Gagne de la cryptomonnaie GRATUITE en 5 clics et aide institut numérique à propager la connaissance universitaire >> CLIQUEZ ICI <<

A]La gestion du risque lié à l’outil informatique

ADIAL

1°)Comment gérer le risque lié à l’utilisation des courriels dans l’entreprise

L’e-mail bouscule les modes d’organisation classiques en favorisant une communication décentralisée. Ainsi, l’entreprise ne contrôle plus nécessairement tous ses flux d’informations. Faut-il s’en inquiéter?
De nombreux patrons se demandent s’ils peuvent traiter leurs affaires valablement par e-mail. En fait, la valeur d’un message électronique est comparable à celle d’un fax.
Sous l’angle du droit commercial, le régime juridique applicable sera différent selon qu’il s’agit de l’envoi et de la réception de courriers électroniques inter-entreprises (BtoB) ou de courriers électroniques échangés entre l’entreprise et un consommateur non-professionnel (BtoC).
En matière commerciale la preuve est libre dans le cadre du B2B. Toutefois, il convient de distinguer les aspects liés à la recevabilité de ceux concernant la force probante d’un e-mail ordinaire. Un juge ne pourra pas écarter un e-mail ordinaire au seul motif que celui-ci est électronique. Un courrier électronique ordinaire sera donc recevable dans le cadre d’une procédure contentieuse. Néanmoins, comme un e-mail ordinaire ne présente pas de garanties d’intégrité, d’authentification de l’expéditeur et d’horodatage, celui-ci ne bénéfice pas une force probante totale. Le courrier électronique ordinaire ne pourra alors constituer qu’un commencement de preuve par écrit.
Les Cours et tribunaux apprécieront donc la véritable force probante de ces échanges électroniques en fonction des circonstances de l’espèce. A cette fin, plusieurs éléments pourront ainsi être pris en compte tels que par exemple, le volume et le caractère régulier des échanges électroniques utilisés à des fins commerciales.
Afin de réduire ces incertitudes juridiques, les entreprises désireuses d’utiliser le courrier électronique dans le cadre de leurs échanges commerciaux entre professionnels peuvent formaliser ces échanges soit via:
– une convention-cadre fixant les termes de l’échange et reconnaissant une pleine valeur juridique aux e-mails,
– un système de signature électronique répondant aux exigences de la loi, c’est à dire une signature électronique certifiée reposant sur un certificat qualifié.
En droit civil, un e-mail est qualifié de commencement de preuve par écrit. Dès lors, sa force probante dépendra de l’appréciation des circonstances de l’espèce et l’e-mail ne constituera qu’un moyen parmi d’autres pour établir la preuve des éléments avancés par la partie requérante. Il est recommandé d’employer une signature électronique, si nécessaire complétée par un recommandé électronique afin d’éviter une mise en doute de l’intégrité, de l’authenticité des parties, et de la date. A noter toutefois que dans certains cas, la législation exige encore un recommandé postal. Ainsi signifier un préavis à un travailleur par recommandé électronique, et a fortiori par e-mail, n’a pas de valeur.
En droit pénal, un e-mail présente également une valeur. Du moins si le document a été obtenu en conformité avec la loi et que son intégrité et son origine ne sont pas contestables. Ceci est laissé à l’appréciation du juge
Contrairement à une idée courante, tout e-mail sortant de l’entreprise ou de l’administration engage civilement la personne morale, même s’il s’agit d’un message privé. La responsabilité civile de l’entreprise peut donc être engagée par exemple si un employé transmet à partir de la messagerie de l’entreprise un document qui enfreint les droits de propriété intellectuelle ou de nature illicite, et qui est susceptible de causer un préjudice à des partenaires de l’entreprises ou à des tiers.
La responsabilité de l’employé est par contre engagée en cas de faute lourde, de faute légère habituelle, de dol, ainsi que parfois sur le plan pénal: par exemple, si celui-ci a transmis un virus en toute connaissance de cause.
Dès lors la question qui se pose est : Peut-on empêcher un employé d’envoyer ou de recevoir un mail ?
La réponse est non. L’employeur ne peut faire valoir le seul droit de propriété (le fait que l’infrastructure technique utilisée soit la propriété de l’entreprise) ou le droit du travail (lien de subordination du travailleur à l’égard de son employeur) pour interdire strictement tout usage privé. L’exercice de ces droits est en effet restreint par l’article 22 de la Constitution et l’Arrêt Niemietz de la Cour européenne des droits de l’homme qui accordent le droit à chacun de disposer d’un espace de liberté individuelle de communication, y compris sur le lieu de travail.
Par contre, l’employeur n’est évidemment pas obligé de mettre à disposition de tous ses travailleurs un ordinateur et a fortiori une boîte aux lettres électronique. Si par contre il en accorde une, le travailleur peut s’en servir accessoirement à titre privé.
L’employeur peut toutefois fixer une série de conditions pour encadrer cet usage privé. Lors de l’envoi d’un mail privé via les serveurs de l’entreprise, il est ainsi recommandé d’imposer le retrait de la signature automatique ou encore de prévoir l’indication de la mention “privé” dans l’objet de l’e-mail afin d’identifier de façon non équivoque la nature non-professionnelle de celui-ci.
L’entreprise peut également inciter ses employés à utiliser une autre adresse e-mail s’ils disposent d’un accès de type Web. Il peut enfin convenir de limiter cet usage privé aux périodes de pause

