Avec Kaspersky, maintenant, c'est possible.kaspersky.be/business-security

Be Ready for What’s Next

Un livre blanc analysant les points communs entre les différentes lois et règlementations relatives à la sécurité des informations ; confidentialité, intégrité et disponibilité.Rédigé par Michael R. Overly Esq., CISA, CISSP, CIPP, ISSMP, CRISC

SÉCURITÉ DES INFORMATIONSET CONFORMITÉ JURIDIQUE : TROUVER UN TERRAIN D'ENTENTE

Sommaire

2

1.0 Introduction 3

2.0 Quels types de données devons-nous protéger ? 5

3.0 Pourquoi est-il important de se protéger ? 6

4.0 Principales idées fausses à propos de la conformité à la sécurité des informations 7

5.0 Identifier les points communs entre les différentes lois et règlementations relatives à la conformité 8

6.0 Traiter la sécurité des informations dans les relations avec les partenaires commerciaux et les fournisseurs 10

7.0 Programmes d'utilisation des périphériques personnels à des fins professionnelles 15

8.0 Conclusions 19

3

Aujourd'hui, les entreprises sont confrontées à la tâche quasiment insurmontable de se conformer à un éventail confus de lois et de règlementations relatives à la confidentialité et à la sécurité des données. Ces lois et règlementations peuvent provenir de plusieurs sources : législateurs locaux, régionaux, nationaux voire internationaux. Cette situation ne concerne pas uniquement les grandes entreprises. Même une petite entreprise avec une présence géographique locale peut être soumise à des lois promulguées par d'autres états et peut-être d'autres pays en raison de sa présence sur Internet.

Dans de nombreux cas, ces lois et règlementations sont vagues et ambiguës, et contiennent peu d'instructions spécifiques sur la manière de s'y conformer. Pire encore, il est possible, et c'est d'ailleurs souvent le cas, que les lois de différentes juridictions soient incompatibles entre elles. Un état ou un pays peut réclamer des mesures de sécurité complètement différentes de celles d'un autre état ou pays. L'intégration de l'ensemble de ces obligations légales peut être au mieux un travail à temps plein, au pire l'objet d'amendes, de pénalités et de poursuites judiciaires en cas de non-respect.

Afin de répondre à la menace grandissante qui pèse sur la sécurité des données, des régulateurs ont promulgué des lois et des règlementations ou sont en train d'en promulguer en urgence pour imposer aux entreprises des obligations en matière de confidentialité et de sécurité des données dans chaque juridiction. Même au sein d'une seule juridiction, plusieurs entités gouvernementales peuvent être autorisées à prendre des mesures à l'encontre d'une entreprise qui ne respecte pas les normes en vigueur. Ainsi, une seule atteinte à la sécurité peut exposer une entreprise à des mesures d'exécution de la part d'un grand nombre de régulateurs, sans compter les éventuelles demandes de dommages et intérêts de la part de clients, de partenaires commerciaux, d'actionnaires, etc. Les États-Unis, par exemple, utilisent une approche sectorielle pour protéger la confidentialité et la sécurité des informations personnelles. Ainsi, des lois fédérales distinctes existent pour les informations d'ordre médical et financier, les données relatives à la solvabilité ou les données personnelles des étudiants et des enfants. D'autres approches, notamment dans l'Union européenne, prévoient une norme unifiée tout en offrant une protection renforcée pour certains types d'informations sensibles, comme celles relatives à la santé, à l'adhésion à des organisations syndicales, etc. La transposition réelle de ces normes dans la loi dépend de l'État membre. Le Canada utilise une approche similaire dans sa loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE). La responsabilité au regard des amendes et des dommages et intérêts peut facilement atteindre plusieurs millions de dollars. Même dans les cas où la responsabilité est relativement limitée, la réputation commerciale de l'entreprise peut subir un préjudice irréparable du fait de la mauvaise publicité et de la perte de confiance des clients et des partenaires commerciaux.

Présentation

1.0L'intégration de l'ensemble des obligations légales peut être au mieux un travail à temps plein, au pire l'objet d'amendes, de pénalités et de poursuites judiciaires en cas de non-respect.

4

Les menaces sur la sécurité des données atteignent un niveau record. Il se passe rarement une semaine sans que les médias ne relatent l'histoire d'une entreprise dont la sécurité des données a été compromise. À une époque où les pirates représentent une menace importante, le FBI (Federal Bureau of Investigation) souligne également que les cas de détournement ou de mise en péril d'informations confidentielles de la part « d'initiés » n'ont jamais été aussi nombreux. Les initiés n'incluent pas seulement le personnel de l'entreprise, mais également les collaborateurs de ses sous-traitants et de ses partenaires commerciaux. C'est pour cette raison que le présent livre blanc cible deux des plus grandes menaces d'initiés : d'une part, les situations dans lesquelles les partenaires et les fournisseurs d'une entreprise se voient confier des données d'entreprise sensibles et, d'autre part, les programmes d'utilisation des périphériques personnels à des fins professionnelles avec lesquels les propriétaires accèdent aux données d'entreprise via des appareils sur lesquels l'entreprise n'a que peu de contrôle. Dans la première situation, les initiés sont des tierces parties, par exemple des fournisseurs ou des partenaires commerciaux, à l'origine du risque devant être limité. Dans la deuxième situation, les initiés à l'origine du risque sont des employés.

Il n'existe pas de solution miracle. Toutefois, ce livre blanc cherche à atteindre plusieurs objectifs :

• Expliquer que la confidentialité des informations personnelles n'est qu'un seul des éléments du processus de conformité. Les entreprises ont aussi l'obligation de protéger divers types de données, par exemple des secrets de fabrication, des données et des informations relatives aux partenaires commerciaux, des informations financières non rendues publiques, etc.

• Passer au crible diverses lois et règlementations relatives à la confidentialité et à la sécurité afin d'identifier trois points communs relativement simples :

1. L'exigence de confidentialité, d'intégrité et de disponibilité.2. Agir de manière « raisonnable » ou prendre des mesures « appropriées » ou « nécessaires »3. Appliquer des mesures de sécurité en fonction du degré de sensibilité des informations et

de l'ampleur de la menaceEn comprenant ces concepts généraux, les entreprises sont en mesure de mieux appréhender leurs obligations globales en matière de conformité. Il convient toutefois de rappeler un point important : les lois relatives à la confidentialité et à la sécurité des informations ne demandent pas l'impossible. La sécurité parfaite, si elle reste l'objectif, n'est pas une exigence. En effet, comme nous le soulignerons à plusieurs reprises dans ce document, les lois et règlementations dans ce domaine visent à pousser les entreprises à agir de manière raisonnable et appropriée plutôt que de manière irréaliste et déraisonnable. Si une entreprise respecte cette norme et que la sécurité de ses données est compromise malgré tout, aucun problème de conformité ne lui sera généralement attribué.

• Souligner les risques potentiels liés à la non-conformité, comme les poursuites judiciaires, les amendes ou les sanctions, et analyser les principales idées fausses à propos des lois relatives à la confidentialité et à la sécurité des informations.

• Présenter deux exemples concrets de la manière dont ces principes peuvent être appliqués, en précisant notamment les étapes spécifiques permettant de limiter le risque et de satisfaire aux obligations de conformité :

1. Le premier exemple illustre la façon d'intégrer la sécurité des informations dans ses relations avec les fournisseurs et les partenaires commerciaux.

2. Le deuxième exemple concerne le contrôle des risques lors de la mise en place de programmes d'utilisation des périphériques personnels à des fins professionnelles.

