Blog ENI : Toute la veille numérique !
🎁 Jusqu'au 25/12 : 1 commande de contenus en ligne
= 1 chance de gagner un cadeau*. Cliquez ici
🎁 Jusqu'au 31/12, recevez notre
offre d'abonnement à la Bibliothèque Numérique. Cliquez ici
  1. Livres et vidéos
  2. Guide juridique de la cybersécurité
  3. Le référentiel sécurité
Extrait - Guide juridique de la cybersécurité Mettre en place un bouclier légal pour se protéger, se défendre et réagir
Extraits du livre
Guide juridique de la cybersécurité Mettre en place un bouclier légal pour se protéger, se défendre et réagir Revenir à la page d'achat du livre

Le référentiel sécurité

Introduction

L’élaboration d’un référentiel sécurité constitue un élément clé de la gestion en amont du risque cyber. Le référentiel sécurité correspond au corpus de politiques, chartes et procédures qui documentent les mesures de sécurité organisationnelles et techniques mises en place au sein de l’organisme.

Le référentiel sécurité comporte également des bonnes pratiques en matière de sécurité des systèmes d’information.

Dans ce chapitre, nous aborderons l’élaboration, la consolidation et la mise à jour de ce référentiel sous l’angle de la documentation des mesures organisationnelles, puis sous l’angle de l’encadrement juridique des relations contractuelles avec les sous-traitants et les partenaires.

La documentation des mesures organisationnelles et techniques

La documentation des mesures organisationnelles et techniques suppose la rédaction de différents livrables, tels que des plans, des chartes et des accords. Nous examinerons des stratégies de déploiement de chartes et de politiques internes, des plans de continuité et de reprise d’activité, ainsi que la maîtrise des normes techniques. Nous aborderons également le déploiement des audits internes et externes, les tests de résilience opérationnelle numérique et les autres mesures de prévention du risque cyber.

1. Décryptage des stratégies de sécurité cyber

La stratégie de sécurité cyber doit conduire à mettre en place différents documents tels que la charte administrateur, la politique de gestion des habilitations ou encore la politique de gestion des incidents.

a. Les mesures de protection de la charte « informatique »

La charte « Utilisateurs des SI » souvent dénommée charte « informatique » établit les conditions d’utilisation des systèmes d’information et de communication à disposition des salariés et vient préciser les pratiques possibles ou proscrites ou encore les sanctions en cas de non-respect de celle-ci. Les chartes informatiques et autres guides viennent donc formaliser les « instructions » de l’employeur sur l’utilisation de l’informatique. Il s’agit, du reste, d’une annexe au règlement intérieur de l’organisation soumise au même régime juridique.

Ces chartes ont pour objectifs d’informer le personnel et de formaliser par écrit les bonnes pratiques attendues et les comportements prohibés. Sous plusieurs aspects, ces documents remplissent un objectif de sensibilisation sur les sujets ayant trait à la sécurité informatique de l’organisme, et permettent de satisfaire aux obligations légales en la matière.

La charte vient encadrer les mesures d’investigations IT. Ces mesures d’investigations réalisées par les administrateurs sont la source d’un contentieux important et d’une jurisprudence abondante en constante évolution....

Encadrement juridique des relations contractuelles avec les sous-traitants & partenaires

Dans cette section, nous aborderons la gestion des relations et le suivi des prestataires tiers. Cette préoccupation prend de l’importance avec l’augmentation des attaques cyber dans les chaînes d’approvisionnement. Plusieurs instruments, tels que nous le verrons par la suite, sont nécessaires pour garantir la sécurité de la relation avec eux. En réalité, la robustesse de la cybersécurité des fournisseurs est étroitement liée à celle de l’entité elle-même.

1. L’accord sur la protection des données (DPA)

Le DPA ou accord sur la protection des données régit la relation entre un responsable de traitement et son sous-traitant au sens du RGPD. Ce document contractuel est exigé par le RGPD en son article 28 qui traite de la sous-traitance.

Selon l’article 28 du RGPD, l’accord sur le traitement des données doit définir « l’objet et la durée du traitement, la nature et la finalité du traitement, le type de données à caractère personnel et les catégories de personnes concernées, et les obligations et les droits du responsable du traitement. Ce contrat ou cet autre acte juridique prévoit, notamment, que le sous-traitant :

a) ne traite les données à caractère personnel que sur instruction documentée du responsable du traitement, y compris en ce qui concerne les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, à moins qu’il ne soit tenu d’y procéder en vertu du droit de l’Union ou du droit de l’État membre auquel le sous-traitant est soumis ; dans ce cas, le sous-traitant informe le responsable du traitement de cette obligation juridique avant le traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d’intérêt public ;

b) veille à ce que les personnes autorisées à traiter les données à caractère personnel s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité ;...

Références

(1) Secrétariat général de la défense nationale, « Guide pour l’élaboration d’une politique de sécurité de système d’information », mars 2004

(2) Obligation dont le non-respect fait encourir aux responsables des peines pouvant aller jusqu’à 5 ans d’emprisonnement et 1 500 00 euros pour une personne morale.

(3) Guide pratique RGPD 2023 « Sécurité des données personnelles »

(4) Algorithmes tels que SHA-256, SHA-512 ou SHA-341 pour la fonction de hachage, AES ou AES-CBC pour le chiffrement symétrique, RSA-OAEP pour le chiffrement asymétrique et RSA-SSA-PSS pour les signatures

(5) Art. L. 39-3 du code des postes et des communications électroniques

(6) Le chiffrement peut se définir comme étant tout procédé de cryptographie par lequel la compréhension d’un message est rendue impossible à toute personne qui ne dispose pas de la clé.

(7) Le Cloud Act est une loi américaine portant sur la surveillance des données personnelles

(8) Une métadonnée est une « donnée servant à définir ou décrire une autre donnée quel que soit son support »

(9) L’avocat Kurt Opsahl explique en quoi les métadonnées sont...