L’une des principales fonctions de la gestion des risques est l’atténuation et la prévention du risque afin de le réduire jusqu’à un niveau acceptable pour l’entreprise de manière à ce qu'elle fonctionne efficacement.
Comment l'entreprise détermine-t-elle le risque tolérable pour les logiciels informatiques ?
En raison de la complexité et de l'absence de frontières dans le monde informatique, les cyber-risques sont difficiles à appréhender.
Qu'est-ce qu'un cyber-risque ? Un cyber-risque correspond à tout risque de perte financière, d'atteinte à l'image ou d'interruption des activités de l'entreprise en raison d'une défaillance de son système informatique, ou en raison d'un manque de sécurité dans l'environnement dans lequel se trouve son système, ou d'un manque de maîtrise de la réglementation.
Par conséquent, de nos jours, la cybersécurité constitue un enjeu majeur et est au cœur des préoccupations des entreprises. Elle consiste à assurer la sécurité des activités et à renforcer la gestion des risques afin de protéger les personnes et les biens informatiques matériels et immatériels. Ainsi, elle constitue l’ensemble des technologies, processus et pratiques, conçus pour protéger le réseau, les ordinateurs, les programmes et les données, c'est-à-dire les actifs informatiques, contre des attaques, des dommages et des accès non autorisés.
Les actifs informatiques incluent les logiciels, les informations, les actifs physiques tels qu’un ordinateur, les services, le personnel (qualifications, aptitudes, connaissances et expériences), ainsi que la réputation et l’image de l’entreprise. Ainsi, les entreprises souhaitent renforcer leur sécurité en prévoyant des démarches préventives de gestion des risques.
L'enjeu pour les entreprises est important. La maîtrise des risques dans un monde où les menaces évoluent constamment est très difficile. Il existe cependant des dispositifs qui aident les entreprises à sécuriser leur système informatique, et plus spécifiquement les logiciels informatiques. En effet, face à la diversité des cyber-risques, un encadrement est devenu nécessaire. L'utilisation des logiciels dans un environnement sécurisé permettrait de faire obstacle à la survenance de nombreux risques.
Les normes ISO, la loi « Informatique et Liberté », ainsi que le Règlement Général sur la Protection des Données (RGPD) relatif à la protection des données à caractère personnel interviennent afin de renforcer la sécurité informatique au sein des entreprises.
L’amélioration continue constitue l’un des piliers les plus forts de toutes les normes ISO. Ces dernières comprennent plusieurs documents normatifs. Elles servent à mettre en place un système de management de la sécurité et des risques.
La norme ISO 27001 conduit à une certification de l'entreprise et décrit un processus global du système de management de la sécurité de l'information. Les normes ISO suivantes représentent des bonnes pratiques, des recommandations et des guides de mise en œuvre. Elles aident les entreprises à assurer la sécurité de leurs informations.
La gestion des risques permet d'atténuer le risque et de le réduire jusqu'à un niveau acceptable pour l'entreprise. Le niveau de risque qu'elle peut tolérer pour fonctionner efficacement doit être déterminé. La gestion du risque permet d'identifier, d'évaluer et de contrôler les menaces pesant sur l'entreprise. Afin d'atténuer ces risques, une stratégie et une politique de gestion des risques s'imposent.
La mise en place d’un système de management de la sécurité de l'information (SMSI) est la base des normes ISO 27001 et suivantes. Un SMSI permet de fournir un modèle destiné à l’établissement, à la mise en œuvre, à l’exploitation, à la surveillance, au réexamen, à la mise à jour et à l’amélioration de la protection des actifs informationnels.
La réussite de la mise en œuvre d'un SMSI passe par l'analyse des exigences de protection des actifs informationnels et l'application des mesures assurant cette protection. Il s'agit d'un plan stratégique, d'une approche de gestion cohérente et structurée pour la sécurité dans l’information. C'est un modèle à suivre afin d'établir, mettre en œuvre, opérer, suivre, revoir, maintenir et améliorer la gestion de la sécurité des risques. Chaque entreprise a son propre SMSI adapté à ses spécificités (besoins, objectifs, taille, etc).
