SlideShare una empresa de Scribd logo

Responsabilisation des données confidentielles en entreprise (Étienne Dubreuil)

Hackfest Communication
Hackfest Communication

Cette conférence traitera principalement de la responsabilité des dirigeants d’entreprise à l’égard des technologies de l’information, tout spécifiquement concernant la protection des informations confidentielles que détient l’entreprise. Nous examinerons comment le conseil d’administration devrait aborder cette question, quels sont les enjeux juridiques et quelles seraient les règles qui devraient guider le conseil d’administration dans cette démarche. Enfin, nous dégagerons certaines recommandations pratiques qui permettront aux dirigeants d’entreprise d’instaurer une certaine discipline à l’égard de la protection de l’information, y compris l’accès aux actifs informationnels.

TecnologíaEmpresarialesEconomía y finanzas
1 de 40
CONFÉRENCE HACKFEST 2010 (Québec, 5 novembre 2010) © Étienne Dubreuil - 2010
CONFÉRENCE HACKFEST 2010 La régie d’entreprise et la sécurité relative aux actifs informationnels 2
Ce dont on parle • La régie d’entreprise, ainsi que le rôle et la responsabilité du conseil d’administration à l’égard des technologies de l’information • Les actifs informationnels et les dangers intrinsèques qu’ils posent – L’élément humain – L’actif physique et logique (hardware – software) 3
Ce dont on parle • L’intégration des actifs informationnels aux activités de l’entreprise ou mieux: l’inverse • Revue très brève de la diligence raisonnable nécessaire à l’exonération de responsabilité • Conclusion – Certaines recommandations pratiques 4
Régie d’entreprise • On l’appelle régie d ‘entreprise ou gouvernance, c’est-à- dire un ensemble de règles qui s’imposent au conseil d’administration à l’intérieur de l’obligation de gestion • Le conseil est l’organe responsable en premier lieu des activités de l’entreprise tant à l’égard des actionnaires qu’à l’égard des tiers (employés, créanciers, etc.) • Il doit administrer les affaires de l’entreprise avec habileté, prudence et diligence* • Voir à cet effet les articles 123.84 Loi sur les compagnies, article 321C.c.Q., article 322C.c.Q., article 119 La nouvelle loi des compagnies du Québec et article 122 Loi canadienne sur les sociétés par actions. 5
Régie d’entreprise • Quelles sont les balises de la prudence et de la diligence requise ? • Il s’agit de la responsabilité pour les affaires de l’entreprise, le résultat de sa négligence d’avoir effectué ou pris ou mis en place les mesures raisonnables afin d’éviter qu’un dommage soit créé à une tierce partie ou à l’entreprise 6
Régie d’entreprise • Pour le sujet qui nous concerne, cela signifie à la limite d’avoir pris les moyens raisonnables pour éviter que l’entreprise elle-même propage un virus informatique ou encore que les employés ou autres personnes sous son contrôle utilisent les actifs informationnels pour créer un dommage à une tierce partie ou à l’entreprise • Pour les fins de la discussion, j’englobe sous le vocable « virus » toutes les formes de logiciels malicieux 7
Régie d’entreprise • Alors que la responsabilité mentionnée plus haut peut être considérée comme une responsabilité active, on doit aussi considérer les dommages qui peuvent être créés à l’entreprise par une responsabilité passive, c’est- à-dire le défaut d’avoir pris les moyens de protéger l’entreprise elle-même à l’égard d’intrusion ou de contamination par virus – La responsabilité [extracontractuelle] en la matière pourra donc prendre la forme • du bris de l’obligation de l’entreprise à ne pas soumettre une tierce partie à un risque non raisonnable de contamination par virus 8
Régie d’entreprise • le défaut de l’entreprise de se conformer aux normes raisonnables applicables en la matière – Et qu’il en résulte un dommage à une tierce partie • Même si la responsabilité du conseil d’administration n’est pas nécessairement engagée, la responsabilité de l’entreprise peut être engagée par une mauvaise utilisation des technologies de l’information 9
Régie d’entreprise • Il y a lieu de rappeler que la loi américaine Sarbanes- Oxley Act requiert la certification de la part du CEO et du CFO d’une entreprise dont les titres se transigent publiquement à l’effet que l’entreprise possède des contrôles adéquats à l’égard de ses données corporatives (financières) • Une prochaine étape semble prendre forme pour traiter spécifiquement de la sécurité de l’information corporative et des processus pour ce faire (certification non seulement du résultat mais des contrôles et procédures utilisés) 10
Les actifs informationnels • L’ÉLÉMENT HUMAIN – En droit québécois, l’article 1463C.c.Q. rend l’employeur responsable à l’égard des tiers de la faute de ses « préposés » – Bien que l’employeur ait un recours contre l’employé fautif par rapport au tiers, c’est l’employeur qui est responsable de la réparation du dommage 11
Les actifs informationnels • L’ÉLÉMENT HUMAIN – Certaines statistiques nous permettent de croire que plusieurs intrusions dans les systèmes informatiques de l’entreprise y compris la contamination de ses systèmes par virus peuvent parvenir des employés** **Voir la Surveillance de l’Utilisation d’Internet au Travail en bibliographie référence, p.20, #24, faite à Robert Richardson « the 2008 CSI/FBI Computer Crime and Security Survey » 50 % des entreprises américaines auraient été victimes d’une attaque par virus alors que 44 % auraient été responsables d’une mauvaise utilisation du système informatique par leurs propres employés 12
Les actifs informationnels • L’ÉLÉMENT HUMAIN – L’entreprise devrait instaurer des normes de sécurité organisationnelle, ce qui s’effectuera par l’élaboration de politiques et de procédures – Le but est de responsabiliser les employés, donc : • leur faire prendre conscience des enjeux ayant trait à la responsabilité de l’entreprise et • de leur rappeler leur propre responsabilité personnelle puisque l’utilisation des actifs informationnels par l’employé à l’extérieur de la politique ou contraire à cette dernière pourrait donner lieu à des sanctions disciplinaires 13
Les actifs informationnels • L’ÉLÉMENT HUMAIN – Quant à la procédure relative à une telle sécurité organisationnelle, elle doit graviter autour d’une ligne d’autorité claire attribuée à un ou des employés de haut niveau de la direction – Une politique d’entreprise devrait couvrir ce qui suit: • la revue systématique et la mise à jour des secteurs qui requièrent une protection pour l’entreprise y compris les protocoles d’intervention dans l’éventualité de bris de procédure ou incident 14
Les actifs informationnels • L’ÉLÉMENT HUMAIN • un rappel annuel de la politique et des procédures lors de l’évaluation des employés de la même façon qu’on fait le rappel des obligations de loyauté et de confidentialité • somme toute, rappeler aux employés que les actifs informationnels physiques et logiques sont mis à leur disposition pour leur permettre d’effectuer leur prestation de travail 15
Les actifs informationnels • L’ÉLÉMENT HUMAIN • à cet égard, l’entreprise devrait avoir une procédure prévoyant le nettoyage de disques durs suite au départ ou lors de l’échange de quincaillerie afin de s’assurer de la destruction du matériel sensible lui appartenant Pour une liste intéressante de procédures et politiques, voir Guide Juridique du Commerçant Électronique en bibliographie. 16
Les actifs informationnels • L’ACTIF PHYSIQUE ET LOGIQUE – Pour fins de compréhension, lorsque nous parlons des actifs physiques nous parlons en fait du parc informatique de l’entreprise y compris l’accès au réseau et la mise en réseau – À tout le moins l’entreprise devrait-elle connaître avec certitude le contenu de son parc informatique – Le nombre de licences de logiciels devrait correspondre aux équipements – La personne responsable de ces actifs doit être facilement identifiable 17
Les actifs informationnels • L’ACTIF PHYSIQUE ET LOGIQUE – La sécurité du parc informatique constitue un investissement puisqu’il assure la protection des bases de données de l’entreprise, lesquelles sont constituées de toutes ses activités, listes de clients, prix, facturation, états financiers, plan d’affaire, informations personnelles liées aux ressources humaines, salaires, paies, etc. 18
Les actifs informationnels • L’ACTIF PHYSIQUE ET LOGIQUE – Au minimum une gestion prudente devrait impliquer la constitution de dossiers de sauvegarde, hébergement et un plan de relève dans l’éventualité d’un désastre, mais encore 19
Les actifs informationnels • L’ACTIF PHYSIQUE ET LOGIQUE – L’étude et de l’implantation des logiciels nécessaires pour éviter les intrusions, le vol d’informations ou encore la publication non-autorisée d’informations confidentielles*** ***Voir à cet égard les Secrets de Commerce et Renseignements Confidentiels F. George Sayegh cité en bibliographie 20
Les actifs informationnels • L’ACTIF PHYSIQUE ET LOGIQUE – Plus spécifiquement sur les secrets de commerce et les informations confidentielles, les entreprises admettront rarement publiquement aux intrusions ou au vol de leurs secrets de commerce ou encore des informations confidentielles dont elles disposent – En matière de secret de commerce, Internet constitue un média de choix pour faire perdre la qualité de secret ou de confidentialité à une information que l’on valorise et que l’on veut autrement protéger contre la divulgation publique 21
