Cyberattaque : un employeur peut-il se retourner contre son DSI ou RSSI ?

publié le par Eric Barbry
La Chronique
Lex Numerica : Humeur d'avocat, par Eric Barbry
Cybersécurité Quelles fautes pour les DSI ou RSSI

Notre chroniqueur invité Eric Barbry analyse la notion de responsabilité autour de la protection des entreprises et en cas de cyberattaques. A quel point les évolutions récentes changent-elles la donne pour les directions du numérique ?

Il ne se passe pas un jour sans que la presse ne se fasse l’écho d’une violation de sécurité ici ou là.  Et, de ce fait, la question de la responsabilité des DSI et des RSSI revient souvent en première ligne. Je ne vous épargne pas d’ailleurs le couplet qui fait rapidement peur sur une possible sanction pénale…

Alors, oui, ce type de sanction est toujours possible comme en témoigne certaines décisions rendues en France ou ailleurs dans le monde mais elle reste marginale.

Elle repose sur une faute volontaire du DSI ou du RSSI soit en en réalisant une action interdite par le Code pénal (accès frauduleux, altération de système ou encore extraction de données) ; soit en travestissant la vérité (les cas Uber ou SolarWinds).

Qui est responsable ?

Dans la majorité des cas, au quotidien, la réalité est bien plus simple et moins dramatique pour ces responsables. Cependant la situation pourrait rapidement changer.

Qui est responsable des agissements de ses salariés ? La réponse est aussi vielle que le Code civil comme en témoigne les termes employés encore aujourd’hui « Les maîtres et les commettants, du dommage causé par leurs domestiques et préposés dans les fonctions auxquelles ils les ont employés » (article 1242 du Code civil).

J’avoue, cela ressemble à du « vieux françois » ! Il faut comprendre par « commettants » les employeurs et par « préposés » les « salariés ». Là c’est alors beaucoup plus clair. Si l’on traduit en langage d’aujourd’hui cela donne ceci : « les employeurs sont responsables du dommage causé par leurs salariés dans les fonctions auxquelles ils les ont employés ».

Ainsi donc, si un DSI ou un RSSI commet une faute dans l’exercice de ses fonctions dans l’immense majorité des cas, sinon la totalité, c’est la responsabilité de l’employeur qui sera mise en cause. Toujours dans l’immense majorité des cas, ce n’est pas l’employeur personne physique mais l’employeur en tant que personne morale qui sera tenu de réparer les fautes commises.

Quelles fautes pour les DSI ou RSSI ?

Mais l’employeur peut-il se retourner contre son DSI ou son RSSI ? En pratique rien ne l’empêche. L’employeur pourra choisir parmi toutes les sanctions prévues par le droit du travail et le cas échéant le règlement intérieur en fonction de la faute commise. Rien n’interdit un employeur de licencier son DSI ou son RSSI : là encore l’employeur, selon les cas, devrait faire un choix judicieux entre la faute simple, la faute grave (plus grave que la simple…) et la faute lourde (faute accompagnée d’une intention de nuire).

Mais alors pourquoi n’y a-t-il pas de décision en ce sens ? Tout simplement parce qu’il est pour l’heure très difficile pour ne pas dire impossible de démontrer un comportement fautif face à une attaque informatique, car tout le monde sait, y compris les magistrats, qu’en matière informatique le risque zéro n’existe pas.

La sanction pourrait cependant trouver à s’appliquer si le DSI ou le RSSI n’avaient pas « correctement » réagit face à une violation de sécurité. Mais là aussi, comment apprécier un comportement approprié en situation de crise ?

Les référentiels à la rescousse

Mais le vent tourne pour les DSI et les RSSI car il existe de plus en plus de référentiels de bonnes pratiques qui permettent à un employeur de mesurer la qualité de son équipe IT. Ces types de référentiels sont au nombre de trois : référentiel normatif, bonnes pratiques et cadre législatif.

