience quece maintien est anormal. L'atteintevolontaire au fonctionnement dusystème d'information contenantle patrimoine informationnel estpénalement sanctionnée dans lescas où un individu a intentionnel-lement entravé le fonctionnementdu système en ne respectant pasle droit d'autrui. Enfin, les atteintesvolontaires aux données, c'est-à-dire leur altération, sont égalementsanctionnées pénalement, ce délitsupposant une altération inten-tionnelle et au mépris des droitsd'autrui. Le responsable est
l'auteur de l'infraction, c'est-à-direcelui qui a commis l'élémentmatériel (accès, maintien, atteintevolontaire au système ou aux don-nées). Il peut s'agir d'un dirigeantou d'un salarié, mais d'une maniè-re générale, le chef d'entreprisemême s'il n'a pas participé maté-riellement au délit, est condamnéau motif qu'il a méconnu son obli-gation de contrôle de la pratique deses préposés, sauf s'il a accomplides diligences normales comptetenu des moyens dont il dispose.La responsabilité de l'entreprisepersonne morale pourra égalementêtre retenue pour les diversesinfractions existantes en matièresd'atteinte aux STAD.
Juri
diq
ue
Fich
e9
-O
blig
atio
nset
resp
onsa
bilit
ésde
l'ent
repr
ise
etdu
chef
d'en
trep
rise
Tableau récapitulatif des sanctions
Infraction Peines
Intrusion ou le maintien frauduleuxdans un système de traitementautomatisé de données (article323-1 al. 1 du Code de pénal)
2 ans d'emprisonnement et 30.000euros d'amende
Intrusion ou le maintien frauduleuxdans un système de traitementautomatisé de données (article323-1 al. 1 du Code de pénal)
3 ans d'emprisonnement et 45.000euros d'amende
Fait d'entraver ou de fausser unsystème de traitement automatiséde données (article 323-2 du Codepénal)
5 ans d'emprisonnement et 75.000euros d'amende
Introduction frauduleuse de donnéesdans un système de traitementautomatisé (article 323-3 du Codepénal)
5 ans d'emprisonnement et 75.000euros d'amende
Tentative des délits prévus aux arti-cles 323-1 à 323-3-1 (article 323-7du Code pénal)
Mêmes peines
Importation, détention, offre, cessionou mise à disposition d'un équipement,instrument, programme informatiqueou de toutes données conçus ouspécialement adaptés pour com-mettre une ou plusieurs infractionsprévues aux articles précédents(article 323-3-1 du Code pénal),sans motif légitime
Peine prévue pour l'atteinte elle-même ou pour l'infraction la plussévèrement répriméee
Un salarié de l'entreprise peutégalement porter atteinte aupatrimoine informationnel sansintrusion dans un STAD. Il faudraalors recourir au droit communpour appréhender ce type d'actes(abus de confiance, escroquerie,voire un accès non autorisé...). Onrentre ici dans le cas délicat du vol d'informations. En principe l'information n'est pas appropriableen tant que telle, sauf certains cascomme le secret de fabrique (voirfiche 8 : La protection de l'informationpar le droit de la propriété intellectuelle).Mais la jurisprudence a reconnu àplusieurs reprises l'incriminationde vol d'informations (délit quiexiste déjà aux Etats-Unis et dansde nombreux pays européens) parexemple dans le cas d'un employéayant recopié des formules defabrications confidentielles (Lyon,24 février 1988, PIBD 1988, III p.225). Plus célèbre, l'arrêt Bourquin(Cass. Crim. 12 janvier 1989, Bull.crim. 1989, n° 14), dans lequel laCour de cassation sanctionnait levol du contenu informationnel dedisquettes informatiques. Demême a été reconnu l'abus deconfiance sur une information. Enl'espèce, un entrepreneur avaitobtenu le numéro de carte bancaired'une cliente pour le transmettre àun sous-traitant (Cass. Crim. 14novembre 2000, Bull. crim. n°1003 ; Droit Pénal 2001. com.28).
Les solutions envisageables
Concernant les risques liés àl'externalisation
De plus en plus souvent, les entreprises externalisent certainesactivités liées à leur système d'information - et par là une partiede leur patrimoine informationnel- auprès de professionnels infor-matiques afin d'accroître les performances et de rationaliser lesfrais et charges liés à leur administration et à leur gestion(exemples de services externalisés :les serveurs peuvent être hébergés
chez un professionnel, le back-up, la production informatique (infogérance), la sécurité du SI,l'archivage électronique, etc.).Leur sécurité constitue donc unenjeu essentiel pour leur bonnemarche.
Cette relation unissant l'entrepriseet le prestataire externe sera définiedans la rédaction d'un contratd'externalisation tel que l'infogé-rance. Il est important de préciserque dans ce genre de relations, leprestataire fournit un accès à desserveurs qu'il met à disposition de son client. Il faut cependantsouligner que le fournisseur deservice n'est en aucun cas propriétairedu contenant où sera stockée l'information.
Les serveurs devront être protégésavec l'élaboration d'une politiquede sécurité des systèmes d'infor-mation.
Préalablement à toute négociationcontractuelle, l'entreprise doits'assurer que son prestataire estfiable et qu'il dispose d'outilsconformes à l'état de l'art. Il fautprévoir également que celui-cis'engage à faire évoluer son matérielafin d'être en conformité avec lesstandards techniques, l'état del'art et les besoins spécifiques del'entreprise (par exemple si c'estune banque, des clauses contrac-tuelles relatives au contrôle internedevront figurer dans le contrat dufait du règlement CRBF n°97-02ou autres).
Le contrat devra impérativementprévoir une clause de confidentialitérelative aux données et informationsde l'entreprise qui figurent dansles serveurs du prestataire. Eneffet, le prestataire n'intervientque pour stocker des informationsmais en aucun cas, il ne doit lesutiliser ou les transférer à des tiersnon autorisés. Les informationsexternalisées restent la pleine propriété de l'entreprise. Rappelonsque la sécurité s'inscrit dans letemps. Ainsi, ce qui importe pour
49
Juri
diq
ue
Fich
e9
-O
blig
atio
nset
resp
onsa
bilit
ésde
l'ent
repr
ise
etdu
chef
d'en
trep
rise
l'entreprise, c'est de s'assurer dela continuation des servicesélectroniques dont il a délégué lagestion au prestataire, mêmeaprès la résiliation du contrat. Laphase de service régulier peutprendre fin lorsque l'entreprise adécidé de réinternaliser la fonctioninformatique ou lorsque l'entreprisen'est pas satisfaite des prestationsfournies et souhaite les confier àun nouveau prestataire. Elle doitpouvoir à tout moment reprendreou faire reprendre la gestion du oudes systèmes d'information.
La réversibilité du systèmed'information constitue donc unesécurité juridique mais aussi technique et organisationnellepour l'entreprise (ex : en matièred'archivage électronique).