Les actifs informationnels • L’ACTIF PHYSIQUE ET LOGIQUE – Cette protection peut être imposée par un contrat lorsqu’il s’agit de l’information d’un tiers ou encore un actif important pour l’entreprise 22
La Diligence Nécessaire • SECRET DE COMMERCE – De façon générale, un secret de commerce doit faire l’objet d’efforts « raisonnables » et « constants » afin de conserver son caractère confidentiel et secret – Des efforts raisonnables doivent être soutenus et devraient faire l’objet de la procédure et de la politique de l’entreprise quant au traitement et la divulgation – En matière de secret de commerce entre autres, la divulgation ne devrait se faire qu’à ceux qui ont un besoin de connaître le secret 23
La diligence nécessaire • SECRET DE COMMERCE – La divulgation à une tierce partie ne devrait pas être soumise à un terme permettant à ce tiers d’être relevé de son obligation de confidentialité 24
La diligence nécessaire QUELS SONT LES SEUILS DE PROTECTION REQUIS? •Prenons comme hypothèse – qu’aucun système n’est impénétrable – que les systèmes sont souvent inter-reliés – que l’intrusion dans un système peut permettre l’intrusion dans un autre système •Malgré que la protection des systèmes informatiques constitue un investissement, elle n’en constitue pas moins un coût et une dépense substantielle pour l’entreprise 25
La diligence nécessaire QUELS SONT LES SEUILS DE PROTECTION REQUIS? • Le coût de protection des systèmes requiert des choix parfois difficiles puisque, pour l’entreprise, c’est l’ensemble du système qu’il faut protéger • Est-il alors raisonnable de penser qu’un système peut être à l’épreuve de toutes vulnérabilités? Une certaine réflexion s’impose • La prévention a elle-même ses limites, qu’elles soient technologiques ou économiques 26
La diligence nécessaire QUELS SONT LES SEUILS DE PROTECTION REQUIS? • Il existe peu de forum à l’intérieur desquels les entreprises peuvent facilement échanger sur le sujet • Le coût d’acquisition des technologies sécuritaires est ordinairement plus dispendieux • Les technologies sécuritaires sont ordinairement moins conviviales et comme certains l’ont déjà écrit, le retour sur l’investissement en matière de sécurité des systèmes informatiques est moins facilement mesurable que sur d’autres actifs de l’entreprise 27
La diligence nécessaire L’ANALYSE DE LA DILIGENCE RAISONNABLE REQUISE • Comme nous l’avons dit précédemment, le législateur a fixé une norme de conduite pour le conseil d’administration ou pour l’administrateur à savoir la prudence, la diligence et la bonne foi • Le mot prudence contient la notion de sagesse et de conduite raisonnable, c’est-à-dire une conduite réfléchie • Les juristes s’entendront pour dire que l’on ne demande pas aux administrateurs de tout connaître ni d’être un expert dans tous les secteurs, mais on exige d’eux qu’ils agissent avec prudence et diligence 28
La diligence nécessaire L’ANALYSE DE LA DILIGENCE RAISONNABLE REQUISE • À tout le moins impose-t-on à l’administrateur l’obligation de se renseigner adéquatement, afin qu’il puisse prendre une décision éclairée • Lorsqu’il est approprié, on doit obtenir l’information requise ainsi que les conseils d’une personne compétente afin de permettre la prise d’une décision éclairée 29
La diligence nécessaire L’ANALYSE DE LA DILIGENCE RAISONNABLE REQUISE • Notre droit des sociétés permet à l’administrateur de se fier aux rapports qui lui ont été donnés par des experts sur le sujet sur lequel il est appelé à prendre une décision • Ce que les américains ont appelé le « business judgment rule », c’est-à-dire une véritable obligation qu’on impose aux administrateurs comme devoir de se procurer toute l’information raisonnablement disponible 30
La diligence nécessaire L’ANALYSE DE LA DILIGENCE RAISONNABLE REQUISE • D’agir autrement serait négligeant et imprudent, la négligence impliquant nécessairement une conduite qui est déraisonnablement risquée • Il nous semble raisonnable de croire que les fournisseurs de systèmes informatiques devraient connaître les limites de leurs produits (logiques et physiques) de telle sorte qu’ils ne devraient pas soumettre l’acquéreur à un risque déraisonnable d’infection par virus 31
La diligence nécessaire L’ANALYSE DE LA DILIGENCE RAISONNABLE REQUISE • Cela peut sans doute poser problème à l’égard des logiciels qui sont transmis par internet • À l’inverse, l’acquéreur d’un tel produit devrait s’enquérir des risques • Dans la mesure où un fournisseur de services soumet, par son action ou son inaction, une autre partie à un risque déraisonnable de contamination par virus, alors il y aurait faute en ce que le fournisseur de services n’aurait pas une conduite d’une personne raisonnablement prudente 32
La diligence nécessaire L’ANALYSE DE LA DILIGENCE RAISONNABLE REQUISE • Il faut se rappeler ici que le fournisseur serait présumé connaître les défauts du produit qu’il fournit • En revanche, le secteur de l’informatique n’est pas statique, il est toujours en évolution, de telle sorte qu’il y aura toujours une mouvance et un balancier qui imposera à l’un, le fournisseur, de faire évoluer son produit afin d’éviter le risque de contamination dans la mesure du possible selon les règles connues de la technologie 33
La diligence nécessaire L’ANALYSE DE LA DILIGENCE RAISONNABLE REQUISE • D’autre part, l’acquéreur aura l’obligation de s’enquérir des limites et de l’évolution du produit du fournisseur afin de pouvoir mieux évaluer les risques d’intrusion ou d’infection avec le passage du temps • C’est entre ces deux pôles que se situe la gestion prudente, laquelle tiendra compte évidemment des limites de la science informatique, ainsi que des pratiques sophistiquées sans cesse croissantes des cybercriminels 34
La diligence nécessaire L’ANALYSE DE LA DILIGENCE RAISONNABLE REQUISE • Les conseils d’administration devraient donc prévoir périodiquement directement ou par l’intermédiaire d’un comité une revue des éléments pertinents aux activités du groupe responsable des technologies de l’information**** ****Voir à cet égard Directors Duties in Canada, 3rd edition cité à la bibliographie 35
La diligence nécessaire L’ANALYSE DE LA DILIGENCE RAISONNABLE REQUISE • Les règles de meilleures pratiques suggèrent aux conseils d’administration de s’interroger périodiquement sur les tendances en technologies de l’information ainsi que le positionnement de l’entreprise en rapport avec ces dernières • Le conseil devrait développer des indicateurs clés de la performance du département ou service responsable des technologies de l’information et des méthodes d’étalonnage utilisées selon les standards de l’industrie***** *****Par exemple: Virus Bulletin (http://www.virusbtn.com) 36
La diligence nécessaire L’ANALYSE DE LA DILIGENCE RAISONNABLE REQUISE • Le conseil devrait considérer la possibilité de créer un sous-comité responsable des technologies de l’information et s’assurer que la responsabilité de régie d’entreprise en matière de technologies de l’information a été assignée à des personnes d’un rang suffisamment élevé dans l’entreprise pour en permettre une discussion sérieuse au conseil d’administration 37
Conclusion • La cybercriminalité est une réalité; • Les risques d’intrusion ne s’en vont pas en s’amoindrissant; • La question est suffisamment d’intérêt pour avoir provoqué aux États-Unis l’idée d’un sommet international sur la cybercriminalité; • La cybersécurité constitue un élément clé du succès des économies mais le coût des solutions peut être très onéreux; 38
Conclusion • Il faut favoriser la recherche sur le sujet et faciliter l’échange de données avec les contrôles nécessaires; • Le sujet devrait être envisagé au même titre que la recherche et l’échange de données pour éviter les pandémies, favoriser le dépistage et le traitement des autres types de virus; • La question n’est pas simplement juridique. 39
BIBLIOGRAPHIE Power, Michael E., 2006. Access to information and privacy. Éditions LexisNexis, novembre; Sookman, Barry B. Computer, Internet and Electronic Commerce Law. Éditions Carswell, vol 1; Sookman, Barry B. Computer, Internet and Electronic Commerce Law. Éditions Carswell, vol 2; Sookman, Barry B. Computer, Internet and Electronic Commerce Law. Éditions Carswell, vol 3; Reither, Barry. Director’s Duties In Cananda, 3rd édition. Éditions CCH Canadian Limited, 2006; Poulin, Daniel. Labbé, Éric. Jacquot, François. Bourque, Jean-François, 2e trimestre 2003. Guide juridique du commerçant électronique, Les Éditions Thémis; Radin, Margaret Jane. Rothchild, John A. Silverman, Gregory M, 2004. Intellectual Property and the Internet, Éditiosn Thompson West; Bueckert, Melanie R., septembre 2009. Law of Employee Monitoring in Canada (the), Éditions LexisNexis; Sayegh, F. Georges, 4e trimestre 2006. Secrets de commerce et les renseignements confidentiels (Les), Les Éditions Yvons Blais; Rompré, Sophie, 4e trimestre 2009. Surveillance de l’utilisation d’Internet au travail (La), Les Éditions Yvons Blais; Schwartz, Paul M. Janges, Edward J., 2006-2007. Notification of Security Breaches, 105 Mich. L. Rev. 913. 40

