Droit social et nouvelles technologiesProtection des données à caractère personnelSécurité des systèmes d'informationUncategorized

« Chartes informatiques » en entreprise : contre la cybercriminalité, le temps n’est (malheureusement) plus aux demi-mesures…

La cybercriminalité et la menace qu’elle fait peser sur les entreprises de toutes tailles s’inscrivent maintenant dans la réalité de la vie économique. Si, en France, certains chefs d’entreprise pouvaient se dire que les conséquences dramatiques des piratages de Target ou de Sony Entertainment Pictures ne les concernaient pas et qu’ils n’avaient pas à en tirer toutes les conséquences, le piratage de grande ampleur mené contre TV5 Monde a prouvé, a contrario, que la France n’était pas épargnée. Elle a surtout démontré que les attaques informatiques pouvaient avoir d’autres finalités que de subtiliser des secrets industriels ou des données personnelles, soit par exemple mettre à mal, voire détruire l’activité et l’outil industriel de l’entreprise.

Face à ces risques et aux piratages que l’on met parfois plusieurs mois à découvrir et dont les différentes études chiffrent les coûts à plusieurs milliards d’euros (cf. la dernière étude de KPMG sur les coûts de la cybercriminalité visant les entreprises belges (1)), le gouvernement Français a réagi, en renforçant aussi bien la taille et les pouvoirs de l’Agence Nationale de Sécurité des Systèmes d’Information (ANSSI) que la réglementation(2) ou encore que les sanctions théoriques applicables (à l’occasion des lois de lutte contre le terrorisme d’une part et sur le renseignement d’autre part), même si les sanctions réellement prononcées sont bien plus faibles.

Plus globalement, dans quelques semaines sera rendue publique par le Premier Ministre la Stratégie Nationale pour la sécurité numérique. Devrait entre autres être annoncé à cette occasion un ensemble de mesures, dont le renforcement de la sensibilisation de l’utilisateur à ces problématiques.

Inévitablement, les attentes seront donc de plus en plus fortes envers les entreprises afin que celles-ci se dotent, si ce n’est déjà fait, de moyens renforcés pour analyser les menaces informatiques et y faire face. Les sanctions pourront également s’abattre sur les entreprises ne se conformant pas à ces règles. Ainsi, le projet de « Règlement sur la protection des données », destiné à unifier dès sa mise en application prévue a priori pour fin 2017-début 2018 le droit de tous les pays de l’Union européenne en la matière, prévoit-il notamment des exigences drastiques de traçabilité des opérations effectuées sur les données à caractère personnel, leur sécurité, la notification au régulateur, voire au public, des cas de « piratage » de ces données. Ces exigences sont assorties de sanctions financières pouvant aller, suivant les versions du texte actuellement en phase de finalisation, jusqu’à 5% du montant du Chiffre d’Affaires mondial de l’entreprise.

Les magistrats poussent aussi à cette sécurisation, par les moyens qui sont à leur disposition. Ainsi la chambre criminelle de la Cour de cassation, faisant faire un virage à 180° à sa jurisprudence pourtant établie depuis plus de 20 ans, a-t-elle décidé le 19 mars 2014 qu’en matière d’infraction contre les biens tel que le piratage informatique, le défaut de protection est une faute qui diminue d’autant le montant des dommages-intérêts auxquels peut prétendre la victime en réparation de son préjudice. Les juges de la Cour suprême forcent ainsi le chemin des entreprises en faisant dépendre la protection juridique de la sécurité des systèmes d’information de leur niveau de sécurisation technique.

Face à ces risques et ces contraintes, certaines entreprises ont réagi depuis longtemps, alors que d’autres tardent encore à le faire. Pour faire face aux impacts majeurs qu’une atteinte à leur patrimoine informationnel, voire à leur outil de production via un piratage informatique pourrait causer, elles investissent donc massivement dans les solutions techniques (SIEM(3), DLP,  etc.) ou encore organisationnelles (mise en place d’un SMSI, d’une certification ISO 27001, voire mise en place de CSIRT, SOC, etc.) afin d’établir des stratégies de protection efficaces.

