 |
|
Recherche |
|
| |
|
 |
|
Editeurs |
|
| |
|
 |
|
Base thématique |
|
| |
|
 |
|
Juristendances |
|
| |
|
 |
|
Archives |
|
| |
|
|
Contentieux informatique
La gouvernance des systèmes d’information (SI)
La responsabilité du DSI en matière de SI : les mesures de préventions à prendre …
Aujourd’hui, le périmètre de connaissance du DSI va au-delà de l’informatique pure et s'étend aux compétences associées aux échanges d’informations via l’utilisation de nouvelles technologies dans l’entreprise. Le DSI est au cœur de la sécurité du système d’information de l’entreprise. Or la sécurité technique participe de la sécurité juridique. Le DSI doit donc avoir un minimum de connaissances juridiques en ce domaine. Parmi les principaux gisements de risques figurent les traitements de données à caractère personnel, le droit d’auteur, la contrefaçon et les usages illicites des outils de l’entreprise par les salariés.4En outre, le nombre croissant de contraintes légales en matière de sécurité (LSF, Sarbanes-Oxley, I & L …) et les nouvelles méthodes de partage de l’information (portable, liaison WiFi, port USB…) qui rendent plus perméable le SI accroissent la responsabilité du DSI. Cette responsabilité croissante au niveau technique s’accompagne également d’une responsabilité plus importante au niveau juridique. La gestion du risque et de sa responsabilité passera par la prévention et la mise en place de chartes de bonne conduite des salariés concernant l’utilisation des systèmes d’information mis à leur disposition. Cette charte qui peut être annexée au règlement intérieur, peut être complétées par des livrets de procédure de sécurité afin d’organiser la traçabilité des incidents, le contrôle et la conservation de la preuve numérique.
La Cour d’appel d’Aix en Provence (1) vient de condamner un employeur pour un usage illicite d’internet par un des ses employé ayant créée un site diffamant hébergé sur le serveur de l’entreprise. L’employeur doit donc prévoir explicitement toutes les interdictions en matière d’utilisation de l’internet sur le lieu du travail sous peine de voir sa responsabilité engagée au plan judiciaire. Ces interdictions doivent être fixées dans la limite du respect de la vie privée résiduelle, principe considéré comme fondamental par la Cour de cassation en 2001 (2), aux termes duquel un salarié a droit, « même au temps et au lieu de travail, au respect de l'intimité de sa vie privée ».
(1) CA Aix en Provence, 2ème ch., 13 mars 2006.
(2) Cass. soc. 2 octobre 2001, arrêt Nikon.
Gérer la convergence des systèmes d’information
Il est extrêmement fréquent, voir courant, en cas de fusion ou de rachat de sociétés, ou même tout simplement en cas d’acquisition de nouveaux sites, que les différentes entités qui se regroupent disposent de systèmes informatiques différents. La forte augmentation des ERP ou des systèmes intégrés au sein des entreprises, rend indispensable pour les entreprises qui se rassemblent la disposition d’un seul et même système d’information pour l’ensemble du groupe. Elles doivent en effet, pouvoir obtenir des remontées d’informations homogènes de l’ensemble des sociétés du groupe et disposer de données uniques et conjointes.
Faire converger les SI de plusieurs entreprises constitue un véritable projet informatique. Sa mise en oeuvre peut en effet, se révéler extrêmement délicate : ce n’est pas parce qu’un système a été éprouvé au sein d’une entreprise que la migration s’effectuera facilement au sein d’une entreprise nouvellement acquise. Il s’agit pour cette dernière d’un véritable projet de changement de SI. La réalisation d’un tel projet n’est pas limitée au choix du SI qui sera privilégié, même si cela constitue un préalable à la convergence des systèmes. Encore faut-il en examiner les modalités. Toutes les étapes nécessaires à l’implémentation d’une nouvelle solution devront également être respectées, depuis la vérification des besoins jusqu’à la conduite du changement. Cette convergence peut également avoir pour effet de remettre en cause les processus et implémentations d’ores et déjà réalisées dans l’entreprise dont le système d’information a été privilégié.