65 % des entreprises du monde entier pensent que les politiques d'utilisation des périphériques personnels à des fins professionnelles menacent la sécurité de leurs activités.1

Les lois et les règlementations visent à pousser les entreprises à agir de manière raisonnable et appropriée plutôt que de manière irréaliste et déraisonnable.

1 Kaspersky Lab – Rapport 2013 sur les risques informatiques mondiaux

5

Lorsqu'elles sont interrogées à propos des lois et des règlementations relatives à la sécurité des informations, la plupart des personnes pensent immédiatement aux données d'identification ou aux informations personnelles. Même s'il ne fait aucun doute que la plus grande partie des lois et des règlementations concernent principalement les informations personnelles, celles-ci ne représentent qu'un seul des types de données pour lesquels les entreprises sont tenues de respecter des obligations légales. Quasiment toutes les entreprises doivent sécuriser une grande variété d'informations confidentielles. En voici quelques exemples :

Informations confidentielles générales de l'entrepriseIl peut s'agir d'informations financières, de plans marketing, d'activités promotionnelles potentielles, de coordonnées professionnelles, d'informations sur les investisseurs, de la planification de nouveaux produits, de listes de clients, etc.

Propriété intellectuelleLa propriété intellectuelle comprend souvent l'une des ressources les plus importantes, si ce n'est la plus importante, des entreprises. Une atteinte à la sécurité pourrait empêcher définitivement l'entreprise d'appliquer ses droits de propriété intellectuelle. Par exemple, les secrets de fabrication correspondent à des informations sensibles qui ont de la valeur pour une entreprise parce qu'elles ne sont généralement pas connues dans le secteur. L'entreprise fait des efforts pour garantir leur confidentialité (par exemple, la recette du Coca-Cola®). Si un secret de fabrication est révélé au grand public, il perd son statut et sa valeur en tant que tel. Quasiment toutes les entreprises possèdent au moins quelques secrets de fabrication. Une liste de clients, le code source d'un logiciel, des recettes, des méthodes commerciales... Autant d'informations qui peuvent être assimilées à des secrets de fabrication. Ces secrets de fabrication doivent être sécurisés afin de garantir que les informations restent protégées.

Données médicalesLes données médicales sont l'un des types d'informations les plus sensibles et les plus réglementés. Aux États-Unis, par exemple, la loi Health Insurance Portability and Accountability Act (HIPAA) règlemente la confidentialité et la sécurité des données médicales personnelles. Dans certaines juridictions, ce type d'informations bénéficie de la plus haute protection par rapport à d'autres types de données personnelles. Dans l'Union européenne, les données médicales bénéficient d'une protection renforcée grâce à la Directive de l'UE sur la protection des données personnelles, répercutée dans les lois des États membres. Il en est de même de la loi australienne Privacy Act de 1988 et de son récent amendement Privacy Amendment (Enhancing Privacy Protection) Act. Si une entreprise qui opère dans le secteur de la santé peut avoir en sa possession des dossiers de patients, une société dont les activités n'ont aucun lien avec le secteur de la santé est également susceptible de détenir des informations médicales sur ses employés, informations qui doivent obligatoirement être protégées. Il s'agira par exemple de données relatives à des demandes d'indemnité en vertu d'un contrat d'assurance.

Informations financières personnellesÀ l'instar des informations d'ordre médical, les informations financières personnelles sont aussi très sensibles et très règlementées. Aux États-Unis, la loi Gramm-Leach-Bliley Act (GLBA) assure la confidentialité et la sécurité des informations financières personnelles. Dans d'autres pays, les informations personnelles sont largement définies dans des lois de portée générale dans le but d'inclure quasiment tout ce qui permet d'identifier un individu, y compris, bien sûr, des informations financières. C'est le cas, par exemple, de la loi japonaise Personal Information Protection Act. De la même manière que pour les données médicales, une entreprise n'a pas besoin de travailler dans le secteur des services financiers pour posséder ce type d'informations. Chaque employeur détient des informations financières sensibles sur ses employés, notamment des informations relatives au salaire, des numéros de sécurité sociale ou d'autres numéros d'identification personnels, des numéros de compte bancaire, etc.

Informations relatives à la sécuritéMême les informations relatives à la sécurité elles-mêmes sont sensibles et doivent être protégées. Les politiques de sécurité d'une entreprise, ses rapports d'audit sur la sécurité, ses plans en matière de reprise après sinistre et de continuité des opérations, ainsi que toute autre information du même type sont extrêmement sensibles. Compromises, ces informations pourraient être utilisées pour exploiter les vulnérabilités de l'entreprise.

2.0

Quels types de données devons-nous protéger ?

60 % des pertes de données entraînent une détérioration de la capacité de fonctionnement de l'entreprise.2

2 Kaspersky Lab – Rapport 2013 sur les risques informatiques mondiaux

6

La conformité à la loi représente sans doute la première raison incitant les entreprises à mettre en place des mesures de sécurité des informations dans le but de protéger leurs données sensibles. Cependant, il existe d'autres raisons tout aussi importantes invitant les entreprises à s'atteler à ce risque.

Protéger les actifs de l'entrepriseComme précisé dans le chapitre précédent, chaque entreprise possède, en plus des données permettant d'identifier une personne, d'autres informations hautement confidentielles qu'elle doit protéger. Il s'agit par exemple de propriété intellectuelle, de plans marketing, de planification de nouveaux produits, d'informations sur les investisseurs, d'informations financières, etc. Toutes représentent de précieux actifs de l'entreprise et méritent d'être protégées.

Établir des pratiques de diligenceDe nombreuses lois et règlementations exigent des entreprises qu'elles fassent preuve de diligence raisonnable en matière de protection des données sensibles. Le même concept se retrouve plus généralement dans l'obligation d'assurer la gestion de l'entreprise avec la prudence requise et de faire preuve de jugement raisonnable dans la conduite des affaires. Cela implique d'agir selon des principes de diligence raisonnable en matière de protection des actifs liés aux informations de l'entreprise. Ni la loi en vigueur ni cette norme plus générale de gouvernance d'entreprise n'exigent la perfection. Au contraire, l'entreprise et ses dirigeants doivent pouvoir prouver qu'ils ont agi de manière raisonnable, appropriée et selon les principes de diligence raisonnable en ce qui concerne la protection de leurs informations. En mettant en place et en documentant une approche réfléchie pour limiter les risques en matière de sécurité des informations, l'entreprise et ses dirigeants disposeront de preuves justifiant du déploiement de mesures appropriées en cas d'atteinte à la sécurité.

Protéger la réputation de l'entrepriseÊtre victime d'une atteinte à la sécurité peut considérablement nuire à la réputation d'une entreprise. Les mauvaises publicités de cette nature peuvent sérieusement entamer l'image d'une entreprise. Les clients et les partenaires commerciaux sont susceptibles de perdre confiance dans la capacité de l'entreprise à protéger leurs informations et à sécuriser leurs systèmes.

Minimiser la responsabilité potentielle Enfin, la raison la plus évidente incitant les entreprises à mettre en œuvre une approche réfléchie de la sécurité des informations repose sur la nécessité de minimiser la responsabilité potentielle. La responsabilité peut revêtir plusieurs formes : amendes décidées par un large panel de régulateurs, sanctions légales, poursuites judiciaires par des actionnaires et actions civiles de la part des partenaires commerciaux et des clients, y compris la possibilité de recours collectifs coûteux, à l'encontre de l'entreprise et éventuellement de sa direction.

Pourquoi est-il important de se protéger ?

