Universit de limoges Facult de sciences et technique

Mmoire Droit et Conduite de projet

________________________________________________________

Protection du patrimoine informationnel

Ralis par : BkakriaAnis M'Farredj Nabil Saadi Mohamed El Hadi Tabibel Sami

Sommaire :
Introduction I. II. Patrimoine informationnel. Scurit technique de patrimoine informationnel 2 3 4 4 5 7 8 9 9

1. La disponibilit et laccessibilit ....

2. Intgrit .. 3. Identification et lauthentification .. 4. Confidentialit . 5. Traabilit

III. Juridique ..

1. Les dispositifs juridiques attachs la protection du patrimoine 9 informationnel 2. Le droit de la proprit intellectuelle pour la protection de 12 l'information .. 15 3. Engagements et responsabilits de l'entreprise et de son chef ......
IV. Les assurances . 19 19 20 20 20 21

1. Introduction et contexte . 2. Montant du sinistre brut/net .. 3. Les enjeux .. 4. Recommandations .

Rfrences ..

Introduction

Paralllement au progrs incessant des socitsdenos jours, des nouvelles notions naissent. Ces notions contribuent largement semer les problmes ou les complexits l o il n'y a pas lieu dtre. Plus les socits progressent plus ce phnomne samplifie de manire que les chefs dentreprises se trouvent face un ensemble dinformations qui semblent diffrents mais qui en ralit traitent le mme sujet et rpondent aux mmes proccupations. Dans ce projet, nous prsentons les diffrentes mthodes utilises afin de protger le patrimoine informationnel des entreprises. Parmi ces mthodes on peutciter larchivage lectronique et la scurit informatique. La scurit consiste protger lentreprise de faon gnrale tandis que larchivage un but scuritaire pour viter les pertes ou laltration des donnes. La premire partie de ce rapport traite la protection de patrimoine en se basant sur lensemble des aspects scuritaires qui sont abordes dans le sens de larchivage lectronique. La deuxime partie concerne la partie juridique de cette protection ainsi que la responsabilit du chef dentreprise face son patrimoine. La troisime partie montre la faon de se protger en matire dassurance.

I.

Patrimoine informationnel
immatriel, ou patrimoine informationnel, reprsente l'ensemble

Le patrimoine

du patrimoine, au sens juridique, constitu par les informations et connaissances dtenues par une organisation, entreprise, administration, ou collectivit locale . Il sagit donc de garantir la protection et la valorisation de linformation. Linformation doit tre scurise partir de sa cration et pendant la phase de transmission que pendant la phase de conservation. Par consquent, les informations doivent tre conserves de faon intgre dans le temps. Nanmoins, il faut sassurer que la personne qui est lorigine de lenvoi des donnes est authentifie ce qui nous donnes une traabilit sur les donnes. Linformation doit tre disponible avec une garantie que ces lments considrs sont accessibles au moment voulu par les personnes autorises. Pour face des risques comme le pillage qui peut tre effectu par des concurrents ou des prestataires, on doit remplir lensemble des fonctions cites prcdemment. Nous dtaillons dans le chapitre suivant lensemble des aspects de la scurit technique qui sont : La disponibilit et laccessibilit Lintgrit Lidentification et lauthentification La confidentialit La traabilit Prennit

II.

