La relation entre Sécurité informatique et Droit devient quasi inhérente au métier de Cybersécurité et cette étroite collaboration va dans un sens bilatéral pour un objectif commun de mesure de la conformité d’un Système d’Information (SI) dans son contexte juridique. Notamment au sujet de la protection des données.

A l’ère de l’économie numérique, les acteurs de la Cybersécurité au sein des entreprises, deviennent malgré eux de plus en plus visibles. Sortant de la bulle technique vers un positionnement exposé aux enjeux économiques, marketing et juridiques des Organisations.

Il peut être difficile pour un Juriste d’appréhender les arcanes d’une architecture informatique. Inversement et étonnamment, il est plus aisé pour un professionnel de la sécurité informatique, du fait de son rôle régalien au sein de l’organisation (Politique de sécurité, charte,…) d’appréhender le Droit et son esprit de régulation;

Il est même bénéfique pour l’informatique d’utiliser les juridictions et l’expertise en Droit comme un effet de levier pour justifier et argumenter quant à la mise en œuvre de solution de Cybersécurité. Certaines affaires médiatisées le démontrent (TV5 Monde, Sony, Target,…).

Deux zones d’influence dans lesquelles la Cybersécurité puise des outils de support pour son activité.

Une Zone d’influence INTERNE à l’Entreprise;

• Au travers de la gestion d’une Politique de Sécurité où l’informatique régule l’usage des systèmes IT. Bien que n’ayant aucune valeur légale, la Politique de Sécurité Interne n’en revêt pas moins un caractère régalien et se rapproche à s’y méprendre aux articles de Lois, tant dans la forme que dans le fond.

• Plus évocateur sont les Chartes Informatique. Les professionnels de la Sécurité IT sont des acteurs incontournables. Ces Chartes, nécessitent un protocole de validation à caractère légale. Validées et signées par les représentants syndicaux, les Ressources Humaines et bien sur, les employés. Dans ce protocole, l’informatique met les deux pieds dans le DROIT du Travail, étant donné que la Charte est considérée comme une annexe au Contrat de Travail des salariés. La relation au Droit est assez forte dans ce cas et encore plus si l’on considère les Chartes sur le BYOD (« Bring Your Own Device »), qui fait tant couler la sueur des Juristes.

• Nous pouvons aussi citer les Plans d’Assurance Sécurité, appliquer dans le Droit des Affaires et les Contrats tout comme les Standards PCI-DSS pour les aspects financiers. L’apport de l’informatique et de la Sécurité est tout particulièrement apprécié dans les négociations contractuelles avec les fournisseurs de service CLOUD.

Une Zone d’influence EXTERNE à l’Entreprise.

• Il s’agit de tout l’arsenal judiciaire qui encercle et régule les pratiques de Sécurité Informatique des entreprises. La zone la plus visible en France étant représentée par la CNIL (loi du 6 janvier 1978). QUI est l’interlocuteur de l’entreprise face à la CNIL? Autant le Juriste interprète la Loi, autant la Cybersécurité garantie son application opérationnelle. Même si les juristes d’Entreprise sont les interlocuteurs naturels avec la CNIL, l’informatique se retrouve, in fine, en frontal pour fournir les éléments de réponse et d’exigences. Dans ce cas, c’est bien l’informatique qui s’engage directement.

• Dans un contexte international, la sécurité informatique peut se confronter à autant de CNIL que de Pays filiales de l’entreprise!. Bien que régulée en Europe par les Directives Européennes (EU-95/46) et depuis peu Le Règlement européen n°2016/679 du Parlement et du Conseil du 27 avril 2016.

Ces deux zones d’influence convergent vers un enjeu majeur pour la Cybersécurité, la protection des données et de l’image de marque de l’entreprise auprès de sa clientèle et partenaires.

Les professionnels de la Cybersécurité, se doivent de répondre présent à cet enjeu et assumer le risque généré par la Non-Conformité Légale;

Le DROIT génère des Risques de Cybersécurité.

• Les Risques Juridiques, comme la capacité de l’informatique à fournir la Preuve en cas de conflit, dans un cadre légal et qualifiable par les juristes. Notamment  pour éviter les vices de forme (exemple: fuite d’information, délit d’initié, Forensic,…)

• Les Risques Techniques, qui concerne l’ensemble des outils mis à disposition pour protéger les données. Tout comme d’outils pour empêcher une atteinte à l’intégrité juridique de l’entreprise. (exemple: traçabilité des transactions, archivages des Logs, sauvegardes…)

• Les Risques Humains, à savoir la capacité de gérer l’ensemble de ces outils. La mise en œuvre de solution technique pour sécuriser ne suffit pas à protéger l’Entreprise si ses solutions ne sont pas proprement administrées par les personnes adéquates.

Il est de la responsabilité de la Cybersécurité de s’engager directement face à ces enjeux et à ces acteurs.

La Cybersécurité n’est pas qu’une approche Technique et Informatique. Les cas de TV5 Monde et de Ashley Madison ont bien démontrés les limites de l’Entreprise face à l’état réel de la Sécurité Informatique. Il ne sert à rien de signer des conventions, des certifications et d’afficher patte blanche sur les contrats, si les clauses ne sont pas respectées et mesurées. Mais comment Juristes ou PdG peuvent ils s’engager sur des aspects qu’ils ne maitrisent pas?

La réponse est forcément vers les professionnels de la Cybersécurité. A la condition de ne pas les étouffer sous un oreiller hiérarchique pour endormir la réalité.