Les délégations de pouvoirs auDSI ou au RSSI
Une atteinte au patrimoine infor-mationnel pouvant découler d'unefaille dans la sécurité du systèmed'information, l'entreprise peutrecourir au mécanisme de la délégation de pouvoirs. C'est unmécanisme qui a pour effet de
transférer la responsabilité pénaledu chef d'entreprise vers le préposédélégataire. Elle trouve souventapplication dans le domaine del'hygiène et de la sécurité mais sejustifie pleinement dans le domainedes systèmes d'information.
L'entreprise pourra ainsi prévoirune politique de délégation depouvoir en ce qui concerne lasécurité et l'administration destechnologies de l'information. Laconséquence essentielle sera doncque la responsabilité pénale correspondant aux fonctions déléguéesne sera plus supportée par le dirigeant mais par le délégataire.Ce dernier devra bien entenduavoir eu connaissance de la délé-gation, l'avoir accepté et l'entreprisedélégante ne doit pas avoir participé à la commission de l'infraction (Cass. crim., 20 mai2003, Bull. crim., p.404.) Bien évidemment les conditions de validitéde la délégation devront être remplies (compétences du délégataire,appartenance de ce dernier aumême groupe ou à la même société,délégation sans ambiguïté, certaineet opportune, moyens humains etfinanciers d'exercer la mission).
Juri
diq
ue
Fich
e9
-O
blig
atio
nset
resp
onsa
bilit
ésde
l'ent
repr
ise
etdu
chef
d'en
trep
rise
La question de l'assurance Perted'Exploitation Informationnelle faitpartie intégrante du dispositifveillant à protéger le patrimoineinformationnel de l'entreprise. Eneffet l'assurance est essentiellepour garantir financièrement cepatrimoine en cas d'indisponibilitéprolongée du système d'informationou de perte de données numérisées(voix, données, images) du fait d'unaccident ou d'une malveillance. La sécurité à 100% ne pouvantexister, l'assurance vient enquelque sorte couvrir la différenceentre le niveau de sécurité atteintpar l'entreprise pour le fonctionnementde son système d'information et le100%.
Il y a déjà 40 ans, une compagnied'assurance américaine, spécialiséedans le risque informatique, aamené en Europe Continentale, lanotion nouvelle d'assurance «Tout Risque Sauf ». Cette notionest essentielle pour couvrir lerisque informatique par naturetrès diversifié dans ses causesaccidentelles ou malveillantes. Lesconséquences d'un sinistre sontonéreuses et se chiffrent enmillions d'euros voire rapidementen dizaine de millions d'eurosquand l'outil de production de l'entreprise à savoir son systèmed'information, devient indisponible.Autrement dit, toutes les causessont assurées sauf un nombretrès limité de celles-ci, parmi les-quelles nous citons :
- Guerre civile ou étrangère,
- Risque atomique,
- Sabotage direct du mandatairesocial.
Les autres causes sont couvertespar ce type d'assurance, ce qui esttrès pratique pour l'entreprise
cliente bénéficiaire de cette assurance PEI. Par exemple l'in-disponibilité prolongée pendantplusieurs jours du système information d'une entreprise a puêtre couverte financièrementsachant que l'origine du sinistrevenait des inspecteurs de mainte-nance du système informatique.Cela n'était pas dans les causesexclues, et cette défaillance de l'équipe de maintenance a pu ainsiêtre indemnisée.
Cependant la cible couverte parl'assurance PEI demande à êtreprécisément décrite : espace géographique, périmètre, contenu,etc. Par ailleurs l'assurance PEIétant une assurance de capitaux,il faut donc en calculer les montants plafonds pour garantirles risques potentiels de l'entreprise.Ces risques sont en général évalués par la méthode des scénarios. Par nature l'assurancePEI couvre deux risques principauxnés de l'indisponibilité du systèmed'information à savoir :
- Les frais supplémentaires : Ils'agit des frais de tout type pourobtenir le redémarrage du système d'information arrêté ;
- La reconstitution des médias :Les médias comprennent : voix,données et images. Sachantqu'ils peuvent évidemment êtreperdus ou endommagés en casde sinistre, l'assurance PEI permet de financer leur recons-titution. Celle-ci est beaucoupmoins onéreuse sur supportmagnétique ou optique qu'àpartir d'un support papier. Aucours de la phase d'audit il estdonc important de vérifier entreautres la qualité et la fraîcheurdes sauvegardes informatiquesde l'entreprise.
51
Ass
ura
nce
Fich
e10
-As
sura
nce
perte
d'ex
ploita
tion
info
rmat
ionn
elle
(PEI
)-dé
term
iner
etga
rant
irle
risqu
e Contexte
Nous ne traitons pas ici de deuxtypes d'assurances bien différentespar nature :
- L'assurance Bris de Machinequi assure valeur à neuf, le parcdes machines informatiques ettélécoms de l'entreprise ;- L'assurance ResponsabilitéCivile qui couvre la responsabilitédes sociétés d'info gérances etplus généralement les SSII etles sociétés de FacilitiesManagement.
Il est à noter que la disponibilité et la traçabilité du système
d'information est de la responsabilitédu Maître d'Ouvrage et n'est quetrès rarement transférable à uneentreprise tierce. Il est doncimportant d'une part de pouvoirauditer l'entreprise tierce enmatière de sécurité informatiqueet d'autre part de prendre uneassurance PEI au nom du Maîtred'Ouvrage pour financer les fraissupplémentaires et la reconstitutiondes médias, en cas de sinistre.Comme dans le bâtiment, leMaître d'Œuvre n'a pas vocation àse substituer aux responsabilitésdu Maître d'Ouvrage.
Ass
ura
nce
Fich
e10
-As
sura
nce
perte
d'ex
ploita
tion
info
rmat
ionn
elle
(PEI
)-dé
term
iner
etga
rant
irle
risqu
e Montant du sinistre brut/net
Au plan méthodologique, il convient tout d'abord de déterminer le montant du sinistre total ou partiel en étudiant de manière inductive unbon scénario de sinistre, adapté au métier de l'entreprise concernée.Cela permet de chiffrer le montant des pertes directes et indirectesdues au sinistre. Le montant total des pertes directes et indirectesconstitue le montant du sinistre brut pour le scénario considéré, d'oùl'importance du choix d'un scénario objectif et de qualité pour pouvoirinduire les résultats calculés au niveau opérationnel de l'entreprise.
Après avoir obtenu le montant du sinistre brut, il convient de soustrairede celui-ci le montant des cibles assurées (Assurance Bris de Machinepour les pertes directes) pour obtenir le montant du sinistre net.
Se pose alors une question complémentaire importante : Est-ce que lemontant du sinistre net est compatible avec le risque financier que laDirection Générale de l'entreprise estime pouvoir supporter (stop loss)? Autrement dit, quel est financièrement pour l'entreprise étudiée, lemontant du risque maximum tolérable (RMT) ?
Au-delà de cette borne supérieure, le risque résiduel doit être transférépar l'entreprise auprès d'un Compagnie d'assurance (ou d'une « Captive » propre à l'entreprise).