Recomendados

Slide Reunion d'Information d'Affaires
Slide Reunion d'Information d'Affaires Slide Reunion d'Information d'Affaires
Slide Reunion d'Information d'Affaires oladis_biz
 
H code présentation
H code présentationH code présentation
H code présentationJean-Marie Hermelin
 
Lab prog activi
Lab prog activiLab prog activi
Lab prog activi2223cathy
 
Actividadsemana2. curso virtual las tic
Actividadsemana2. curso virtual las ticActividadsemana2. curso virtual las tic
Actividadsemana2. curso virtual las ticAlberto Galvis
 
Cuestionario cop
Cuestionario copCuestionario cop
Cuestionario copI.E. JOSÉ HOLGUÍN GARCÉS
 
Colombia pluriétnica y multicultural
Colombia pluriétnica y multiculturalColombia pluriétnica y multicultural
Colombia pluriétnica y multiculturalI.E. JOSÉ HOLGUÍN GARCÉS
 
Stratégiénet cci aube_300611
Stratégiénet cci aube_300611Stratégiénet cci aube_300611
Stratégiénet cci aube_300611ludovic bour
 
Baromètre complet du jeu video en France by IDATE & SNJV - Edition 2014
Baromètre complet du jeu video en France by IDATE & SNJV - Edition 2014Baromètre complet du jeu video en France by IDATE & SNJV - Edition 2014
Baromètre complet du jeu video en France by IDATE & SNJV - Edition 2014IDATE DigiWorld
 

Recomendados

Slide Reunion d'Information d'Affaires
Slide Reunion d'Information d'Affaires Slide Reunion d'Information d'Affaires
Slide Reunion d'Information d'Affaires oladis_biz
 
H code présentation
H code présentationH code présentation
H code présentationJean-Marie Hermelin
 
Lab prog activi
Lab prog activiLab prog activi
Lab prog activi2223cathy
 
Actividadsemana2. curso virtual las tic
Actividadsemana2. curso virtual las ticActividadsemana2. curso virtual las tic
Actividadsemana2. curso virtual las ticAlberto Galvis
 
Cuestionario cop
Cuestionario copCuestionario cop
Cuestionario copI.E. JOSÉ HOLGUÍN GARCÉS
 
Colombia pluriétnica y multicultural
Colombia pluriétnica y multiculturalColombia pluriétnica y multicultural
Colombia pluriétnica y multiculturalI.E. JOSÉ HOLGUÍN GARCÉS
 
Stratégiénet cci aube_300611
Stratégiénet cci aube_300611Stratégiénet cci aube_300611
Stratégiénet cci aube_300611ludovic bour
 
Baromètre complet du jeu video en France by IDATE & SNJV - Edition 2014
Baromètre complet du jeu video en France by IDATE & SNJV - Edition 2014Baromètre complet du jeu video en France by IDATE & SNJV - Edition 2014
Baromètre complet du jeu video en France by IDATE & SNJV - Edition 2014IDATE DigiWorld
 
2011 03-11 complementario
2011 03-11 complementario2011 03-11 complementario
2011 03-11 complementarioMisión Peruana del Norte
 
Pps cesaire 2011-12 compressé
Pps cesaire 2011-12 compresséPps cesaire 2011-12 compressé
Pps cesaire 2011-12 compresséZEGHBAB
 
Sylvie Niombo - Azur dev cta
Sylvie Niombo - Azur dev ctaSylvie Niombo - Azur dev cta
Sylvie Niombo - Azur dev ctaTechnical Centre for Agricultural and Rural Cooperation ACP-EU (CTA)
 
Animauxethumains
AnimauxethumainsAnimauxethumains
AnimauxethumainsDenise Rivera
 
Pixlr : retoucher facilement ses images en ligne.
Pixlr : retoucher facilement ses images en ligne.Pixlr : retoucher facilement ses images en ligne.
Pixlr : retoucher facilement ses images en ligne.E2m Gig
 
Finale 2010
Finale 2010Finale 2010
Finale 2010TutorialesZaragoza
 
Solution de micropaiement pour éditeurs de site web
Solution de micropaiement pour éditeurs de site webSolution de micropaiement pour éditeurs de site web
Solution de micropaiement pour éditeurs de site webSociété Gibmedia
 
Competencias siglo XXI presentación a estudiantes
Competencias siglo XXI presentación a estudiantesCompetencias siglo XXI presentación a estudiantes
Competencias siglo XXI presentación a estudiantesIETI AJC Olga Lucía Lloreda
 
Leibniz o newton
Leibniz o newtonLeibniz o newton
Leibniz o newtonMtra. Zoraida Gpe. Mtz
 
Estado actual de OSM Paraguay
Estado actual de OSM ParaguayEstado actual de OSM Paraguay
Estado actual de OSM ParaguaySimgia http://www.simgia.com/
 
Biscaia
BiscaiaBiscaia
BiscaiaESCOLA SEGIMON COMAS Sant Quirze de Besora
 
Violencia intrafamiliar
Violencia intrafamiliarViolencia intrafamiliar
Violencia intrafamiliarPresidenta basica Metodologia B
 
Soirée compétition mars 2010
Soirée compétition mars 2010Soirée compétition mars 2010
Soirée compétition mars 2010sellig26
 
Informe mc kinsey español
Informe mc kinsey españolInforme mc kinsey español
Informe mc kinsey españolelgatoplomo
 
Tribus del omo
Tribus del omoTribus del omo
Tribus del omoLuis Fernando Tascón Montes
 
A. Mach - La fin des "trentes glorieuses" et la crise des années 1990
A. Mach - La fin des "trentes glorieuses" et la crise des années 1990A. Mach - La fin des "trentes glorieuses" et la crise des années 1990
A. Mach - La fin des "trentes glorieuses" et la crise des années 1990infoclio.ch
 
Still life 2 techniques
Still life 2 techniquesStill life 2 techniques
Still life 2 techniquesavalanchequeen
 
Manualdenegociacion
ManualdenegociacionManualdenegociacion
ManualdenegociacionPedro poves
 
