Sécurité des systèmes d’information
Sécurité
Création de la délégation aux interceptions judiciaires
La loi du 10 juillet 1991 encadre les écoutes dites « administratives » (ou de sécurité) et les écoutes dites « judiciaires » ordonnées par un magistrat instructeur ou un procureur dans le cadre d’affaires d’un type bien défini. Les premières s’opèrent sous le contrôle de la Commission Nationale de Contrôle des Interceptions de Sécurité. Les secondes ne bénéficiaient pas d’un tel dispositif, étant contrôlées par le juge. Elles faisaient toutefois l’objet de nombreuses critiques du fait notamment de l’absence de structure administrative permettant de coordonner l’ensemble des nombreux départements ministériels impliqués (justice, défense, intérieur, douane, économie-finances-industrie). Une Délégation interministérielle aux interceptions judiciaires (DIIJ) avait déjà été mise en place en 2005 dans le cadre du plan de rationalisation des dépenses de la justice pour clarifier les modes de calcul des sommes versées aux opérateurs de téléphonie en contrepartie du respect par ceux-ci de leurs obligations. Elle est désormais officialisée par un décret et un arrêté du même jour et porte le nom de Délégation aux interceptions judiciaires (DIJ). La DIJ n’a pas vocation à contrôler l’opportunité d’une écoute judiciaire mais son coût en coordonnant l’ensemble des conditions d’exploitation, notamment financières, des opérations d’interception.
Décret n° 2006-1405 du 17 novembre 2006
Arrêté du 17 novembre 2006
Respecter l’état de l’art en matière de sécurité des systèmes d’information
De la loi Sarbanes-Oxley (SOX), aux accords de Bâle II(1), en passant par la loi de sécurité financière (LSF)(2), sécurité quotidienne, sécurité intérieur, Sarkosy I et la loi sur la protection des données personnelles, on ne compte plus les dispositifs légaux et réglementaires relatifs à la sécurité des systèmes d’information. Cet afflux de textes montre que cette préoccupation est aujourd’hui prise en compte par le législateur à travers l’élaboration d’un droit de la sécurité.Il est donc nécessaire pour l’entreprise de connaître avec précision l’ensemble du référentiel légal qui s’applique en matière de sécurité aux informations qu’elle manipule dans son secteur d’activité (aéronautique, santé, banque…).
Le recours aux normes peut s’avérer indispensable. Si elles ne sont souvent que des recommandations techniques sans force obligatoire, leur application devient cependant de plus en plus courante au sein des professions, leur conférant ainsi une certaines portée juridique. Elles sont considérées par le juge comme la codification écrite regroupant des « règles de l’art » ou des « usages loyaux et constants ». Aquelle norme se référer pour les SI ? Il existe depuis octobre 2005 une norme internationale concernant la sécurité de l’information, la norme ISO/CEI 27001 dont le titre est « Technologies de l’information -Techniques de sécurité -Systèmes de gestion de sécurité de l’information – Exigences »(3). Cette norme représente le premier cadre normatif en matière d’organisation et de management de la sécurité des SI. Y faire référence dans un contrat par une clause ISO/CEI 27001 ou en l’intégrant au cahier des charges permet de la rendre obligatoire entre les parties. Mais au-delà de cette référence, il s’agit d’une norme qui peut être utilisée dans le cadre d’une certification par un organisme indépendant et reconnu, qui apporte la garantie-sécurité pour l’entreprise. La certification, qui est aujourd’hui possible en France, apporte un atout compétitif. Il est clair qu’une entreprise sera plus enclin à choisir un partenaire qui a mis en place une procédure de certification, preuve de la conformité de son SI.
(1) Chantier qui va réformer le système international bancaire à l’échéance de 2007
(2) La SOX a été adoptée le 30/07/2002 par le Congrès américain et la LSF (loi n°2003-706) dont le périmètre est plus large date du 01/08/2003
(3) Elle définit l’ensemble des tests et contrôles à effectuer pour s’assurer du bon respect d’ISO/CEI 17799.
Paru dans la JTIT n°50/2006 p.3