01 juillet 2020

|

Marc-Antoine LEDIEU

Marc-Antoine LEDIEU – Avocat et RSSI

#296 Covid-19 nomadisme et cyber-sécurité: retour d’expérience

#296 Covid-19 nomadisme et cyber-sécurité: retour d’expérience

#296 Covid-19 nomadisme et cyber-sécurité: retour d'expérience

Pourquoi évoquer nomadisme et cyber-sécurité le 1er juillet 2020 ?

Parce que la crise du Covid-19 a imposé une réorganisation massive et non planifiée par les entreprises vers plus de #télétravail.

Dans les 60 jours suivant l’ordre national de confinement, les entreprises en France (pas toutes du CAC40, loin de là) ont massivement acheté de grandes quantités de « terminaux » mobiles (de type laptop).

Mais ces postes de travail, il a fallu ensuite les équiper de logiciels métiers pour que les salariés confinés puissent accéder à leurs documents de travail.

Il a fallu enfin organiser le transfert des data entre le SI de l’entreprise employeur et le domicile des salariés confinés.

C’est à ce stade qu’interviennent les problématiques de sécurité techniques.

La sécurisation technique des postes nomades ?

Et l’histoire récente démontre qu’il est aujourd’hui nécessaire de sécuriser techniquement les flux de données entre l’entreprise et le terminal nomade de ses salariés. D’ou le thème « nomadisme et cyber-sécurité »…

C’est dans ce cadre que vous pourrez écouter Mathieu Isaia et Jérome Chappe de TheGreenBow ainsi que Thierry Bettini de CyberSec&You faire part de leur retour d’expérience.

La crise oui, l’urgence OK, la réponse technique (bien sûr) mais qu’en est-il des obligations légales en matière de nomadisme et de cyber-sécurité ?

nomadisme et cyber-sécurité des postes de travail

Des règles légales de sécurisation des postes nomades ?

En juillet 2020, trois types de législations nomadisme et cyber-sécurité s’imposent en France :

– une législation militaire pour les Opérateurs d’Importance Vitale (OIV) depuis la LPM 2013;

– une législation d’origine européenne (Directive « N.I.S. » de 2016 + la loi française « SRSI » du 26 février 2018) pour les opérateurs d’infrastructures civiles « essentielles » (OSE pour Opérateur de Service Essentiel);

– enfin le droit commun de la protection des données personnelles depuis le 25 mai 2018 (RGPD du 27 avril 2016).

Et qui en France se soucie de fournir à titre professionnel des moyens ou des prestations de « cryptologie » doit tenir compte de la législation en la matière.

Bienvenu dans ce droit (strictement) national adopté le 21 juin 2004 : la LCEN ou « loi sur la confiance dans l’économie numérique ».

Car qui dit nomadisme et cyber-sécurité, dit forcément aussi chiffrement du transport des data…

Les contraintes légales à retenir

Les obligations de sécurisation des postes nomades sont effectivement prévues dans la loi – quasi à l’identique – pour les OIV et les OSE.


Profitons-en pour survoler également les règles de sécurité « recommandées » par l’ANSSI et applicables au poste d’administration d’un système d’information.


Pour plus de détail, allez lire le PA022 v2018 de l’ANSSI


Je vous propose de parcourir quelques illustrations de mes propos en BD en réponses aux questions de Mathieu Isaia, de Jérome Chappe et de Thierry Bettini.

Nomadisme et cyber-sécurité ? La législation dans le slider ci-dessous

Nomadisme et cyber-sécurité: les DSI / RSSI sont-ils responsables en cas de vulnérabilité avérée ?

Des obligations légales de sécurisation des systèmes d’information (postes nomades compris) ?

C’est à l’entreprise de faire et d’en assumer la responsabilité civile en cas de négligence, y compris pour les négligences qui seraient commises par leurs salarié(e)s.

Car nomadisme et cyber-sécurité, cela rime (forcément) avec responsabilité…

nomadisme et CYBER SECURITE webinar TheGreenBow Cybersec&you Constellation.law 16:9° © Ledieu-Avocats-01-07-2020.036

Pourtant, lorsque la vulnérabilité, ce par son ampleur, entraîne d’éventuelles poursuites et sanctions pénales, il est des cas dans lesquels les DSI / RSSI / DAF / etc. peuvent être incriminés à titre personneL
Si vous voulez plus de détail que les principes évoqués dans le webinar, les slides (en BD bien sûr) ci-dessous devraient vous éclairer sur les principes applicables en la matière..

Nomadisme et cyber sécurité et responsabilité des DSI RSSI : dans le slider ci-dessous

Marc-Antoine Ledieu

Avocat à la cour

Nos articles sur le sujet :
CYBER SÉCURITÉ

Nos articles sur le sujet :
CYBER SÉCURITÉ