Publié le 1 juillet 2020

nomadisme et cyber-sécurité : retour d’expérience avec la crise du Covid-19 [webinar 1er juillet 2020]

Écrit par
Marc-Antoine LEDIEU - Avocat associé - Constellation

Nomadisme et cyber sécurité ?

Pourquoi vous évoquer « nomadisme et cyber-sécurité » le 1er juillet 2020 ?
Parce que la crise du Covid-19 a imposé une réorganisation massive et non planifiée par les entreprises vers plus de #télétravail.
Dans les 60 jours suivant l’ordre national de confinement, les entreprises en France (pas toutes du CAC40, loin de là) ont massivement acheté de grandes quantités de terminaux mobiles (de type laptop).
Mais ces postes de travail, il a fallu ensuite les équiper de logiciels métiers pour que les salariés confinés puissent accéder à leurs documents de travail.
Il a fallu enfin organiser le transfert des data entre le SI de l’entreprise employeur et le domicile des salariés confinés.
C’est à ce stade qu’interviennent les problématiques de sécurité techniques.

La sécurisation technique des postes nomades ?

Et l’histoire récente démontre qu’il est aujourd’hui nécessaire de sécuriser techniquement les flux de données entre l’entreprise et le terminal nomade de ses salariés.
C’est dans ce cadre que vous pourrez écouter Mathieu Isaia et Jérome Chappe de TheGreenBow ainsi que Thierry Bettini de CyberSec&You faire part de leur retour d’expérience.
La crise oui, l’urgence OK, la réponse technique (bien sûr) mais qu’en est-il des obligations légales en la matière ?


Des règles légales de sécurisation des postes nomades ?

En juillet 2020, trois types de législations s’imposent en France :
– une législation militaire pour les Opérateurs d’Importance Vitale (OIV) depuis la LPM 2013;
– une législation d’origine européenne (Directive « N.I.S. » de 2016 + la loi française « SRSI » du 26 février 2018) pour les opérateurs d’infrastructures civiles « essentielles » (OSE pour Opérateur de Service Essentiel);
– enfin le droit commun de la protection des données personnelles depuis le 25 mai 2018 (RGPD du 27 avril 2016).
Et qui en France se soucie de fournir à titre professionnel des moyens ou des prestations de « cryptologie » doit tenir compte de la législation en la matière.
Bienvenu dans ce droit (strictement) national adopté le 21 juin 2004 : la LCEN ou « loi sur la confiance dans l’économie numérique ».

Les contraintes légales à retenir

Les obligations de sécurisation des postes nomades sont effectivement prévues dans la loi – quasi à l’identique – pour les OIV et les OSE.
Profitons-en pour survoler également les règles de sécurité « recommandées » par l’ANSSI et applicables au poste d’administration d’un système d’information.
Pour plus de détail, allez lire le PA022 v2018 de l’ANSSI
Je vous propose de parcourir quelques illustrations de mes propos en BD en réponses aux questions de Mathieu Isaia, Jérome Chappe et Thierry Bettini.

Nomadisme et cyber sécurité ? la législation dans le slider ci-dessous

Nomadisme et cyber sécurité: les DSI / RSSI sont-ils responsables en cas de vulnérabilité avérée ?

Des obligations légales de sécurisation des systèmes d’information (postes nomades compris) ?
C’est à l’entreprise de faire et d’en assumer la responsabilité civile en cas de négligence, y compris pour les négligences qui seraient commises par leurs salarié(e)s.


Pourtant, lorsque la vulnérabilité, ce par son ampleur, entraîne d’éventuelles poursuites et sanctions pénales, il est des cas dans lesquels les DSI / RSSI / DAF / etc. peuvent être incriminés à titre personneL
Si vous voulez plus de détail que les principes évoqués dans le webinar, les slides (en BD bien sûr) ci-dessous devraient vous éclairer sur les principes applicables en la matière..

Nomadisme et cyber sécurité et responsabilité des DSI RSSI : dans le slider ci-dessous

Contactez-nous

Nous écrire un mail