SSTIC 2010 - Mercredi après-midi : 4ème conf

Intéressez vous au droit avant que le droit ne s’intéresse a vous

par Eric Barbry

Les aspects juridiques du monde de l’informatique bougent beaucoup ces derniers temps. Le problème c’est qu’en pratique, le temps manque pour s’y intéresser, même si nul n’est censé ignorer la loi.

Le travail des acteurs de la sécurité informatique est donc impacté par ces lois et le nombre de rôles attribués aux DSI/RSSI complexifie grandement le travail.

Le problème c’est que les données de l’entreprise et son périmètre deviens flou (télétravail, SaaS, Cloud …) et en prime les réseaux sociaux posent des problèmes concrets en matière de communication. Ajoutez à cela l’usurpation d’identité, les problèmes de suppression de contenus publiés indument sur internet, le phishing et les problématiques des licences open-source et vous obtenez un magnifique cocktail explosif au niveau juridique.

Avec cet explosion de problématiques techniques est arrivé une explosion du nombre de lois impactant les SI (et là c’est le drame, parce qu’il y en a beaucoup !!!)

La LOPSSI II avec l’usurpation d’identité condamnée, la vidéo-protection, l’intelligence économique … elle s’accompagne forcément d’obligations pour l’entreprise (sensibilisation des utilisateurs, définition de l’identité numérique )

Jeux d’argent et ARJEL : en dehors des sites agréés, il faut rendre inaccessibles les sites illégaux, etc…

LCEN : les décrets d’application sur la conservation des données de connexion pendant un an a un impact fort.

HADOPI : l’autorité est presque en place, et l’employeur a pour obligation de veiller aux usages de l’accès internet, et réagir aux notifications de coupure d’accès qui seront reçues par l’entreprise.

Loi Informatique et Libertés 3.0 : toute IP est à caractère individuel. Le correspondant Informatique et Liberté deviens obligatoire pour toute entreprise sous le coup de la loi I&L ou disposant de plus de 100 personnes connecté à son SI.
L’article 34 modifié qui impose l’obligation de sécuriser son système mais n’impliquait pas forcément d’obligation de résultat. Dans sa nouvelle mouture, c’est OBLIGATOIRE, et en cas d’incident il faut obligatoirement et sans délai contacter le CIL ou la CNIL (s’il n’y a pas de CIL) ainsi que l’ensemble des utilisateurs du SI impacté. La loi I&L étant déjà en vigeur, il n’y aura pas de délai de mise en application !!!

Et pour le reste des baffes je vous invite à regarder les slides quand ils seront dispo sur sstic.org…