Philosophie securite informatique : normes, methodes, audit, conseil, chiffres, protection, risques, failles Philosophie securite informatique : normes, methodes, audit, conseil, chiffres, protection, risques, failles Philosophie securite informatique : normes, methodes, audit, conseil, chiffres, protection, risques, failles Services, prestations, audit, consulting, formations, enquetes, informations, tests, penetration-intrusion, expertise Services, prestations, audit, consulting, formations, enquetes, informations, tests, penetration-intrusion, expertise Services, prestations, audit, consulting, formations, enquetes, informations, tests, penetration-intrusion, expertise downloads-telechargements : RFC, etudes, documentation, buffer overflows, exploit, code, outils downloads-telechargements : RFC, etudes, documentation, buffer overflows, exploit, code, outils downloads-telechargements : RFC, etudes, documentation, buffer overflows, exploit, code, outils Olivier Combet Lyon, consultant independant, freelance Olivier Combet Lyon, consultant independant, freelance Olivier Combet Lyon, consultant independant, freelance
Implication juridique securite entreprise (Source : extraits du guide juridique rédigé par Maître Olivier ITEANU, Avocat à la Cour d'Appel de Paris)

Chapitre 1.

La responsabilité du chef d'entreprise, une réalité juridique.


" Même pour des fautes pénales commises par des salariés indélicats et imputables à eux seuls, l'entreprise générique pourrait être poursuivie pour dédommager la victime par application de l'article 1384 alinéa 5 du Code civil, dès l'instant où le salarié a agit dans l'exercice de ses fonctions, c'est à dire selon les dernières jurisprudences que le délit a pris place durant le temps de présence en entreprise et avec les moyens mis à sa disposition par son employeur ".

Chapitre 2.

Nouveaux cas, nouveaux risques pour l'entreprise générique.


Grâce à la loi du 13 mars 2008, une réforme en profondeur du droit de la preuve a été amorcée en donnant une existence juridique à l'écrit sous forme électronique.

L'article 1316-3 du Code civil dispose en effet que :
" L'écrit sur support électronique a la même force probante que l'écrit sur support papier ".

L'archivage électronique ne disqualifie donc pas l'information archivée qui est reconnue comme preuve au même titre que l'écrit établi sur support papier.

Pour que l'écrit numérique soit admis comme moyen de preuve, l'article 1316-1 du Code Civil dispose que : " L'écrit sous forme électronique est admis en preuve au même titre que l'écrit sur support papier, sous réserve que puisse être dûment identifiée la personne dont il émane et qu'il soit établi et conservé dans des conditions de nature à en garantir l'intégrité "

Chapitre 3.

Tisser un réseau de compétences autour de l'entreprise pour prévenir et guérir.


" Et après l'attaque / la fraude / le sinistre que faire ? Il existe une liberté totale de preuve pour les délits réalisés sur les systèmes d'information de l'entreprise générique dans la mesure oû les faits qui ont pris place sont qualifiés de faits juridiques.

Aussi, l'entreprise générique pourra parfaitement prouver son innocence par la production en justice de tout élément de preuve, y compris une donnée technique de connexion ou un log de connexion ".


Responsabilite civile et penale de l'employeur (Source : texte

"Quelle responsabilité en matière de sécurité informatique ?"

sur jurisexpert.net)


L'éventuelle responsabilité pénale.

L'article 29 de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés énonce que "toute personne ordonnant ou effectuant un traitement d'informations nominatives, s'engage de ce fait, vis-à-vis des personnes concernées, à prendre toutes précautions utiles afin de préserver la sécurité des informations et notamment d'empêcher qu'elles ne soient déformées, endommagées, ou communiquées à des tiers non autorisés".
La violation de cet article 29 est lourdement sanctionnée pénalement par l'article 226-17 du code pénal (cinq ans d'emprisonnement et 300 000 euros d'amende).
L'article 17 de la directive du 24 octobre 1995 vient compléter cette obligation de sécurité qui pèse sur le responsable du traitement. Celui-ci "doit mettre en oeuvre les mesures techniques et d'organisation appropriées pour protéger les données à caractère personnel contre la destruction accidentelle ou illicite, la perte accidentelle, l'altération, la diffusion ou l'accès non autorisés, notamment lorsque le traitement comporte des transmissions de données dans un réseau, ainsi que toute autre forme de traitement illicite. Ces mesures doivent assurer, compte-tenu de l'état de l'art et des coûts liés à leur mise en oeuvre, un niveau de sécurité approprié au regard des risques présentés par le traitement et de la nature des risques à protéger".

La responsabilité civile de l'employeur.

L'absence d'une grande partie des moyens de sécurisation du serveur de l'entreprise décrits ci-dessus est susceptible de constituer une faute civile donnant lieu à responsabilité.Cette omission dans la mise en place de mesures de sécurité suffisantes caractérisera une faute par abstention.
L'article 1383 du code civil énonce que "chacun est responsable du dommage qu'il a causé non seulement par son fait, mais encore par sa négligence ou par son imprudence". L'entreprise qui n'aura pas pris des mesures de sécurité raisonnables pour protéger son serveur contre une infection informatique virale sera de toute évidence négligente au sens de cette disposition.


LSF, Loi Securite Financiere, Sarbanes Oxley, impact sur les systemes d information (Source :

Loi de Sécurité Financière, contrôle interne et fiabilité des SI

, tribune de Philippe Touitou dans le Journal du Net)


La responsabilité financière de l'entreprise

Comme l'impose aux sociétés américaines la loi Sarbanes-Oxley (SoX act) depuis août 2002, en France, la loi de sécurité financière (LSF) n° 2003-706 du 1 août 2003 visant à renforcer la confiance des investisseurs, a modifié en ce sens le code du commerce. Sont concernées toutes les sociétés anonymes et celles faisant appel public à l'épargne.
La LSF implique personnellement les dirigeants dans l'évaluation du contrôle interne permettant de présenter fidèlement la situation financière de leur entreprise et de détecter les fraudes. Le dirigeant doit " rendre compte des procédures de contrôle interne " mises en place au sein de son entreprise lors du rapport de gestion sur les comptes.
Il doit être en mesure de garantir la fiabilité de son information comptable et financière et ne peut plus se reposer sur l'avis seul de son commissaire aux comptes, des sanctions pénales pouvant lui être appliquées en cas de non-respect de ces dispositions.
La LSF et la SoX ont un impact direct sur la sérité des systèmes d'information qui doit pouvoir être garantie dans ce sens.


CNIL informatique et liberte Autres informations clés sur la protection des données personnelles (loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés) sur le site officiel de la CNIL : http://www.cnil.fr


retour