3.0Les répercussions classiques d'une atteinte à la sécurité des données sont de l'ordre d'environ 50 000 dollars pour les PME et 649 000 dollars pour les entreprises.3

3 Kaspersky Lab – Rapport 2013 sur les risques informatiques mondiaux

7

Une grande confusion et de nombreuses idées fausses règnent en ce qui concerne la conformité en matière de sécurité des informations. Les deux idées fausses les plus répandues sont les suivantes : « il s'agit uniquement de données » et « il s'agit uniquement de confidentialité ». Si les données et la confidentialité sont évidemment d'une importance primordiale, une approche plus globale est nécessaire. Une entreprise doit se préoccuper de ses données, mais également des systèmes dans lesquels elles sont conservées. De plus, la confidentialité n'est qu'une des trois mesures de protection principales nécessaires à une sécurité réelle.

Toutes les personnes associées à la sécurité des informations doivent connaître le triptyque « confidentialité, intégrité, disponibilité ». Pour protéger efficacement les données, chacun de ces trois critères doit être observé. « Confidentialité » signifie que les données sont protégées contre l'accès non autorisé et la divulgation. « Intégrité » signifie que les données peuvent être considérées comme exactes et qu'elles n'ont pas fait l'objet d'une modification non autorisée. Enfin, « disponibilité » signifie que les données sont accessibles et utilisables dès que le besoin le justifie. Il ne sert à rien de garantir la confidentialité et l'intégrité des données si celles-ci ne sont pas disponibles lorsque l'utilisateur en a besoin. Pour respecter cette dernière exigence, les systèmes dans lesquels les données sont conservées doivent répondre à des niveaux de service spécifiques en matière de disponibilité, de temps de réponse, etc. Ce principe est particulièrement important lorsqu'un fournisseur tiers héberge les données pour le compte de l'entreprise.

L'importance du triptyque « confidentialité, intégrité, disponibilité » n'est pas exagérée. Il ne s'agit pas uniquement d'un concept tiré des traités de sécurité des informations. Les législateurs l'ont directement intégré dans certaines lois et règlementations relatives à la sécurité des informations. Les entreprises qui ne parviennent pas à respecter ce triptyque au niveau de leurs données risquent d'être en infraction vis-à-vis de ces lois.

Une dernière idée fausse à propos des lois relatives à la confidentialité et à la sécurité des informations consiste à penser qu'elles exigent la perfection, c'est-à-dire que toute atteinte à la sécurité, quel que soit le niveau de diligence de l'entreprise, entraîne une responsabilité. Or ce n'est pas le cas. Les lois et les règlementations dans ce domaine visent à pousser les entreprises à agir de manière raisonnable et appropriée. Si une entreprise respecte cette norme et que la sécurité de ses données est compromise malgré tout, aucun problème de conformité ne lui sera généralement attribué.

Principales idées fausses à propos de la conformité à la sécurité des informations

4.0Les lois et les règlementations dans ce domaine n'exigent pas la perfection. Elles visent à pousser les entreprises à agir de manière raisonnable et appropriée.

8

La quantité et la diversité des lois et des règlementations susceptibles de s'appliquer à des entreprises, aussi petites soient-elles, détenant des informations sensibles peuvent décourager voire accabler les sociétés. Dans certains cas, il peut s'avérer quasiment impossible, même pour une grande organisation sophistiquée, d'identifier toutes les lois en vigueur, de concilier les incohérences, puis de mettre en œuvre un programme de conformité. L'objectif de ce chapitre ne consiste pas à analyser certaines lois ou règlementations en particulier, mais d'identifier trois points communs à la plupart d'entre elles. En prenant conscience de ces points communs, les entreprises sont en mesure d'appréhender plus facilement leurs obligations de base en matière de conformité.

Ces points communs ne sont pas seulement présents dans les lois et les règlementations. Ils se retrouvent également dans des normes contractuelles telles que la PCI DSS (Payment Card Industry Data Security Standard), voire dans les normes les plus courantes du secteur en matière de sécurité des informations publiées par des organisations comme le CERT de Carnegie Mellon et l'Organisation internationale de normalisation (ISO). L'adoption de ces points communs dans la conception et la mise en œuvre d'un programme de sécurité des informations permet d'augmenter considérablement la capacité d'une entreprise à garantir la conformité globale vis-à-vis des lois, des règlementations et des autres exigences (par exemple la norme PCI DSS, les normes sectorielles, etc.) qui la concernent directement.

Confidentialité, intégrité et disponibilitéComme mentionné au chapitre 4, le concept très ancien de confidentialité, intégrité et disponibilité, présent dans tous les manuels de sécurité des informations, est désormais codifié dans de nombreuses lois et règlementations. Les trois axes de ce concept portent sur les objectifs les plus fondamentaux de la sécurité des informations : les données/informations doivent demeurer confidentielles ; elles doivent être protégées contre des modifications non autorisées ; elles doivent être prêtes à être utilisées en fonction des besoins. L'absence d'une des mesures de protection suscitées affecterait fortement la conformité et la valeur des actifs représentés par ces informations.

Agir de manière « raisonnable » ou prendre des mesures « appropriées » ou « nécessaires »Le concept d'action « raisonnable » est repris dans de nombreuses lois régionales ou fédérales aux États-Unis, en Australie et dans de nombreux autres pays. Le concept apparenté qui consiste à agir afin de prendre des mesures « appropriées » ou « nécessaires » est appliqué dans l'Union européenne et de nombreuses autres zones. Ensemble, ils forment le noyau de quasiment toutes les lois relatives à la sécurité des informations et à la confidentialité des données. Une entreprise doit agir de manière raisonnable ou faire ce qui est nécessaire ou approprié pour protéger ses données. Notez que cela n'implique pas la perfection. L'entreprise doit plutôt prendre en compte le risque présenté et faire ce qui est raisonnable ou nécessaire pour le limiter. Si une atteinte à la sécurité se produit malgré tout, étant donné que l'entreprise a respecté cette exigence de base, elle ne pourra généralement pas être jugée pour non-conformité à la loi ou à la règlementation en vigueur.

Identifier les points communs entre les différentes lois et règlementations relatives à la conformité

5.0

9

Appliquer des mesures de sécurité en fonction de la nature des données et de la menaceVoici un concept étroitement lié à celui d'agir de manière raisonnable ou de faire ce qui est approprié : l'idée d'appliquer des mesures de sécurité en fonction de la nature de la menace et de la sensibilité des données. Autrement dit, une entreprise n'a pas besoin de dépenser l'intégralité de son budget sécurité pour s'attaquer à une menace qui ne représente qu'un risque très faible. Par contre, si le risque est considérable, en particulier en raison du volume et/ou de la sensibilité des données, le niveau de l'effort et de la dépense consentis par l'entreprise pour combattre ce risque doit augmenter. Une base de données composée uniquement de noms et d'adresses postales nécessite un niveau de sécurité inférieur par rapport à une base de données comportant des noms, des adresses et des numéros de sécurité sociale. Pour mieux comprendre ce concept, voici des extraits de deux lois intégrant ce principe :

Exemple 1

Une entreprise doit mettre en place des mesures de protection appropriées (a) à la taille, à la portée et au type d'entreprise dans laquelle travaille la personne tenue de protéger les informations personnelles dans le cadre d'un programme complet de sécurité des informations de cette nature ; (b) à la quantité de ressources mises à la disposition de cette personne ; (c) au volume de données stockées ; et (d) au besoin du client et de l'employé en termes de sécurité et de confidentialité des informations

Exemple 2

Les efforts en matière de sécurité doivent prendre en compte :(i) La taille, la complexité et les capacités de

l'entreprise.(ii) Les capacités de l'entreprise en matière

de sécurité de l'infrastructure technique, du matériel et des logiciels.

