Votre politique de sécurité informationnelle | Réseau juridique


Votre politique de sécurité informationnelle:
Un complément essentiel à votre sécurité juridique !


AVIS AUX LECTEURS


Le présent texte constitue un ouvrage de référence faisant partie intégrante de la "Banque de textes juridiques historiques" du Réseau juridique du Québec.

L'information disponible est à jour à la date de sa rédaction seulement et ne représente pas les changements législatifs et jurisprudentiels en vigueur depuis sa rédaction.



Martin Dubois, avocat, Bernier Beaudry, avocats, Québec.


Contenu

Introduction

La sécurité passe d'abord par l'utilisateur...

Tout est question de risque...

Une approche systémique...


Sensibilisation et formation sont les clés...


Des exemples concrets...


Et vos assurances ?


Considérer la sécurité à titre d'investissement...


Certaines obligations légales...


Conclusion


Introduction

L'année dernière, environ trois cents millions d'internautes ont utilisé vingt millions de services disponibles par l'intermédiaire de près de quatre mille fournisseurs d'accès dans le monde. Chaque mois plus d'un milliard de messages sont échangés sur le réseau. Or Internet n'est pratiquement pas réglementé…

La sécurité de vos communications et actifs informationnels est donc reportée au niveau des utilisateurs du réseau, y compris vos employés et agents.

Comprendre cela, c'est déjà avoir franchi une première étape importante; mais il faut aller plus loin : que doit-on protéger et contre quoi ?

Doit-on protéger tout de la même manière et avec la même énergie ?

Peut-on se contenter d'être à la remorque des problèmes que l'on détecte et en subir les conséquences juridiques ou doit-on essayer de les anticiper ?

On ne "fait pas de la sécurité" pour se conformer à une mode mais parce que l'on cherche à atteindre des objectifs de sécurité économique et juridique. Ce sont ces objectifs qu'il vous faut définir, en apportant une réponse aux questions simples posées ci-avant. C'est cette étape que nous vous invitons à franchir.

La sécurité passe d'abord par l'utilisateur…

L'aspect sur lequel nous désirons insister en premier lieu est la dimension fondamentalement humaine de la sécurité informationnelle, les moyens techniques ne venant qu'après. De ce point de vue, la "démarche sécurité" est comparable à la "démarche qualité" : elle s'appuie sur une responsabilisation de l'ensemble des utilisateurs.

Ainsi, le premier niveau de responsabilité concerné est le niveau de la Direction.

C'est à ce niveau que doivent être définis les objectifs de sécurité et les budgets selon les priorités stratégiques. C'est également à ce niveau de responsabilité que les acteurs de la sécurité au quotidien doivent obtenir la reconnaissance de leur travail et l'appui indispensables pour asseoir leur crédibilité vis-à-vis des utilisateurs des systèmes d'information.

Le deuxième niveau est celui des administrateurs de réseaux et des techniciens.

C'est à eux qu'incombe la mise en oeuvre des orientations retenues, en proposant l'architecture, les équipements et les normes d'exploitation les mieux adaptés. C'est à eux, aussi, qu'il appartient de mener une action de sensibilisation permanente, tant vers l'échelon de décision que vers les utilisateurs.

Enfin, derniers sans être les moindres: les utilisateurs.

Leur contribution peut être déterminante par la rigueur dont ils font preuve dans le respect des consignes et par l'empressement qu'ils manifestent à rendre compte des failles de sécurité.

Tout est question de risque...

La sécurité informationnelle n'est jamais absolue et un niveau de sécurité jugé satisfaisant peut cesser de l'être rapidement. N'hésitez donc pas à remettre l'ouvrage sur le métier pour vous assurer de la bonne adéquation de vos objectifs et des ressources mises en oeuvre pour les atteindre.

Face à la complexité de sa gestion, la sécurité informationnelle cause parfois des variations importantes dans la réaction de ses artisans. L'attitude de certains varie du découragement (de toute façon ça ne sert à rien ) à la paranoïa (blocage du système tout en laissant des brèches béantes). Certains sont tentés de chercher des solutions purement techniques (le fameux " firewall " qui résout tout !) à des problèmes qui sont hors de leur portée, comme les problèmes de personnel ou d'organisation.