ESTEM5A PART 1 POLITIQUE DE securite informatique.ppt
ESTEM5A PART 1 POLITIQUE DE securite informatique.pptESTEM5A PART 1 POLITIQUE DE securite informatique.ppt
ESTEM5A PART 1 POLITIQUE DE securite informatique.pptNourAkka1
 
Comment appliquer le principe du Privacy By Design
Comment appliquer le principe du Privacy By DesignComment appliquer le principe du Privacy By Design
Comment appliquer le principe du Privacy By DesignThierry RAMARD
 
Guide RGPD - IAB France
Guide RGPD - IAB FranceGuide RGPD - IAB France
Guide RGPD - IAB FranceRomain Fonnier
 
Livre Blanc- Règlement Général européen sur la Protection des Données
Livre Blanc- Règlement Général européen sur la Protection des DonnéesLivre Blanc- Règlement Général européen sur la Protection des Données
Livre Blanc- Règlement Général européen sur la Protection des DonnéesTerface
 

Más contenido relacionado

Destacado

Pps cesaire 2011-12 compressé
Pps cesaire 2011-12 compresséPps cesaire 2011-12 compressé
Pps cesaire 2011-12 compresséZEGHBAB
 
Pixlr : retoucher facilement ses images en ligne.
Pixlr : retoucher facilement ses images en ligne.Pixlr : retoucher facilement ses images en ligne.
Pixlr : retoucher facilement ses images en ligne.E2m Gig
 
Solution de micropaiement pour éditeurs de site web
Solution de micropaiement pour éditeurs de site webSolution de micropaiement pour éditeurs de site web
Solution de micropaiement pour éditeurs de site webSociété Gibmedia
 
Competencias siglo XXI presentación a estudiantes
Competencias siglo XXI presentación a estudiantesCompetencias siglo XXI presentación a estudiantes
Competencias siglo XXI presentación a estudiantesIETI AJC Olga Lucía Lloreda
 
Soirée compétition mars 2010
Soirée compétition mars 2010Soirée compétition mars 2010
Soirée compétition mars 2010sellig26
 
Informe mc kinsey español
Informe mc kinsey españolInforme mc kinsey español
Informe mc kinsey españolelgatoplomo
 
A. Mach - La fin des "trentes glorieuses" et la crise des années 1990
A. Mach - La fin des "trentes glorieuses" et la crise des années 1990A. Mach - La fin des "trentes glorieuses" et la crise des années 1990
A. Mach - La fin des "trentes glorieuses" et la crise des années 1990infoclio.ch
 
Still life 2 techniques
Still life 2 techniquesStill life 2 techniques
Still life 2 techniquesavalanchequeen
 
Manualdenegociacion
ManualdenegociacionManualdenegociacion
ManualdenegociacionPedro poves
 

Destacado (18)

2011 03-11 complementario
2011 03-11 complementario2011 03-11 complementario
2011 03-11 complementario
 
Pps cesaire 2011-12 compressé
Pps cesaire 2011-12 compresséPps cesaire 2011-12 compressé
Pps cesaire 2011-12 compressé
 
Sylvie Niombo - Azur dev cta
Sylvie Niombo - Azur dev ctaSylvie Niombo - Azur dev cta
Sylvie Niombo - Azur dev cta
 
Animauxethumains
AnimauxethumainsAnimauxethumains
Animauxethumains
 
Pixlr : retoucher facilement ses images en ligne.
Pixlr : retoucher facilement ses images en ligne.Pixlr : retoucher facilement ses images en ligne.
Pixlr : retoucher facilement ses images en ligne.
 
Finale 2010
Finale 2010Finale 2010
Finale 2010
 
Solution de micropaiement pour éditeurs de site web
Solution de micropaiement pour éditeurs de site webSolution de micropaiement pour éditeurs de site web
Solution de micropaiement pour éditeurs de site web
 
Competencias siglo XXI presentación a estudiantes
Competencias siglo XXI presentación a estudiantesCompetencias siglo XXI presentación a estudiantes
Competencias siglo XXI presentación a estudiantes
 
Leibniz o newton
Leibniz o newtonLeibniz o newton
Leibniz o newton
 
Estado actual de OSM Paraguay
Estado actual de OSM ParaguayEstado actual de OSM Paraguay
Estado actual de OSM Paraguay
 
Biscaia
BiscaiaBiscaia
Biscaia
 
Violencia intrafamiliar
Violencia intrafamiliarViolencia intrafamiliar
Violencia intrafamiliar
 
Soirée compétition mars 2010
Soirée compétition mars 2010Soirée compétition mars 2010
Soirée compétition mars 2010
 
Informe mc kinsey español
Informe mc kinsey españolInforme mc kinsey español
Informe mc kinsey español
 
Tribus del omo
Tribus del omoTribus del omo
Tribus del omo
 
A. Mach - La fin des "trentes glorieuses" et la crise des années 1990
A. Mach - La fin des "trentes glorieuses" et la crise des années 1990A. Mach - La fin des "trentes glorieuses" et la crise des années 1990
A. Mach - La fin des "trentes glorieuses" et la crise des années 1990
 
Still life 2 techniques
Still life 2 techniquesStill life 2 techniques
Still life 2 techniques
 
Manualdenegociacion
ManualdenegociacionManualdenegociacion
Manualdenegociacion
 

Similar a Responsabilisation des données confidentielles en entreprise (Étienne Dubreuil)

ESTEM5A PART 1 POLITIQUE DE securite informatique.ppt
ESTEM5A PART 1 POLITIQUE DE securite informatique.pptESTEM5A PART 1 POLITIQUE DE securite informatique.ppt
ESTEM5A PART 1 POLITIQUE DE securite informatique.pptNourAkka1
 
Comment appliquer le principe du Privacy By Design
Comment appliquer le principe du Privacy By DesignComment appliquer le principe du Privacy By Design
Comment appliquer le principe du Privacy By DesignThierry RAMARD
 
Guide RGPD - IAB France
Guide RGPD - IAB FranceGuide RGPD - IAB France
Guide RGPD - IAB FranceRomain Fonnier
 
Livre Blanc- Règlement Général européen sur la Protection des Données
Livre Blanc- Règlement Général européen sur la Protection des DonnéesLivre Blanc- Règlement Général européen sur la Protection des Données
Livre Blanc- Règlement Général européen sur la Protection des DonnéesTerface
 
Sécurité des systèmes d'information
Sécurité des systèmes d'informationSécurité des systèmes d'information
Sécurité des systèmes d'informationFranck Franchin
 
Guide d'hygiène informatique - ANSSI - 2014
Guide d'hygiène informatique - ANSSI - 2014 Guide d'hygiène informatique - ANSSI - 2014
Guide d'hygiène informatique - ANSSI - 2014 polenumerique33
 
Rapport trimestriel IBM X-Force sur les renseignements relatifs aux menaces
Rapport trimestriel IBM X-Force sur les renseignements relatifs aux menacesRapport trimestriel IBM X-Force sur les renseignements relatifs aux menaces
Rapport trimestriel IBM X-Force sur les renseignements relatifs aux menacesAndréanne Clarke
 
Rapport trimestriel IBM X-Force sur les renseignements relatifs aux menaces
Rapport trimestriel IBM X-Force sur les renseignements relatifs aux menacesRapport trimestriel IBM X-Force sur les renseignements relatifs aux menaces
Rapport trimestriel IBM X-Force sur les renseignements relatifs aux menacesAndréanne Clarke
 
WEBINAR : APPRENEZ A MAITRISER LES QUESTIONNAIRES RGPD POUR GAGNER DES MARCHE...
WEBINAR : APPRENEZ A MAITRISER LES QUESTIONNAIRES RGPD POUR GAGNER DES MARCHE...WEBINAR : APPRENEZ A MAITRISER LES QUESTIONNAIRES RGPD POUR GAGNER DES MARCHE...
WEBINAR : APPRENEZ A MAITRISER LES QUESTIONNAIRES RGPD POUR GAGNER DES MARCHE...Jean-Marc PROVENT
 
earlegal#7 - Sécurité informatique : entre obligations et opportunités. Comm...
earlegal#7 - Sécurité informatique : entre obligations et opportunités. Comm...earlegal#7 - Sécurité informatique : entre obligations et opportunités. Comm...
earlegal#7 - Sécurité informatique : entre obligations et opportunités. Comm...Lexing - Belgium
 