Scurit technique de patrimoine informationnel

1. La disponibilit et laccessibilit
A quoi sert lensemble des informations stratgique sil nest plus accessible suite des problmes dans le systme dinformation ? Cette question nous montre que le premier critre de scurit du patrimoine informationnel est la disponibilit. Cependant il y a une diffrence entre les degrs dimportance des donnes, une donne mdicale dun patient en train dtre oprer doive tre immdiatement disponible tandis quune donne comptable peut tre rcuprer aprs quelques heures dattente. Donc il est clair quil est trs important de classifier des donnes du patrimoine informationnel. Pour ce faire, il existe des solutions techniques mise en place qui ont chacune un cot diffrent suivant leur dgre de fiabilit. Pour pouvoir effectuer le choix minimal du point de vue conomique, il faut disposer de plusieurs solutions. Chaque solution sera attribue aux donnes qui sont classes par ordre dintrt suivant un critre bien dfinit (disponibilit, confidentialit, valeur ). La notion daccessibilit est un lment trs important dans tout systme dinformation, ce concept couvre deux parties, la premire partie relevant essentiellement de lorganisation de donnes, la deuxime des performances techniques. Lorganisation des donnes du patrimoine informationnel est un principe indispensable dans la compositiondun patrimoine informationnel. Il faut donc utilis une procdure dorganisation cohrente et efficace, permettant de retrouver linformation rapidement. Concernant les performances daccs, ils sont directement attachs aux techniques utilises en matire de support et en matire de rseau. Dans larchivage lectronique, la disponibilit est complmentaire la notion daccessibilit, la disponibilit dfinit les espaces des temps pendant lesquels il est autoris que le systme darchivage ne soit pas accessible, dans les cas de maintenance de systme par exemple. Ainsi on peut dfinir la disponibilit comme la capacit dun systme dinformation pouvoir tre utilis tout moment en fonction des performances prvues. La plus grande crainte des directeurs de systmes dinformation est larrt du systme pour une dure indtermine, ceci cause pour les grandes entreprises des millions deuro de pertes pour un arrt dune journe. On peut aussi qualifie la disponibilit par la dure de retour ltat normale du systme dinformation aprs son arrt, on distingue trois niveaux de disponibilit :

Haute disponibilit : de quelques minutes darrt 12 heures Moyenne disponibilit : de 12 heures 48 heures Faible disponibilit : au-del de 48 heures.

Le niveau haute disponibilit est utilis dans nombreux mtiers : la continuit de soins mdicaux, les salles de marchs boursires, le contrle arien etc. Pour mettre en place un bon plan de continuit et de disponibilit, il faut prvoir une solution technique de secours tel que lhbergement, complt par une assurance qui sert couvrir les dgts financiers du sinistre dont les montants sont calculs laide dune analyse de risque effectue pralablement. On distingue deux types de plan de continuit en cas de sinistre partiel ou total : Continuit de service : la continuit de service entrane lhbergement de lquipe informatique chez un tiers pour redmarrer provisoirement le systme dinformation chez ce dernier en cas de problmes. Continuit dactivit : la continuit dactivit prend en compte la continuit de service informatique et entrane aussi lhbergement des utilisateurs pour continuer leur activit. Toutefois, dans les deux cas cits, le plan de continuit de service ou dactivit en un ensemble de procdures et de planning qui permet de reprendre les activits aprs sinistre de centre dinformation ou de traitement. Ainsi un plan de continuit de service montre lenjeu technique du maintien de la disponibilit informatique, donc cela doit tre conu sur des bases solides en utilisant : De bonnes sauvegardes Un rseau de tlcommunication bis oprationnel Un systme informatique de substitution compatible avec le systme dfectueux.

2. Intgrit
Le point cl de la scurit de donnes du patrimoine informationnel est la disponibilit de ces donnes. Linaccessibilit dinformation est d un problme dindisponibilit, alors quobtenir des informations incorrects ou modifis est un problme dintgrit. Ce concept dintgrit des informations est galement trs important car plus la dure de conservation des donnes est longue plus les risque seront beaucoup plus nombreux.

Ainsi lintgrit est dfinie comme la proprit qui assure quune information nest modifie que par les utilisateurs habilits dans les conditions daccs normalement prvues . Lintgrit des donnes est dfinit dans larticle 4.f du rglement CE n 460/2004 du parlement europen et du conseil du 10 mars 2004 instituant lAgence europenne charge de la scurit des rseaux et de linformation comme : la confirmation que les donnes qui ont t envoyes, reues ou stockes sont compltes et nont pas t modifies . Lintgrit est divise en deux parties spares, la premire partie concerne lintgrit des flux de donnes et la deuxime concerne lintgrit de traitement. Normalement, les risques majeurs de lintgrit sont causs par les applications malveillantes. Les cas des erreurs sont trs rares. Daprs les recherches effectues par CLUSIF (Club de la Scurit des Systmes dInformation Franais) durant une priode de 10 ans, la malveillance sintensifie de prs de 15 % chaque anne. Cependant, il y a une diffrence entre lintgrit purement technique et lintgrit organisationnelle et juridique. En principe lintgrit technique dun document lectronique ne sera pas valide ds quun seul des bits qui constituent le document est modifi. Par contre lintgrit dun document dans son sens juridique consiste conserver le sens de linformation qui contient. Ainsi la modification dun point par une virgule dans un texte ne va pas changer son sens, mais cela fait perdre lintgrit technique de ce texte. Pour pallier cette difficult dinterprtation, le Forum des droits sur internet et la Mission conomique Numrique ont dit dans leur rapport 2006 que la notion dintgrit du document telle que prvue par larticle 1316-1 du code civil doivent tre cumule par ces trois critres suivants : Lisibilit du document, Stabilit du contenu informationnel, Traabilit des oprations qui sont effectues sur le document.