Pour couvrir les risques d'atteinteà la disponibilité et à la traçabilitédu système d'information, il estnécessaire de bâtir un plan decontinuité d'activité (PCA) du système d'information et surtoutd'en tester le fonctionnement aumoins deux fois par an (voir fiche 1 :Disponibilité / Accessibilité). L'assuranceperte d'exploitation informationnelle(PEI) représente en principe uncomplément financier vis à vis dela solution technique informatiqueet télécoms que constitue le PCA.L'assurance PEI couvre en fait lareconstitution des médias et lesfrais supplémentaires.
En pratique au départ, faute dePCA et de manière transitoire,l'assurance perte d'exploitationinformationnelle peut être utiliséeseule pour couvrir les risques d'indisponibilité du système d'in-formation. Par contre si la couvertured'assurance PEI est obtenue sansPCA établi et testé, la compagnied'assurance refuse contractuelle-ment de prendre le risque pendantune durée supérieure à un an. Eneffet quelques semaines ou auplus quelques mois sont nécessairesen pratique, pour bâtir un PCA. Lasolution technique informatique ettélécoms reste malgré tout lepivot du redémarrage du systèmed'information. L'assurance PEIconstitue seulement un complémentmonétaire nécessaire pour couvrirle risque financier après sinistre.
En terme d'enjeu financier : Quese passe t-il si le système d'infor-mation est indisponible pendantune assez longue durée? Cela peutcoûter très cher à l'entreprise. Encas de sinistre, les pertes totalespeuvent s'accroître de 20% par
jour et atteindre près de 1 milliond'euros au quotidien. Il s'agit làd'un cas réel dans une entrepriseou l'indisponibilité du systèmed'information ne peut excéder lajournée (salle des marchés).
En pratique, si le système d'infor-mation redémarre en 30 jours, en10 jours ou en 1 jour les besoinsde financement en frais supplé-mentaires et reconstitution desmédia couverts par l'assurancePEI ne sont pas du tout de lamême hauteur. D'où la nécessitéde bien calculer et valider audépart le temps de redémarrageet les dégâts potentiels sur lesmedia de l'entreprise. Ensuite ilest prudent de majorer ces capitaux en cas de sinistre d'uneportée exceptionnelle. La couvertureassurance PEI dépend donc directement de la durée de redémarrage en phase de croisièredu système d'information de l'entreprise.
La fiche 1 : Disponibilité / Accessibilitéaborde les notions de haute,moyenne et basse disponibilité dusystème d'information selon lemétier de l'entreprise. Par contre,pour la reconstitution des médias,la conservation des données présente un caractère essentielpour pouvoir reconstituer les données numériques manquantes,y compris donc la voix (opérateursdes salles de marché) et les images. Une étude très précise està entreprendre ne serait-ce quepour chiffrer le montant plafonddes capitaux demandés à laCompagnie d'Assurance pour lareconstitution des médias et celavarie fortement selon les scénariosde sinistre retenus.
53
Ass
ura
nce
Fich
e10
-As
sura
nce
perte
d'ex
ploita
tion
info
rmat
ionn
elle
(PEI
)-dé
term
iner
etga
rant
irle
risqu
e Enjeux
Ass
ura
nce
Fich
e10
-As
sura
nce
perte
d'ex
ploita
tion
info
rmat
ionn
elle
(PEI
)-dé
term
iner
etga
rant
irle
risqu
e
Effectuer une classification en terme de duréede conservation, des informations gérées parl'entreprise et constituant le patrimoine informa-tionnel, mais également en terme de sensibilité(confidentialité - valeur) et d'accessibilité.
Classifier l'information
Sinistre total et sinistre partiel ayant pour causeun accident ou de la malveillance. Il y a doncquatre scénarios de sinistre à étudier.
Bâtir des scénariosde sinistre
Addition des montants de pertes directes etindirectes.
Déterminer le montantdu sinistre brut
On soustrait du montant du sinistre brut, lescapitaux assurés pour la cible concernée.
Déterminer le montantdu sinistre net
En fonction des différents scénarios envisagés,calculer le montant plafond des frais supplé-mentaires (FS) et de la reconstitution des média(RM) du fait du sinistre. L'on retiendra le sinistreavec les montants de pertes FS et RM les plusélevés.
Estimer les montants fraissupplémentaires (FS)et reconstitution de médias (RM)
Le risque maximum tolérable par scénario de Xeuros est fixé par la direction de l'entreprise.
Fixer le RMT
Recommandations
Méthodologie résumée pour s'assurer en perte d'exploitation informationnelle (PEi)
«… le facteur de production absolument décisif, la ressource réelle qui commande tout,
ce n'est plus le capital, ni la terre, ni le travail. C'est le savoir…»1
L'intelligence économique a longtemps été perçue comme un conceptflou. Compris par certains dans son acception anglo-saxonne - assimiléeau renseignement - elle a, depuis une décennie, donné lieu, dans notrepays, à de multiples essais de définitions. Ainsi, elle a été tour à toursoit présentée comme une stratégie, un processus, une méthode, soitexaminée sous l'angle des fonctionnalités, des techniques et des pratiques.En France, l'intelligence économique (IE) est « enfin » considérée aujour-d'hui comme une véritable politique publique au service des intérêts desentreprises. Une politique de sécurité économique, de compétitivité etd'influence assise sur une mutualisation des informations publiques etprivées. Dans son statut premier de politique publique, l'intelligence économique peut être définie au plan national et européen comme un «… Mode de gouvernance dont l'objet est la maîtrise de l'informationstratégique et qui a pour finalité la compétitivité de l'économie et la sécurité des entreprises2 ».
La compétitivité des entreprises repose désormais sur leur capacité àmobiliser de nouvelles compétences stratégiques telles que la créationde savoir (et sa diffusion rapide dans les processus de production), telles que la capacité à favoriser la mise en réseau (et sa coordinationpar l'usage des technologies), telles que la maitrise de l'information (etsa capacité d'absorption par toutes les parties prenantes).
Dans la compétition internationale actuelle, le seul véritable avantageconcurrentiel, défendable et durable, réside pour l'entreprise, dans sacapacité à maîtriser l'information, en temps réel, à tout moment et en touslieux pour construire et faire évoluer sa base de connaissance stratégique.
L'alignement entre l'entreprise et ses environnements, allié à la mise enœuvre opérationnelle de nouvelles formes de coopérations, revêt unedimension stratégique de première importance. La captation et la réponseaux stimuli de l'environnement, la lecture des évènements, la productionde décisions qui en découlent sont de nature à permettre aux dirigeantsd'optimiser la performance de leur firme en créant des opportunités stratégiques et en identifiant des niches d'innovation.
«… Pour relever un tel défi, l'entreprise doit engager une politique d'intelligence économique, laquelle englobe la mise en place d'une fonctiond'observation et de surveillance en vue de détecter, d'analyser et de suivretous les signaux susceptibles de conforter, d'infléchir ou de remettre encause sa stratégie ou les décisions prises4...»