Les entreprises souhaitant être conformes à la norme ISO doivent obligatoirement déployer toutes les exigences qui y sont prévues. Elles seront certifiées uniquement si elles respectent les lois et réglementations de leur pays ou de leur secteur d'activité. Notons que la norme ISO n'est qu'un complément et ne se substitue pas à la loi. Elle permet uniquement un encadrement au sein de l'entreprise. C'est un cadre global de gestion des risques. Les normes ISO 27001 et suivantes apportent des précisions sur l'identification, l'évaluation et le traitement de toutes formes de menaces sur la sécurité de l'information.
La norme ISO définit l'identification des risques comme étant un processus de recherche, de reconnaissance et de description des risques. Il s'agit d'identifier les sources des risques, des événements, leurs causes et conséquences potentielles. L'entreprise doit déterminer les vulnérabilités et les menaces susceptibles d'apparaître et d'endommager ses actifs. La norme exige l'identification des menaces auxquelles peuvent être confrontés les actifs et ensuite l'identification des vulnérabilités pouvant être exploitées par les menaces. Cela permet de détecter les risques.
La gestion des actifs est un point essentiel de la norme. L'actif est défini comme étant ce qui est nécessaire pour fournir les services produits par l'entreprise et qui implique une protection. Il y a les actifs tangibles tels que les serveurs, les logiciels, et les actifs intangibles tels que les compétences ou les processus. La gestion des risques et de la sécurité de l’information comprend tous les actifs de l'entreprise. Cette dernière devra identifier les risques associés à chacun des actifs et la manière dont elle va les gérer. Doivent être prises en considération la valeur de l’actif, la fréquence des menaces associées, et la résilience (capacité de résister à un piratage par exemple).
La gestion des menaces est un autre point essentiel de la norme. Une menace est définie comme étant tout ce qui a le potentiel d'endommager un actif et par conséquent, l'entreprise. Elle peut provenir de l'intérieur comme de l'extérieur de l'entreprise et elle peut être accidentelle ou délibérée, humaine ou naturelle. Elle peut avoir un effet insignifiant ou très grave sur la sécurité de l'entreprise. L'entreprise doit estimer la fréquence des menaces et leur impact sur les actifs.
Les contrôles sont à prendre en considération dans toute analyse des risques. Documenter les contrôles et les plans de traitement des risques, ainsi que réaliser une liste des contrôles existants et planifier leur mise en œuvre sont des mesures proposées par la norme. Les contrôles doivent être évalués selon leur efficacité, leur capacité à réduire la probabilité d'une vulnérabilité ou à réduire l'impact d'un incident.
L’impact est défini comme étant un changement significatif en termes d’objectifs prévus et atteints. L’entreprise doit également identifier les conséquences (perte d'efficacité, réputation, dommages, etc) ainsi que les pertes.
La norme ISO est une méthode avec des objectifs obligatoires. Cependant, elle se met en place sur plusieurs années et pour un coût très élevé (entre 1 et 2 millions d'euros). Peu d'entreprises sont conformes à cette norme et donc certifiées. Mais il s'agit tout de même d'un référentiel afin de permettre à une structure de conduire une bonne analyse des risques.
Tout cela fait que, selon le contexte et selon le coût, deux entreprises d'une même activité vont avoir une couverture de risque différente.
L'état de l'art actuel fait qu'il y a des choses que l'on accepte aujourd'hui en termes de risque et que l’on n’acceptera pas demain suite à des changements et évolutions. Les risques concernant les données personnelles sont des risques dont il faut impérativement se prémunir.
Les données sont collectées, stockées, consultées, archivées et/ou détruites par l'entreprise. Elles constituent un fonds de commerce essentiel pour son activité.
La gestion des risques est une notion qui concerne également les données. Des précautions sont à prendre au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données. La protection des données personnelles nécessite de prendre des mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque.
La CNIL distingue plusieurs sources de risques : les sources humaines telles que les utilisateurs, les concurrents, les attaquants externes, et les sources non-humaines telles que les virus, les catastrophes naturelles, les incendies.