Aspect juridique : Larticle 323-2 du code pnal punis les auteurs des virus : Le fait d'entraver ou de fausser le fonctionnement d'un systme de traitement automatis de donnes (STAD) est puni de cinq ans d'emprisonnement et de 75.000 euros d'amende . La loi de juin 2004 relative la confiance dans l'conomie numrique : article 323-3-1 du code pnal stipule que le fait sans motif lgitime, d'importer, de dtenir, d'offrir, de cder ou de mettre disposition un quipement, un instrument, un programme informatique ou toute donne conus ou spcialement adapts pour commettre une ou plusieurs des infractions

prvues par les articles 323-1 323-3 est puni des peines prvues respectivement pour l'infraction elle-mme ou pour l'infraction la plus svrement rprime . Larticle 1383 du code Civil dfinit la responsabilit de lentreprise dans laquelle un virus sest propag dans lespace TCP/IP est apparu depuis plusieurs mois et que lentreprise na pas mis en place des systmes de scurit efficaces par : chacun est responsable du dommage qu'il a caus non seulement par son fait, mais encore par sa ngligence ou par son imprudence .

3. Identification et lauthentification :
Lidentification consiste tablir lidentit de la personne tandis que lauthentification certifie lexactitude de son identit.Au niveau de patrimoine informationnel, limportance est de le protger avec lidentification des personnes ayant laccs afin de garantir la confidentialit des donnes. L'article 4.e du Rglement CE n 460/2004 du Parlement europen et du conseil du 10 mars 2004 dfinit l'authentification comme la confirmation de l'identit prtendue d'entits ou d'utilisateurs . Lidentification et lauthentification sont deux notions complmentaires utilises dans les systmes dinformation et aussi dans le contrle daccs physique au btiment. Gnralement, lidentification de la personne se fait laide dun identifiant et dun mot de passe. Cette mthode didentification ne garantit pas dune faon certaine que la personne identifie est la bonne personne. Mme si une personne russit de sidentifier, il se peut que lutilisateur qui se connecte vols lidentifiant et le mot de passe de leur propritaire. Un nouveau systme dauthentification appel authentification forte et mis en place afin de pallier ce problme majeur en terme de scurit. Ce systme consiste vrifier avec une forte certitude que la personne identifi est celle qui est propritaire des lments didentification (identifiant, mot de passe). Actuellement, plusieurs systmes didentification et authentification sont utiliss, savoir : Systme avec Identifiant et mot de passe : ce systme et le plus courant mais trs peu sr. Utilisation des certificats lectronique : Souvent dans ce cas, le certificat lectronique est enregistr sur une carte puce ou une cl USB. Lutilisateur active lutilisation de ce certificat lectronique laide dun code PIN. Vu que les certificats lectronique

utilise un couple de clef priv et publique, pour grer les cls publique il mettre en place une infrastructure PKI (Public Key Infrastructure). Identification avec OTP (One Time Password) : lutilisateur utilise un mot de passe unique et dure limite. Les technologies biomtrique offrent des solutions qui utilisent des lecteurs biomtrique (iris de lil, etc.) pour contrler laccs. Pour rsum, on peut dire que pour sauthentifier, une personne a besoin aux mains dun des trois critres suivants : Ce que la personne sait (mot de passe, etc.) ; Ce que possde la personne, un certificat lectronique ou une clef de scurit ; Ce quest la personne, aspect biomtrique.