(ii) Le coût des mesures de sécurité.(iv) La probabilité et la sensibilité des

risques potentiels relatifs aux données.

Dans les deux prochains chapitres, ces concepts seront abordés dans le cadre de deux situations concrètes pouvant s'appliquer à quasiment tous les types et toutes les tailles d'entreprise. La première situation présente la façon d'intégrer plus efficacement la sécurité des informations dans ses relations avec les fournisseurs et les partenaires commerciaux. À savoir, lorsqu'un fournisseur est en possession des informations les plus sensibles d'une entreprise ou y a accès, quelles sont les mesures à prendre pour garantir leur protection ? La deuxième concerne le contrôle des risques lors de la mise en place de programmes d'utilisation des périphériques personnels à des fins professionnelles à l'intention des employés d'une entreprise.

10

Nous apprenons quasiment chaque semaine qu'une entreprise ayant confié ses informations les plus sensibles à un fournisseur ou à un partenaire commercial voit ces informations compromises parce que le fournisseur n'a pas mis en place les mesures de protection appropriées en matière de sécurité des informations. Pire encore, il apparaît souvent que ces mêmes entreprises n'ont pas, ou peu, fait preuve de diligence raisonnable à l'égard de leurs fournisseurs. De même, elles n'ont souvent pas abordé de manière adéquate la sécurité des informations dans les contrats signés avec leurs fournisseurs. Dans de nombreux cas, elles n'ont eu aucun recours suite au préjudice considérable qu'elles ont subi lorsque leur sécurité a été compromise.

Dans l'environnement règlementaire actuel, les entreprises doivent être beaucoup plus rigoureuses lors de la mise en place des relations avec un fournisseur au cas où des informations sensibles soient exposées au risque. Dans ce chapitre, nous allons présenter trois outils que les entreprises peuvent immédiatement utiliser pour réduire de manière significative les menaces que représentent leurs fournisseurs et leurs partenaires commerciaux en termes de sécurité des informations, garantir la mise en place et la consignation des principes de diligence raisonnable et prévoir des recours lorsque la sécurité est compromise.

Ces outils sont les suivants :

• Questionnaire de diligence raisonnable destiné aux fournisseurs

• Principales mesures de protection contractuelles

• Utilisation, si les circonstances le justifient, d'une annexe présentant les exigences en matière de sécurité des informations

Dès qu'un fournisseur ou un partenaire commercial a accès au réseau, aux locaux ou aux données de l'entreprise, un ou plusieurs de ces outils doivent être utilisés.

En ayant recours à ces outils, les entreprises peuvent garantir le niveau de confidentialité, d'intégrité et de disponibilité des données adéquat, prouver qu'elles ont agi de manière raisonnable et appropriée pour réduire le risque et adapter leur approche en fonction du degré de risque. Par exemple, des mesures de protection contractuelles plus solides et des principes de diligence raisonnable plus approfondis sont nécessaires lorsque le fournisseur est en possession de quantités importantes de données sensibles. Au contraire, lorsque le fournisseur n'est en contact que de façon fortuite avec des données sensibles, il est possible de s'appuyer sur des mesures de protection et une diligence moins strictes.

Traiter la sécurité des informations dans les relations avec les partenaires commerciaux et les fournisseurs

6.0

11

La diligence raisonnable : le premier outilAlors que la plupart des entreprises appliquent une certaine forme de diligence raisonnable avant de confier leurs informations sensibles ou l'accès à leurs systèmes à des fournisseurs, la diligence raisonnable est souvent appliquée de manière informelle et non uniforme, sans être clairement documentée. Le résultat de cette diligence raisonnable n'est réellement intégré dans le contrat entre les parties que dans très peu de cas. Cette approche ad hoc de la diligence raisonnable n'est plus appropriée ou judicieuse dans le contexte de l'environnement règlementaire et commercial actuel.

Afin de garantir la consignation et l'uniformité appropriées du processus de diligence raisonnable, il est recommandé que les entreprises établissent un « questionnaire de diligence raisonnable » standard à faire remplir à chaque fournisseur ou partenaire commercial potentiel ayant accès à des informations personnelles ou des données d'entreprise sensibles ou confidentielles. Ce questionnaire peut aborder les domaines suivants : la responsabilité d'entreprise, la couverture d'assurance, la situation financière, les pratiques concernant la gestion du personnel, les politiques en matière de sécurité des informations, la sécurité physique, la sécurité logique, la reprise après sinistre et la continuité des opérations, ainsi que tout autre domaine pertinent.

L'utilisation d'un questionnaire standardisé offre un grand nombre d'avantages importants :

• Elle apporte un cadre uniforme et prêt à l'emploi à la diligence raisonnable

• Elle permet une comparaison directe des réponses des fournisseurs

• Elle garantit que tous les domaines couverts par les principes de diligence raisonnable soient abordés et qu'aucun ne soit négligé

• Elle permet d'intégrer directement et en toute simplicité les informations relatives à la diligence raisonnable dans le contrat. Le questionnaire rempli est généralement joint sous la forme d'une annexe au contrat final.

Dès le départ, les fournisseurs doivent être informés que les informations qu'ils fournissent dans le cadre du processus de diligence raisonnable, et notamment en réponse au questionnaire sur la diligence raisonnable à l'intention des fournisseurs, seront (i) prises en compte dans le choix du fournisseur ; et (ii) intégrées au contrat final. Pour garantir une plus grande efficacité, il est recommandé de présenter le questionnaire aux fournisseurs potentiels le plus tôt possible et de l'inclure dans tous les appels d'offres ou, si aucun appel d'offres n'est publié, de le présenter comme document autonome au cours des discussions préliminaires engagées avec le fournisseur.

Cette approche ad hoc de la diligence raisonnable n'est plus appropriée ou raisonnable dans le contexte de l'environnement règlementaire et commercial actuel.

12

Le questionnaire sur la diligence raisonnable destiné aux fournisseurs peut couvrir les principaux points suivants :

• La situation financière du fournisseur. Le fournisseur est-il une entreprise publique ou privée ? Des copies des états financiers les plus récents sont-elles disponibles ? La situation financière peut ne pas apparaître comme un facteur essentiel dans le cadre de la sécurité des informations. Pourtant, l'éventualité qu'un fournisseur fasse faillite ou cesse simplement son activité alors qu'il est en possession d'informations très sensibles d'une société représente un risque considérable. Dans de tels cas, il peut être difficile, si ce n'est impossible, de récupérer les données et de garantir qu'elles ont été correctement nettoyées dans les systèmes du fournisseur. De même, la possibilité de poursuivre en justice un fournisseur en difficulté pour récupérer des dommages et intérêts sera contrecarrée si celui-ci n'a pas la capacité financière de régler les dommages et intérêts obtenus.

• La couverture d'assurance. Quels types de couvertures possède le fournisseur ? Quelles sont les limites et les autres conditions des couvertures ? La couverture repose-t-elle sur une réclamation ou un événement ? Comme les polices d'assurance en matière de responsabilité commerciale générale ne couvrent généralement pas les violations de la sécurité des informations, envisagez de demander au fournisseur de souscrire à une assurance propre aux cyber-risques ou à la sécurité réseau. Ces types de polices d'assurance sont de plus en plus courants.

• La responsabilité d'entreprise. Existe-t-il des condamnations pénales ou des litiges matériels récents, des cas dans lesquels la sécurité du fournisseur a été compromise, des violations de la confidentialité, de mauvais résultats d'audits, etc. ?