Les Réseaux Sociaux Numériques d’Entreprise : Liberté d’expression des sal...
Les Réseaux Sociaux Numériques d’Entreprise : Liberté d’expression des sal...Les Réseaux Sociaux Numériques d’Entreprise : Liberté d’expression des sal...
Les Réseaux Sociaux Numériques d’Entreprise : Liberté d’expression des sal...Elodie Heitz
 
guide_hygiene_informatique_anssi.pdf
guide_hygiene_informatique_anssi.pdfguide_hygiene_informatique_anssi.pdf
guide_hygiene_informatique_anssi.pdfkhalid el hatmi
 
Guide hygiene informatique_anssi
Guide hygiene informatique_anssiGuide hygiene informatique_anssi
Guide hygiene informatique_anssiGaudefroy Ariane
 
Guide hygiene informatique Anssi
Guide hygiene informatique AnssiGuide hygiene informatique Anssi
Guide hygiene informatique AnssiAgathe Mercante
 
294701714-Controle-Interne-Systeme-d-Information-Et-COBIT.pptx
294701714-Controle-Interne-Systeme-d-Information-Et-COBIT.pptx294701714-Controle-Interne-Systeme-d-Information-Et-COBIT.pptx
294701714-Controle-Interne-Systeme-d-Information-Et-COBIT.pptxhajarbouladass
 
"Take the L.E.A.D." l'offre globale de Sedona
"Take the L.E.A.D." l'offre globale de Sedona"Take the L.E.A.D." l'offre globale de Sedona
"Take the L.E.A.D." l'offre globale de SedonaAgence West
 
Ol19 g formation-ibmi-securite-audit-journalisation-et-integrite-des-donnees
Ol19 g formation-ibmi-securite-audit-journalisation-et-integrite-des-donneesOl19 g formation-ibmi-securite-audit-journalisation-et-integrite-des-donnees
Ol19 g formation-ibmi-securite-audit-journalisation-et-integrite-des-donneesCERTyou Formation
 

Similar a Responsabilisation des données confidentielles en entreprise (Étienne Dubreuil) (20)

ESTEM5A PART 1 POLITIQUE DE securite informatique.ppt
ESTEM5A PART 1 POLITIQUE DE securite informatique.pptESTEM5A PART 1 POLITIQUE DE securite informatique.ppt
ESTEM5A PART 1 POLITIQUE DE securite informatique.ppt
 
Comment appliquer le principe du Privacy By Design
Comment appliquer le principe du Privacy By DesignComment appliquer le principe du Privacy By Design
Comment appliquer le principe du Privacy By Design
 
Guide RGPD - IAB France
Guide RGPD - IAB FranceGuide RGPD - IAB France
Guide RGPD - IAB France
 
Livre Blanc- Règlement Général européen sur la Protection des Données
Livre Blanc- Règlement Général européen sur la Protection des DonnéesLivre Blanc- Règlement Général européen sur la Protection des Données
Livre Blanc- Règlement Général européen sur la Protection des Données
 
Sécurité des systèmes d'information
Sécurité des systèmes d'informationSécurité des systèmes d'information
Sécurité des systèmes d'information
 
Guide d'hygiène informatique - ANSSI - 2014
Guide d'hygiène informatique - ANSSI - 2014 Guide d'hygiène informatique - ANSSI - 2014
Guide d'hygiène informatique - ANSSI - 2014
 
Rapport trimestriel IBM X-Force sur les renseignements relatifs aux menaces
Rapport trimestriel IBM X-Force sur les renseignements relatifs aux menacesRapport trimestriel IBM X-Force sur les renseignements relatifs aux menaces
Rapport trimestriel IBM X-Force sur les renseignements relatifs aux menaces
 
Rapport trimestriel IBM X-Force sur les renseignements relatifs aux menaces
Rapport trimestriel IBM X-Force sur les renseignements relatifs aux menacesRapport trimestriel IBM X-Force sur les renseignements relatifs aux menaces
Rapport trimestriel IBM X-Force sur les renseignements relatifs aux menaces
 
Le modèle cobit
Le modèle cobitLe modèle cobit
Le modèle cobit
 
WEBINAR : APPRENEZ A MAITRISER LES QUESTIONNAIRES RGPD POUR GAGNER DES MARCHE...
WEBINAR : APPRENEZ A MAITRISER LES QUESTIONNAIRES RGPD POUR GAGNER DES MARCHE...WEBINAR : APPRENEZ A MAITRISER LES QUESTIONNAIRES RGPD POUR GAGNER DES MARCHE...
WEBINAR : APPRENEZ A MAITRISER LES QUESTIONNAIRES RGPD POUR GAGNER DES MARCHE...
 
earlegal#7 - Sécurité informatique : entre obligations et opportunités. Comm...
earlegal#7 - Sécurité informatique : entre obligations et opportunités. Comm...earlegal#7 - Sécurité informatique : entre obligations et opportunités. Comm...
earlegal#7 - Sécurité informatique : entre obligations et opportunités. Comm...
 
Les Réseaux Sociaux Numériques d’Entreprise : Liberté d’expression des sal...
Les Réseaux Sociaux Numériques d’Entreprise : Liberté d’expression des sal...Les Réseaux Sociaux Numériques d’Entreprise : Liberté d’expression des sal...
Les Réseaux Sociaux Numériques d’Entreprise : Liberté d’expression des sal...
 
guide_hygiene_informatique_anssi.pdf
guide_hygiene_informatique_anssi.pdfguide_hygiene_informatique_anssi.pdf
guide_hygiene_informatique_anssi.pdf
 
Conférence 16.11.2011
Conférence 16.11.2011Conférence 16.11.2011
Conférence 16.11.2011
 
Guide hygiene informatique_anssi
Guide hygiene informatique_anssiGuide hygiene informatique_anssi
Guide hygiene informatique_anssi
 
Guide hygiene informatique Anssi
Guide hygiene informatique AnssiGuide hygiene informatique Anssi
Guide hygiene informatique Anssi
 
Guide hygiene informatique_anssi
Guide hygiene informatique_anssiGuide hygiene informatique_anssi
Guide hygiene informatique_anssi
 
294701714-Controle-Interne-Systeme-d-Information-Et-COBIT.pptx
294701714-Controle-Interne-Systeme-d-Information-Et-COBIT.pptx294701714-Controle-Interne-Systeme-d-Information-Et-COBIT.pptx
294701714-Controle-Interne-Systeme-d-Information-Et-COBIT.pptx
 
"Take the L.E.A.D." l'offre globale de Sedona
"Take the L.E.A.D." l'offre globale de Sedona"Take the L.E.A.D." l'offre globale de Sedona
"Take the L.E.A.D." l'offre globale de Sedona
 
Ol19 g formation-ibmi-securite-audit-journalisation-et-integrite-des-donnees
Ol19 g formation-ibmi-securite-audit-journalisation-et-integrite-des-donneesOl19 g formation-ibmi-securite-audit-journalisation-et-integrite-des-donnees
Ol19 g formation-ibmi-securite-audit-journalisation-et-integrite-des-donnees
 

Más de Hackfest Communication

Du fuzzing dans les tests d'intrusions? (Éric Gingras)
Du fuzzing dans les tests d'intrusions? (Éric Gingras)Du fuzzing dans les tests d'intrusions? (Éric Gingras)
Du fuzzing dans les tests d'intrusions? (Éric Gingras)Hackfest Communication
 
Quelles lois sont applicables au hacker? Énormément moins que tu penses. (Bot...
Quelles lois sont applicables au hacker? Énormément moins que tu penses. (Bot...Quelles lois sont applicables au hacker? Énormément moins que tu penses. (Bot...
Quelles lois sont applicables au hacker? Énormément moins que tu penses. (Bot...Hackfest Communication
 
Conservation et la circulation des renseignements personnels des services de ...
Conservation et la circulation des renseignements personnels des services de ...Conservation et la circulation des renseignements personnels des services de ...
Conservation et la circulation des renseignements personnels des services de ...Hackfest Communication
 
