Piotr Adamowicz-Adobe Stock

Secu

La direction juridique, un allié de poids pour le CISO

Par CESIN, publié le 09 avril 2018

Parmi les acteurs de la protection de l’information, la direction juridique est certainement celle qui contribue le plus naturellement à cette tâche. De la revue des contrats de prestation de service concernant l’hébergement ou le traitement de données, à la lutte contre la fraude et la contrefaçon ainsi que l’élaboration de la charte informatique sans oublier leur rôle primordial dans l’application de la nouvelle réglementation sur la protection des données personnelles, la direction juridique est un acteur majeur de la protection de la propriété intellectuelle et de la confidentialité. A noter que l’Institut National des Hautes Etudes de la Sécurité et de la Justice (INHESJ) propose une formation particulièrement intéressante sur une année pour former les juristes en entreprise à la guerre économique et à la protection de l’information.

Un allié dans l’encadrement des contrats

La direction juridique est donc un allié du CISO qui donne une assurance « contractuelle » pour toutes les relations avec les partenaires et les employés contribuant à la protection et au développement de l’entreprise. A ce titre, pour tous les contrats signés avec un partenaire dont l’objectif contractuel est de gérer ou héberger des données, une action commune entre le CISO, la direction juridique et la direction des achats doit permettre de s’assurer que la politique de sécurité de l’information est respectée.

Au CESIN, le Club des Experts de la Sécurité et de l’Information et du Numérique, nous recommandons, dans le cadre d’une sous-traitance (recours à une solution SaaS ou sous-traitance classique), qu’un questionnaire soit soumis par le CISO au futur partenaire, pour être annexé au contrat, qui confirmera qu’au-delà des frontières de l’entreprise[1], la politique sécurité soit bien respectée. La mise en place de cette procédure « achat » doit être communiquée auprès de tous les chefs de projet pour qu’en fonction de la classification des informations gérées, les mesures de sécurité similaires à celles mises en place à l’intérieur de l’entreprise soient exigées ; comme le chiffrement des échanges d’information sensibles par exemple.

La direction juridique est également en charge de la lutte contre la fraude et la contrefaçon. Hormis la recherche physique de produits contrefaits, le CISO peut identifier des services pour faciliter les recherches sur Internet des sites de contrefaçons en permettant des accès dans le Darknet et protégeant ainsi les enquêteurs internes. Pour tenter de réduire ces contrefaçons et faciliter l’identification de l’origine des produits, le CISO peut aujourd’hui proposer des solutions, dont la mise en place d’un tiers de confiance dématérialisé autour de la solution Blockchain.

Un acteur majeur pour le RGPD

Compte tenu de l’évolution de la réglementation autour des données personnelles (GDPR[2]), la direction juridique est désormais un acteur majeur de la confiance des clients dans l’entreprise. En effet, la perte ou fuite d’information personnelle des clients ou des employés de l’entreprise peut porter un préjudice financier et d’image fort ainsi qu’ouvrir à une potentielle ClassAction[3] contre celle-ci.

Cette nouvelle réglementation s’appuie sur des contrôles que le DPO, appuyé par la direction juridique aura à exercer auprès de la DSI qui devra mettre à disposition des preuves évidentes de ces contrôles. Le CISO devient alors le « bras armé » dans l’application de la GDPR en proposant les contrôles pour obtenir le maximum d’efficacité.

Toujours dans le cadre de l’application pour le 25 mai prochain de la GDPR, le CISO doit impérativement redéfinir, avec la direction juridique, les conditions d’utilisation des moyens informatiques en adaptant la charte d’utilisation des systèmes d’information à cet effet. La charte étant une annexe du règlement intérieur voire du contrat de travail, il faut en effet l’expérience des juristes pour qu’il n’y ait pas d’ambiguïté dans sa rédaction. Cette précision est importante lorsque la charte en vient à être utilisée par l’employeur à l’encontre de l’employé. Le CISO joue alors un rôle important au côté de la RH.

Enfin, dans le cadre de la protection de la propriété intellectuelle, la direction juridique est aussi un co-acteur de la mise en place de la classification des informations issue de la politique sécurité définie par le CISO.

La transversalité du rôle du CISO et de sa contribution à la vie de l’entreprise ne fait plus de doute mais il doit s’appuyer sur les compétences internes de l’entreprise. La direction juridique est en ce sens un acteur incontournable.

Tribune réalisée par Michel Juvin, membre du CESIN



[1]Majoritairement dans les solutions Cloud (SaaS)

[2]General Data Privacy Regulation

[3]Consolidation de plaintes de clients mutualisant les efforts des avocats pour parvenir à un montant élevé de sanctions

Dans l'actualité

Verified by MonsterInsights