4. Confidentialit :
La confidentialit est une caractristique trs importante dans la protection de patrimoine informationnel, la confidentialit est la fois la notion de secret et la diffusion rduite un nombre limit de personnes. La confidentialit prsente une proprit qui assure dans les conditions normalement prvues, seuls les utilisateurs autoriss ont accs aux informations concernes. Les informations confidentielles du patrimoine informationnel sont importantes, ils ne sont pas nombreuses, parmi ces informations on cite : confidentialit mdicale, confidentialit du code de la carte bancaire, mot de passe personnel, etc. La confidentialit est mise en place au niveau de contrle daccs. Cependant il faut mettre en place des systmes de protection supplmentaire pour anticiper les cas o des personnes non autorises puissent accder au systme dinformation. Pour prserver la confidentialit dans ce dernier cas, un systme de chiffrement peut tremis en place. Ce systme sert rendre les donnes illisibles que par les personnes qui possdent la cl de chiffrement. Il existe trois solutions afin dassurer la confidentialit des donnes : Etablissement dun systme de contrle daccs ; Le chiffrement de donnes ; Lexternalisation des donnes.

Lhbergeur dune solution externe doit prendre des engagements et des responsabilits afin que cette solution permettre dviter tout problme de confidentialit dans lentreprise.

5. Traabilit
La traabilit est un lment important dans la scurisation du patrimoineinformationnel, elle permet de garantir lintgrit des donnes. Une trace est dfinit comme une empreinte ou une suite dempreinte qui permet de sassurer de passage dun individu, dun animal ou dun vhicule. Donc on peut dire que traabilit est un mcanisme permettant de suivre automatiquement un objet depuis sa naissance ou cration jusqu' son tat finale ou sa destruction. Un journal squentiel est un outil qui permet de tracer les diffrentes oprations effectues sur un systme dinformation. La mise en place de ce journal squentiel offre une vritable garantie surtout pour des systmes comme larchivage lectronique. Ainsi la traabilit est compose de deux aspects : Le contrle : lensemble des actions effectues sur un objet ; La preuve : lensemble des traces des actions qui ont t fait sur un objet.

Aspect juridique : Parmi les problmes majeurs combattus par la traabilit des systmes dinformation on cite lusurpation didentit. Daprs larticle 434-23 du Code Pnal, lusurpation didentit devient un dlit pnal ds que le fait de prendre le nom d'un tiers (a t ralis) dans des circonstances qui ont dtermin ou auraient pu dterminer contre celui-ci des poursuites pnales .

III.

Juridique

1. Les dispositifs juridiques attachs la protection du patrimoine informationnel :

Le patrimoine informationnel correspond une structure de plus en plus importante au sein des grandes entreprises, ou mme dans les PME. On pourrait citer par exemple ; les diffrentes bases de donnes, les droits lis aux diffrents logiciels et brevets. La valorisation de ce patrimoine passe par une protection efficace en matire de droit. La notion de patrimoine informationnel na pas t compltement cerne par le droit, donc on prsentera les diffrents concepts li au patrimoine juridiques dj prsents. informationnel partir des textes

Le patrimoine est dfinit comme tant lensemble des biens et des obligations dune mme personne .Les titulaires dun patrimoine peuvent tre des personnes physiques ou morales (socits) et les biens composant le patrimoine peuvent tre matriels ou immatriels, corporels ou incorporels (dettes, crances, locaux) et ces biens peuvent voluer selon les exigences de la socit. La notion dinformation est dfinit un lment de connaissance susceptible d'tre reprsent sous une forme adapte une communication, un enregistrement ou un traitement. (Arrt du 3octobre 1984 du Ministre de l'ducation nationale). Le patrimoine informationnel est l'ensemble des donnes, protges ou non, valorisables ou historiques d'une personne physique ou morale. (Daprs Eric A. Caprioli, Jean-Marc Rietsch, Marie-Anne Chabin, Dmatrialisation et archivage lectronique, d. Dunod, 2006) La valorisation des informations et la protection de celle-ci est ncessaire toute entreprise indpendamment de sa taille et passe ncessairement par la confiance dans les informations possdes ceci passe par une conservation intgre des donnes (les donnes stockes, envoys ou reus nont pas t modifi), une imputabilit des interlocuteurs, la disponibilit des donnes tout moment pour les personnes autoriss uniquement, pour esprer rpondre tous ces critres, il faut que la vrification commence ds le dbut et notamment en vrifiant lexactitude des donnes saisies. Plusieurs jurisprudences existent dans ce domaine ou la responsabilit du fournisseur de renseignements a t engage pour avoir communiqu une information inexacte (Cass. civ.,14 mars 1978, D. 1979) , de l un droit de rectification est ncessaire. Plusieurs dcisions de justice tmoignent de cette obligation de diffuser des informations actuelles, jour, non primes. Ainsi, l'arrt rendu le 30 janvier 1974 par la Cour de cassation confirme qu' bon droit, les juges du fond ont pu dcider qu'une agence de renseignements commerciaux avait commis une faute engageant sa responsabilit contractuelle en fournissant une information sans mettre aucune rserve alors qu'elle n'avait en sa possession sur la personne concerne que des renseignements prims et sommaires remontant plus de six mois (Cass. com., 30 janvier 1974, D.S.1974, p. 428). Sans une scurisation minimum du patrimoine informationnel, celui-ci pourrait tre mal utilis, ou pire pirater par des concurrents. Cest pour cela que lunion europenne grce l'Agence europenne charge de la scurit des rseaux et de l'information ralise des analyses long terme sur les nouvelles menaces pour les systmes dinformations en Europe. La dfinition de la scurit des systmes d'information est dfini par larticle 4c du rglement