Stack Smashing Protector (Paul Rascagneres)
Stack Smashing Protector (Paul Rascagneres)Stack Smashing Protector (Paul Rascagneres)
Stack Smashing Protector (Paul Rascagneres)Hackfest Communication
 
Mots de passe et mécanismes d’authentification (Thomas Pornin)
Mots de passe et mécanismes d’authentification (Thomas Pornin)Mots de passe et mécanismes d’authentification (Thomas Pornin)
Mots de passe et mécanismes d’authentification (Thomas Pornin)Hackfest Communication
 
Comment détecter des virus inconnus en utilisant des « honey pots » et d’autr...
Comment détecter des virus inconnus en utilisant des « honey pots » et d’autr...Comment détecter des virus inconnus en utilisant des « honey pots » et d’autr...
Comment détecter des virus inconnus en utilisant des « honey pots » et d’autr...Hackfest Communication
 
Comment détecter des virus inconnus en utilisant des « Honeypots » et d’autre...
Comment détecter des virus inconnus en utilisant des « Honeypots » et d’autre...Comment détecter des virus inconnus en utilisant des « Honeypots » et d’autre...
Comment détecter des virus inconnus en utilisant des « Honeypots » et d’autre...Hackfest Communication
 
PostNet, une nouvelle ère de Botnet résilient (Julien Desfossez & David Goulet)
PostNet, une nouvelle ère de Botnet résilient (Julien Desfossez & David Goulet)PostNet, une nouvelle ère de Botnet résilient (Julien Desfossez & David Goulet)
PostNet, une nouvelle ère de Botnet résilient (Julien Desfossez & David Goulet)Hackfest Communication
 
La détection d'intrusions est-elle morte en 2003 ? (Éric Gingras)
La détection d'intrusions est-elle morte en 2003 ? (Éric Gingras)La détection d'intrusions est-elle morte en 2003 ? (Éric Gingras)
La détection d'intrusions est-elle morte en 2003 ? (Éric Gingras)Hackfest Communication
 
Le GPU à la rescousse du CPU (Charles Demers-Tremblay)
Le GPU à la rescousse du CPU (Charles Demers-Tremblay)Le GPU à la rescousse du CPU (Charles Demers-Tremblay)
Le GPU à la rescousse du CPU (Charles Demers-Tremblay)Hackfest Communication
 
802.1X filaire, un monde idéal illusoire? (Olivier Bilodeau)
802.1X filaire, un monde idéal illusoire? (Olivier Bilodeau)802.1X filaire, un monde idéal illusoire? (Olivier Bilodeau)
802.1X filaire, un monde idéal illusoire? (Olivier Bilodeau)Hackfest Communication
 

Más de Hackfest Communication (14)

Hackerspace jan-2013
Hackerspace jan-2013Hackerspace jan-2013
Hackerspace jan-2013
 
Hackfest @ WAQ2011
Hackfest @ WAQ2011Hackfest @ WAQ2011
Hackfest @ WAQ2011
 
Du fuzzing dans les tests d'intrusions? (Éric Gingras)
Du fuzzing dans les tests d'intrusions? (Éric Gingras)Du fuzzing dans les tests d'intrusions? (Éric Gingras)
Du fuzzing dans les tests d'intrusions? (Éric Gingras)
 
Quelles lois sont applicables au hacker? Énormément moins que tu penses. (Bot...
Quelles lois sont applicables au hacker? Énormément moins que tu penses. (Bot...Quelles lois sont applicables au hacker? Énormément moins que tu penses. (Bot...
Quelles lois sont applicables au hacker? Énormément moins que tu penses. (Bot...
 
Broken by design (Danny Fullerton)
Broken by design (Danny Fullerton)Broken by design (Danny Fullerton)
Broken by design (Danny Fullerton)
 
Conservation et la circulation des renseignements personnels des services de ...
Conservation et la circulation des renseignements personnels des services de ...Conservation et la circulation des renseignements personnels des services de ...
Conservation et la circulation des renseignements personnels des services de ...
 
Stack Smashing Protector (Paul Rascagneres)
Stack Smashing Protector (Paul Rascagneres)Stack Smashing Protector (Paul Rascagneres)
Stack Smashing Protector (Paul Rascagneres)
 
Mots de passe et mécanismes d’authentification (Thomas Pornin)
Mots de passe et mécanismes d’authentification (Thomas Pornin)Mots de passe et mécanismes d’authentification (Thomas Pornin)
Mots de passe et mécanismes d’authentification (Thomas Pornin)
 
Comment détecter des virus inconnus en utilisant des « honey pots » et d’autr...
Comment détecter des virus inconnus en utilisant des « honey pots » et d’autr...Comment détecter des virus inconnus en utilisant des « honey pots » et d’autr...
Comment détecter des virus inconnus en utilisant des « honey pots » et d’autr...
 
Comment détecter des virus inconnus en utilisant des « Honeypots » et d’autre...
Comment détecter des virus inconnus en utilisant des « Honeypots » et d’autre...Comment détecter des virus inconnus en utilisant des « Honeypots » et d’autre...
Comment détecter des virus inconnus en utilisant des « Honeypots » et d’autre...
 
PostNet, une nouvelle ère de Botnet résilient (Julien Desfossez & David Goulet)
PostNet, une nouvelle ère de Botnet résilient (Julien Desfossez & David Goulet)PostNet, une nouvelle ère de Botnet résilient (Julien Desfossez & David Goulet)
PostNet, une nouvelle ère de Botnet résilient (Julien Desfossez & David Goulet)
 
La détection d'intrusions est-elle morte en 2003 ? (Éric Gingras)
La détection d'intrusions est-elle morte en 2003 ? (Éric Gingras)La détection d'intrusions est-elle morte en 2003 ? (Éric Gingras)
La détection d'intrusions est-elle morte en 2003 ? (Éric Gingras)
 
Le GPU à la rescousse du CPU (Charles Demers-Tremblay)
Le GPU à la rescousse du CPU (Charles Demers-Tremblay)Le GPU à la rescousse du CPU (Charles Demers-Tremblay)
Le GPU à la rescousse du CPU (Charles Demers-Tremblay)
 
802.1X filaire, un monde idéal illusoire? (Olivier Bilodeau)
802.1X filaire, un monde idéal illusoire? (Olivier Bilodeau)802.1X filaire, un monde idéal illusoire? (Olivier Bilodeau)
802.1X filaire, un monde idéal illusoire? (Olivier Bilodeau)
 

Responsabilisation des données confidentielles en entreprise (Étienne Dubreuil)