Elles sensibilisent également leurs salariés, car leur rôle en la matière est prépondérant : d’un côté ils peuvent identifier et avertir d’une attaque en cours, voire la déjouer, de l’autre ils peuvent en être la victime ou contribuer, volontairement ou non, à l’attaque des systèmes d’information de l’employeur.

Les chiffres sont éloquents : selon la 8ème édition de l’étude annuelle sur l’évolution de la cybercriminalité « Data Breach Investigations Report » de l’opérateur américain Verizon(4), le « phishing » est actuellement à l’origine de plus des deux tiers des opérations de cyberespionnage. Rappelons que le phishing (hameçonnage ou encore filoutage) est une technique d’ingénierie sociale utilisée par des fraudeurs pour obtenir des renseignements confidentiels (codes d’identification tels que codes bancaires) dans le but de s’introduire sur des réseaux sécurisés ou de commettre des usurpations d’identité. Et cela marche : malgré toutes les démarches de sensibilisation, 23% des destinataires ont ouvert un courriel d’hameçonnage en 2014 et 11% ont cliqué sur la pièce jointe, souvent infectieuse.

Ces chiffres ne sont d’ailleurs pas loin de ceux obtenus lors d’un test de ce type mené par le PMU auprès de ses salariés en mai 2015 : 22 % d’entre eux ont ouvert la pièce jointe associée au courriel piégé, qui leur promettait de participer à un jeu leur permettant de gagner un iPad. Et 6 % des employés – soit quelque 120 personnes – ont cliqué sur le lien présent dans cette pièce jointe et ont renseigné leurs coordonnées… 

Détecter pour mieux réagir, anticiper pour pouvoir sanctionner efficacement

Certes, les solutions techniques et organisationnelles sont de plus en plus présentes au sein des entreprises, et les Politiques de Sécurité des Systèmes d’Information (PSSI) sont réécrites au sein des organisations pour prendre en compte et répondre aux nouveaux risques, mais également aux nouveaux comportements (réseaux sociaux, BYOD, instruments connectés personnels utilisés à des fins professionnelles ou inversement tels que lunettes, chaussure ou montres, etc.). Leurs directives d’application fixent ainsi le cadre de la cybersécurité à appliquer dans l’entreprise et surtout organisent les contrôles nécessaires afin de s’en assurer et répondre à ces défis.

Mais, en pratique, l’efficacité de tous ces processus et moyens mis en œuvre risque de se voir sérieusement amputée, voire complètement annihilée. Certaines entreprises, en s’arrêtant à ces seuls éléments, négligent en effet un aspect fondamental de la réponse à incident. Ce n’est pas l’importance du facteur humain, prépondérant, et précédemment abordé. Mais c’est celui de la possibilité juridique réelle d’appliquer les dispositifs et contrôles qu’elle a soigneusement pensés et d’en tirer les conséquences en sanctionnant les abus et défauts de sécurité.

Comment ? Pourquoi ? Tout simplement car appliquer les préceptes actuels de la sécurité(5) conduit à mettre en place un fort contrôle de l’activité de chacun sur les systèmes d’information de l’employeur… et donc indirectement de contrôler l’activité du salarié. Or, ce contrôle nécessite le respect d’un formalisme préalable strict, dépendant à la fois du Code du travail et de la loi du 6 janvier 1978 dite Informatique et Libertés.

Ainsi, pour être en mesure de pouvoir faire fonctionner un système de collecte et de corrélation avancé de logs tel qu’un SIEM, encore faut-il que les logs produites l’aient été en accord avec la réglementation applicable sur les données à caractère personnel (respect de formalités spécifiques auprès de la CNIL, le cas échéant), que leur exploitation, si elle conduit à une sanction d’un personnel, ait été préalablement et formellement présentée aux institutions représentatives du personnel (art. 2323-32 alinéa 3 du Code du travail(6)) et que le salarié en ait été préalablement informé (art. 1222-4 du Code du travail(7)).