2°)Un nouvel outil d’espionnage industriel :Les clés U.S.B

Il existe en fait deux types de clés, les clés classiques et celles qui ont la dénomination « U3 de plus en plus répandues. A partir de ces dernières, un logiciel espion peut s’installer automatiquement dans le PC. Et l’on peut imaginer que certaines clés USB envoyées aux cadres dirigeants en fin d’année se révèlent être des cadeaux d’entreprise bien empoisonnés.
Les clés U3 peuvent simuler un CD Rom, et ont donc la faculté de recevoir un logiciel « autorun ». Dès lors, la clé non seulement peut communiquer avec le système d’exploitation, mais peut en devenir partiellement le pilote. D’où la possibilité d’installer un logiciel de manière totalement invisible, y compris pour les antivirus, s’ils sont contournés.
Le logiciel espion peut lire vos mails, capter toutes les frappes de claviers, y compris les mots de passe et numéros de cartes bleues, pour ensuite les envoyer vers un serveur pirate.
Lorsque vous vous connectez à un site, vous indiquez son nom, www.site.com. Mais ce n’est pas cela qu’utilisent les machines qui, elles, doivent pouvoir repérer le serveur à l’aide d’une adresse IP . Le DNS (Domain Name Service) sert à cela. C’est un système dual : d’un côté des serveurs de domaines, qui connaissent les informations liées aux domaines pour lesquels ils sont configurés, et de l’autre des solveurs , qui interrogent les serveurs pour obtenir les réponses. L’attaque exploite un défaut dans l’authentification des communications entre les solveurs et les serveurs de noms.
C’est le contrôle de votre information qui est en jeu. Vous pensez être en communication avec www.site.com, alors qu’en réalité vous communiquez avec un système sous contrôle des attaquants. Toutes vos connexions peuvent être tracées. Il devient facile de connaître les habitudes de surf, la messagerie, etc.
Afin de lutter contre cette menace grandissante les développeurs doivent concevoir que l’application sur laquelle ils travaillent puisse être attaquée, et mettent donc en oeuvre le système de protection adéquate. Faute d’un état d’esprit approprié lors de la définition de l’architecture du système, lors de son développement, et pour son installation et son exploitation, tout est possible. Essentiellement, un programme doit être “très prudent”, valider tout ce qui est reçu, disposer de contrôles internes de cohérence, supposer que le pire arrivera (même si on ne sait pas comment il se manifestera) et chercher à y survivre. Cela demande du travail, de la réflexion, de l’anticipation, mais c’est nécessaire pour ne pas dire indispensable.
On trouve encore aujourd’hui des applications dont l’administration à distance se fait sans avoir à donner de mot de passe : dangereux sur un réseau interne, suicidaire si le système est connecté à Internet. On rencontre souvent des applications avec lesquelles un utilisateur peut, très simplement, se connecter sur le compte d’un autre utilisateur. Certains logiciels donnent, sans le vouloir, l’accès complet à la base de données sur laquelle ils s’appuient. Les exemples sont nombreux et très variés. Malheureusement en la matière les attaquants ont toujours un temps d’avance sur les outils de défense ce qui complique considérablement l’élaboration de système de gestion des risques liés à l’utilisation de l’outil informatique dans les entreprises. Cependant il semble prudent de préconiser l’installation, du moins dans les grandes entreprises, d’un service autonome d’informatique qui sera non seulement chargé de la maintenance de l’outil de travail informatique mais qui sera également appelé à gérer les problèmes liés à l’utilisation de l’Internet (mise en place de systèmes de pare-feu efficaces, outil de confidentialité performant).

Retour au menu : LA GESTION DU RISQUE EN ENTREPRISE