  • 1. CONFÉRENCE HACKFEST 2010 (Québec, 5 novembre 2010) © Étienne Dubreuil - 2010
  • 2. CONFÉRENCE HACKFEST 2010 La régie d’entreprise et la sécurité relative aux actifs informationnels 2
  • 3. Ce dont on parle • La régie d’entreprise, ainsi que le rôle et la responsabilité du conseil d’administration à l’égard des technologies de l’information • Les actifs informationnels et les dangers intrinsèques qu’ils posent – L’élément humain – L’actif physique et logique (hardware – software) 3
  • 4. Ce dont on parle • L’intégration des actifs informationnels aux activités de l’entreprise ou mieux: l’inverse • Revue très brève de la diligence raisonnable nécessaire à l’exonération de responsabilité • Conclusion – Certaines recommandations pratiques 4
  • 5. Régie d’entreprise • On l’appelle régie d ‘entreprise ou gouvernance, c’est-à- dire un ensemble de règles qui s’imposent au conseil d’administration à l’intérieur de l’obligation de gestion • Le conseil est l’organe responsable en premier lieu des activités de l’entreprise tant à l’égard des actionnaires qu’à l’égard des tiers (employés, créanciers, etc.) • Il doit administrer les affaires de l’entreprise avec habileté, prudence et diligence* • Voir à cet effet les articles 123.84 Loi sur les compagnies, article 321C.c.Q., article 322C.c.Q., article 119 La nouvelle loi des compagnies du Québec et article 122 Loi canadienne sur les sociétés par actions. 5
  • 6. Régie d’entreprise • Quelles sont les balises de la prudence et de la diligence requise ? • Il s’agit de la responsabilité pour les affaires de l’entreprise, le résultat de sa négligence d’avoir effectué ou pris ou mis en place les mesures raisonnables afin d’éviter qu’un dommage soit créé à une tierce partie ou à l’entreprise 6
  • 7. Régie d’entreprise • Pour le sujet qui nous concerne, cela signifie à la limite d’avoir pris les moyens raisonnables pour éviter que l’entreprise elle-même propage un virus informatique ou encore que les employés ou autres personnes sous son contrôle utilisent les actifs informationnels pour créer un dommage à une tierce partie ou à l’entreprise • Pour les fins de la discussion, j’englobe sous le vocable « virus » toutes les formes de logiciels malicieux 7
  • 8. Régie d’entreprise • Alors que la responsabilité mentionnée plus haut peut être considérée comme une responsabilité active, on doit aussi considérer les dommages qui peuvent être créés à l’entreprise par une responsabilité passive, c’est- à-dire le défaut d’avoir pris les moyens de protéger l’entreprise elle-même à l’égard d’intrusion ou de contamination par virus – La responsabilité [extracontractuelle] en la matière pourra donc prendre la forme • du bris de l’obligation de l’entreprise à ne pas soumettre une tierce partie à un risque non raisonnable de contamination par virus 8
  • 9. Régie d’entreprise • le défaut de l’entreprise de se conformer aux normes raisonnables applicables en la matière – Et qu’il en résulte un dommage à une tierce partie • Même si la responsabilité du conseil d’administration n’est pas nécessairement engagée, la responsabilité de l’entreprise peut être engagée par une mauvaise utilisation des technologies de l’information 9
  • 10. Régie d’entreprise • Il y a lieu de rappeler que la loi américaine Sarbanes- Oxley Act requiert la certification de la part du CEO et du CFO d’une entreprise dont les titres se transigent publiquement à l’effet que l’entreprise possède des contrôles adéquats à l’égard de ses données corporatives (financières) • Une prochaine étape semble prendre forme pour traiter spécifiquement de la sécurité de l’information corporative et des processus pour ce faire (certification non seulement du résultat mais des contrôles et procédures utilisés) 10
  • 11. Les actifs informationnels • L’ÉLÉMENT HUMAIN – En droit québécois, l’article 1463C.c.Q. rend l’employeur responsable à l’égard des tiers de la faute de ses « préposés » – Bien que l’employeur ait un recours contre l’employé fautif par rapport au tiers, c’est l’employeur qui est responsable de la réparation du dommage 11
  • 12. Les actifs informationnels • L’ÉLÉMENT HUMAIN – Certaines statistiques nous permettent de croire que plusieurs intrusions dans les systèmes informatiques de l’entreprise y compris la contamination de ses systèmes par virus peuvent parvenir des employés** **Voir la Surveillance de l’Utilisation d’Internet au Travail en bibliographie référence, p.20, #24, faite à Robert Richardson « the 2008 CSI/FBI Computer Crime and Security Survey » 50 % des entreprises américaines auraient été victimes d’une attaque par virus alors que 44 % auraient été responsables d’une mauvaise utilisation du système informatique par leurs propres employés 12
  • 13. Les actifs informationnels • L’ÉLÉMENT HUMAIN – L’entreprise devrait instaurer des normes de sécurité organisationnelle, ce qui s’effectuera par l’élaboration de politiques et de procédures – Le but est de responsabiliser les employés, donc : • leur faire prendre conscience des enjeux ayant trait à la responsabilité de l’entreprise et • de leur rappeler leur propre responsabilité personnelle puisque l’utilisation des actifs informationnels par l’employé à l’extérieur de la politique ou contraire à cette dernière pourrait donner lieu à des sanctions disciplinaires 13
  • 14. Les actifs informationnels • L’ÉLÉMENT HUMAIN – Quant à la procédure relative à une telle sécurité organisationnelle, elle doit graviter autour d’une ligne d’autorité claire attribuée à un ou des employés de haut niveau de la direction – Une politique d’entreprise devrait couvrir ce qui suit: • la revue systématique et la mise à jour des secteurs qui requièrent une protection pour l’entreprise y compris les protocoles d’intervention dans l’éventualité de bris de procédure ou incident 14
  • 15. Les actifs informationnels • L’ÉLÉMENT HUMAIN • un rappel annuel de la politique et des procédures lors de l’évaluation des employés de la même façon qu’on fait le rappel des obligations de loyauté et de confidentialité • somme toute, rappeler aux employés que les actifs informationnels physiques et logiques sont mis à leur disposition pour leur permettre d’effectuer leur prestation de travail 15
  • 16. Les actifs informationnels • L’ÉLÉMENT HUMAIN • à cet égard, l’entreprise devrait avoir une procédure prévoyant le nettoyage de disques durs suite au départ ou lors de l’échange de quincaillerie afin de s’assurer de la destruction du matériel sensible lui appartenant Pour une liste intéressante de procédures et politiques, voir Guide Juridique du Commerçant Électronique en bibliographie. 16
  • 17. Les actifs informationnels • L’ACTIF PHYSIQUE ET LOGIQUE – Pour fins de compréhension, lorsque nous parlons des actifs physiques nous parlons en fait du parc informatique de l’entreprise y compris l’accès au réseau et la mise en réseau – À tout le moins l’entreprise devrait-elle connaître avec certitude le contenu de son parc informatique – Le nombre de licences de logiciels devrait correspondre aux équipements – La personne responsable de ces actifs doit être facilement identifiable 17
  • 18. Les actifs informationnels • L’ACTIF PHYSIQUE ET LOGIQUE – La sécurité du parc informatique constitue un investissement puisqu’il assure la protection des bases de données de l’entreprise, lesquelles sont constituées de toutes ses activités, listes de clients, prix, facturation, états financiers, plan d’affaire, informations personnelles liées aux ressources humaines, salaires, paies, etc. 18
  • 19. Les actifs informationnels • L’ACTIF PHYSIQUE ET LOGIQUE – Au minimum une gestion prudente devrait impliquer la constitution de dossiers de sauvegarde, hébergement et un plan de relève dans l’éventualité d’un désastre, mais encore 19
  • 20. Les actifs informationnels • L’ACTIF PHYSIQUE ET LOGIQUE – L’étude et de l’implantation des logiciels nécessaires pour éviter les intrusions, le vol d’informations ou encore la publication non-autorisée d’informations confidentielles*** ***Voir à cet égard les Secrets de Commerce et Renseignements Confidentiels F. George Sayegh cité en bibliographie 20
  • 21. Les actifs informationnels • L’ACTIF PHYSIQUE ET LOGIQUE – Plus spécifiquement sur les secrets de commerce et les informations confidentielles, les entreprises admettront rarement publiquement aux intrusions ou au vol de leurs secrets de commerce ou encore des informations confidentielles dont elles disposent – En matière de secret de commerce, Internet constitue un média de choix pour faire perdre la qualité de secret ou de confidentialité à une information que l’on valorise et que l’on veut autrement protéger contre la divulgation publique 21
  • 22. Les actifs informationnels • L’ACTIF PHYSIQUE ET LOGIQUE – Cette protection peut être imposée par un contrat lorsqu’il s’agit de l’information d’un tiers ou encore un actif important pour l’entreprise 22