Précision : la Commission nationale de l'informatique et des libertés est une autorité administrative indépendante française. Son rôle est de veiller à ce que l'informatique ne porte pas atteinte, ni aux droits de l'homme, ni à la vie privée, ni aux libertés individuelles ou publiques.
Au vu de l'importance du sujet, elle a mis à disposition un guide, permettant aux entreprises de se mettre en conformité et rappelant les précautions élémentaires qui doivent être mises en œuvre de façon systématique.
Selon le guide, il est essentiel, en premier lieu, de recenser les traitements de données, les données traitées et les supports de ces données. Il peut s'agir des matériels tels que des serveurs, des logiciels comme les logiciels métiers, les canaux de communication tels que l'Internet et des supports papiers.
Il faut ensuite estimer le risque engendré par chaque traitement en identifiant :
Dans un troisième temps, il faut mettre en œuvre et vérifier les mesures prévues. Et pour finir, il faut régulièrement réaliser des audits de sécurité.
La CNIL rappelle qu'il est nécessaire de sensibiliser les utilisateurs sur le sujet pour qu'ils prennent consciences des enjeux en matière de sécurité et de vie privée. Par exemple, prévoir une charte informatique ayant une force contraignante et incluant des règles de sécurité, telles que l'interdiction d'installer, de copier, de modifier, de détruire des logiciels sans autorisation, est une des précautions élémentaires que l'entreprise doit prendre.
L'authentification des utilisateurs est également une mesure importante. Cela permet d'assurer le fait qu'un utilisateur accède seulement aux données dont il a besoin. Les accès nécessaires lui seront ainsi permis après authentification.
La mise en place d'un dispositif de gestion des traces des accès et de gestion des incidents permet à l'entreprise de réagir en cas de violation de données. En effet, elle pourra identifier un accès frauduleux, une utilisation abusive des données ou l'origine d'un incident en enregistrant les opérations effectuées sur son système informatique.
Il est également très important de sécuriser les postes de travail afin de prévenir les accès frauduleux, l'exécution de virus ou la prise de contrôle à distance. Avec Internet, les risques d'intrusion dans les systèmes informatiques sont élevés. Parmi les précautions à prendre, il est possible de citer la mise à jour régulière des logiciels informatiques afin de combler rapidement les failles de sécurité exploitées par les logiciels malveillants, la configuration des logiciels pour que les mises à jour de sécurité se fassent automatiquement, ou limiter la connexion de supports mobiles tels que les disques durs externes. L'utilisation de logiciels obsolètes constitue un risque pour l'entreprise. En effet, les logiciels sont souvent vulnérables au travers d'une absence de mises à jour. Une veille de sécurité sur les logiciels utilisés dans le système d'information est indispensable.
La sécurité de l'informatique mobile n'est pas à négliger par l'entreprise. En effet, il faut anticiper les atteintes à la sécurité des données, puisque les équipements mobiles sont fortement susceptibles de faire l'objet d'un vol ou d'une perte.
La protection du réseau informatique interne, la sécurisation des serveurs et des sites web sont également des mesures recommandées par la CNIL. Cette dernière précise que pour les logiciels qui s'exécutent sur des serveurs, il peut être bénéfique pour l'entreprise d'utiliser des outils de détection des vulnérabilités, notamment pour les traitements les plus critiques, afin de détecter les failles de sécurité.
La CNIL recommande également d'effectuer des sauvegardes régulièrement. Cela permet de limiter l'impact d'une disparition de données. Il faut également les archiver de manière sécurisée, notamment celles qui ne sont plus utiles pour l'activité quotidienne de l'entreprise. Cela permet également de se constituer une preuve en cas de contentieux. L'archivage permet d'assurer l'intégrité, la durabilité, la confidentialité, la traçabilité, la sécurisation, l'accessibilité, ainsi que la qualité de restitution des données. L'entreprise doit encadrer la maintenance et la destruction des données. La sécurité des données à tout moment du cycle de vie des logiciels et matériels doit être garantie.
