La responsabilité civile et pénale des directeurs informatiques est de plus en plus souvent invoquée devant les tribunaux, qui peuvent même infliger des peines de prison”, indique Joël Rivière, PDG de Lexsi, cabinet de conseil spécialisé dans la sécurité des systèmes d’information. Réunis au sein du CRI Ouest (Club des responsables informatiques), les directeurs informatiques de l’Ouest de la France s’inquiètent de la vulnérabilité de leur fonction, notamment en termes de responsabilité. Au premier chef, les DI se trouvent confrontés à de nouvelles problématiques liées à la sécurité du système d’information et à l’utilisation des nouveaux outils, notamment en interne.
Une charte de bonne conduite contre les utilisations abusives
Tel un boomerang, les procédures judiciaires qui se multiplient actuellement peuvent se retourner contre eux : à l’occasion d’une plainte consécutive à une attaque grave contre son système d’information, le responsable informatique peut se voir inculpé lui-même de délit de manquement à la sécurité, passible de peine de prison.Comment alors se prémunir contre de tels risques ? “Le pire ennemi, c’est l’utilisateur interne”, répond Joël Rivière. La pierre angulaire de la protection du système d’information – et de son responsable – reste donc l’établissement d’une charte de bonne conduite, dont chaque salarié doit être informé. Une protection valable uniquement si les obligations légales ont été respectées. Et notamment les multiples déclarations à la Cnil, non seulement des fichiers et bases de données mais aussi de “tout ce qui est relatif au contrôle des salariés”. “La charte internet est en cours de réalisation dans notre entreprise”, indique Christian Brisou, vice-président du CRI Ouest et directeur informatique de Système U Ouest. Un mouvement confirmé par la majorité des responsables informatiques présents lors du séminaire du CRI Ouest, qui se tenait fin mai.Reste que de nombreuses situations sont omises dans les procédures sécuritaires implantées dans les entreprises. Ainsi, le départ d’un salarié ne donne souvent lieu à aucune intervention, pas même à la suppression de ses comptes de messagerie. Ce qui peut constituer une faille importante. De même, les personnels temporaires, et notamment les consultants en régie, se voient attribuer les mêmes droits d’accès au système dinformation que les salariés.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