• La sous-traitance. Le fournisseur va-t-il avoir besoin d'utiliser des sous-traitants ou des filiales dans le cadre de l'exécution de ses services ? Le fournisseur va-t-il recourir à des sous-traitants ou à des filiales hors de son pays ? Où sont situés les sous-traitants et les filiales ? Quels types de services offrent-ils ? Le cas échéant, quelles informations appartenant à l'entreprise seront envoyées à ces entités ?

• Les procédures d'organisation en matière de sécurité. Le fournisseur possède-t-il un programme de sécurité des informations exhaustif et bien documenté ? Quelles sont les politiques du fournisseur en matière de gestion des informations ? Le fournisseur dispose-t-il d'une équipe dédiée à la sécurité des informations ? Existe-t-il une cellule de crise ? Quelles sont les pratiques du fournisseur en matière de sécurité des informations avec les sous-traitants et les agents (par exemple diligence raisonnable, exigence d'accords de confidentialité, obligations contractuelles spécifiques en matière de sécurité des informations, etc.) ?

• La sécurité physique et les contrôles logiques. Quelles mesures et procédures le fournisseur emploie-t-il en termes de sécurité physique ? Le fournisseur a-t-il mis en place un contrôle d'accès à ses systèmes afin de limiter l'accès aux informations au seul personnel expressément autorisé ?

• Le contrôle du développement des logiciels. Si le fournisseur est un concepteur de logiciels, quelles sont ses procédures de développement et de maintenance ? Quels sont les contrôles de sécurité appliqués au cours du cycle de développement ? Le fournisseur effectue-t-il des tests de sécurité sur ses logiciels ? Le fournisseur maintient-il des environnements séparés pour les tests et la production ? Le fournisseur autorise-t-il l'intégration de code provenant de tierces parties dans ses produits ? Si oui, quels types de code ?

• Les questions liées à la confidentialité. Si des informations personnelles concernant des clients, des consommateurs ou d'autres individus sont vulnérables, le fournisseur applique-t-il une politique de confidentialité ? Quel est l'historique des révisions de cette politique ? Existe-t-il des cas dans lesquels le fournisseur a dû contacter des consommateurs en raison d'une atteinte à la sécurité de ses données ? Le fournisseur propose-t-il des formations spécifiques à ses employés concernant la gestion des informations personnelles ? Si oui, à quelle fréquence ?

• La reprise après sinistre et la continuité des opérations. Quels sont les plans du fournisseur en matière de continuité des opérations et de reprise après sinistre ? Quand ont-ils été testés pour la dernière fois ? Quand ont-ils été audités pour la dernière fois ? L'audit a-t-il laissé apparaître de mauvais résultats ? Les défaillances ont-elles été corrigées ? Quel est l'historique des révisions de ses plans ? Quelles procédures de sécurité sont suivies sur le site de reprise ?

13

Les principales mesures de protection contractuelles : le deuxième outilDans l'écrasante majorité des engagements, le contrat signé entre une entreprise et ses fournisseurs contient peu voire pas d'indications spécifiques concernant la sécurité des informations. Au mieux, il est fait mention d'exigences non définies en matière de sécurité et d'une clause de confidentialité élémentaire. Aujourd'hui, les meilleures pratiques du secteur (CERT et ISO, par exemple), ainsi que les lois et les règlementations relatives à la sécurité des informations laissent penser que des indications beaucoup plus spécifiques sont nécessaires dans les relations avec les fournisseurs. Il est recommandé d'envisager d'inclure les mesures de protection suivantes dans les contrats avec les fournisseurs, le cas échéant :

La confidentialité. Dans tous les contrats, une clause de confidentialité d'une grande précision doit être la pierre angulaire des mesures de protection relatives à la sécurité des informations. La clause de confidentialité doit être rédigée aussi largement que possible afin d'inclure toutes les informations que l'entreprise souhaite garder confidentielles. Il est recommandé d'intégrer des exemples précis d'informations protégées, comme le code source, les plans marketing, les nouveautés produits, les secrets de fabrication, les informations d'ordre financier ou personnel, etc. Si la durée de la protection de la confidentialité peut être fixée à cinq ans par exemple, une protection illimitée et continue doit expressément s'appliquer aux informations personnelles et aux secrets de fabrication de l'entreprise. Il convient d'éviter d'obliger l'entreprise à signaler les informations appropriées comme « confidentielles ». En effet, ce type d'exigence est irréaliste dans le cadre de la plupart des relations avec des fournisseurs. Les parties négligent souvent de respecter ces exigences, ce qui représente un risque pour les informations propriétaires et confidentielles.

Les garanties. Parallèlement aux garanties ordinaires concernant la manière dont les services doivent être réalisés et au pouvoir de conclure le contrat, les garanties suivantes spécifiques à la sécurité des informations doivent être prises en compte :

• Une garantie exigeant que le fournisseur se conforme aux « meilleures pratiques du secteur en matière de sécurité des informations ».

• La conformité avec l'ensemble des lois et des règlementations en vigueur relatives à la sécurité des informations, à la confidentialité et à la protection des consommateurs, ainsi qu'avec toute autre loi et réglementation.

• La conformité avec la politique de confidentialité de l'entreprise lors de la gestion et de l'utilisation des informations personnelles.

• Une garantie contre la mise à disposition d'informations confidentielles de l'entreprise à des sous-traitants ou des filiales à l'étranger, à moins qu'elle ne soit expressément autorisée par écrit par l'entreprise.

• Une garantie relative aux réponses du fournisseur dans le questionnaire sur la diligence raisonnable destiné aux fournisseurs, qui doit être joint en annexe au contrat. Cette garantie déclare que les réponses sont exactes, qu'elles seront mises à jour sur demande raisonnable de l'entreprise et qu'elles resteront exactes tout au long du contrat.

Les obligations générales en matière de sécurité. Pensez à inclure des indications générales dans le contrat concernant l'obligation du fournisseur de prendre toutes les mesures raisonnables pour sécuriser et défendre ses systèmes et ses locaux contre l'accès non autorisé ou l'intrusion, de tester périodiquement ses systèmes et ses locaux pour déceler des vulnérabilités, de signaler immédiatement à l'entreprise toute atteinte à la sécurité, réelle ou potentielle, de participer à des audits de sécurité conjoints et de coopérer avec les régulateurs de l'entreprise dans le but d'analyser les pratiques du fournisseur en matière de sécurité des informations, etc.

14

Les indemnités. Dans les situations dans lesquelles une atteinte à la sécurité du fournisseur pourrait exposer l'entreprise à des réclamations potentielles de la part de tierces parties (par exemple, la violation d'informations personnelles peut entraîner des réclamations de la part des clients de l'entreprise), le contrat doit comprendre une clause d'indemnité exigeant que le fournisseur ne tienne pas responsable l'entreprise pour les réclamations, dommages et intérêts et frais encourus par l'entreprise suite à l'atteinte à la sécurité du fournisseur. Ainsi, le fournisseur doit protéger l'entreprise contre les poursuites judiciaires ou les autres réclamations résultant de son échec à protéger ses systèmes de manière adéquate.