La sécurité des données avec les sous-traitants est un point à ne pas négliger et que l'entreprise doit encadrer. Les sous-traitants doivent présenter des garanties suffisantes. Dans cette situation, le contrat a un rôle important et permet de définir les points importants tels que l'objet, la finalité, la durée du traitement et les obligations des parties. Par exemple, la confidentialité des données personnelles et les conditions de restitution ou de destruction des données en fin de contrat sont des dispositions auxquelles l'entreprise doit prêter une attention particulière.
L'entreprise doit également renforcer la sécurité des échanges avec d'autres organismes lorsqu'il s'agit de transmission de données à caractère personnel. L'accès aux locaux, hébergeant les serveurs informatiques par exemple, doit être contrôlé pour éviter un accès non autorisé aux matériels informatiques ou aux données sur papiers. Il est impératif de renforcer la sécurité des locaux en prévoyant des alarmes, des détecteurs de fumée, des règles et moyens de contrôle d'accès ou une distinction des zones de l'établissement selon les risques.
La CNIL ajoute également la protection des données à caractère personnel dès leur conception. Cela permet de limiter les erreurs, les pertes, les modifications non autorisées, ainsi que leurs mauvais usages. Enfin, l'entreprise doit assurer l'intégrité, la confidentialité et l'authenticité d'une information.
Une sécurité efficace et optimale du système informatique est nécessaire pour protéger les données. Chaque étape du traitement des données doit ainsi faire l'objet de procédures particulières et techniques.
La CNIL a mis à disposition ce guide sur la base de la loi Informatique et Liberté et du RGPD pour permettre aux entreprises de se mettre en conformité et rappeler les précautions élémentaires.
La loi n° 78-17 du 6 janvier 1978 dite « Informatique et Liberté » est un texte fondateur en matière de données personnelles. Elle encadre les dérives pouvant découler de la société de l'information.
Une donnée à caractère personnel est toute information relative à une personne physique susceptible d'être identifiée, directement ou indirectement, notamment par référence à un numéro d'identification ou à un ou plusieurs éléments qui lui sont propres tels que nom, prénom, adresse, e-mail, plaque d'immatriculation, etc.
Le traitement d'informations personnelles concerne toute opération ou tout ensemble d'opérations portant sur les données à caractère personnel, quel que soit le procédé utilisé, et notamment la collecte, l'enregistrement, l'organisation, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, ainsi que le verrouillage, l'effacement ou la destruction. La seule collecte de données constitue un traitement. Il peut s'agir d'un fichier, d'une base de données, d'un tableau Excel, ou de divers logiciels. Il sera alors soumis aux dispositions de la loi Informatique et Liberté.
Le responsable de traitement est toute personne, organisme, structure, service qui détermine la finalité et le moyen du traitement. Il devra garantir la sécurité et la confidentialité de ces informations dès lors qu'il les détient.
Cette loi fait peser sur le responsable de traitement une obligation de mettre en œuvre les mesures techniques et d'organisation appropriées pour protéger les données contre la destruction accidentelle ou illicite, la perte accidentelle, l'altération, la diffusion ou l'accès non autorisés. A défaut de respect de cette disposition, il engage sa responsabilité civile et sa responsabilité pénale. Ainsi, le manquement à la sécurité des traitements de données personnelles constitue un délit.
Afin de protéger efficacement les données, une attention particulière doit être portée sur la sécurité des logiciels.
Tout traitement doit donner lieu à une déclaration préalable auprès de la CNIL. Par exemple, le fait de conserver dans un logiciel de traitement de données des adresses électroniques afin de les utiliser pour adresser des mails à leurs utilisateurs doit faire l'objet d’une déclaration. En effet, il s'agit d'une collecte de données nominatives entrant dans le champ de la loi du 6 janvier 1978.
Précisons que lorsqu'il s'agit de traitements présentant des risques particuliers au regard des droits et libertés des personnes, l'autorisation ou l'avis préalable de la CNIL est obligatoire. S'agissant des traitements courants qui ne sont pas susceptibles de porter atteinte à la vie privée ou aux libertés, il existe des déclarations établies par la CNIL sous la forme de normes simplifiées.