Lorsqu’il y a plusieurs sites, différentes démarches peuvent être adoptées : déploiement du système déjà éprouvé sur l’ensemble des autres sites et identification des écarts ; réalisation d’un site pilote sur l’un des sites, avant déploiement du système… toutes ces solutions nécessitent de : vérifier les contrats existants sur chacun des autres sites et effectuer les due diligences (licences, maintenance, propriété, CNIL, assurance, sécurité…) ; souscrire un nouveau contrat avec l’intégrateur prestataire et/ou l’éditeur qui sera chargé d’effectuer cette convergence, l’enjeu étant considérable ; gérer l’impact sur le plan social : modification des conditions de travail nécessitant une interventions des IRP, redéploiement des ressources humaines… effectuer un audit de mise en conformité avec la loi informatique et libertés.
Paru dans la JTIT n°53/2006 p.4
Renforcer sa politique de sécurité : une préocupation constante de l’entreprise
Les moyens informatiques et les réseaux de télécoms sont devenus des outils de travail indispensables à l’activité quotidienne des entreprises.Or, l’utilisation de systèmes d’information et de communication de plus en plus ouverts avec l'extérieur rend indispensable la mise en œuvre d’une politique de sécurité visant à protéger de risques variés. Face aux nombreuses menaces et compte tenu des obligations imposées notamment par l’article 35 de la loi Informatique et Libertés (1) applicables à la protection des systèmes et des données nominatives, les entreprises doivent définir des politiques globales de sécurité. Les moyens techniques même s’ils sont indispensables ne sont pas suffisants et doivent s’accompagner d’une politique d’information et de sensibilisation des utilisateurs pour éviter que ceux-ci, par un comportement inapproprié, ne compromettent la sécurité de l’entreprise.Ceci explique le succès grandissant des chartes depuis quelques années dont la généralisation répond à ces préoccupations.
En complément de la charte il apparaît nécessaire de définir des procédures pour la recherche et la conservation de la preuve en cas d’utilisation déviante des systèmes d’information et de télécoms ou encore d’agissement frauduleux avérés. Ces procédures doivent permettre de concilier efficacité et fiabilité des constats pour que ceux-ci soient juridiquement recevables et probants dans le respect des dispositions édictées par le Code du travail et par la loi Informatique et Libertés qui consacrent des exigences de proportionnalité, de transparence et de loyauté. Leur mise en œuvre nécessite par conséquent une bonne connaissance des textes applicables et des jurisprudences rendues en ces matières.
Par ailleurs, il ne faudra pas oublier la gestion assurantielle des risques liés à la sécurité résultant notamment de la perte de chiffre d’affaires induite par des actes frauduleux ou encore les coûts engendrés par la reconstitution des données qui seraient altérées ou perdues.
(1)Loi du 06/01/1978 modifiée par la loi du 06/08/2004.
Paru dans la JTIT n°50/2006 p.2
Les implications de la SOX sur les SI
C’est pour répondre aux scandales Enron et Worldcom que le Congrès américain a voté en juillet 2002, la loi Sarbanes-Oxley (SOX) qui modifie les règles de gouvernance des sociétés cotées aux Etats-Unis. La SOX oblige ces sociétés à mettre en place un contrôle interne efficace concernant la gestion de leurs données financières et à déposer un rapport auprès de la SEC (Commission américaine des opérations de bourse). Les exigences de la SOX et ses implications s’étendent à toute société française qui serait cotée aux Etats-Unis et à toute filiale française d’une société américaine cotée aux Etats-Unis. Ces dispositions obligent les sociétés à appliquer des règles strictes de gouvernance sur leurs systèmes d’information (SI). L’entreprise et notamment le directeur des systèmes d’information (DSI), dispose d’un modèle de référence en matière d’audit et de maîtrise des systèmes d’information, la norme CobiT (Control Objectives for Business and related Technology) qui s’inscrit dans la lignée des nouvelles pratiques de la gouvernance informatique. Ces « bonnes pratiques », sont proposées par l’IT Governance Institute, pour mieux gérer les risques liés à l’informatique en tenant compte notamment des contraintes liées à la mise en œuvre des dispositions de la SOX.
Le DSI joue un rôle fondamental dans ce processus de mise en conformité du SI. C’est lui qui doit en garantir la sécurité et les contrôles lesquels peuvent porter notamment sur la gestion électronique et l’archivage des documents ou des courriers électroniques, l’amélioration des systèmes financiers et la conduite du changement ou encore la sécurité des bases de données et des réseaux. Ces règles peuvent conduire à exiger des prestataires qu’ils respectent les processus de production de SI définis par les « bonnes pratiques » communes, de manière à optimiser la sécurité et la conformité.
|
|
|
Contentieux informatique |
|
| |
|
|
