Le conseiller juridique, allié de poids du CISO
GDPR, NIS… Les obligations juridiques ne font que croître. Aussi, mieux vaut s’entourer. Le conseiller juridique peut intervenir à différents niveaux.
«Un conseiller juridique, nécessairement ! La cybersécurité est aujourd’hui une obligation juridique pour les entreprises et administrations. Et les obligations continueront à s’accroitre, pas seulement au nom du GDPR», estime Emmanuelle Ragot, avocate à la Cour, cabinet Wildgen. Les attaques contre les systèmes d’information sont de plus en plus nombreuses, de même que les fuites de données. Le cyberespace est devenu le cinquième champ de conflictualité après la terre, la mer, l’air et l’espace.
«Face à la menace des cyber attaques -phishing, déni de service, ransomware etc.-, la réponse réglementaire évolue progressivement d’une logique de défense à une logique d’information, de prévention, de formation et d’alerte destinée à préserver les intérêts des tiers potentiellement affectés et la sécurité publique», a expliqué l’avocate spécialisée au cours des Rencontres de la Sécurité Informatique organisées par Excellium, le 6 juin dernier.
Si l’ombre portée du GDPR se projette bien évidemment sur le domaine de la sécurité informatique, il serait réducteur de cantonner les enjeux juridiques de la cyber-sécurité à la question de la protection des données personnelles. L’immense chantier de mise en conformité aux obligations issues du GDPR a, en effet, pu occulter l’adoption de la directive européenne NIS (Network and Information Security). D’une approche plus englobante, cette dernière envisage ainsi la protection des réseaux, applications et données numériques des «opérateurs de services essentiels» et «fournisseurs de services numériques».
La communication, «une arme» contre les cyberattaques
Face à la recrudescence des cyberattaques, les entreprises doivent s’adapter et prendre en charge des mesures spécifique de gestion de crise. «La communication, en particulier, qu’elle soit interne ou externe, est ici essentielle. Et c’est là qu’un partenaire légal peut faire la différence. Surtout quand il faut réagir vite», assure Emmanuelle Ragot. C’est clairement un changement de paradigme. Il n’était pas de tradition pour les entreprises de communiquer sur les failles de sécurité au risque de paraître pour les tiers comme négligentes. Avec l’entrée en vigueur du GDPR et son obligation de notification des violations de données, une telle position n’est plus tenable. Les entreprises doivent aujourd’hui faire preuve d’une résilience collective tendant à faire de la communication de crise «une arme» contre les cyberattaques.
Le droit de la cybersécurité adresse tous les risques et toutes les menaces volontaires d’origine humaine qui sont susceptibles de porter atteinte aux différents patrimoines -technologique, scientifique, économique, image- de l’entreprise. Ce qui veut dire, encore, que «lorsqu’il faut bouger, c’est ensemble», relève fort justement Emmanuelle Ragot.
Intelligence collective
De la revue des contrats de prestation de service concernant l’hébergement ou le traitement de données, à la lutte contre la fraude et la contrefaçon ainsi que l’élaboration de la charte informatique sans oublier son rôle primordial dans l’application de la nouvelle réglementation sur la protection des données personnelles, le conseiller légal est un acteur majeur de la protection de la propriété intellectuelle et de la confidentialité.
Il est donc aussi un allié du CISO qui donne une assurance «contractuelle» pour toutes les relations avec les partenaires et les employés contribuant à la protection et au développement de l’entreprise. «Ce n’est possible que si l’on anticipe, insiste encore Emmanuelle Ragot. Aussi, l’évaluation du niveau juridique n’est qu’un aspect, tout comme la défense de l’entreprise. Il faut avant tout sensibiliser les différentes parties, s’assurer de la mise en place des bonnes règles de fonctionnement et réévaluer régulièrement les risques. Nous travaillons donc étroitement avec Excellium, en misant sur l’intelligence collective. C’est absolument nécessaire quand il s’agit d’intervenir dans l’urgence.»
Ces articles parlent de "Cybersecurity"
Governance, Resilience, IAM, PAM, DLP, SIEM, SOC