Force ou zone de fragilité potentielle, la capacité à créer de la connaissancestratégique à partir de l'information est au centre de la compétition économique et des stratégies cachées. Elle est le chaînon essentiel quipermet de construire et d'influencer l'image globale de l'entreprise. Dèslors que cet actif immatériel devient le facteur essentiel d'avantagesconcurrentiels pour l'entreprise, il peut également s'avérer être unredoutable vecteur de menaces et un non moins redoutable instrumentde dépendance. Savoir gérer les risques et opportunités liés à cet actifimmatériel nécessite de porter une attention particulière au patrimoineinformationnel de l'entreprise.
Préambule
1 Peter Drucker « Au-delà du capitalisme » - Dunod (1993)2 Alain Juillet, discours lors de la création du « Cercle IE » du CPA - ExecutiveMBA d'HEC le 9 juin 20043 Définition retenue par l’Association Française pour le Développement de l'IE(AFDIE) dans son ouvrage « Modèle d'IE » - Economica (2004)4 Extrait du Rapport CIGREF « Veille stratégique » Sept. 1998
«… Pour une entrepriseou une organisation,l'IE est l'ensemble des moyens qui, organisés en systèmede management par la connaissance,produit de l'informationutile à la prise de décision dans une perspectivede performance et de création de valeur pour toutesles parties prenantes3 …»
55
En
rich
isse
men
tL'
Inte
lligen
ceEco
nom
ique
d'E
ntr
eprise
En
rich
isse
men
tIE
etCap
ital
imm
atér
ielde
l'entr
eprise
Gérer les risques informationnelsen entreprise, revient d'abord àprendre la mesure de l'enjeu. Eneffet, on ne peut surveiller et protégerque ce que l'on a conscience deposséder ou besoin d'acquérir.
Plus la nouvelle compétence desfirmes relève de l'intangible, pluselle devient sensible et vulnérable.Face aux nouveaux types de menacesqui pèsent aujourd'hui sur lesactifs matériels et immatériels desentreprises, tout dirigeant doitanticiper, contrer, voire riposterafin de protéger activement sespatrimoines technologique etinformationnel.
Identifier les ressources informa-tionnelles et percevoir leurs inter-actions, oblige à l'analyse des différentes composantes d'un nouveau type de capital définitcomme « immatériel »5 . Au cœurde ces actifs immatériels, lesSystèmes d'Information et les processus organisationnels occupentune place essentielle, tant en termesde volume qu'en termes de leviersstratégiques et de performance.Dans une économie en réseaux,l'information, la connaissance et leursmodes d'articulation deviennentdéterminants. C'est ce qui fonde ladémarche d'Intelligence Economiqued'Entreprise (IEE).
L'entrée dans une économie dusavoir génère des changementstant pour l'organisation internedes entreprises que pour leurenvironnement externe. Pour restercompétitives, elles font évoluerleur périmètre d'activité (fusions,acquisitions), elles nouent desalliances stratégiques avec d'autresacteurs publics et/ou privés(contrats R&D et d'ingénierie, brevets et licences), voire ellesfont appel à des savoir-faire et des expertises « hors les murs »(externalisation, offshore).
Ces nouvelles modalités de fonc-tionnement sont certes synonymesd'agilité et souvent porteuses d'efficacité, mais elles sont égalementsources de nouveaux défis (problèmesd'intégration, de fragmentation etde transferts de connaissances etc.)qui peuvent fragiliser la capacitéd'apprentissage de l'entreprisedans la durée.
«… En fait, les tendances en coursvont dans le sens d'une complexi-fication croissante des processusde création de connaissances et,en même temps, dans le sensd'une codification accrue, grâcenotamment au progrès permis parles TIC. Par conséquent, le savoirest de plus en plus susceptible d'être transféré dans un cadreaussi bien intra firme qu'au delàdes frontières de la firme…»6
Transférer le savoir entre firmesgénère en effet des risques: pertede contrôle direct, abandon decertains droits de propriété,dépendance pour récréer en interneles compétences préalablementsous-traitées et à les recombineren cas de changement straté-gique. Mais surtout, transférer lesavoir entre firmes, requiert l'existence d'une capacité d'ap-prentissage collectif qui permetd'assimiler et d'exploiter le savoirainsi produit. La tendance lourde àse concentrer sur un cœur decompétences induit de fait l'émer-gence d'une division cognitive dutravail, dans laquelle les processusde production sont décomposés enblocs de savoirs. Dès lors, lesmécanismes d'apprentissage de lafirme nécessitent une forte dimensioninteractive entre réseaux d'acteurset impliquent le développement denouvelles formes de coordinationautour des activités de conception,de réalisation et de commercialisation.
Contexte
5 «… le capital immatériel est la détention d'un savoir, d'une expérienceconcrète, d'une technologie d'organisation, de relations avec les clients et descompétences professionnelles qui confèrent à l'entreprise un avantage compéti-tif sur le marché…» D'après Edvinson et Malone6 « La France dans l'économie du savoir » - La documentation Française
Pour ce faire, il revient au dirigeantde mettre en place des processusqui permettent de susciter desinteractions entre les différentssavoirs individuels, de façon àgénérer de nouveaux savoirs collectifs qui seront à l'origine d'innovations (notamment organi-sationnelles) dans l'entreprise. Parl'apprentissage collectif et lacoopération, l'IE - dans le but d'éclairer le processus décisionnel- articule la maîtrise des techniquesd'accès et de traitement de l'information à la gestion desconnaissances (comme fondementde l'Intelligence collective).
«… La gestion des connaissancesest un ensemble de modes d'orga-nisation et de technologies visant
à créer, collecter, organiser, stocker,diffuser, utiliser et transférer lesconnaissances dans l'entreprise.Connaissances matérialisées par desdocuments internes et externes,mais aussi sous forme de capitalintellectuel et d'expériences, détenuspar les collaborateurs ou lesexperts d'un domaine…»7
L'IE s'inscrit donc clairement dansla grande mutation du passaged'une économie industrielle à uneéconomie de réseaux fondée sur laconnaissance. Dès lors, au seinmême des entreprises, les formesclassiques de management sontaujourd'hui mises en doute dansleur capacité à coordonner desactions collectives.
57
En
rich
isse
men
tIE
etCap
ital
imm
atér
ielde
l'entr
eprise
L'IE d'Entreprise comme culture managériale !
7 Rapport CIGREF - octobre 2000 - « Gérer les connaissances »(www.cigref.fr)
Orientée vers la maîtrise de l'infor-mation, l'optimisation de la décisionet la promotion des coopérations,l'Intelligence Economique d'Entrepriseest d'abord une affaire de culturemanagériale, c'est-à-dire une volontésingulière de penser, de décider et de coopérer afin de mieux agircollectivement.