En fait, la sécurité informationnelle est l'art de gérer les risques économiques et juridiques.

La sécurité informationnelle est l'état dans lequel "l'information est valide, les infrastructures garantissent l'intégrité des données et il est possible de détecter les actions malveillantes". Toutes les barrières étant faites pour être franchies - ou contournées - et tous les blindages étant faits pour être percés un jour ou l'autre, il importe de comprendre que, malgré la qualité et la vigueur des défenses technologiques, le "risque zéro" n'existe pas.

Vous ne pouvez agir que sur le niveau résiduel du risque : plus vous voulez le diminuer, plus il faut faire d'efforts (et y investir). Gérer la sécurité, c'est donc gérer le risque. C'est savoir où mettre le seuil au-delà duquel celui-ci est inacceptable et en dessous duquel, compte tenu de vos moyens, il faudra l'accepter.

Le risque est le résultat de la rencontre de deux facteurs :

o la menace : elle existe indépendamment de votre système d'information;

o la vulnérabilité (c'est-à-dire ce qui rend le système sensible à la menace), constituée des données du système : c'est sur celle-ci seulement que vous pouvez intervenir.

Votre sécurité juridique sur le plan informationnel consiste donc à identifier les vulnérabilités de vos actifs informationnels, à évaluer les menaces et à déterminer le risque qu'une vulnérabilité permette à une menace donnée de se réaliser.

Mais ce risque n'est pas statique, c'est un des aspects majeurs de la sécurité. La logique du défenseur n'est pas celle de l'attaquant : tandis que les premiers s'organisent pour contrer les attaques et ne peuvent que combler les failles connues, les attaquants, eux, en cherchent de nouvelles.

Une approche systémique...

Pour être efficiente, la sécurité doit être homogène sur l'ensemble de vos systèmes d'information: il serait absurde de mettre en oeuvre des solutions coûteuses si la sécurité peut être contournée par des attaques rudimentaires. Aussi faut-il savoir où agir en priorité.

La sécurité informationnelle est un domaine émergeant et complexe qui ne peut être envisagé sans une approche systémique. Celle-ci commence par l'élaboration d'un "modèle " qui est la représentation qu'on se fait de la sécurité économique et juridique pour votre entreprise:

  • quelles sont les menaces ?
  • que doit-on protéger ?
  • pourquoi ?
  • comment ?

C'est donc le modèle - c'est-à-dire la réponse à ces quatre questions - qui donne un sens aux mots sécurité informationnelle.

On énonce ensuite le cadre juridique d'application du modèle: la politique de sécurité informationnelle.

Il s'agit de déterminer le bon seuil juridique en fonction des risques et des ressources disponibles, et les voies pour l'atteindre.

Enfin, on spécifie les outils technologiques qui permettront de vérifier la pertinence de la politique.

Quand les contraintes de sécurité le permettent - comme c'est souvent le cas-, la politique de sécurité informationnelle peut être construite par approches successives.

On la définit d'abord à grands traits de façon à obtenir rapidement des résultats opérationnels. On l'ajuste ensuite en affinant contrôles, filtrages et mesures.

Enfin, on la met à niveau en fonction des modifications ponctuels à votre environnement.

Cette démarche permet d'approcher la sécurité informationnelle comme un processus continu, évolutif, qui tient compte de la réaction du milieu et non comme un "projet" qui établit une politique de sécurité une fois pour toutes.

Sensibilisation et formation sont les clés...

L'adhésion des principaux intéressés, les utilisateurs de vos actifs informationnels et les décideurs, est un leitmotiv maintes fois répété, mais elle n'est rarement obtenue autrement que d'une manière formelle et normative. Les enjeux de sécurité leur paraissent le plus souvent comme étant très éloignés de leurs préoccupations quotidiennes.