10

communautaire de lagence : scurit des rseaux et de l'information : la capacit d'un rseau ou d'un systme d'information de rsister, un niveau de confiance donn, des vnements accidentels ou des actions illgales ou malveillantes qui compromettent la disponibilit, l'authenticit, l'intgrit et la confidentialit de donnes stockes ou transmises et des services connexes que ces rseaux et systmes offrent ou qu'ils rendent accessibles (J.O.U.E. 13.3.2004,p 1 et s.).

Les outils juridiques et organisationnels de protection A ct des moyens techniques traditionnels (pare-feu, serveurs scuriss, antivirus...), la scurit doit saccompagner dune stratgie en matire de droit.

La politique de scurit des systmes d'information Une des premiers pas dans une politique de scurit et daffecter chaque acteur li au systme dinformation un rle bien dfini et un degr dautorisation daccs (administrateur, utilisateur..), car la plus grande menace est le facteur humain (souvent mauvaise manipulation, une mauvaise utilisation.). Mais aussi la mise en place dune charte dutilisation des communications lectroniques qui rgit lutilisation des salaris des diffrents moyens lectroniques mis leur disposition (tlchargement illgal, communication de donnes confidentielles. La charte doit permettre dautoriser la cyber-surveillance en conservant le diffrent historique de connexion, Les diffrents accs aux diffrents postes, aux diffrents rseaux et les diffrentes traces informatiques qui pourront tre utilis en cas de recours judiciaire, cette surveillance doit tre proportionne par rapport la finalit recherche par lentreprise. Ceci doit aussi saccompagner dactions de sensibilisation sur la scurit afin que celle-ci fasse partie intgrante de la culture dentreprise au sein de lentreprise. Actuellement la plupart des chartes sont annexs au contrat de travail, et le non-respect de celle-ci est susceptible dtre sanctionn. Nanmoins les salaris doivent tre au courant de la mise en place de la charte (art. L.121-8 du Code du travail) et les dispositifs techniques mis en place doivent tre dclars auprs de la CNIL. La mise en place de clauses de confidentialit et de proprit intellectuelles ayant trait la scurit des systmes d'information de l'entreprise, notamment pour les contrats souscrits avec des tiers.

11

En 2005, une stagiaire chinoise travaillant chez un quipementier automobile a t accuse d'avoir copi des donnes sur son disque dur avant de les emporter chez elle. Ce tlchargement anormal de fichiers a alert l'administrateur informatique. En consquence de quoi, l'entreprise a port plainte en se fondant sur un accs frauduleux dans un systme automatis de donnes (STAD). La stagiaire a quant elle justifi la copie de ces donnes par la rdaction de son rapport de stage ainsi que par le fait que ces donnes taient parfaitement accessibles sur l'intranet de l'entreprise. La personne en charge de la scurit de linformation dans lentreprise est le RSSI (Responsable Scurit des Systmes d'Information), ces fonctions sont le plus souvent effectues par le Directeur des Systmes d'Information (DSI)

