06/10/2011 09:47

Protection informatique: imposer des normes aux entreprises fait débat

L'idée d'imposer aux entreprises françaises des normes en matière de protection informatique, à l'instar d'autres pays, divise les experts réunis aux Assises de la sécurité à Monaco, mais tous jugent nécessaire plus de transparence dans la gestion des données personnelles.

"On oblige bien les gens à mettre des barrières autour de leur piscine! Lorsque des données de tierces personnes sont en jeu, cela a du sens d'obliger les entreprises à être certifiées. En plus, techniquement, ce serait possible car des normes existent déjà", souligne Guillaume Lovet, expert en cybercriminalité pour la société de sécurité Fortinet.

Une norme internationale, baptisée ISO 27001, fait référence en matière de protection des systèmes informatiques.

"Mais elle est assez contraignante, et si beaucoup d'entreprises françaises disent s'en inspirer, seulement une vingtaine d'entre elles sont certifiées", indique Laurent Heslault, directeur des stratégies de sécurité pour la société de sécurité informatique Symantec.

Plus de 7.000 entreprises ou organisations dans le monde sont certifiées ISO 27001, dont 3.800 au Japon, et plus de 500 en Chine ou en Inde.

"A ce jour, les entreprises françaises n'ont pas non plus obligation d'informer les personnes physiques dont les données à caractère personnel ont été volées ou égarées. Et de fait, peu d'efforts sont faits pour protéger ces données ou même pour protéger la traçabilité de leurs échanges", déplore Sylvain Gil, de la société Imperva.

"Aux Etats-Unis par exemple, une entreprise est obligée de dire si elle a perdu ou si elle s'est fait voler des informations clients", souligne Laurent Heslault.

En France, la transposition en août du "paquet télécoms", une directive de Bruxelles, oblige seulement les fournisseurs d'accès internet à déclarer des pertes d'informations personnelles, non seulement à l'intéressé mais aussi à la Commission nationale informatique et libertés (Cnil).

Une proposition de loi souhaitant renforcer la protection des données personnelles et imposer la notification à la Cnil de toute perte, avait été déposée en novembre 2009 par Yves Détraigne (centre) et Anne-Marie Escoffier (parti radical). Elle a été adoptée au Sénat en mars 2010 mais depuis le texte n'a pas avancé.

"Bien sûr, ce n'est pas parce que l'on met des normes en place qu'il n'y aura plus de piratage. Mais cela permettrait de donner aux entreprises des repères en sécurité de l'information. Je rencontre beaucoup de responsables qui sont complètement paniqués", souligne Guillaume Lovet.

"Imposer ce genre de normes serait beaucoup trop contraignant", estime pour sa part Edouard Jeanson, responsable de l'offre sécurité chez Sogeti, filiale de Capgemini. Il estime qu'il faut "d'abord obliger les entreprises à identifier leurs risques et à définir une stratégie en matière de sécurité".

"Je suis dubitatif sur le fait de rendre obligatoire toute certification", confie également Bernard Ourghanlian, directeur technique et sécurité de Microsoft France.

"Souvent, une fois que l'entreprise a réussi à se faire certifier, elle est tentée de se relâcher. De grandes entreprises ou organisations, qui ont des gros moyens en termes de sécurité, oublient de faire certaines choses de base", comme des mises à jour, souligne-t-il en évoquant les récents cas d'intrusion informatique dans les systèmes de Bercy ou d'Areva.

Ailleurs sur le web

Vos réactions

Les plus vus