La limitation de responsabilité. La plupart des contrats comportent une forme de « limitation de responsabilité ». Il s'agit d'une clause conçue pour limiter le type et l'ampleur des dommages et intérêts auxquels les parties contractantes pourraient être exposées. Il n'est pas rare que ces clauses dégagent la responsabilité du fournisseur pour tous les dommages et intérêts consécutifs, du type manque à gagner, atteinte à la réputation de l'entreprise, etc. Elles peuvent aussi limiter toutes les autres responsabilités à un pourcentage peu élevé des frais versés. Il est quasiment impossible de retirer ce type de dispositions de la plupart des contrats. Cependant, il est possible d'exiger du fournisseur qu'il exclue des limitations ou, du moins, qu'il endosse une responsabilité plus importante pour les dommages et intérêts découlant de toute infraction de sa part à la confidentialité. Il en va de même pour l'obligation d'indemnisation du fournisseur suite aux réclamations dont il est lui-même à l'origine, en raison de son incapacité à protéger de manière adéquate ses systèmes. Sans ces exclusions, les mesures de protection contractuelles décrites plus haut seraient essentiellement illusoires. Si le fournisseur n'endosse pas vraiment de responsabilité pour la violation de la confidentialité parce que la « limitation de responsabilité » restreint les dommages et intérêts que le fournisseur devrait verser à un montant négligeable, la clause de confidentialité perd tout son sens.

L'annexe présentant les exigences en matière de sécurité des informations : le troisième outilLe dernier outil permettant de réduire les risques de sécurité des informations au niveau du fournisseur repose sur l'utilisation d'une annexe ou d'un cahier des charges définissant de manière spécifique les exigences en matière de sécurité s'appliquant à une transaction donnée. Par exemple, l'annexe présentant les exigences en matière de sécurité des informations peut interdire au fournisseur de transmettre les informations de l'entreprise via des réseaux sans fil internes (par exemple, 802.11a/b/g) ou de les transférer sur un support amovible qui pourrait facilement être égaré ou perdu. Cette annexe peut également contenir des exigences spécifiques relatives à l'utilisation du chiffrement et à la mise hors service du matériel et des supports de stockage sur lesquels les informations de l'entreprise étaient enregistrées afin de garantir la suppression appropriée des informations sur le matériel et les supports. Il est recommandé de définir d'autres mesures de sécurité physique et logique spécifiques en fonction d'une transaction donnée.

Les entreprises sont soumises à des risques exclusifs lorsqu'elles confient leurs informations confidentielles à leurs fournisseurs, à leurs partenaires commerciaux ou à d'autres tierces parties. Ces risques peuvent être minimisés en utilisant les outils présentés plus haut : une diligence raisonnable appropriée et uniforme, l'utilisation de mesures de protection contractuelles spécifiques en matière de sécurité des informations et, éventuellement, l'utilisation d'annexes ou d'autres pièces jointes au contrat détaillant les exigences uniques en matière de sécurité qui seront imposées au fournisseur.

Le fournisseur doit protéger l'entreprise contre des poursuites judiciaires ou d'autres réclamations résultant de son incapacité à sécuriser ses systèmes de manière adéquate.

15

Les initiatives dites BYOD font référence aux programmes d'entreprise qui autorisent les employés à utiliser leur périphérique personnel (smartphone, tablette électronique, ordinateur portable, netbook...) pour des activités aussi bien personnelles que professionnelles. Il est également généralement permis à l'employé d'utiliser son périphérique personnel pour se connecter au réseau d'entreprise de son employeur.

Les programmes d'utilisation des périphériques personnels à des fins professionnelles présentent un certain nombre d'avantages clés : diminution globale potentielle du coût d'entretien des ressources informatiques pour l'entreprise, simplification du travail pour les employés mobiles, soutien au nouvel environnement de travail en continu dans de nombreuses entreprises, augmentation de la collaboration et amélioration du moral des employés. Une étude récente d'Unisys présente plusieurs avantages :

• 71 % des personnes interrogées pensent que les programmes d'utilisation des périphériques personnels à des fins professionnelles vont permettre d'améliorer le moral

• 60 % des personnes interrogées pensent que les programmes d'utilisation des périphériques personnels à des fins professionnelles vont permettre d'augmenter la productivité

• 44 % trouveraient une offre d'emploi plus séduisante si l'entreprise proposait une prise en charge des iPad

Le risque des programmes d'utilisation des périphériques personnels à des fins professionnelles est inhérent à leur nature : permettre de stocker ou d'accéder à des données personnelles et professionnelles sur un seul et même périphérique, sur lequel l'entreprise n'a que peu de contrôle, voire pas du tout. Ce risque apparaît dans les résultats de deux études récentes :

• Étude Dell KACE : 87 % des entreprises sont incapables de protéger efficacement leurs données et la propriété intellectuelle parce que des employés utilisent des périphériques personnels au travail, notamment des ordinateurs portables, des smartphones et des tablettes électroniques.

• Étude eWeek : 62 % des administrateurs informatiques pensent qu'ils n'ont pas les outils nécessaires pour gérer correctement les périphériques personnels.

En se concentrant sur les points communs de la conformité présentés plus haut, il est possible de limiter ce risque.

Principaux risques présentés par les programmes d'utilisation des périphériques personnels à des fins professionnellesLorsqu'elle décide de mettre en place un programme d'utilisation des périphériques personnels à des fins professionnelles, une entreprise doit prendre en compte les principaux risques suivants et s'assurer que les avantages pour l'organisation en matière de réduction des coûts et d'amélioration du moral des employés, entre autres, l'emportent sur les risques.

Mélanger données personnelles et professionnelles. Ce problème est de loin le plus sérieux. Actuellement, il existe des solutions, comme le produit « mobile » de Kaspersky, qui aident à « conteneuriser » les données personnelles et professionnelles sur un périphérique personnel. Mais peu permettent d'appliquer une politique de sécurité séparée. Par exemple, en cas de perte ou de vol du périphérique, l'effacement à distance engagé par l'entreprise supprimera non seulement les informations professionnelles, mais aussi toutes les informations personnelles. Les entreprises et leurs employés doivent tenir compte de ces problèmes.

Programmes d'utilisation des périphériques personnels à des fins professionnelles

7.071 % des personnes interrogées pensent que les programmes d'utilisation des périphériques personnels à des fins professionnelles permettront d'améliorer le moral.

16

Voici quelques exemples de problèmes potentiels tirés de situations réelles :

• Les photos de mariage : dans un cas, un employé croyait avoir perdu son smartphone. L'entreprise a procédé à un effacement à distance de toutes les données contenues sur le téléphone pour veiller à ce que la sécurité des informations sensibles ne soit pas compromise. Il est apparu que ce téléphone n'avait pas été perdu mais tout simplement égaré. L'épouse de l'employé a porté réclamation contre l'entreprise en prétendant que celle-ci avait effacé le seul exemplaire de leurs photos de famille les plus précieuses. Mis à part le fait que l'employé et son épouse auraient dû faire une copie de sauvegarde de ces photos importantes, l'entreprise s'est retrouvée dans une situation difficile parce qu'elle n'avait aucune protection contre une réclamation de l'épouse suite à l'effacement des photos. Reportez-vous aussi au paragraphe sur « la famille et les amis » un peu plus bas.

• Le prochain best-seller : dans un autre cas, un employeur a autorisé ses employés à utiliser leur propre ordinateur portable. Alors que l'entreprise installait un nouveau logiciel de sécurité sur chacun de ces ordinateurs portables, l'un des employés a affirmé que son employeur était responsable de la perte de certaines de ses données, y compris le seul exemplaire du roman sur lequel il travaillait depuis plusieurs années. L'employeur n'avait pas instauré de politique appropriée le protégeant contre des réclamations de cette nature de la part d'employés. Résultat : l'entreprise a dû trouver un accord avec son employé.