Tel que déjà souligné, les premiers de ces acteurs à convaincre sont les décideurs. Grâce à une politique de sécurité informationnelle, ils peuvent lier un niveau de sécurité à un niveau de risque économique et juridique, définir des objectifs et contrôler l'investissement. La sécurité n'est alors plus ressentie comme un puit sans fond; ce ne sont plus des dépenses stériles. Les décideurs peuvent maintenant contrôler l'efficacité de la politique et percevoir concrètement les enjeux de la sécurité. Ainsi, ils peuvent traiter la sécurité comme n'importe quel autre investissement.

L'adhésion des autres acteurs est un objectif réaliste, même vis-à-vis de ceux qui n'ont pas un niveau d'expertise élevé. Avec un peu de pédagogie, on peut donner réellement à chacun les moyens de participer pleinement aux processus de sécurité informationnelle tout en acceptant leurs responsabilités et leur imputabilité individuelles.

Courir inlassablement boucher les "trous" de sécurité de son système les uns après les autres, appliquer des recettes toutes faites sans comprendre les menaces, sans connaître la sensibilité de ses informations et encore moins ses vulnérabilités, sans avoir déterminé le mouvement de vos informations et penser que la technique s'occupera de tout est une approche de la sécurité qui date… du siècle dernier.

La sécurité exige une approche systémique découlant directement d'une politique de sécurité informationnelle adaptée à votre réalité économique, juridique et organisationnelle !

Des exemples concrets...

Tout incident de sécurité dégrade vos outils de travail en immobilisant des moyens et des ressources. En cas d'intrusion, il faut parfois déconnecter du réseau le poste concerné ou au moins installer des filtres pour bloquer les accès.

Parfois, il faut même isoler complètement le réseau de l'extérieur, le temps de sauvegarder l'image des systèmes (pour garder des traces de l'intrusion) et de faire une évaluation des dégâts et certaines vérifications. Il y a aussi la défaillance de l'organisation et la diminution globale de l'efficacité dues à l'utilisation "pirate" des ressources.

Un administrateur système raconte son expérience de restauration des systèmes après une intrusion :

" Il a fallu réinstaller complètement les serveurs et changer tous les mots de passe. Bilan : ça nous a coûté environ 1 000 heures, on doit en être facilement à l'équivalent de la moitié d'un poste permanent sur la question." Et il conclut : " Est-ce trop cher payé ou pas assez ?"

Par ailleurs, une entreprise désireuse de faire des affaires électroniques peut rencontrer des embûches juridiques surprenantes. Parlez-en aux responsables du site Internet Nike.com !

Ce géant manufacturier fait actuellement l'objet de la première réclamation connue du genre ayant comme fondement juridique l'absence de mesures de sécurité adéquates.

Essentiellement, on reproche à Nike.com d'avoir omis de mettre en place une infrastructure de sécurité qui aurait pu éviter des dommages causés à un fournisseur de services Internet. Cette réclamation a l'effet d'une bombe dans le monde juridique car elle signifie le début d'une nouvelle ère en matière de recours en responsabilité extra-contractuelle.

Et vos assurances ?

C'est aussi sans compter le "nouveau" risque commercial que représente une lacune en matière de sécurité informationnelle. Votre assureur aura très bientôt des questions à vous poser concernant la couverture que vous détenez actuellement, si ce n'est déjà fait. Pour l'instant, les assureurs sont peu nombreux à s'aventurer dans ce secteur qui ne justifie que de très peu d'expérience actuarielle. Toutefois, il y a fort à parier que l'entreprise qui aura omis d'agir avec prudence et diligence en matière de sécurité informationnelle pourrait essuyer un refus de couverture par son assureur en cas de réclamation découlant d'un incident de sécurité.

Il est aussi permis de croire que votre assureur verra d'un bon oeil l'implantation d'une politique de sécurité informationnelle dans votre entreprise comme moyen de mieux circonscrire vos risques juridiques.

Considérer la sécurité à titre d'investissement...

On parle souvent des coûts importants liés à la sécurité, mais on oublie de parler de ceux de l'insécurité. Il faut se rappeler que certaines économies peuvent coûter très cher.

L'ennui vient de ce que ces coûts ne sont pas toujours comparables. Les coûts de la sécurité sont les plus faciles à appréhender, ce sont des coûts directs, c'est-à-dire budgétisés. Mais les coûts de l'insécurité sont plus pernicieux : ils ne se présentent pas toujours comme un déboursé immédiat. Mais il reste que la conséquence de l'insécurité est un appauvrissement économique certain.

