Documente Academic
Documente Profesional
Documente Cultură
peuvent plus opérer séparément l’un de l’autre. Leur collaboration étroite s’impose même
comme une nécessité dans un monde gouverné par l’information…
D’où la nécessité de définir qui fait quoi et organiser la coopération entre ces différents
acteurs.
Le CSO est amené à prendre en charge la sécurité des accès aux locaux, y compris les accès
réservés aux lieux sensibles ; c’est-à-dire ceux contenant des informations classifiées
(confidentielles ou hautement sensibles). En cas de perte de ces dernières, l’évolution de
l’entreprise peut être impactée négativement.
Cette fonction du CSO couvre aussi l’espace de travail. Il doit faire appliquer les
recommandations décrites à la fois dans la charte informatique et la politique de sécurité de
l’information : laisser son poste de travail fermé en cas d’absence, vider les espaces non
surveillés de documents sensibles, etc. Cela concerne notamment les espaces de coworking
(salle de réunion ou open-space), mais aussi les locaux d’impressions qui doivent être équipés
de broyeur de papier et exempts de papiers classifiés.
L’autre domaine important de coopération est une activité qui est peu souvent évoquée. Il
s’agit des investigations à l’encontre d’employés qui auraient commis une malversation. Cette
action est parfois l’objet de tensions entre protagonistes de culture différente. Le rôle du CISO
sera alors de s’assurer que l’investigation s’effectue en conformité avec la charte informatique
et la loi française qui définit les règles de protection de l’employé et de ses données
personnelles ; données qui auraient pu être stockées sur l’ordinateur professionnel de
l’employé. Il est évident que des traces de fraudes (majoritairement à l’origine de la procédure
de licenciement) peuvent avoir été cachées par ce dernier sur son poste de travail et il faut
souvent recourir à un expert technique pour les retrouver ; cette action sera plutôt de la
responsabilité du CISO qui maitrise bien les aspects techniques d’une telle investigation.
De fait, cette inspection du poste de travail et d’autres données potentiellement hébergées sur
des serveurs de l’entreprise doit se faire en respectant la loi de manière à ce que ces preuves
soient opposables devant un tribunal en cas de recours au Conseil des prud’hommes par
l’employé incriminé. Seul un auditeur assermenté auprès d’un tribunal – ou non assermenté
mais associé à un huissier de justice présent lors de l’investigation – pourra attester de
l’origine et de l’intégrité des preuves remises aux tribunaux. Au sein du CESIN, nous
recommandons que le CISO identifie à l’avance cet expert judiciaire qui aura à intervenir.
Pour anticiper ces cas d’inspection, il est donc souhaitable de préparer un contrat type avec un
auditeur assermenté(1), externe de préférence (pour limiter les risques de fuite dans
l’entreprise), d’éviter de faire cette action dans l’urgence et de bien respecter les étapes d’une
procédure écrite au préalable par le CISO et validée par les RH et le CSO.
Par ailleurs, il s’avère nécessaire pour la profession de CSO d’utiliser des technologies qui
s’appuient fortement sur des solutions informatiques puissantes, comportant parfois des
moteurs d’analyse de données. C’est le cas, par exemple, des solutions de gestion de badges
intelligents(2) ou de solutions qui analysent les images de vidéosurveillance et permettent, à
l’aide de la reconnaissance visuelle, de détecter les comportements suspects car différents de
ceux habituels des salariés(3). Il est impératif que le CSO s’appuie sur l’expertise du CISO
pour s’assurer que d’une part, l’installation de ces technologies est conforme à la loi française
et la réglementation Européenne(4) ainsi qu’à la charte informatique, et d’autre part, que ces
installations sont faites en toute transparence vis-à-vis des employés et en particulier auprès
des Instances Représentatives du Personnel, pour éviter tous les problèmes qui pourraient
prendre une grande importance et nuire à l’image de l’entreprise. Le recours au CISO
permettra aussi de s’assurer de la mise en place de solutions qui s’assureront de l’intégrité des
données et des accès à ces données classifiées ; ceci aussi en accord avec les Ressources
Humaines.
On le voit encore, le rôle transversal du CISO est important mais il doit se mettre en capacité
de coopérer avec le CSO de façon constructive. Ils pourront ensemble mieux comprendre les
risques à l’encontre de l’entreprise dans un monde de cyberguerre froide. CISO et CSO sont
donc deux domaines complémentaires et leur coopération est essentielle pour apporter de la
valeur dans la protection de l’information de l’entreprise.