- L'ordonnance oubliée de la net-citoyenneté
- Table ronde - Comment détecter les failles de sécurité de vos applications web et les corriger rapidement ?
- webinaire-securite-applicative-a-lere-du-devsecops-intro-09-21
Une ordonnance d'Août 2011 impose aux «fournisseurs de services» d'avertir à la fois la CNIL et les utilisateurs finaux lorsque des données ont été dérobées suite à une attaque informatique.
Cela aurait pu, cela aurait même probablement dû, être le thème phare des dernières “Assises de la Sécurité”, le grand rendez-vous des responsables de la sécurité des entreprises françaises. De quel sujet s’agit-il ? Celui de l’ordonnance du 24 Août 2011 relative aux communications électroniques. Dans l’anonymat de l’été, le Parlement avait pourtant lâché une bombe à retardement qui devait bouleverser la gestion des pertes de données en France… Pourtant, dans un univers où le Cloud devient omniprésent et où les données se multiplient sans fin sur les systèmes de stockage des entreprises, les enjeux de cette ordonnance me paraissent cruciaux et largement sous-évalués. Il est en effet surprenant de voir à quel point les RSSI français ont jeté un voile pudique sur ce thème pour qu’il ne vienne pas rendre leurs tâches quotidiennes encore plus compliquées. Il faut dire que cette ordonnance est construite sur un malentendu. Elle est la transcription en droit Français d’une mesure promulguée en 2009 par le Parlement Européen. Ce dernier demandait alors que l’on impose aux “opérateurs” l’obligation de divulguer toute perte d’informations suite à la compromission de leur service informatique, une pratique entrée dans les moeurs Outre-Atlantique. Or l’ordonnance française ne parle pas d’ “opérateurs”. Elle se montre beaucoup plus vague en évoquant des “fournisseurs de services de communications électroniques”. La définition d’un “fournisseur de services” est bien plus générale que celle d’un opérateur, même en l’affublant de la précision “communications électroniques”. Après tout, quelle entreprise n’est pas aujourd’hui un “fournisseur de services de communications électroniques”, ne serait-ce qu’auprès de ses propres employés et de ses clients? Toute entreprise héberge en effet (que ce soit dans ses murs ou dans le Cloud) une messagerie email, voire une messagerie unifiée ! Et toute entreprise envoie à ses clients des Newsletters, grilles tarifaires, messages Twitters et billets Facebook… Autant d’éléments qualifiables de “communications électroniques” !