Sécurité du SI

Afficher tout / Cacher tout

D'un point de vue strictement légal, les entreprises ont-elles une obligation de garantir leur sécurité informatique?

Oui, puisque l'article 34 de la loi Informatique et Libertés dispose que les entreprises, en tant que responsable des informations qu'elles recueillent, doivent en garantir la sécurité et notamment qu'un tiers non autorisé ne puisse y avoir accès. Il s'agit aussi pour l'entreprise d'un devoir vis-à-vis de ses clients et de ses employés afin de maintenir une relation de confiance.

Au-delà de cet aspect contraignant il y va finalement de l' intérêt même des entreprises

Protéger son patrimoine numérique est une nécessité pour une entreprise, par rapport à la valeur des informations personnelles bien sûr mais aussi pour des raisons d'image. Une faille de sécurité peut donner une très mauvaise réputation à une entreprise, dont l'impact économique pourra être bien supérieur à la valeur même des données perdues.

Quelles recommandations la CNIL fait-elle pour aider à garantir la sécurité informatique ?

• Afin de développer des solutions efficaces il est recommandé aux entreprises de formaliser leur politique de sécurité et de protection des données, afin qu'elle puisse être prise en compte dès la phase de conception d'un nouveau système ou projet informatique (le coût global d'un système informatique étant plus élevé lorsque la question de la sécurité est envisagé a posteriori). 

• La CNIL préconise que les phases de développement et de test des nouveaux systèmes s'appuient sur des bases de données anonymisées. 
• La garantie de la sécurité informatique d'une entreprise passe aussi par la formation des utilisateurs aux bonnes pratiques existant en la matière et à l'assignation de profils d'habilitation bien définis selon les types d'utilisateurs. 
• Enfin il faut redoubler de précaution lorsqu'il est fait appel à des sociétés tierces gérant tout ou partie du système d'information et d'avoir recours au chiffrement des données, qu'il s'agisse de stocker des informations ou de les transmettre.

Comment la CNIL encadre-t-elle la sécurité informatique dans les entreprises ?

• En examinant les modalités des systèmes de sécurité dans le cadre des dossiers de formalités, 
• En publiant des règlements types de sécurité
• En répondant aux demandes de conseil des DSI (Directeurs des Systèmes d'Information)  
• En formant les CIL (Correspondants Informatique et Libertés) qui garantissent au sein des entreprises la bonne application de la loi Informatique et Libertés.