2. Le droit de la proprit intellectuelle pour la protection de l'information :

Afin de protger certaines informations, celles-ci sont soumis aux droits de proprit intellectuelle car issu des uvres de lesprit or certaines ne le sont pas et sont soumis au secret et toute contrefaon est passible de sanction civile et/ou pnale. Les diffrents droits de proprit intellectuelle susceptibles de protger l'information Le droit dauteur : Les uvres de l'esprit sont protges par le droit d'auteur pour une dure de soixante-dix ans aprs la mort de l'auteur. L'atteinte porte ce monopole est constitutive du dlit de contrefaon (Art. L. 335-2 CPI pour les compositions musicales, crits, dessins, peintures et toute autre production imprime ou grave en entier ou en partie, Art. L. 335-3 pour les uvres de l'esprit et pour les logiciels. V galement les arts. L. 335-4 et s CPI). En ce qui concerne les logiciels, ils font partie des uvres de lesprit depuis la loi du 3 juillet 1985, avec une protection de lexpression du logiciel et le matriel de conception (L. 112-2, 13 du Code de la proprit intellectuelle). La protection dune uvre original nait ds sa cration et ne ncessite pas de dmarche particulire, cependant il est plus judicieux de faire un dpt priv chez un notaire par exemple afin dajouter la prcision de la date de cration.

Les droits sur les bases de donnes La base de donnes que le Code de la proprit intellectuelle dfinit dans son article L. 112-3, alina 2 comme un recueil d'uvres, de donnes ou d'autres lments indpendants,

12

disposs de manire systmatique ou mthodique, et individuellement accessible par des moyens lectroniques ou par tout autre moyen et est aussi soumis au droit dauteur. Afin de prouver que lentreprise est titulaire de la base de donn, un investissement portant sur la constitution de la base doit tre effectu et prouv (CJCE, 9 nov. 2004 : Comm. com. lectr. 2005, comm. 2, note Ch. Caron.). Cet investissement pourra tre financier, matriel ou humain. La protection dune base de donnes peut tre perptuelle, puisque la dure minimale de protection est de 15 ans et est reconduite chaque fois quun investissement substantiel la concernant est effectu. Le droit des brevets dinvention Une invention brevetable peut tre un produit, un procd, une application ou une combinaison nouvelle deMoyens connus. Le dpt de brevet seffectue auprs de lINPI en confrant son titulaire un droit dexploitation non renouvelable de 20 ans. Pour bnficier de la protection, l'invention doit respecter plusieurs conditions numres par l'article L. 611-10 du Code de la proprit intellectuelle : elle doit tre nouvelle et impliquer une activit inventive (notamment par rapport l'tat de la technique). Le droit des marques Le but des marques est de permettre aux entreprises propritaires de distinguer leurs produits ou services parmi leurs concurrents. La marque ne doit donc pas tre gnrique ou ncessaire, ni tre descriptive du produit ou service (notamment de l'espce, la qualit, la quantit, la destination, la valeur ou la provenance du produit ou service). Le signe choisi doit galement tre disponible, c'est--dire ne pas porter atteinte des droits antrieurs (L. 711-4 du CPI).Le propritaire de la marque peut encourir la dchance de la marque si elle nest pas exploit pendant une priode de 5ans et ceci concerne en particulier le droit de proprit industriel(L. 714-5 du CPI). Le dpt d'une marque confre son titulaire un droit exclusif d'une priode de 10 renouvelable indfiniment.

Le droit des dessins et modles Ce droit a pour effet de protger lapparence dun produit ou dune partie dun produit.

13

Comme la marque il doit tre dpos auprs de lINPI, et le dessin ou modle ne doit avoir aucune ressemblance avec un modle ou dessin prexistant. Le droit dauteur peut aussi sappliquer si le modle constitue une cration de forme originale marque de l'empreinte de la personnalit de son auteur. La dure initiale du droit protg est de 5 ans et peut tre proroge plusieurs fois pour atteindre une dure maximale de 25 ans.