La finalité du traitement est une notion importante. Les données à caractère personnel doivent être collectées pour des finalités déterminées, explicites et légitimes. Seules les données nécessaires doivent être collectées. Elles ne doivent pas être traitées de manière incompatible avec ses finalités. Elles ne doivent pas servir à d'autres fins. Un détournement de finalité des données peut être déclaré à la CNIL.
La CNIL a des pouvoirs étendus en matière de contrôle de traitement de données à caractère personnel. Elle peut procéder à des contrôles sur place, elle peut accéder aux lieux, locaux, enceintes, installations ou établissements dès lors qu'un traitement de données à caractère personnel à usage professionnel est effectué. Elle peut ainsi accéder aux contenus des logiciels informatiques collectant les données visées.
La CNIL a également des pouvoirs de sanctions. Elle peut donner des avertissements, procéder à des mises en demeure, enjoindre de cesser un traitement, retirer l'autorisation de traitement, sanctionner pécuniairement. Il y a une volonté de durcir les sanctions en matière de sécurité des données. À titre d'exemple, Uber et Bouygues Telecom ont fait l'objet de sanctions pécuniaires (1 millions d'euros et 250 000 euros) prononcées par la CNIL pour violation des règles de protection des données en relation avec une cyberattaque et pour manquement à l'obligation d'assurer la sécurité des données à caractère personnel.
La sécurité des données est un impératif. Le RGPD, qui est une surcouche de la loi Informatique et Liberté, en est une illustration.
L'entreprise est dans l'obligation de garantir un niveau de sécurité adapté au risque. En effet, le RGPD (le règlement 2016/679) étend l'obligation à la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d'origine accidentelle, à l'aide de mesures techniques ou organisationnelles appropriées. Ces mesures peuvent être, par exemple, des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ou une procédure permettant d'analyser et d'évaluer l'efficacité de ces mesures afin d'assurer la sécurité du traitement.
Cette réglementation européenne concerne les entreprises qui collectent, traitent et stockent des données personnelles permettant d'identifier directement ou indirectement un individu. Elle cherche à simplifier et renforcer leur protection.
Une analyse d'impact doit être effectuée par l'entreprise, notamment lorsque le traitement est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes. Les mesures techniques appropriées pour limiter les risques doivent être prises en fonction des résultats obtenus. La consultation de la CNIL préalablement au traitement est obligatoire en présence d'un risque élevé.
Le responsable de traitement doit notifier à la CNIL les failles de sécurité. La notification doit contenir la nature de la violation des données, le nom du Délégué à la protection des données (DPD), les conséquences probables de la violation, ainsi que les mesures prises ou à prendre pour remédier à la violation ou pour en atténuer les conséquences.
Le sous-traitant, qui est celui qui traite des données à caractère personnel pour le compte du responsable de traitement, doit offrir des garanties suffisantes afin d'assurer la mise en œuvre des mesures de sécurité et de confidentialité. Cependant, le responsable de traitement n'est pas déchargé de sa responsabilité.
Par ailleurs, il ne faut pas négliger les données personnelles des employés qui sont, par exemple, présentes dans les logiciels de ressources humaines. En effet, elles peuvent également faire l'objet de menaces. Il existe une concurrence sur le marché des talents. Il peut s'agir d'une recherche d'information sur l'organisation précise de l'entreprise et de ses personnes clés. Le but est alors de bénéficier d'un avantage concurrentiel déloyal.
Le RGPD a instauré un dispositif encore plus contraignant. En effet, le responsable de traitement est dans l'obligation de faire uniquement appel à des sous-traitants qui présentent des garanties suffisantes quant à la mise en œuvre des mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du règlement et garantisse la protection des droits de la personne concernée.
Le contrat liant le responsable de traitement et le sous-traitant doit comporter un certain nombre d'éléments impératifs : l'engagement du sous-traitant à ne traiter les données personnelles que sur instruction du responsable de traitement, l'obligation du sous-traitant de prendre toutes les mesures de sécurité, ainsi que l'obligation de supprimer ou de restituer toutes les données au terme de la prestation. Il devra également s'engager à répercuter ses obligations sur ses propres sous-traitants. Le sous-traitant est dans l'obligation d'informer le responsable du traitement de tout changement prévu concernant l'ajout ou le remplacement d'autres sous-traitants, donnant ainsi au responsable du traitement la possibilité d'émettre des objections à l'encontre de ces changements.