Le référentiel normatif est essentiellement constitué de la suite de norme IS0 27000. Ce référentiel est constitué de plus d’une trentaine de normes génériques (maîtrise de la sécurité d’un SI) ou spécifique (télécom, cloud) ou encore dédié à un sujet en particulier (exemple ISO/IEC 27036-1:2021Cybersécurité — Relations avec le fournisseur).

Il est vrai que comme les promesses, les normes n’engagent que ceux qui y croient… mais il n’en reste pas moins que ces normes constituent un catalogue de bonnes pratiques que chacun peut appliquer ou non.

Les bonnes pratiques sont généralement l’apanage des autorités publiques en fonction de leur périmètre d’intervention. En France parmi les plus productifs on mentionnera l’Anssi (en tapant le mot clé « recommandations » sur le site vous en trouverez 157) et la Cnil. Le guide d’hygiène informatique de l’Anssi, même s’il mériterait une mise à jour (la V2 date de 2017), est toujours un référentiel pertinent.

Enfin la règlementation elle-même fixe un certain nombre de règles à respecter. Si l’on prend l’exemple du RGPD et de son article 32, les obligations sont assez précises :

  • des outils techniques appropriés tels que la pseudonymisation ou le chiffrement ;
  • des moyens permettant le rétablissement ou la résilience (PCA et PRA notamment) ;
  • des procédures telles que des test ou des audits.

Mais les choses vont en s’aggravant pour les équipes IT.

En effet, passé assez inaperçu, le point 5 de l’article 13 du règlement DORA, précise que

« 5. Les membres de l’encadrement supérieur responsables des TIC rendent compte au moins une fois par an, à l’organe de direction, des constatations visées au paragraphe 3 et formulent des recommandations. ».

Le paragraphe 3 vise un nombre impressionnant de constations : résultat de tests, REX sur les incidents réels, incident lors de la mise en œuvre des PCA, PRA ou plan de réponse …

Même si le règlement DORA ne s’applique qu’au secteur banque / finance / assurance il témoigne d’une nouvelle donne : celle de responsabiliser d’avantage les équipes IT et au premier rang les DSI et les RSSI.

Je proposerais bien en forme de conclusion à mes amis DSI ou RSSI de réclamer une prime de risque mais je crains fort qu’ils ne se heurtent à un mur.

Alors je leur suggèrerais 3 autres pistes de réflexion pour alléger leur angoisse :

  1. demander toujours plus de moyens (dans la limite du raisonnable) qu’ils n’obtiendront pas. Mais au moins ils pourront dire qu’il n’avaient pas les moyens nécessaires à accomplir leur mission ;
  2. adresser au moins une fois par an un rapport d’activité orienté cyber menace pour ne pas être pris en défaut de conseil à leur employeur. Il ne le lira probablement pas ou alors sans le comprendre mais là : anticiper c’est prévoir…
  3. choisir des prestataires IT compétents. Il s’agit ici de sélectionner les prestataires IT tiers avec le plus de soin possible.

Suggestion de contenus

IA va continuer à transformer les équipes de développement

Du « boulier » à la « tronçonneuse » : comment l’IA ...

Entre biologie et numérique quel avenir pour le marché du biohacking

Entre biologie et numérique, quel avenir pour le mar...

Olivier Siegler Directeur de lAccélération Digitale et des Systèmes dInformation Groupe Pierre Fabre

Chez Pierre Fabre, l’IA booste la R&D, mais pas...

Chronique AI World Summit

AI World Summit 2024 : l’IA à l’épreuve du sens

éthique pour le numérique au service de la santé mentale

Quels usages et quelle éthique pour le numérique au ...

Le BSA sinsurge contre une modification du RGPD

Le BSA s’insurge contre une modification du RGPD

Les pistes de Numeum pour un retour à la croissance

Innovation par l’IA, recrutement de talents, constru...

Exclusion numérique des personnes en situation de handicap

Exclusion numérique des personnes en situation de ha...