Le savoir-faire et le secret de fabrique A ct des droits de proprit intellectuelle qui concerne les informations qui peuvent tre protg, subsiste des donnes qui ne le sont pas de peur de les rendre public et ne sont conservs sous forme de secret. Le secret revt deux formes juridiques : le savoir-faire et le secret de fabrique. Le savoir-faire est dfini par le rglement d'exemption n 772/2004 du 27 avril 2004 (article 1) comme : un ensemble d'informations pratiques non brevetes, rsultant de l'exprience et testes, qui est : o o o Secret, c'est--dire qu'il n'est pas gnralement connu ou facilement accessible ; Substantiel, c'est - dire important et utile pour la production des produits contractuels ; Identifi, c'est--dire dcrit d'une faon suffisamment complte pour permettre de vrifier qu'il remplit les conditions de secret et de substantialit . La protection du savoir-faire est assur par la jurisprudence, la responsabilit civile et par des mcanismes contractuels lors daccord avec des tiers. Le secret de fabrique quant lui concerne tout procd de fabrication, offrant un intrt pratique ou commercial, mis en uvre par un industriel et gard secret l'gard de ses concurrents (Cass. crim. 29 mars 1935 :Bull. crim., p.350). La protection des signes qui rfrent une marque est assure par le droit commun de la responsabilit civile. La protection de ces signes se trouve limite, au mme titre que les marques, par le principe de spcialit. Le nom commercial et l'enseigne ne sont protgs qu' l'gard des produits ou services qui constituent l'objet de l'activit du fonds ou du lieu d'exploitation qu'ils identifient.

14

Les srets sur le patrimoine informationnel Le patrimoine informationnel est compos de biens assez disparate tel que le fonds de commerce, les crances, les proprits industrielles, les instruments financiers, les actions, les parts sociales, ou encore les droits d'exploitation des logiciels, etc. Face aux difficults dune protection optimale pour protger les informations dans un monde tout numrique, le recours lutilisation de technique empchant les actes non autoriss par le titulaire de droits. La loi n 2006-961 du 1er aot 2006 relative au droit d'auteur et aux droits voisins dans la socit de 'information (J.O n 178 du 3aot 2006 p. 11529), a pos le principe de validit du recours aux mesures techniques de protection (MTP) et d'information (MTI) des uvres (E. A. Caprioli, Mesures techniques de protection et d'information des droits d'auteur, Com. com. lectr. Nov. 2006, Etude n 30, p. 25), et la dtention en vue d'un usage personnel ou l'utilisation d'un dispositif anti-mesures techniques de protection mentionn l'article L. 331-5 du CPI ou de recourir un service pour y porter atteinte (Code de la proprit intellectuelle: article R. 335-3). Les sanctions juridique dans ce domaine varie, pouvant aller jusqu 6mois demprisonnement et 30 000 damende.

3. Engagements et responsabilits de l'entreprise et de son chef

Obligation et responsabilit: Le patrimoine informationnel est gr par des lois rparties sur diffrents corps, la loi informatique, fichiers et liberts, le droit de la responsabilit civile et le code pnal.

Non-respect des engagements drivant de loi informatique, fichiers et liberts: La loi informatique, fichiers et liberts (6 janvier 1978 modifie par la loi du 4 aot 2004) interviennent pour crer des obligations la charge de l'entreprise vu que le patrimoine informationnel dtenu par cette dernire contient des donnes caractre personnel (information sur les clients, les partenaires commerciaux ...) Toute entreprise qui ne respecte pas les obligations en matire de donnes personnelles sera soumise aux sanctions pnales dcrites par la loi prcite. Il faut prciser qu'en principe, cest le responsable du traitement qui engage sa responsabilit en cas de non-respect de ces spcifications.

15

Description des obligations principales :

information :toute personne a le droit de savoir si elle est fiche et dans quels fichiers elle est recense (article 32 / loi informatique, fichiers et liberts).

Droit d'accs : toute personne a le droit de demander au responsable d'un fichier s'il est en possession d'informations sur elle et d'en rclamer la communication de ces dernires, aprs justificatif de son identit. (article 39, 41 et 42).

Droit de rectification : toute personne a le droit de modifier, ajouter, actualiser, verrouiller ou supprimer des informations qui la concernent lors de la dtection d'erreurs, d'inexactitudes ou d'une utilisation interdite de ces informations. (article 40)

Droit d'opposition :toute personne a le droit de s'opposer pour des motifs lgitimes figurer dans un fichier (article 38)

Respect des formalits pralables : l'entreprise est oblige de dclarer tout traitement informatique sur des donnes personnelles susceptibles d'une atteinte aux droits et aux liberts ; Le non-respect de ces formalits est sanctionn de 5 ans d'emprisonnement et 300.000 euros d'amande.