Les logiciels informatiques qui traitent les données et leurs procédures d'exploitation doivent prendre en compte les règles de protection des données personnelles du RGPD.
En résumé, l'entreprise concernée doit s'assurer que l'information est utilisée de manière licite et loyale, à des fins limitées en concordance avec les stipulations, de manière adéquate, pertinente et non excessive, conservée pas plus longtemps que nécessaire, en sécurité et manipulée selon les droits de protection des données personnelles. Enfin, elle doit s'assurer qu'elle n’est pas transférée hors de la zone économique européenne sans protection adéquate.
Le RGPD permet de mieux appréhender les défis de sécurité auxquels l'entreprise doit faire face. Il comporte une notion de responsabilité très forte. Toutes les atteintes pouvant être causées aux données personnelles (vol, corruption,...) engagent le prestataire, l'éditeur de logiciel, l'entreprise, les différents intervenants informatiques du produit. Ils ont une responsabilité à part entière. Cela les contraint à faire le maximum pour assurer la sécurité des données et produits. Par exemple, un éditeur de logiciel engagera sa responsabilité envers l'entreprise utilisatrice si les logiciels ont été piratés et que des hackers ont pu entrer dans le logiciel, dans le métier, ou dans l'infrastructure.
Une entreprise qui donne l'accès à son système informatique à un prestataire peut engager la responsabilité de ce dernier en cas d'atteinte grave à ses données. En effet, le système informatique peut être piraté via le compte d'un prestataire de service. Les risques sont alors très graves, puisque l'entreprise peut voir son chiffre d'affaires et le nombre de ses clients diminuer rapidement. La fragilité du dispositif de ses partenaires ou de ses sous-traitants doit être prise en considération. Le risque doit être évalué sur l'ensemble de la chaîne et pas seulement sur son propre système. Ainsi, au-delà du RGPD, il y a les notions de responsabilité et de co-responsabilité à prendre en considération.
Le règlement représente tout un tas d'impacts. Le législateur oblige à suivre l'état de l'art en matière de gestion des risques et de couverture des risques. Il oblige à déclarer et à rendre public les attaques subies par l'entreprise, notamment les données piratées. Il y a une obligation de prévenir les utilisateurs et les autorités compétentes dans les meilleurs délais. Le fait de ne pas procéder à la notification d'une violation de données à caractère personnel aux personnes concernées est puni de cinq ans d'emprisonnement et de 300 000 euros d'amende. Il existe donc un risque pénal.
Il y a également un système d'amende très important. Les sanctions encourues sont très lourdes (jusqu'à 20 millions d'euros ou 4% du chiffre d'affaires mondial annuel s'il est supérieur). Il existe donc un risque de sanctions au regard du RGPD. Ainsi, tout manquement dans la gestion et la protection des données personnelles expose nécessairement l'entreprise à des pénalités financières importantes (demandes d'indemnisation ou sanctions financières), mais également à une altération de son image et à des contentieux. Une entreprise « sérieuse » ne peut ignorer le RGPD car le non-respect peut impacter son chiffre d'affaires mondial. Une grosse erreur de sécurité peut engendrer une perte très importante. C'est la raison pour laquelle les entreprises s'en préoccupent beaucoup aujourd'hui.
L'environnement étant concurrentiel et en transformation constante, les entreprises sont de plus en plus exposées aux risques. Le respect de ces divers dispositifs permettant d'encadrer la sécurité informatique est dans l'intérêt juridique et économique des entreprises. Il s'agit également d'un intérêt en termes d'image, puisque les clients, les fournisseurs, les diverses personnes en contact avec l'entreprise auront une confiance accrue envers la qualité de gestion des risques de l'entreprise.
Connaître et maîtriser un maximum la réglementation et les risques liés à la nature ou à l'environnement contractuel du logiciel, ainsi que les cyber-risques, offre à l'entreprise plus d'efficacité dans l'utilisation des logiciels informatiques.
