Joël Rivière : Nous avons effectué à ce jour plus de deux cents audits sur les systèmes de sécurité dans les entreprises. Aujourd'hui, toute société a déjà été atteinte soit par un virus, soit par un piratage. Il est donc indéniable que les dirigeants ont pris conscience de l'importance de la sécurité des systèmes d'information. Mais les moyens qui sont mis en oeuvre se révèlent souvent insuffisants, car les retours sur investissement n'apparaissent pas clairement. Le budget sécurité est donc encore trop souvent identifié comme un centre de coût.

J'ai observé deux catégories de DSI : d'un côté, les minimalistes, qui se contentent de mettre en oeuvre quelques outils, croyant ainsi garantir leur responsabilité ; de l'autre, à l'extrême inverse, on trouve les paranoïaques, qui visent une sécurité à 100 %. Ce qui est impossible à obtenir. Dans ce domaine, c'est la loi de Pareto qui s'applique : il faut dépenser 20 % d'énergie pour 80 % d'efficacité. Au-dessus de 90 %, je considère que c'est de la paranoïa. Sauf cas particulier, comme les centrales nucléaires.

Ce que les directions générales ignorent encore bien souvent, c'est qu'elles risquent de lourdes peines, allant jusqu'à cinq ans d'emprisonnement et 2 millions de francs d'amende. Sans compter les réparations des dommages subis par l'entreprise ou les tiers. Depuis le début de l'année 2001, nous avons ainsi conseillé trois dirigeants mis en cause pénalement pour un délit de manquement à la sécurité. L'un d'entre eux a été mis en examen, puis condamné à une sanction pénale.

Au premier rang, c'est le dirigeant de l'entreprise qui est pénalement responsable. Mais attention : les contrats de travail des DSI incluent fréquemment une délégation de signature, qui rend ces derniers solidairement responsables. Ce qu'ils ne savent parfois même pas... Résultat : en cas de condamnation, patron et DSI partageront les oranges en prison !

Lorsque des dommages sont causés à des tiers par suite d'un manquement à la sécurité du système d'information, ces derniers peuvent bien évidemment porter plainte et, ainsi, déclencher une procédure pénale à l'encontre du dirigeant. Mais le ministère public est également habilité à déclencher cette procédure, même en l'absence de plainte.

Ce délit est mentionné dans l'article 226-17 du nouveau Code pénal. Le premier niveau repose sur une batterie d'obligations légales incontournables, qu'il faut absolument connaître. Citons, parmi les plus importantes, les déclarations à la Cnil, l'information des salariés et du CE sur les mesures de surveillance et les limites d'utilisation des outils de type internet, messagerie, etc. Plus généralement, le dirigeant peut être accusé de délit de manquement à la sécurité s'il s'avère qu'il n'a pas mis en oeuvre les systèmes adéquats pour protéger son système d'information.

Non, car les textes sont très clairs : c'est une obligation de moyens, et non de résultat. Ce qui serait impossible à mettre en oeuvre. L'essentiel est de prouver qu'on a pris les précautions nécessaires et suffisantes pour protéger le système d'information et ses données. Par exemple, l'installation pure et simple d'un pare-feu ne suffit pas. Si ce dernier n'est pas géré, il ne sert à rien. En revanche, les plans informatiques de l'entreprise doivent impérativement inclure un volet relatif à la sécurité. Notamment en ce qui concerne la confidentialité des données personnelles.

Le principal écueil dans ce domaine est l'ignorance des dirigeants. Ignorance des réglementations, d'abord. Ces dernières évoluent sans cesse, la jurisprudence commençant à s'étoffer. Peu de responsables de sécurité suivent ce domaine d'information. Plus surprenant, les DSI et leurs responsables sécurité disposent de peu d'informations techniques : nouveaux produits, nouvelles failles, parades... C'est bien davantage par manque d'information que pèchent les entreprises que par négligence ou malveillance.