A défaut du respect de ces règles, la personne dont le comportement est à l’origine de l’incident de sécurité sera certes désignée et sanctionnée (licenciement dans le pire des cas)… mais que vaudra cette sanction ? En pratique, dans nombre d’hypothèses, l’histoire est bien loin d’être finie et le salarié qui la contesterait fera reconnaître que la preuve est nulle et non avenue devant les juridictions prud’homales, faisant tomber la cause de licenciement, quelles que puissent être ses exactions. En fonction des circonstances, il pourra même obtenir une indemnisation conséquente.

Le résultat pour l’entreprise qui n’aurait pas anticipé cette situation risque d’être dévastateur, une culture de l’impunité ou du laisser-faire pouvant se développer face à ses sanctions qui révèlent leur inefficacité quelques années après.

Ai-je le droit d’accéder aux contenus privés ? Et d’ailleurs, que regroupe cette notion de « contenus privés » ?

Encore faut-il considérer que, très souvent, les règles sur l’accès aux contenus d’un salarié, que ceux-ci soient professionnels, personnels ou encore privés, sont méconnues aussi bien des salariés que souvent des informaticiens (« administrateurs systèmes ») qui interviennent en pratique sur les systèmes quand un incident survient. Ai-je le droit d’effacer un virus qui se répand dans le système à partir des fichiers privés d’un salarié ? D’appliquer un logiciel d’analyse de contenus à des messages privés d’un salarié ? De réaliser un filtrage des flux SSL, c’est-à-dire d’enlever la protection de flux normalement chiffrés pour en analyser le contenu, ceux-ci étant souvent des flux d’information « sensibles » tels que l’accès à des informations financières ou de messagerie ?

Toutes ces interrogations, si elles ne sont pas résolues clairement dès l’origine, contribuent à amoindrir la sécurité en affaiblissant la réalisation des contrôles ou en créant des oppositions de salariés sûrs de leur bon droit, parfois à tort. 

Or, depuis le début des années 2000, et en particulier depuis le premier arrêt de la chambre sociale de la Cour de cassation sur le sujet, l’arrêt Nikon du 2 octobre 2001, beaucoup pensent encore que la vie privée du salarié s’oppose à tout contrôle ou rend certains de ces contenus absolument inviolables.

Rappelons que cet arrêt avait conduit à protéger les messages du salarié contre l’employeur, alors que ceux-ci prouvaient que ledit salarié exerçait une activité professionnelle concurrente. Il avait également été interprété fréquemment comme ouvrant un droit absolu de l’utilisateur à l’usage privé des outils informatiques mis à sa disposition, ce qu’il n’avait pourtant pas énoncé(8). 

Pourtant, une telle protection absolue n’existe pas, la chambre sociale de la Cour de cassation ayant très fortement évolué sur la question notamment depuis 2009. Elle considère aujourd’hui que les raisons objectives de sécurité, analysées comme un « risque ou événement particulier », peuvent expliquer une prise de connaissance par l’employeur des contenus privés du salarié. Sans parler des filtrages automatisés, de la lutte contre certains logiciels (peer to peer) ou de l’importance du respect des procédures de sécurité. En l’occurrence, les magistrats ont compris que la mise en place d’une sécurisation des systèmes d’information nécessitait l’audit de tous contenus, quelle que soit leur origine, sans que cela n’altère en rien la protection du salarié. Car après tout, si ses contenus sont véritablement privés et sans rapport avec l’alerte de sécurité, l’employeur, comme l’informaticien qui les consulte par les délégations, sont tenus à une stricte obligation de confidentialité et ne peuvent en aucun cas les utiliser.

Quand la juridiction suprême de l’ordre judiciaire, garante des libertés individuelles, reconnaît cette nécessité, l’heure est venue d’agir. Et l’on constate pourtant que depuis six ans, peu d’entreprises ont saisi l’occasion de renforcer leur cybersécurité de façon licite en avertissant des contrôles objectifs qu’elles étaient nécessairement en train de mettre en place.