  • 23. La Diligence Nécessaire • SECRET DE COMMERCE – De façon générale, un secret de commerce doit faire l’objet d’efforts « raisonnables » et « constants » afin de conserver son caractère confidentiel et secret – Des efforts raisonnables doivent être soutenus et devraient faire l’objet de la procédure et de la politique de l’entreprise quant au traitement et la divulgation – En matière de secret de commerce entre autres, la divulgation ne devrait se faire qu’à ceux qui ont un besoin de connaître le secret 23
  • 24. La diligence nécessaire • SECRET DE COMMERCE – La divulgation à une tierce partie ne devrait pas être soumise à un terme permettant à ce tiers d’être relevé de son obligation de confidentialité 24
  • 25. La diligence nécessaire QUELS SONT LES SEUILS DE PROTECTION REQUIS? •Prenons comme hypothèse – qu’aucun système n’est impénétrable – que les systèmes sont souvent inter-reliés – que l’intrusion dans un système peut permettre l’intrusion dans un autre système •Malgré que la protection des systèmes informatiques constitue un investissement, elle n’en constitue pas moins un coût et une dépense substantielle pour l’entreprise 25
  • 26. La diligence nécessaire QUELS SONT LES SEUILS DE PROTECTION REQUIS? • Le coût de protection des systèmes requiert des choix parfois difficiles puisque, pour l’entreprise, c’est l’ensemble du système qu’il faut protéger • Est-il alors raisonnable de penser qu’un système peut être à l’épreuve de toutes vulnérabilités? Une certaine réflexion s’impose • La prévention a elle-même ses limites, qu’elles soient technologiques ou économiques 26
  • 27. La diligence nécessaire QUELS SONT LES SEUILS DE PROTECTION REQUIS? • Il existe peu de forum à l’intérieur desquels les entreprises peuvent facilement échanger sur le sujet • Le coût d’acquisition des technologies sécuritaires est ordinairement plus dispendieux • Les technologies sécuritaires sont ordinairement moins conviviales et comme certains l’ont déjà écrit, le retour sur l’investissement en matière de sécurité des systèmes informatiques est moins facilement mesurable que sur d’autres actifs de l’entreprise 27
  • 28. La diligence nécessaire L’ANALYSE DE LA DILIGENCE RAISONNABLE REQUISE • Comme nous l’avons dit précédemment, le législateur a fixé une norme de conduite pour le conseil d’administration ou pour l’administrateur à savoir la prudence, la diligence et la bonne foi • Le mot prudence contient la notion de sagesse et de conduite raisonnable, c’est-à-dire une conduite réfléchie • Les juristes s’entendront pour dire que l’on ne demande pas aux administrateurs de tout connaître ni d’être un expert dans tous les secteurs, mais on exige d’eux qu’ils agissent avec prudence et diligence 28
  • 29. La diligence nécessaire L’ANALYSE DE LA DILIGENCE RAISONNABLE REQUISE • À tout le moins impose-t-on à l’administrateur l’obligation de se renseigner adéquatement, afin qu’il puisse prendre une décision éclairée • Lorsqu’il est approprié, on doit obtenir l’information requise ainsi que les conseils d’une personne compétente afin de permettre la prise d’une décision éclairée 29
  • 30. La diligence nécessaire L’ANALYSE DE LA DILIGENCE RAISONNABLE REQUISE • Notre droit des sociétés permet à l’administrateur de se fier aux rapports qui lui ont été donnés par des experts sur le sujet sur lequel il est appelé à prendre une décision • Ce que les américains ont appelé le « business judgment rule », c’est-à-dire une véritable obligation qu’on impose aux administrateurs comme devoir de se procurer toute l’information raisonnablement disponible 30
  • 31. La diligence nécessaire L’ANALYSE DE LA DILIGENCE RAISONNABLE REQUISE • D’agir autrement serait négligeant et imprudent, la négligence impliquant nécessairement une conduite qui est déraisonnablement risquée • Il nous semble raisonnable de croire que les fournisseurs de systèmes informatiques devraient connaître les limites de leurs produits (logiques et physiques) de telle sorte qu’ils ne devraient pas soumettre l’acquéreur à un risque déraisonnable d’infection par virus 31
  • 32. La diligence nécessaire L’ANALYSE DE LA DILIGENCE RAISONNABLE REQUISE • Cela peut sans doute poser problème à l’égard des logiciels qui sont transmis par internet • À l’inverse, l’acquéreur d’un tel produit devrait s’enquérir des risques • Dans la mesure où un fournisseur de services soumet, par son action ou son inaction, une autre partie à un risque déraisonnable de contamination par virus, alors il y aurait faute en ce que le fournisseur de services n’aurait pas une conduite d’une personne raisonnablement prudente 32
  • 33. La diligence nécessaire L’ANALYSE DE LA DILIGENCE RAISONNABLE REQUISE • Il faut se rappeler ici que le fournisseur serait présumé connaître les défauts du produit qu’il fournit • En revanche, le secteur de l’informatique n’est pas statique, il est toujours en évolution, de telle sorte qu’il y aura toujours une mouvance et un balancier qui imposera à l’un, le fournisseur, de faire évoluer son produit afin d’éviter le risque de contamination dans la mesure du possible selon les règles connues de la technologie 33
  • 34. La diligence nécessaire L’ANALYSE DE LA DILIGENCE RAISONNABLE REQUISE • D’autre part, l’acquéreur aura l’obligation de s’enquérir des limites et de l’évolution du produit du fournisseur afin de pouvoir mieux évaluer les risques d’intrusion ou d’infection avec le passage du temps • C’est entre ces deux pôles que se situe la gestion prudente, laquelle tiendra compte évidemment des limites de la science informatique, ainsi que des pratiques sophistiquées sans cesse croissantes des cybercriminels 34
  • 35. La diligence nécessaire L’ANALYSE DE LA DILIGENCE RAISONNABLE REQUISE • Les conseils d’administration devraient donc prévoir périodiquement directement ou par l’intermédiaire d’un comité une revue des éléments pertinents aux activités du groupe responsable des technologies de l’information**** ****Voir à cet égard Directors Duties in Canada, 3rd edition cité à la bibliographie 35
  • 36. La diligence nécessaire L’ANALYSE DE LA DILIGENCE RAISONNABLE REQUISE • Les règles de meilleures pratiques suggèrent aux conseils d’administration de s’interroger périodiquement sur les tendances en technologies de l’information ainsi que le positionnement de l’entreprise en rapport avec ces dernières • Le conseil devrait développer des indicateurs clés de la performance du département ou service responsable des technologies de l’information et des méthodes d’étalonnage utilisées selon les standards de l’industrie***** *****Par exemple: Virus Bulletin (http://www.virusbtn.com) 36
  • 37. La diligence nécessaire L’ANALYSE DE LA DILIGENCE RAISONNABLE REQUISE • Le conseil devrait considérer la possibilité de créer un sous-comité responsable des technologies de l’information et s’assurer que la responsabilité de régie d’entreprise en matière de technologies de l’information a été assignée à des personnes d’un rang suffisamment élevé dans l’entreprise pour en permettre une discussion sérieuse au conseil d’administration 37
  • 38. Conclusion • La cybercriminalité est une réalité; • Les risques d’intrusion ne s’en vont pas en s’amoindrissant; • La question est suffisamment d’intérêt pour avoir provoqué aux États-Unis l’idée d’un sommet international sur la cybercriminalité; • La cybersécurité constitue un élément clé du succès des économies mais le coût des solutions peut être très onéreux; 38
  • 39. Conclusion • Il faut favoriser la recherche sur le sujet et faciliter l’échange de données avec les contrôles nécessaires; • Le sujet devrait être envisagé au même titre que la recherche et l’échange de données pour éviter les pandémies, favoriser le dépistage et le traitement des autres types de virus; • La question n’est pas simplement juridique. 39
  • 40. BIBLIOGRAPHIE Power, Michael E., 2006. Access to information and privacy. Éditions LexisNexis, novembre; Sookman, Barry B. Computer, Internet and Electronic Commerce Law. Éditions Carswell, vol 1; Sookman, Barry B. Computer, Internet and Electronic Commerce Law. Éditions Carswell, vol 2; Sookman, Barry B. Computer, Internet and Electronic Commerce Law. Éditions Carswell, vol 3; Reither, Barry. Director’s Duties In Cananda, 3rd édition. Éditions CCH Canadian Limited, 2006; Poulin, Daniel. Labbé, Éric. Jacquot, François. Bourque, Jean-François, 2e trimestre 2003. Guide juridique du commerçant électronique, Les Éditions Thémis; Radin, Margaret Jane. Rothchild, John A. Silverman, Gregory M, 2004. Intellectual Property and the Internet, Éditiosn Thompson West; Bueckert, Melanie R., septembre 2009. Law of Employee Monitoring in Canada (the), Éditions LexisNexis; Sayegh, F. Georges, 4e trimestre 2006. Secrets de commerce et les renseignements confidentiels (Les), Les Éditions Yvons Blais; Rompré, Sophie, 4e trimestre 2009. Surveillance de l’utilisation d’Internet au travail (La), Les Éditions Yvons Blais; Schwartz, Paul M. Janges, Edward J., 2006-2007. Notification of Security Breaches, 105 Mich. L. Rev. 913. 40