Des textes et des autorités érigent la sécurité des systèmes d’information en obligations, qui peuvent déboucher sur des sanctions.
Les dernières évolutions réglementaires ont fait naître de nouvelles obligations en matière de sécurité des systèmes d’information, rappellent le cabinet Mazars et l’éditeur Wallix. La nécessité de protéger ses infrastructures devient, au-delà des impératifs classiques de sécurité, un élément indispensable pour être en conformité avec les critères d’une directive, d’une loi ou d’une institution.
« Face à l’inflation normative en matière de contrôle interne et de maîtrise des risques, l’entreprise se voit dans l’obligation de mettre en place une véritable gouvernance de ses systèmes d’information », confirme François Nogaret, associé chez Mazars. Les systèmes d’information ne sont donc plus cantonnés à leur seul périmètre informationnel : ils s’imposent comme des éléments clefs des stratégies des entreprises, en lien avec les exigences formulées par des tiers.
La directive Solvabilité 2, dont l’impact s’annonce majeur dans l’univers de l’assurance, requiert de garantir la robustesse des systèmes d’information, essentiels dans le cadre des calculs relatifs aux fonds propres des acteurs concernés. Des dispositifs relatifs à la gestion des accès et à la gestion des sauvegardes doivent ainsi être prévus, tout comme un plan de continuité de l’activité. Cette dernière notion est, au-delà de cette directive, essentielle pour les firmes, qui doivent être en mesure de pouvoir fonctionner même en cas de problème sur l’infrastructure.
Dans le secteur des loisirs numériques, l’Autorité de régulation des jeux en ligne (Arjel) requiert pour sa part un archivage en temps réel des traces techniques des évènements clés relatifs à la formation du solde attaché à chaque compte joueur, sur du matériel situé en France métropolitaine. Les installations doivent par ailleurs être déclarées conformes, chaque année, au cahier des charges par un organisme indépendant. On retrouve ici la problématique de la sécurité du cloud computing, dont se sont emparés certains hébergeurs. Un lien doit par ailleurs pouvoir être établi entre un identifiant technique et la personne physique responsable d’actions.
Dès 2002, la loi relative à l’hébergement des données de santé à caractère personnel mettait quant à elle l’accent sur la nécessité de garantir la pérennité et la confidentialité des informations. En faisant porter cette obligation sur les hébergeurs, le texte s’attaque directement aux gérants des infrastructures : au-delà des classiques obligations relatives aux mesures de contrôle des droits d’accès, la vérification des tentatives d’effractions et d’accès non autorisés a été prévue par le législateur.
Ces trois exemples ont pour point commun la question de la traçabilité. Ayant pour objet le marquage des objets informatiques pour indiquer leur appartenance et leur origine, ainsi que la consignation des opérations permettant de pouvoir retrouver leurs auteurs, elle requiert des qualités d’exactitude et de pertinence, afin d’être en mesure d’accéder immédiatement à l’information recherchée.
Les fonctions informatiques, juridiques, financières et comptables sont donc appelées à travailler en plus étroite collaboration afin de garantir la conformité des systèmes d’information de leur entreprise avec les règlementations leur étant applicables.