• C'est dans le cloud : les services de sauvegarde en ligne se banalisent. Si certains fonctionnent avec les systèmes d'exploitation des smartphones, d'autres, au contraire, y sont directement intégrés. Dans plusieurs cas récents, des employés ont utilisé ces services « de cloud personnel » pour sauvegarder leurs données personnelles. Mais par inadvertance, ils ont aussi fait une copie de sauvegarde de données d'entreprise sensibles. Ainsi, des données d'entreprise ont été copiées sur des serveurs tiers sur lesquels l'entreprise n'a aucun contrôle et dont elle n'a même pas connaissance par des tierces parties utilisant peut-être des mesures de sécurité peu efficaces.

Problème des licences logicielles. Les entreprises doivent veiller attentivement à ce que les logiciels tiers utilisés par les employés sur leurs périphériques personnels disposent des licences appropriées. Si un employé possède une licence pour la version « familiale » d'un traitement de texte, il ne peut pas utiliser ce programme quotidiennement sur son ordinateur portable dans le cadre d'un travail réalisé pour son employeur. S'il agit ainsi, il a de fortes chances de violer l'accord de licence de la tierce partie pour ce logiciel. Autre exemple : il est possible que le périphérique personnel utilise une connexion VPN (réseau privé virtuel) pour accéder à certains logiciels tiers installés sur les systèmes de l'employeur, tels qu'une application de comptabilité, un logiciel de CRM ou de saisie de commandes par exemple. Il est recommandé de vérifier chacun des accords de licence tiers concernés de façon à confirmer que le champ d'application de la licence autorise cet accès à distance. Dans certains cas, des droits de licence supplémentaires peuvent être exigés.

17

Divulgation/Litige. Avant de confirmer sa participation au programme d'utilisation des périphériques personnels à des fins professionnelles proposé par son employeur, l'employé doit évaluer non seulement les avantages que lui apporte une utilisation de son propre périphérique, mais également les concessions qu'il est prêt à faire. Plus précisément, l'employé doit comprendre que l'employeur, et éventuellement d'autres personnes, pourraient avoir besoin d'inspecter le périphérique et de contrôler son contenu dans le cadre d'un litige. Cette inspection pourrait notamment comprendre un examen des e-mails, photos, données de géo-localisation, etc. De plus, l'employé doit être conscient qu'il est possible, dans certaines circonstances, que l'employeur ait besoin d'effacer à distance le contenu de ce périphérique. À moins que l'employé ait réalisé une copie de sauvegarde de ce périphérique, l'effacement pourrait entraîner la perte intégrale de ses données personnelles. Ce sont des facteurs importants, qu'il convient de prendre en compte attentivement avant d'accepter de participer à un programme d'utilisation des périphériques personnels à des fins professionnelles.

Gestes répétitifs et autres blessures au travail. Les « pouces Blackberry » et les autres symptômes pouvant résulter de la répétition de geste lors de l'utilisation d'ordinateurs portables, de smartphones, de tablettes électroniques et d'autres périphériques du même type doivent être pris en compte lors de la rédaction d'une politique efficace en matière d'utilisation des périphériques personnels à des fins professionnelles. Par exemple, il est recommandé que les participants au programme soient invités à consulter les informations relatives à l'ergonomie fournies avec la plupart des périphériques, à reconnaître que l'employeur n'est pas responsable des blessures résultant de l'utilisation de ces périphériques, etc. L'entreprise doit également passer en revue les indemnités et les autres assurances de son employé afin de vérifier que la couverture s'étend à ce type de blessures causées par des périphériques non fournis par l'entreprise.

Utilisation partagée des périphériques avec des personnes ne faisant pas partie de l'entreprise : le problème de la famille et des amis. Dans quasiment chaque cas, les employés permettent à des amis ou à des membres de leur famille d'utiliser leurs périphériques personnels. Ces tierces parties « amicales » auront potentiellement accès à toutes les informations relatives à l'entreprise stockées sur le périphérique. C'est inévitable. Pire encore, il est impossible de limiter ce risque en toute simplicité avec les technologies actuelles.

Or, aucune obligation de confidentialité ne saurait lier l'entreprise à ces tierces parties, qui d'ailleurs n'ont jamais signé la politique de l'entreprise en matière d'utilisation des périphériques personnels à des fins professionnelles. Par conséquent, l'entreprise ne bénéficie d'aucune protection contractuelle contre ces tierces parties.

Si, par exemple, la tierce partie envoie et reçoit des e-mails personnels à l'aide du périphérique et que ce dernier doit ensuite être analysé par l'entreprise dans le cadre d'un litige, l'entreprise risquerait d'enfreindre le droit à la vie privée de la tierce partie en contrôlant, même accidentellement, ses e-mails. De même, si une entreprise a de bonnes raisons d'effacer à distance le contenu du périphérique, l'employé ne pourra pas porter réclamation contre l'entreprise puisqu'il aura lui-même signé une politique reconnaissant cette éventualité. En revanche, ses amis et sa famille n'en ont pas signé. Dans ce cas, si l'effacement détruit des données précieuses appartenant à la tierce partie, cette dernière pourra tout à fait réclamer des dommages et intérêts à l'entreprise.

Élimination du périphérique par l'employé. Des procédures doivent être mises en place pour s'assurer que l'employeur a la possibilité de confirmer la suppression de l'ensemble des données sensibles de l'entreprise stockées sur un périphérique avant son élimination. Les entreprises ne doivent pas oublier que leurs employés sont toujours à l'affût du smartphone, de la tablette électronique ou de l'ordinateur portable dernier cri. Il est possible que leur ancien périphérique soit échangé, vendu sur eBay ou éliminé d'une autre manière sans que l'employeur ne soit réellement averti. Le contrôle du périphérique peut s'avérer particulièrement laborieux lorsque la relation de travail se termine dans des conditions difficiles. L'employé peut refuser le contrôle du périphérique. Dans ce cas, l'employeur n'aura d'autre choix que de procéder à l'effacement à distance du contenu stocké.

L'employé doit évaluer non seulement les avantages que lui apporte une utilisation de son périphérique personnel, mais également les concessions qu'il est amené à faire.

18

Principaux éléments de la stratégie d'utilisation des périphériques personnels à des fins professionnellesAfin de répondre aux trois points communs de la conformité présentés plus haut (confidentialité, intégrité et disponibilité, action raisonnable et appropriée et évolution des mesures), il est recommandé de développer un programme d'utilisation des périphériques personnels à des fins professionnelles efficace à partir des trois composants suivants : politique, formation et technologie/application.

Politique. Le document régissant les programmes d'utilisation des périphériques personnels à des fins professionnelles, quels qu'ils soient, doit se présenter sous la forme d'une politique à la fois claire et compréhensible. Cette politique détaille les droits et les obligations de l'employé dans le cadre du programme. Elle avertit, entre autres, l'employé qu'en participant à ce programme, il s'engage à renoncer à certains droits. Par exemple, il doit accepter que le contenu de son périphérique mobile, y compris les données personnelles, fasse l'objet d'un contrôle en cas de litige dans le cadre d'une procédure de divulgation. En outre, il doit comprendre que des données personnelles stockées sur le périphérique risquent d'être définitivement perdues si la société procède à l'effacement à distance de son contenu dans le but de protéger des données d'entreprise en cas de perte ou de sécurité compromise.

La plupart des entreprises diffusent cette politique et demandent à leurs employés de la signer avant de les autoriser à participer à ce programme. La politique doit préciser clairement que l'entreprise se réserve le droit d'annuler la participation au programme à tout moment. Par exemple, l'entreprise peut décider d'interrompre le programme ou décréter que l'utilisation du périphérique par un employé en particulier représente un risque trop important en matière de sécurité. Dans ces situations, l'entreprise doit avoir le droit en toute liberté de mettre fin au programme ou à la participation d'un employé en particulier.