En la matière, plutôt que de reproduire une opposition stérile salariés / employeur(9), le souhait de tous devrait être, au contraire, d’oeuvrer d’abord et avant tout de concert pour la sécurité du système d’information. Il ne faut surtout pas oublier en effet que le système d’information de l’employeur, c’est aussi le système d’information de l’entreprise et qu’il héberge aussi bien les données inhérentes à son savoir-faire industriel, que les données de ses clients ou encore les données RH des salariés eux-mêmes. Toutes requièrent une protection, donc une sécurisation particulière.

Le fait est, qu’en la matière, les services chargés de la sécurité dans l’entreprise (Direction de la Sécurité des Systèmes d’Information, etc.) ne peuvent agir seul : les règles qu’ils préconisent doivent impérativement s’inscrire dans l‘écosystème des documents, politiques et règles gouvernant l’usage des systèmes d’information de l’entreprise, afin que l’ensemble soit parfaitement cohérent (PCA, PRA, procédures en cas de décès d’un salarié, Politique de Knowledge Management, de BYOD, d’usage des Réseaux sociaux internes, usage éventuel par les représentants du personnel du SI de l’employeur, Politique de confidentialité, etc.). Plus particulièrement, il faut impérativement que ce que prévoient la PSSI et ses directives d’application soit parfaitement aligné avec les règles inscrites dans le règlement intérieur de l’entreprise piloté par la RH d’une part et d’autre part ce qui a été déclaré à la CNIL par le correspondant interne ou encore le service juridique. Une seule divergence et c’est l’ensemble de la construction qui s’effondre ! Et malheureusement, la pratique montre que, souvent, ces documents ont des contenus se révélant en forte opposition.

Et encore, parler de « règlement intérieur » peut amener à une confusion pratique. Il serait ainsi plus exact de parler de « charte informatique » ou encore de « charte d’utilisation des moyens numériques »(10) qui, pour être opposable aux salariés, doit nécessairement avoir été adoptée dans les formes du règlement intérieur (et qui y est très souvent annexé). Ce document est la pierre angulaire du dispositif, en visant spécifiquement les utilisateurs des outils numériques mis à disposition par l’entreprise. Cette charte diffère d’autres documents à l’appellation proche comme les « chartes administrateur »(11) ou encore les « chartes d’utilisation des outils personnels »(12) (s’assimilant souvent à des CGU).

La charte comme instrument de lutte efficace contre la cybercriminalité

Il est donc temps aujourd’hui de revenir sur une bonne part des « chartes d’utilisation des moyens numériques » qui, souhaitant reconnaître une vie privée du salarié au travail, érigeaient la confidentialité absolue de ses contenus en dogme, les rendant imperméables à tout contrôle de sécurité, même automatique (du type prévention des fuites d’information ou DLP, filtrage des flux SSL, etc.). Car choisir de faire des demi-mesures en matière de sécurité informatique, avec des contenus intouchables ou des zones inviolables (certains dossiers du disque dur, certains messages électroniques, certains flux) n’aboutit pas à faire une demi-protection… mais tout simplement à annihiler toute protection sérieuse.

Malgré sa mauvaise presse pour le climat social, les acteurs concernés doivent se saisir du sujet et contribuer à « changer le logiciel » des chartes, pour en faire des documents contribuant activement et efficacement à la lutte contre la cybercriminalité. De façon plus globale, tous les services concernés (RSSI, responsable des ressources humaines, juristes, Correspondants Informatique et Libertés, etc.) doivent travailler main dans la main et de façon transversale pour que les documents qu’ils produisent chacun dans leur domaine ou en commun (règlement intérieur, PSSI, chartes, registre du CIL, contrats de prestation, etc.) s’appuient sur les évolutions jurisprudentielles et soient coordonnés pour obéir à un objectif commun : prendre enfin en compte les impératifs de sécurité dans toute leur dimension.

Conclusion : de l’importance fondamentale de la rédaction de ces documents…

Plusieurs centaines de décision de niveau Cour d’appel ou Cour de cassation, des interprétations pour le moins byzantines, ou encore la nécessaire précision chirurgicale des termes employés, tous ces arguments militent pour une rédaction très attentive de la « charte d’utilisation des moyens numériques ».