De ce fait, l'Intelligence Economiqued'Entreprise (l'IEE) a pour finalité«…la maîtrise, par le dirigeant, des informations stratégiques
nécessaires à la décision et favorablesà l'action coopérative, c'est-à-direutiles au renforcement de son pouvoird'influence sur ses environnementset de son leadership sur l'ensembledes parties prenantes de l'entre-prise…».
Dans sa dimension organisation-nelle, l'Intelligence Economiqued'Entreprise présente de ce faitquelques caractéristiques majeuresdestinées à renforcer les processusde coordination.
Source CIGREF
La compétitivité de l'organisationdépend donc fortement de sacapacité à gérer de manière efficacedes processus transversaux. Pourpermettre une gestion optimale de
la connaissance, elle doit s'appuyersur une infrastructure informa-tionnelle dont les systèmes d'information constituent la clé devoûte.
Véritables systèmes nerveux del'entreprise, les Systèmes d'Informationpeuvent radicalement accélérer le développement d'une culturecollective et collaborative de l'in-formation, grâce à leurs performancestechniques et leurs ramificationstransversales.
La multiplication des informations,des compétences et des savoirsnécessaires pour résoudre desproblèmes de plus en plus complexes,exige une coordination étroiteentre les différentes partiesconcernées.
Un SI adapté à la démarched'IEE
Le SI permet à l'entreprise d'optimiserses modes de fonctionnement enfournissant aux différents acteursconcernés, les outils de coordinationentre les tâches des diverses unitésde l'organisation. Cette nécessairecoordination oblige le systèmed'information à tout mettre enœuvre pour protéger les données,récupérer, stocker, traiter, et diffuser à bon escient l'information,fondement du savoir et de laconnaissance de l'entreprise.
Pour Patrick Romagni et ValérieWild, la définition d'un systèmed'information adapté à la démarched'Intelligence Economique est lasuivante : « Ensemble organisé deprocédures permettant, à toutmoment, de donner aux décideursune représentation de la place del'entreprise dans son environne-ment et sur son marché. Il produitde l'information pour assister les individus dans les fonctionsd'exécution, de gestion et de prisede décision9».
La nouvelle compétence desfirmes
Face à la complexité croissante del'environnement économique,technologique, social et politique(liée à l'apparition de nouveaux
acteurs), à l'enchevêtrement et àl'interdépendance des niveauxd'actions (local, national, euro-péen et international), cette nou-velle compétence s'exerce aucœur d'une réalité économique deplus en plus immatérielle. PhilippeZarifian10 décrit la compétencecomme : « la faculté de mobiliserdes réseaux d'acteurs autour desmêmes situations, à partager desenjeux, à assumer des domainesde co-responsabilité » ou bienencore « une intelligence pratiquedes situations qui s'appuie sur desconnaissances acquises et lestransforme avec d'autant plus deforces que la diversité des situationsaugmente ». Dès lors, le dirigeantdécouvre l'opportunité de « voir laréalité autrement » en prenantacte qu'au début de ce IIIèmeMillénaire, notre économie classique,bâtie sur « l'énergie matière »mute vers une nouvelle économiefonctionnant sur « l'énergie infor-mation », ce qui transforme etredéploye la valeur créée par lesentreprises.
Au regard de ce nouveau défi,l'objectif désormais poursuivi parl'entreprise est de détenir une triple capacité :
- Capacité à « influencer avecintégrité » son environnementpar des actions de communicationet de lobbying.
- Capacité à gérer et exploiterl'information pour produire de laconnaissance à visée stratégique,organisationnelle et opération-nelle, en vue de la rendre utilenon seulement au dirigeant,mais aussi à toutes les « partiesprenantes », acteurs internes etexternes qui contribuent à lacompétitivité de l'entreprise etde l'économie.
- Capacité à sécuriser sespatrimoines informationnelsconstitués non seulement d'infrastructures technologiquesmais surtout d'informations, desavoirs et de connaissances.
En
rich
isse
men
tIE
etCap
ital
imm
atér
ielde
l'entr
eprise L'IE d'Entreprise : le SI au cœur de la démarche !
8 Enquête de l'IHEDN - Economica, 20009 Romagni Patrick et Wild Valérie, L'intelligence économique au service de l'entreprise, Les Presses du Management, 199810 Philippe Zarifian - Objectif compétence
« La mise en placed'une démarche d'intelligence économique efficacepasse obligatoirementpar une réflexion sur l'organisation interne et sur les systèmes d'information8 ».
En recherchant et en partageantses informations, l'entreprise accroîtpotentiellement sa vulnérabilité.Dès lors, le risque informationnelest double : d'abord la captationou le détournement d'informationsstratégiques et ensuite, la proba-bilité d'une information avérée oupas, susceptible de modifier oud'influencer l'image, le comportementet la stratégie de l'entreprise.
Dans ce contexte nouveau,l'Intelligence Economique d'Entreprisemet en œuvre :
- d'une part une stratégie desécurité de l'information(aspects organisationnels ethumains, sécurité des systèmesd'information, utilisation dudroit, choix de partenaires,prestataires et fournisseurs deconfiance, maîtrise de la divul-gation de ses propres donnéesau travers des sites Internet,documentations, relations avecses partenaires... etc.),
- d'autre part une démarcheinformationnelle défensive acti-ve (gestion de la réputation,contre-désinformation, etc.).
Les problèmes de déstabilisationou de rumeur nuisent à l'imagede marque de l'entreprise.Véhiculées ou amplifiées parInternet, ces attaques peuventêtre contrées par une stratégiede communication, des discoursadaptés. Néanmoins, anticiperces attaques, c'est être enmesure de les détecter. Cetteconnaissance des menaces etdes parades, doit alors permettrede définir des possibilités decontre-offensive.
- Enfin, une action d'influence surle cours d'événements extérieurs,par des actions de communicationmaîtrisée et de lobbying à diffé-rents niveaux, en particulier auxniveaux européen et international,en amont de l'élaboration deconventions, de règlements, denormes11, de chartes…
Protection du patrimoinetechnologique
La sécurité des systèmes d'infor-mation (SSI) déborde le cadre del'entreprise. Elle est désormais unenjeu national stratégique, politiqueet économique 12.
59
En
rich
isse
men
tIE
etG
estion
des
risq
ues
info
rmat
ionnel
s
11 Rapport « A armes égales » remis au Premier ministre par le Député B. Carayon - Juillet 200612 « Sécurité des systèmes d'information, un enjeu majeur pour la France » -Rapport au Premier ministre - Janvier 2006
Les 6 recommandations du Rapport Lasbordes
Ces 6 recommandations « correspondent à une double ambition : renfor-cer la posture stratégique de l'Etat en matière de TIC et de SSI et assurer la mise en œuvre opérationnelle des politiques et des décisions de l'Etat en matière de SSI ».