De nombreuses organisations diffusent de temps en temps des notes de service dans le but de souligner certains points précis de la politique. Par exemple, un employeur pourrait envoyer une note décrivant les risques ou les interdictions spécifiques concernant l'enregistrement de données d'entreprise sur les comptes de sauvegarde en ligne personnels de l'employé, comme DropBox, iCloud, etc.

Formation. La formation des employés est un autre élément essentiel permettant de garantir l'efficacité d'un programme d'utilisation des périphériques personnels à des fins professionnelles. En général, il ne suffit pas de remettre la politique aux employés sans se préoccuper de savoir s'ils la liront ou non. Il est plutôt préconisé d'assurer une ou plusieurs sessions de formation à l'intention des employés afin de leur présenter précisément leurs droits et leurs obligations dans le cadre de leur participation au programme. Selon la sensibilité des informations auxquelles l'employé peut avoir accès, cette formation pourra être renouvelée régulièrement.

Technologie/Application. Le dernier élément du programme repose sur l'utilisation de la technologie ou d'autres moyens nécessaires à l'application de la politique. Il peut s'agir tout simplement de demander à ses employés d'utiliser uniquement des périphérique personnels permettant l'application à distance d'une politique de sécurité (par exemple, mots de passe obligatoires, temporisation, effacement à distance, etc.). D'autres technologies, plus avancées, deviennent également peu à peu accessibles, comme la capacité inhérente à séparer les données personnelles des données professionnelles.

Comme nous l'avons démontré dans le paragraphe consacré aux trois points communs de la conformité, l'investissement nécessaire d'une entreprise dépend de la nature des données exposées au risque dans le cadre du programme d'utilisation des périphériques personnels à des fins professionnelles.

19

Alors que la quantité et la complexité des lois et des règlementations relatives à la sécurité des informations et à la confidentialité ne cessent d'augmenter, les entreprises devraient être sensibles à certains points communs qu'elles partagent. Dans le présent livre blanc, trois des points les plus courants et les plus importants ont été présentés. En gardant à l'esprit que la législation actuelle n'exige en aucun cas la perfection, mais qu'elle invite tout simplement à faire preuve de diligence raisonnable et à prendre des mesures judicieuses et appropriées en fonction de la sensibilité des données exposées, les entreprises sont en mesure de contribuer à garantir un niveau de conformité optimal.

Comme indiqué dans les paragraphes consacrés à la sécurité des informations dans le cadre des relations avec les fournisseurs et au développement efficace d'un programme d'utilisation des périphériques personnels à des fins professionnelles, les entreprises ont la possibilité de comprendre la façon dont ces points communs peuvent s'appliquer dans leur environnement quotidien. L'utilisation réfléchie des formations, des politiques et des technologies permet de réduire considérablement les risques en termes de conformité globale.

Conclusions

8.0

À propos de l'auteurMichael R. Overly est l'un des associés du groupe Information Technology and Outsourcing Group du bureau de Los Angeles de la société Foley & Lardner LLP. M. Overly multiplie les conférences et les articles sur la négociation et la rédaction des transactions dans le domaine de la technologie et sur les questions juridiques posées par la technologie sur le lieu de travail, les e-mails et les preuves électroniques. Il est l'auteur de nombreux articles et ouvrages sur ces sujets et livre fréquemment ses commentaires dans la presse nationale, notamment le New York Times, le Chicago Tribune, le Los Angeles Times ou le Wall Street Journal, sur ABCNEWS.com, CNN et MSNBC. Parallèlement aux séminaires de formation qu'il organise aux États-Unis, en Norvège, au Japon et en Malaisie, M. Overly a témoigné devant le Congrès américain dans le cadre d'affaires concernant le cyberespace. Il est l'auteur, entre autres, des ouvrages suivants : A Guide to IT Contracting: Checklists, Tools and Techniques (CRC Press 2012), e-policy: How to Develop Computer, E-mail, and Internet Guidelines to Protect Your Company and Its Assets (AMACOM 1998), Overly on Electronic Evidence (West Publishing 2002), The Open Source Handbook (Pike & Fischer 2003), Document Retention in The Electronic Workplace (Pike & Fischer 2001) et Licensing Line-by-Line (Aspatore Press 2004).

Avertissement : les lois changent fréquemment et rapidement. Elles se prêtent également à différentes interprétations. Il appartient au lecteur de vérifier l'état actuel de la loi avec un avocat qualifié ou d'autres professionnels avant de s'y fier. Ni l'auteur ni l'éditeur ne fournissent de garantie concernant les conséquences de l'utilisation de ce livre blanc. Ce livre blanc est fourni, étant entendu que l'auteur et l'éditeur ne s'engagent en aucun cas à proposer des services juridiques ou professionnels au lecteur.

20

Kaspersky offre une plate-forme de sécurité complète pour aider à protéger votre entreprise, que vous cherchiez à gérer et protéger tous vos terminaux (physiques, mobiles et virtuels), à sécuriser vos serveurs et vos passerelles ou à gérer à distance l'ensemble de votre environnement de sécurité.

Kaspersky Endpoint Security for Business s'appuie sur un panel complet de technologies : de la protection contre les programmes malveillants aux contrôles des terminaux, du chiffrement à la gestion des périphériques mobiles en passant par la gestion des systèmes, notamment la gestion des correctifs et l'inventaire des licences. Étant donné que de plus en plus d'entreprises prennent conscience des avantages du déploiement d'une initiative autorisant les employés à utiliser leurs périphériques mobiles pour des activités professionnelles, il est désormais possible de mettre en œuvre des programmes d'utilisation des périphériques personnels à des fins professionnelles dans le cadre de la sécurité mobile comme de la gestion des périphériques mobiles.

Les produits Kaspersky sont conçus de façon à ce que l'administrateur puisse observer et gérer l'environnement de sécurité dans sa globalité depuis un « point unique ». Reposant sur une interaction d'une grande souplesse, ils sont pris en charge par le réseau Kaspersky Security Network hébergé dans le cloud, qui permet de proposer la protection complète dont les entreprises ont besoin pour lutter contre des cyber-menaces toujours plus variées et sophistiquées.

Développées de A à Z, les solutions Kaspersky permettent aux administrateurs informatiques d'observer, de contrôler et de protéger leur environnement en toute simplicité. Les modules et les outils de sécurité, ainsi que la console d'administration Kaspersky sont développés en interne pour vous faire bénéficier, au final, d'une plus grande stabilité, de politiques intégrées, de rapports très utiles et d'outils intuitifs.

Kaspersky Endpoint Security for Business est la seule véritable plate-forme de sécurité intégrée du secteur.

Kaspersky Endpoint Security for Business

À propos de Kaspersky Kaspersky Lab est le plus grand fournisseur privé mondial de solutions de protection des terminaux. La société fait partie des quatre principaux fournisseurs au monde de solutions de sécurité pour utilisateurs de terminaux. Tout au long de ses quinze ans d'existence, Kaspersky Lab a fait figure d'innovateur dans le domaine de la sécurité informatique, fournissant des solutions de sécurité numérique efficaces aux consommateurs, PME et grandes entreprises. La société est actuellement présente dans près de 200 pays et territoires à travers le monde, où elle apporte une protection à plus de 300 millions d'utilisateurs.

Plus d'informations sur www.kaspersky.be/business