A titre d’exemple, nous nous contenterons ici de décrire quelques formulations problématiques que l’on retrouve  malheureusement souvent dans les chartes en pratique (en tout cas, telle est notre expérience) :

« L’employeur s’interdit de consulter les messages personnels de ses salariés ». Une formulation aussi stricte et non assortie d’exception se retrouve encore souvent, alors même que la jurisprudence de la Cour de cassation n’impose pas une telle rigueur et reconnaît au contraire la possibilité de les consulter en cas de « risque ou d’événement particulier » comme indiqué plus haut. Problème : la même Cour rappelle le principe de faveur, selon lequel l’employeur qui s’impose des règles plus strictes que la loi ou la jurisprudence dans le règlement intérieur s’oblige à les respecter strictement et elles prévaudront sur les critères issus de la jurisprudence(13). En pratique donc, il n’est pas rare que les investigations des équipes de sécurité soient bloquées net par cette règle pour ne pas tomber dans l’illicéité alors même que, sans cette formulation, la recherche aurait été parfaitement légitime ;

– « L’employeur s’interdit de consulter les messages de ses salariés ». Formulation encore pire que la précédente, l’absence de distinction opérée entraînant une impossibilité de prendre connaissance des messages professionnels de ses salariés dans le cadre d’un contrôle(14). Dans cette hypothèse, soit il n’y a plus de contrôle effectué sur les messages alors même que les risques de phishing l’imposent absolument, soit toutes ces opérations de sécurisation sontde facto illicites et inopposables en cas de volonté de sanction d’un salarié fautif ;

– « L’utilisateur pourra utiliser un mot clé en en-tête faisant apparaître le caractère privé » de certains de ses messages, sans que la charte ne précise de règle stricte et automatique permettant une ségrégation simple des contenus . A partir de là, impossible pour les administrateurs systèmes qui auraient à intervenir sur des contenus des salariés de déterminer une règle claire, chacun pouvant avoir sa propre idée du sujet qu’il conviendra d’interpréter sans référence unique et non discutée (« private » ? « privé » ? « personnel et privé » ? « personnel et confidentiel » ? « pour moi seulement » ? « ne concerne pas la société X » ? « photos de vacances » ? etc.). En pratique, le personnel chargé des contrôles est dans le flou et chaque administrateur ayant à intervenir sur ces contenus développe son propre vade mecum et ses propres limites, rendant le contrôle illusoire au pire, incertain au mieux.

– « Les fichiers logs produits par les systèmes de sécurité comportent uniquement les données suivantes : login, date et URL tronquée ». Si la charte utilisateur prévoie des finalités très limitatives concernant le contrôle par l’employeur ou réduisant l’analyse à quelques logs épars et tronqués comme ici, alors qu’en pratique la PSSI prévoit l’exploitation d’un SIEM et que la charte administrateur indique à ceux-ci qu’ils disposent des plus larges pouvoirs d’investigation, la cause est entendue : c’est toute l’utilisation du SIEM qui devient problématique à des fins autres que celles énoncées dans la charte. Tous les résultats pointant la responsabilité d’un salarié sont donc inexploitables, ce qui conduit en pratique à des procédures détournées(15).

– « L’ensemble de logs produits ne sera conservé que pendant une durée maximale de 3 mois », alors que la directive d’application de la PSSI spécifique à cette question prévoit une durée d’un an et que les formalités CNIL effectuées mentionnent quant à elles 6 mois de conservation. Ici la solution est plus complexe : tous les logs passés 3 mois sont inopposables aux salariés… et tous ceux conservés plus de 6 mois peuvent entraîner la responsabilité pénale de l’entreprise et/ou une sanction de la CNIL !