Certaines obligations légales...

Sans faire une revue du cadre législatif lié à la sécurité informationnelle au Québec, nous désirons toutefois vous souligner comment le Législateur traite le renseignement personnel que votre entreprise détient eu égard à la protection de celui-ci. La protection des renseignements personnels (PRP) constitue un des éléments primordial d'une politique de sécurité informationnelle.

Au Québec, l'article 10 de la Loi sur la protection des renseignements personnels dans le secteur privé créer une importante obligation juridique quant à la protection des renseignements personnels. Il impose à votre entreprise l'obligation de "prendre et appliquer" des mesures de sécurité "propres à assurer le caractère confidentiel des renseignements." Des sanctions pénales contre votre entreprise peuvent directement découler de l'omission à se conformer à l'article 10 (article 91 de la loi) mais de pareilles sanctions peuvent aussi vous être imposées personnellement à titre d'administrateur, de dirigeant ou de représentant de votre entreprise (article 94 de la loi).

Au Canada, la nouvelle loi fédérale sur la protection des renseignements personnels et les documents électroniques (mieux connue comme le Bill C-6) est en vigueur depuis le 1er janvier 2001. Elle a comme objectif commun, avec la loi provinciale, la protection des renseignements personnels. Elle impose par ailleurs la même obligation de mise en place de mesures de sécurité mais indique que ces mesures sont tributaires du degré de "sensibilité" du renseignement (article 5 et Annexe 1 de la loi).

Cette loi se démarque toutefois de la loi provinciale en créant l'obligation pour les entreprises de "sensibiliser leur personnel à l'importance de protéger le caractère confidentiel des renseignements personnels". L'entreprise qui n'aura pas pris le virage de la sécurité informationnelle aura du mal à faire la démonstration qu'elle rencontre cette obligation.

Les sanctions possibles en cas de contravention de la loi fédérale s'échelonne de la production d'un rapport du Commissaire fédéral à la vie privée à une ordonnance de la Cour fédérale accordant au plaignant des dommages-intérêts.

Conclusion

Selon les plus récentes données statistiques, recueillies en octobre 1999 , seulement le 1/3 des 500 plus importantes entreprises du Québec posait un geste de sensibilisation auprès des utilisateurs de leurs actifs informationnels. Plus inquiétant encore, plus de 30% de ce même échantillon n'exerçait pas de contrôle actif de leurs réseaux. Ces résultats sont sans doute encore plus pessimistes pour les plus modestes des autres entreprises du Québec.

Pourtant, aucune de ces entreprises, peu importe leur taille, n'oserait exercer leur commerce sans installer serrures et verrous sur les portes et fenêtres, en distribuant les clés à certaines personnes choisies mais surtout sans s'assurer que celles-ci se servent de ces clés pour assurer une sécurité minimum.

L'actif informationnel de votre entreprise a subi une mutation et est devenue très volatile. Pour certaines entreprises l'information avec un grand "I" est leur unique actif. Cet actif n'acquiert une valeur ajoutée que dans la mesure de son utilisation, sa transformation ou sa communication par le biais de réseaux qui sont gérés par des humains et qui sont donc faillibles ou mal intentionnés.

Votre obligation légale en tant qu'administrateur et dirigeant de votre entreprise est d'agir avec prudence et diligence en mettant en place des mesures adéquates de protection contre l'appauvrissement de ses actifs informationnels. La politique de sécurité informationnelle deviendra le canevas de votre infrastructure de sécurité et un allié inestimable contre les risques juridiques.

 


Dernière mise à jour au 15 février 2001.


Avis : L'information présentée ci-dessus est de nature générale et est mise à votre disposition sans garantie aucune notamment au niveau de son exactitude ou de sa caducité. Cette information ne doit pas être interprétée comme constituant un ou des conseils ou avis juridiques. Si vous avez besoin de conseils juridiques particuliers, veuillez consulter un avocat ou un notaire.

© Copyright 2000- , Tous droits réservés