Axe 1 : Sensibiliser et former à la sécurité des systèmesd'information
Axe 2 : Responsabiliser les acteurs
Axe 3 : Renforcer la politique de développement de technologies et de produits de SSI et définir une politique d'achat public en cohérence
Axe 4 : Rendre accessible la SSI à toutes les entreprises
Axe 5 : Accroître la mobilisation des moyens judiciaires
Axe 6 : Assurer la sécurité de l'Etat et des infrastructures vitales
Pour l'entreprise, ses patrimoines,qu'ils soient intellectuel, tech-nique, scientifique, informationnelou économique constituent desactifs stratégiques. La défense deces actifs est devenue un enjeuvital dans un environnement mon-dialisé et de plus en plus concur-rentiel. Or, ces patrimoines sontaujourd'hui au cœur des systèmesd'information (SI) informatisés del'entreprise.
Les risques liés à l'informatique, etsusceptibles de porter atteinte aupatrimoine de l'entreprise, se clas-sent en trois catégories :
- les menaces, pesant sur lesactifs à protéger, - les vulnérabilités de cesactifs, - leur sensibilité, définie selonle degré de disponibilité, deconfidentialité et d'intégrité desdonnées.
Les menaces
On constate un phénomène d'in-tensification des menaces dû àleur diversité, leurs imbrications,leur vitesse de propagation quis'explique par des interconnexionset une interaction grandissantes.Les conséquences de ces mena-ces, qu'elles émanent d'actionsmalveillantes ou de risques mal
maîtrisés, peuvent peser lourde-ment sur les différents métiers del'entreprise. Les dommages sedéclinent souvent en termesfinanciers, en impacts logistiquesou sur l'image de l'entreprise, etc.
Elles peuvent être de naturehumaine, physique ou logique :
- humaine : usage abusifd'Internet, violation des cor-respondances, de la propriétéintellectuelle, traitement non-déclaré de données personnelles,rumeurs, usurpation d'identité,fraudes, etc.- physique : sinistres (incendies,inondations, sabotages, vols dematériels), défauts / dysfonc-tionnement systèmes, risquesliés à l'introduction de nouvellestechnologies (nomadisme, wifi,etc.).- logique : malveillance (interneet externe), attaques (vers,virus, phishing, spamming, etc.), vol/ perte / suppression / altérationsd'informations, manque deconnaissances et de sensibilisationdes acteurs, criminalité / terro-risme, etc.
En septembre 2005, le CIGREF aréalisé une enquête13 auprès deses membres, afin de connaîtreleurs degrés de sensibilité selonles types de menaces :
En
rich
isse
men
tIE
etG
estion
des
risq
ues
info
rmat
ionnel
s
13 Enquête réalisée dans le cadre des auditions menées par le Député P. Lasbordes sur la Sécurité des SI
les malveillances internes ou externes liées à l'utilisateur100%
les atteintes aux données personnelles94%
les attaques telles que virus, vers, phishing, spamming… quilaissent apparaître des failles favorisant les intrusions ou lamanipulation des données
87,5%
l'intrusion dans le SI, ouvrant illégalement l'accès à des don-nées ou à des programmes et entraînant le vol, la perte, lasuppression ou l'altération des données
75%
la violation du secret des correspondances74%
le non respect des règles d'archivage68%
la cybersurveillance65%
le non respect de la propriété intellectuelle65%
les sinistres, tels que le vol, l'incendie, le dégât des eaux,entraînant une perte de matériel et/ou de données
62,5%
les usages juridiquement non-conformes du SI, tels que laviolation du secret des correspondances
74%
Les vulnérabilités
Les innovations technologiques, ledéveloppement de l'entrepriseétendue, l'évolution des méthodesde travail (connexion à distance,travail collaboratif, etc.) oblige lesystème d'information à s'adapterpour faciliter le travail en réseaude toutes les parties prenantes(clients, fournisseurs, donneursd'ordre, partenaires, pouvoirspublics). Cette interdépendance del'ensemble des acteurs augmentele degré de vulnérabilité du SI. Lamultiplication des interconnexionsest source de nouveaux risquespour l'entreprise, ajoutés à ceuxprovoqués par le déploiement dunomadisme.
De multiples sources de vulnérabilitéen découlent, émanant :
- de l'entreprise elle-même :externalisation, informations nonclassifiées, absence de traçabilité,
- de l'individu : non respect desréglementations, ignorance ousous-estimation des risques,inadaptation des compétences àcertaines fonctions critiques,inconscience et ignorance demenaces liées aux contacts d'affaire, multiplication desacteurs,
- des logiciels: complexité crois-sante souvent source d'erreursdifficilement détectables, éven-tuelles failles délibérées (backdoors),
- des réseaux de communication :entreprise étendue, nomadisme,
- de l'écosystème informatique :concurrence, dépendance vis-à-vis de fournisseurs, etc.
La sensibilité
La sensibilité porte sur la vulnéra-bilité des technologies présentesdans le SI : systèmes d'exploitation,logiciels, processeurs, périphé-riques, etc. Elle peut viser également des zones ou despoints spécifiques du SI. Elle augmente les risques, notammentsur la divulgation ou la modificationdes données, leur origine, leurdisponibilité, la répudiation detransactions financières ou l'au-thentification des utilisateurs, lecontournement des contrôles desaccès…
Quelle que soit l'origine des faillesdu système d'information, celles-ci représentent autant de risquescontre lesquels l'entreprise doit seprémunir grâce à une politique desécurité adaptée.
61
En
rich
isse
men
tIE
etG
estion
des
risq
ues
info
rmat
ionnel
s
La définition d'une politique opti-male de sécurité du système d'in-formation suppose une prise encompte globale des dimensions desécurité et de sûreté. Elle est défi-nie et pilotée par un Responsablede la Sécurité des Systèmesd'Information (RSSI) qui veilleégalement à sa bonne applicationet à son respect. Elle impliqueaussi le Directeur des Systèmesd'Information (DSI), les auditeursinternes, les risks managers et lesjuristes.
Mettre en place une politique globale de sécurité et de gestiondes risques permet à l'entreprisede se prémunir contre les risquessusceptibles de porter atteinte àtout ou partie de son patrimoine,de garantir l'intégrité de son sys-tème d'information. Abordée demanière globale et systémique,elle sensibilise tous les utilisateursà l'ensemble des problèmes desécurité : protection et sécurisationdes données, des réseaux infor-matiques, des systèmes d'exploitation,des applications, des télécommu-nications, et sécurité physique.
La sécurité des systèmes d'infor-mation en vigueur dans les grandsgroupes suit l'évolution des risques.Elle est régulièrement auditée etajustée, ce qui permet notammentde mettre l'accent sur l'industriali-sation et l'intégration des processusde sécurité (gestion des correctifs,gestion des identités, prise encompte du risque fournisseur…), lerenforcement du reporting (lié auxnouvelles exigences réglementaires),la généralisation de la formation et de la sensibilisation des utilisa-teurs (responsabilisation).
Adaptée à la culture de l'organisation,cette politique doit être homogène,toujours équilibrée entre usagesdu SI et contraintes. Globale maissélective et ciblée, elle se doit d'êtrepragmatique, synthétique et com-préhensible. Elle sera d'autantmieux vécue si elle s'accompagne
d'un volet « formation » destiné àsensibiliser les utilisateurs.