Me François Coupez

Avocat à la Cour, Fondateur
Chargé d’enseignements (Paris II Panthéon-Assas, Paris Dauphine-PSL)
Certifié :
– Spécialiste en Droit des nouvelles technologies (CNB) 
– DPO (CNIL – AFNOR, APAVE)
– ISO 27001 Lead implementer – niveau avancé (LSTI)

Crédits photo : Adobe Stock

  • (1)Disponible sur http://smartalwayswins.kpmg.be/corporate/discover-our-publications/cybersecurity.
  • (2) Voir par exemple la Loi de Programmation Militaire du 18 décembre 2013 ciblant les Opérateurs d’Importance Vitale (OIV) et servant à la fois d’aiguillon et de maître-étalon pour les entreprises qui n’ont pas ce statut.
  • (3) Security information and event management, système de supervision centralisé de la sécurité qui permet notamment aux équipes sécurité de détecter des attaques grâce à l’exploitation, au filtrage, à la consolidation et à la corrélation des millions voire milliards de traces informatiques ou logs issus des systèmes d’information de l’entreprise.
  • (4) Un rapport composé à partir des données collectées auprès de 79 800 incidents de sécurité signalés dans 61 pays par 70 organisations (experts en sécurité informatique, fournisseurs d’accès, agences gouvernementales…) et qui ont généré plus de 2 100 infractions avérées en 2014. Disponible sur http://www.verizonenterprise.com/DBIR/2015/.
  • (5) Tel que, par exemple : ne plus s’intéresser aux seuls éléments connus, mais détecter les comportements et schémas pouvant passer pour une attaque, se préparer aux attaques qui passeraient les mailles du filet défensif, mettre en place des systèmes de contrôle afin de limiter les surfaces d’attaque, déterminer comment les détecter et y mettre fin, accorder autant d’importance à la détection qu’à la prévention, ne pas attendre qu’un problème se pose pour s’assurer que la sécurité du réseau et que les systèmes de détection fonctionnent correctement, etc.
  • (6) « Le comité d’entreprise est informé et consulté, préalablement à la décision de mise en oeuvre dans l’entreprise, sur les moyens ou les techniques permettant un contrôle de l’activité des salariés ».
  • (7) « Aucune information concernant personnellement un salarié ne peut être collectée par un dispositif qui n’a pas été porté préalablement à sa connaissance ».
  • (8) « Le salarié a droit, même au temps et au lieu de travail, au respect de l’intimité de sa vie privée ; que celle-ci implique en particulier le secret des correspondances ; que l’employeur ne peut dès lors sans violation de cette liberté fondamentale prendre connaissance des messages personnels émis par le salarié (…)
  • (9) Opposition fondée sur une l’impression persistante chez certains que les salariés abusent nécessairement des outils mis à dispositions et que les employeurs abusent forcément des moyens de contrôle. Pendant ce temps, Gmail recrute à tour de bras des clients qui acceptent volontairement, légalement (par contrat), de livrer le contenu de leurs messages les plus intimes à un audit scrupuleux en vue de les exploiter à des fins publicitaires…
  • (10) Usuellement, le terme de « charte » est utilisé pour désigner ces documents, mais leur titre exact n’a aucune valeur ou indication juridique en soi.
  • (11) Les « chartes administrateur » ont pour objet de rappeler aux administrateurs des systèmes d’information l’importance de leurs fonctions, la confiance que l’entreprise place en eux et donc les graves conséquences en cas de manquement à leur devoir. La jurisprudence considère de toute façon qu’un manquement à la sécurité d’un administrateur système est forcément une faute grave, raison pour laquelle ces chartes ont une visée essentiellement pédagogique et ne sont que rarement annexées au règlement intérieur.(13) cf. par exemple la décision de la chambre sociale de la Cour de cassation du 26 juin 2012.
  • (14) Ce sont d’ailleurs les faits exacts de la décision précitée en note 13.
  • (15) En essayant, par exemple, de fonder artificiellement un dossier de sanction sur d’autres fondements que ceux, pourtant légitimes, qui auraient pu être utilisés. C’est-à-dire la chose à ne pas faire, l’issue étant de toute façon rarement favorable devant les tribunaux in fine.