Failles de sécurité : quelles actions mettre en oeuvre ?
Virginie Bensoussan-Brulé expose les actions à mettre en œuvre consécutivement à la découverte de failles de sécurité.
Qu’elles proviennent d’une erreur, d’une négligence ou de procédés illicites, les failles de sécurité représentent aujourd’hui l’une des préoccupations majeures des entreprises.
Les enjeux sont d’importance : piratage des systèmes de traitement automatisé de données, perte d’informations confidentielles et stratégiques, vol de données personnelles, et lourds de conséquences sur le plan financier. A cet égard, l’entreprise victime devra vérifier sa police d’assurance pour vérifier si elle est couverte pour les risques informatiques.
Dès la découverte d’une faille de sécurité, et préalablement à toute action contentieuse, plusieurs actions doivent rapidement être mises en œuvre :
- en interne, identifier la faille, la corriger avant de mettre en place un audit de sécurité et de procéder aux mises à jour des procédures internes ;
- réaliser un dossier de preuve technique, comprenant a minima un rapport d’incident et les logs de connexion aux serveurs ;
- qualifier juridiquement les faits et les rattacher notamment à l’une ou plusieurs des infractions d’atteinte à un système de traitement automatisé de données (STAD).
Une plainte devra être déposée auprès du procureur de la République territorialement compétent, qui diligentera une enquête préliminaire confiée aux services de police ou de gendarmerie spécialisés.
Dans l’éventualité où l’atteinte porte sur des traitements de données personnelles mis en œuvre par une entreprise fournissant un service de communications électroniques, le responsable de traitement devra la notifier à la Cnil qui pourra décider de procéder à une mission de contrôle, à l’issue de laquelle des recommandations ou des sanctions pourront être prononcées.
Si la répression des atteintes au système d’information a été largement renforcée par la loi 2014-1353 du 13 novembre 2014 introduisant le délit d’extraction de données dans un STAD et par l’arrêt « Bluetouff » de la Cour de cassation du 20 mai 2015 qui consacre le vol de fichiers informatiques, la sécurisation du système d’information reste encore le meilleur moyen de lutter contre les failles de sécurité.
Virginie Bensoussan-Brulé pour IT-Expert magazine, « Fraude informatique : Comment réagir en cas de failles de sécurité ? », le 15 octobre 2015