La démarche
La démarche ne se limite pas à laseule approche technique (archi-tecture). Elle s'oriente vers unegestion organisationnelle, métho-dologique et humaine des failles.Deux temps pour définir une politique globale de sécurité dessystèmes d'information :
- en amont : analyse de risques,définition d'une charte d'usagesdes ressources informatiques,classification et traçabilité desinformations, etc.- en aval : audits et contrôlesinternes / externes, tests d'in-trusions, reporting et tableauxde bord, ajustement, formationcontinue, etc.
La démarche consiste à définir lesrègles et procédures organisation-nelles visant la protection dupatrimoine de l'entreprise. Elleintègre à tous niveaux la sensibili-sation et la responsabilisation desutilisateurs à l'usage des ressourcesinformationnelles. Ainsi, une bonnepolitique SSI s'accompagnera parexemple d'une charte d'usages.Les ressources technologiques offrent chaque jour davantage depotentialités mais elles créent des risques liés à des utilisationsnon-conformes. Ces comportementspeuvent générer des failles dans lesystème d'information menaçantla sécurité du patrimoine de l'entreprise.
Afin de mieux appréhender cesrisques liés aux mésusages destechnologies, il est souhaitable decompléter une bonne politique desécurité par des règles déontolo-giques spécifiques au systèmed'information14. Ces règles n'ontpas d'objectif moralisateur, pasplus celui de standardiser les comportements, mais bien dedonner des repères sur les condui-tes que l'entreprise attend de sescollaborateurs.
En
rich
isse
men
tIE
etG
estion
des
risq
ues
info
rmat
ionnel
s Protection du patrimoine Informationnel
14 Rapport CIGREF - Déontologie de l'usage des SI - 2006
63
En
rich
isse
men
tIE
etG
estion
des
risq
ues
info
rmat
ionnel
s Pour conclure
L'alignement entre l'entreprise et ses environnements, allié à la miseen œuvre opérationnelle de nouvelles formes de coopérations, revêtune dimension stratégique de première importance. La captation et laréponse aux stimuli de l'environnement, la lecture des évènements, laproduction de décisions qui en découlent sont de nature à permettreaux dirigeants d'optimiser la performance de leur firme en créant desopportunités stratégiques et en identifiant des niches d'innovation.
Grâce aux TICCC14 et à la nouvelle alchimie de l'intangible qu'elles diffusent au sein de l'entreprise, nous sommes entrés aujourd'hui deplain-pied dans une économie postindustrielle marquée par une trèsforte valorisation des actifs immatériels comme le savoir, la connaissanceet l'intelligence collective partagée.
«… le traitement informatisé des données devient pour la production deconnaissances ce que l'électricité, puis les robots ont représenté pourla production matérielle16 …»
Dès lors, au même titre que son patrimoine physique se pèse, se mesureet se compte, l'entreprise doit veiller et protéger son « capital immatériel ».
Les stratégies de différenciation, de plus en plus complexes, amènentles entreprises à considérer l'information comme une « ressource stratégique » à part entière, génératrice de valeur. L'information est « intégrée comme bien immatériel à l'outil de travail. Elle est à ce titreune source collective de profit et une des garanties de la pérennité del'entreprise17».
En alimentant tous les rouages de l'entreprise, l'information joue doncun rôle moteur dans son fonctionnement. A l'état brut, les gisementsd'informations sont considérables. C'est la maîtrise de leurs flux entemps réel, à tout moment et en tous lieux qui est bel et bien devenue,pour le dirigeant, un enjeu majeur en termes de performance et de compétitivité en créant la connaissance stratégique, à vocation opérationnelle.
Dans ce contexte, le système d'information est jugé «… comme uneressource critique pour le déploiement des capacités d'innovation, lemanagement des activités en réseaux et le maintien d'une identitéorganisationnelle forte18…».
L'enjeu de la protection des patrimoines technologiques et information-nels de l'entreprise est donc bien la maîtrise des risques liés au cyclede l'information dans un contexte d'entreprise étendue et dans un environnement géopolitique incertain. Certes, l'Intelligence Economiqued'Entreprise n'est pas, une fin en soi, mais un moyen pour atteindre lesobjectifs vitaux que sont la sécurité, la compétitivité et l'innovationpermanente. Ces objectifs vitaux sont de la responsabilité première desdirigeants19.
15 Technologies de l'Information, de la Communication de la Connaissance etde la Coopération16 Le Cercle des Economistes17 Œuvre collective du Commissariat Général du plan, 1994, IntelligenceEconomique et stratégie des entreprises, La documentation française, Paris18 Bounfour A. Epinette G. « Valeur et Performance des Système d'Information :Une nouvelles approche du capital immatériel de l'entreprise». Dunod, 200619 Extrait d’un texte publié sous le titre « Gestion des risques informationnelsdans l’entreprise et sécurité des systèmes d’information » - ouvrage collectifsous la direction d’Alice Guillon : « IE et gestion des risques » Pearson, juillet 2007
