Par Stéphane ASTIER, Avocat à la Cour - le 22 novembre 2016
Par Stéphane ASTIER et Marine BONNEAUD
En matière informatique, formaliser un plan d'assurance sécurité (PAS) est stratégique au stade de l'avant-vente. Le PAS permet en effet à un prestataire de service informatique de présenter à ses clients ou prospects les règles qu'il s'impose, et par conséquent les garanties qu'il offre, en termes de sécurité informatique.
Pour remplir ces objectifs essentiels, le PAS doit présenter un contenu complet sans porter atteinte à la confidentialité de l'entreprise. Avant toute communication, il est dès lors important de veiller à placer le curseur pour apporter un niveau d'information susceptible de renforcer la confiance du client potentiel prospecté sans pour autant divulguer des informations sensibles strictement confidentielles relevant par exemple de la Politique de Sécurité des systèmes d'Information (PSSI).
L'occasion de revenir sur le contenu et les enjeux de ce document qui, avec l'arrivée du Règlement Européen sur la Protection des données, devrait rapidement se généraliser.
Le PAS répertorie toutes les références de sécurité sur lesquelles s'appuie l'entreprise pour assurer la sécurité des services qu'elle propose. L'objectif est ici de répondre notamment aux exigences des articles 34 et 35 de la loi informatique et libertés du 6 janvier 1978 modifiée qui imposent au responsable de traitement et à son sous-traitant de mettre tous les moyens en œuvre pour assurer la sécurité et la confidentialité des données. Notons ici que le Règlement Européen pour la protection des données est venu renforcer cette obligation en instaurant un quasi régime de coresponsabilité entre le client et son prestataire.
Le PAS rappelle utilement ce contexte et les impératifs légaux qui s'appliquent tant à l'entreprise qui fournit le service qu'à son prospect en recherche de garanties.
Sur ce point, les normes ISO ou la classification TIER de l'Uptime Institute constituent un langage universel dans le monde de la sécurité informatique. Elles permettent aux consommateurs de services numériques de connaître le niveau de sécurité assuré par le prestataire auquel ils s'intéressent.
Le fournisseur de service détaillera ainsi dans son PAS les mesures qu'il adopte concrètement, dans son architecture technique comme dans l'organisation pratique de son activité quotidienne, afin de se préserver des risques informatiques.
Le PAS aura ainsi notamment pour objectif de décrire les relations entre les diverses composantes du système de stockage et de gestion des données, les modalités techniques d'accès aux services informatiques, les différents enregistrements opérés afin de tracer les opérations ou assurer les sauvegardes, et mentionne les moyens de protection et de contrôle mis en place à chaque étape.
Le PAS précisera également les protocoles suivis en cas d'incident informatique, les délais que l'entreprise s'accorde pour y remédier ainsi que les mesures de détection, de prévention, et d'analyse qu'elle institue afin d'en limiter autant que possible les effets, et éviter qu'ils ne se (re)produisent.
Mettant en évidence les qualités de sécurité informatique d'un prestataire, le PAS est un outil de communication puissant. En effet, le nombre de cyberattaques augmente de façon inquiétante pour les entreprises, à savoir + 51% en France en 2015, soit 21 attaques quotidiennes[1]. Or, ces attaques sont particulièrement lourdes de conséquences. Les pertes financières qu'elles engendrent sont estimées en moyenne à 3,7 millions d'euros par entité interrogée en France en 2015, soit 28% de plus qu'en 2014. (Pour en savoir plus : " Sensibiliser l'entreprise au risque " Sécurité informatique "[2])
Pour se protéger, les entreprises sont prêtes à payer le prix fort. Les sociétés françaises interrogées y consacraient en moyenne 4,8 millions en 2015, soit une augmentation de 29% par rapport à l'année précédente.
Ces craintes font du PAS un élément de poids dans le choix d'un service informatique, en particulier s'agissant de l'externalisation des données. Il est systématiquement demandé pour répondre à un appel d'offre en la matière, du fait qu'il facilite la comparaison des différents prestataires en concurrence.
Le PAS participe à la fois des stratégies de sécurité informatique et de communication. Document commercial, technique et juridique, il est indispensable aux prestataires de services informatiques souhaitant rassurer leur client.
Le Cabinet HAAS Avocats accompagne les entreprises dans l'élaboration de leur PAS et plus largement d'un référentiel de sécurité, pouvant notamment comprendre une PSSI, mais également une Charte " Utilisateur des SI ", une Charte " Administrateur des SI " ou encore une Politique d'habilitation.
Le Cabinet HAAS vous conseille quant aux pratiques à adopter, et vérifie l'efficacité des mesures de sécurité et de protection grâce à la réalisation d'études d'impact.
Pour tout renseignement complémentaire ou demande de devis, cliquez ici.
[1] Etude The Global State of Information Security® Survey 2016réalisée par le cabinet d'audit et de conseil PwC, avecCIOetCSO
[2] http://www.haas-avocats.com/actualite-juridique/sensibiliser-lentreprise-risque-securite-informatique/
À propos de l'auteur
Stéphane ASTIER Avocat à la Cour - Directeur Pôle NTIC, contrats et concurrence - Expert en pré-diagnostic INPI - Docteur en Droit - DEA Droit Fondamental Européen