La sécurité c'est quoi ? Firewall Antivirus Protection des données Vous et la sécurité Vous avez déjà certainement un firewall fournis par votre fournisseur d’accès internet. Vous avez comme 98% des français un antivirus à jour Vous êtes comme 90% des français, à ne pas savoir si vos données sont bien sauvegardées. La télé-sauvegarde est dans la même situation que l'antivirus il y a dix ans. Cet outil était alors négligé et aujourd'hui aucune entreprise ne peut s'en passer. Il en sera de même avec la télé-sauvegarde qui deviendra un service de base systématiquement proposé par de très nombreux acteurs. De façon directe ou bien souvent en s’appuyant sur des spécialistes du sujet tel que SOS-data. Nos data centers Nos DATA CENTER répondent aux normes "Carrier Hotel" (norme "n+1") en termes d'énergie, électrique, climatisation, système anti-incendie, sécurité et connectivité.

Glossaire BS7799 ou ISO17799 ou ISO27001 Sécurité des systèmes d'information Schématiquement, la démarche de sécurisation du système d'information doit passer par 4 étapes de définition : 1. périmètre à protéger (liste des biens sensibles) 2. nature des menaces 3. impact sur le système d'information 4. mesures de protection à mettre en place PRA (Plan de reprise d'activité) Aussi appellée Disaster Recovery Plan (DRP). Méthode de mise en place d'un plan de secours en cas de sinistre soit de tout ou partie des locaux physiques. Le plan de secours doit permettre de redémarrer l'activité de l'entreprise en un temps défini au préalable. Le PRA ne doit pas non plus être confondu avec le plan de secours informatique (PSI), qui n'intervient qu'au niveau des infrastructures informatiques. le PRA prend également en compte la dimension humaine de l'entreprise. PCA (plan de continuité d'activité) Aussi appelé Business Continuity Management (BCM). Méthode qui consiste à mettre en place les éléments nécessaires à la haute disponibilité des entreprises. L'activité ne doit pas s'arrêter. Si un PRA peut être concu sans PCA, l'inverse n'est pas envisageable. PRI (Plan de reprise informatique) Méthodologie de mise en place de plans de secours immédiats pour pallier à toutes éventuelles défaillances informatique sans perturber le fonctionnement quotidien des systèmes d’ informations. Ce plan consiste à mettre en place les éléments nécessaires à la haute disponibilité de l’informatique. PCI (Plan de continuité informatique) Mise en place d’un plan qui permet une reprise de l’activité des systèmes d’informations après un sinistre soit de tout ou partie de l’informatique Dans le but d’un redémarrage en un temps défini au préalable.

Responsabilités des dirigants d'entreprise

1 - La responsabilité civile du dirigeant pourrait être engagée si par une faute caractérisée de sa part, l'entreprise subissait une perte de données qui lui serait très dommageable (on peut penser à un secret de fabrique ou de savoir-faire, une donnée particulièrement stratégique, ou la diffusion d'une information corporate confidentielle dont la diffusion prématurée peut désorganiser l'entreprise) ; à notre sens, une telle faute pourrait s'entendre par une incapacité avérée et répétée du dirigeant à prendre la moindre mesure d'organisation et de protection du système d'information de l'entreprise.

2 - La responsabilité pénale du dirigeant ou de l'entreprise (selon le cas) pourrait être engagée sur différents fondements qui sont pour l'essentiel :

Législation protectrice des données nominatives
L'article 226-17 du Code Pénal réprime le fait de procéder ou de faire procéder à un traitement automatisé d'informations nominatives sans prendre toutes les précautions utiles pour préserver la sécurité de ces informations, et notamment d'empêcher qu'elles ne soient communiquées à des tiers non autorisés. Il est intéressant à cet égard de noter que le fait pour une société de ne pas avoir respecté cette obligation de sécurité a conduit les magistrats à considérer que cela privait cette dernière de tout recours contre le pirate qui avait détourné son fichier client. Dans un jugement rendu par la Cour d'Appel de Paris le 30 octobre 2002, Tati s'était constituée partie civile à l'encontre de l'animateur du site kitetoa.com pour accès frauduleux dans son système d'information, mais la Cour avait considéré que : "(la société Tati) ne saurait se prévaloir de ses propres carences et négligences pour arguer d'un prétendu préjudice, en réalité subi par les personnes victimes éventuelles de violations de leur vie privée ; qu'il y a lieu, en conséquence, de débouter cette société de ses demandes".

L'atteinte à un "secret de fabrique", qui sanctionne les directeurs ou employés ayant révélé un secret ou un savoir-faire (art L152-7 du Code du travail). En conclusion, il nous paraît utile d'attirer l'attention des dirigeants sur la part de risque que recèle un système d'information mal protégé, y compris pour eux à titre personnel dans des cas extrêmes ; cette responsabilité va de pair avec la prise de conscience de ce que l'information est devenue valeur, parfois la seule détenue par une entreprise, et qu'elle est traitée par des systèmes qui ne fonctionnent pas tout seuls mais en vertu de la façon dont les hommes les exploitent ...