L'ensemble des mots-clésutilisés dans l'ouvrage estrepris ici dans l'ordrealphabétique.Les références indiquéesrenvoient aux numérosdes fiches, suivi de la lettreC pour la partie " Contexte ", E pour " Enjeux ", R pour " Recommandations " ouS pour " Solutions envi-sageables " et Préf. pourPréface, Fich. pour Fiches,Int pour Introduction.Aaccès, 12C, 2R, 3C, 3R,4C, 4E, 4R, 5E, 6c, 7C,8C, 9Caccessibilité, Fich, F1, 1C,6C, 6R, 7C, 10E, 10Raccident, Int., 2C, 7S,10C, 10Raccords de Bale II, Pref.actif immatériel, Préf, Int.Agence Européenne chargéede la sécurité desréseaux et del'Information, 2Canti-spam, 2Ranti-virus, 9SAPP (Agence Protectiondes Programmes), 8Carchivage, 1C, 5C, 5R,F6, 6C, 6E, 7C, 9Sarchivage électronique,1C, 5C, 6, 6C, 6E, 7C, 9Sarrêt Cour de Cassation 3octobre 1984, 7Carrêt Cour de Cassation30janvier 1974, 7Carrêt Cour de Cassation 6février 2007, 8Carrêt Cour de Cassation30 octobre 2001, 9Carrêt Cour de Cassation12 janvier 1986 -Bourquin, 9Cassurance Bris deMachine, 10 Cassurance Perted'ExploitationInformatique, 1C, F10assurance ResponsabilitéCivile Professionnelle, 10Caudit, 1E, 1R, 2E, 2R, 3E,3R, 4E, 4R, 6E, 10audit technique, 1E,2E,4E, 5Eaudit Marion, 1E, 1R, 2E,4E, 4Raudit BS7799 ou ISO27001, 1E, 1R, 2E, 2R,4E, 4R, 5E, 5Rauthenticité, 6R, 7Rauthentification, Int, 1C,2R, F3 (3C,3E,3R),4C,4R,7Cautorité de gestion depreuve, 6C, 6RBBale II, Fichbases de données, Int,4C, 7C, 8Cbrevet européen, 8CBS7799, Fich,1E,1R,2E,2R,4E,4R,5E,5R
Ccharte d'utilisation descommunications électro-niques, 7Schiffrement, Int, 2R, 3C,4C, 4Rcible, Fich, 3E, 5E, 9C,9S, 10C, 10Rclassification, 1R, 2R, 3R,4R, 5R, 6R, 7S, 10Rclause, 7S, 8C, 9Sclé USB, 3CCLUSIF (Club de la sécu-rité des systèmes d'infor-mation), 1E,2C,2E,4ECNIL, 4E, 7C, 9C,9Scode civil art. 1316-1, 2Ccode civil art. 1383, 2Ccodes malicieux, 2Rcode pénal art. 226-22, 4Ecode pénal art. 323-1 à323-3, 2Ecode pénal art. 323-2, 2Ecode pénal art. 323-3-1, 2Ecode pin, 3Ccondamnation, 6Econfidentialité, INT, 1C,3R, F4 (4C,4E,4R), 6R,7C, 9Sconfidentiel défense, 3Cconservation, Préf,Déf.P.I, 1C, 2C, 4C, 5C,6C, 6R, 7C, 8S, 9C, 10Rcontinuité, Préf, Int, 1C,1E, 1R, 5C, 6C, 10Econtinuité d'activité, Préf,1E, 10EContinuity Plan, 1Rcontrat de travail, 7Scontrôle d'accès (accesscontrol), 3C, 3E, 3R, 4C,4E,4Rcontrôle permanent, 2Econtrôles programmés, 2EConvention de Munich, 8Ccybersurveillance, 7SDdépôt des sources d'unlogiciel, 8Cdisponibilité, Int, Fich,F1(C,E,R), 2C, 10C, 10Edisponible, Préf., Déf. P.I.,1E, 5C, 7C, 7S, 8C, 10C, 10Edroit d'auteur, 7S, 8C, 8Sdroit des brevets, 8C,droit exclusif, 8C, 8SDSI (Directeur duSystème d'Information),Préf. 7S, 9SEEBIOS, Fichesexactitude, Déf. P.I., 7Cexternalisation, 4C,9SFFEROS, Fichesfiabilité, 8Cfiches techniques, Fichesfonctionnalité, 8C, 8Sformat, 6C, 6EForum Droits sur Internetet Mission EconomieNumérique, 2CGgestion de preuve, 6C, 6Rgestion des projets et desdéveloppements, 2E
Hhabilitation, 3E, 3Rhacker, Déf. P.I., 7Ciidentification, Intro, 1C,2R,F3 (3C, 3E, 3R), 4Ridentité, 3C, 3E, 7CILM, Préf, 1Cimages pédophiles, 5Cimmatériel, Préf., Int.,7C, 8Cimputabilité, Déf. P.I., 7Cincident, 9Cintègre, Int, déf. P.I.,F2(C,E,R), 4E, 5C, 5E,6C, 6E, 7Cintégrité flux de données, 2Cintégrité traitements, 2Cinteropérabilité, 6EISO 27001, Fich,1E,1R,2E,2R,4E,4R,5E,5RJjournaux d'audit, 2R,3RLlisibilité, 2C, 6Clogistique, 6Elogiciel, Préf. Int., 1E, 7C,7S, 8CLoi 3 juillet 1985, 8CLoi du 21 juin 2004, 2E, 9SLoi du 4 août 2004, 9CLoi du 1er août 2006, 8SLoi Informatique, Fichierset Libertés (6/8/2004),4E, 9CMmaître d'ouvrage, 10CMARION, Int, 1E,R,2E,2R,4E,4Rmatériel, Préf., 1E, 1R,7C, 7S, 8C, 8SMEHARI, Ficheméthode ISO 27001, 5Rméthode MARION, 1Emigration, 6C, 6RMTI ( Mesure Techniqued'Information), 8SMTP (Mesures Techniquesde Protection), 8Smutualisation, 1RNnon répudiation, 6Enom de domaine, 5C, 8C, 8SOobsolescence, 6E,6Robligations, Préf., Int.,4E, 6C, 7C, 7S, 8S,F9(C,S)OEB (Office Européen desBrevets), 8COHMI (Organisation del'harmonisation du mar-ché intérieur), 8COMPI (Organisation mon-diale de la propriétéIndustrielle), 8Coutils juridiques, Int, F7, 7COTP (One-TimePassword), 3CPpassword, 3Cpatrimoine informationnel,Edit, Préf.,fich7-12, DéfP.I., 1C, 2C, 2E, 3C, 3E,4C, 4E, 5C, 6C, 6E, 6R,F7 (C,S,) F8)(C,S) F9(C,S), F10 (C,R)
PDF/A, 6Cpérennité, Int, Fich, Déf.PI, 1C, 2E, 4E, 5R,F6(C,E)PISE (méthode), 5Rpolitique de sécurité,Fich, 7S, 9Sprocédés cryptogra-phiques, 6Rprocédures de recettes, 2Eprogiciel, 1R, 2Rpropriété intellectuelle,Fich. 7S, F8(C,S)protocole LDAP(Lightweight DirectoryAccess Protocol), 3CQQualité, 1C,4E, 8C, 10CRreconstitution médias,1C, 10C, 10E, 10Rréférentiel, FichesRèglement CEn°460/2004 du ParlementEuropéen, 2Créglementation et audit,2E,4Erèglement intérieur, 7Sresponsabilité civile, 8C,8S, 9C, 9Sréversibilité du systèmed'information, 9SRFID (Radio FrequencyIdentication), 3Crisque, Edit. Préf., 1C, 1E,2C, 2E, 2R, 3C, 4E, 6C,6E, 7C, 7S, 8C,8S, 9C,9S, F10 (C,E,R)risques externalisation, 9SRMT (Risque maximumTolérable), 10C, 10RRSI (ResponsableSécurité del'Information), 7SRSSI (ResponsableSécurité des Systèmesd'Information), 7S, 9SSsauvegarde, 2Escellement, 5R, 6Rsécurité technique, Int,Fiches 1à 6sensibilité, 3R, 4C, 5R,6R, 10Rsignature des informa-tions, 5Rsignatures électroniques, 6RSTAD (Système automatiséde données), 2E, 7S, 9SStop loss, 10CSSO (Single Sign On), 3ETtéléchargement, 2R, 5C, 7Straçabilité, Préf, Int, Fich,Déf. P.I., 2C, 2R, F5(C,E,R)7c, 7EUusurpation d'identité, 5Cutilisateurs autorisés, 4CVvaleur de l'information, 1C virus informatique, 1C,2R, 7S, 9C, 9SVPN (Virtual PrivateNetwork), 2RXXML, 6C, 6R
Ind
ex