Les personnes morales seront aussi concernes par ces spcifications dans le cas o elles seront dclares comme pnalement responsables, ces dernires sont soumises des peines plus lourdes en cas de sanction. Afin d'viter toute infraction la loi informatique, fichiers et liberts, l'entreprise se trouve dans la ncessit d'assurer la bonne gestion des donnes caractre personnel qu'elle possde, cela implique la dfinition d'une politique vie priv et donnes personnelles , la nomination d'un responsable de traitement de donnes caractre personnel, et la sensibilisation du personnel cette problmatique, Cette problmatique se relve du fait que la gestion des donnes caractre personnel peut s'avrer trs complique dans certains cas car ces donnes qu'il faut protger sont diverses et donc leurs traitements n'entrainent pas forcment les mmes obligations, dans la mesure o certains traitements ncessitent des formalits pralables (exemple : l'utilisation des donnes biomtriques pour lauthentification, et soumise une autorisation). De plus, l'article 34 de la loi informatique et liberts, engagent l'entreprise prendre toutes les mesures de scurit utiles pour prserver les donnes recueillies pour assurer qu'elles ne soient pas dformes, endommages ou que des tiers non autoriss y ait accs .

16

Responsabilit civile dcoulant du fait d'un salari : Selon l'article 1382 et 1383 du code civil, le salari est responsable des dommages causs de son fait, ou par sa ngligence ou son imprudence, le salari pourra tre exonr de cette responsabilit dans le cas de la prsence de la preuve que le dommage relve d'un cas de force majeure. Un systme d'information est cible d'attaque informatique, pour expliquer qu'est ce qu'une attaque informatique, nous pouvons donner l'exemple de l'intrusion d'un virus qui donne accs des donnes caractre personnel des personnes non autorises normalement. Si l'entreprise a manqu de scuriser son systme d'informations, sa responsabilit est engage, car dans l'absence d'un minimum en terme de scurit par la mise en uvre de moyens techniques et juridiques (par exemple : antivirus et chartes d'utilisation des communications lectroniques) l'entreprise sera extrmement vulnrable aux attaques. Seul un juge pourra condamner la responsabilit de l'entreprise vis vis des mesures de scurit mise en place par cette dernire. Par exemple : la responsabilit de l'entreprise ne pourra pas tre engage dans le cas d'un dommage caus par un virus non connus aux jours de l'attaque. La responsabilit du chef d'entreprise pourra galement tre engage dans le cas d'un dommage dcoulant du manque en mesure de la scurit ou de l'indulgence d'un salari dans l'exercice de ses fonctions. Les tribunaux (article 1384. al.5 du code civil. Relatif la responsabilit du commettant du fait de ses prposs). Dtaillent trs strictement les cas d'exonration de l'employeur.

Les atteintes aux Systmes d'information (systme de traitement automatis des donnes): Les donnes constituant le systme d'information d'une entreprise peuvent se voir victimes d'actes frauduleux raliss grce des intrusions non autorises, les articles 323-1 323-7 du Code pnal. La loi n2004-575 du 21 juin 2004 pour la confiance dans l'conomie numrique sanctionne ces actes. Les actes susceptibles dtre sanctionns sont plusieurs, les principales sont : o Intrusion frauduleuse dans un systme de traitement automatis de donnes : sanctionn par l'article 323-1 al. 1 du Code de pnal, et pourra engendrer une peine de 2 ans d'emprisonnement et 30.000 d'amande.

17

o Entraver ou falsifier un systme de traitement automatis de donnes : sanctionn par l'article 323-2 du Code pnal), la peine relative cet acte est 5 ans d'emprisonnement et 75.000 euros d'amande o Introduction frauduleuse de donnes dans un systme de traitement automatis : sanctionn par l'article 323-3 du Code pnal o Tentative des dlits prvus aux articles 323-1 323-3-1 : sanctionn par l'article 323-7 du Code pnal et engendre la mme peine que les dlits mmes.

Les solutions envisageables (i) Solutions pour les problmes et les risques lis l'externalisation Pour des raisons de performance, d'administration et de gestion de plus en plus d'entreprises optent pour l'externalisation de certaines de ces activits, parmi lesquelles des activits lies aux systmes d'informations, pour illustrer cela nous pouvons citer l'exemple d'une entreprise qui a choisi d'hberger ses serveurs chez un professionnel. Lexternalisation cre donc une relation entre l'entreprise et un prestataire, ce dernier va faire de l'infogrance pour l'entreprise, do l'importance de bien prciser les rles et les responsabilits de chaque partie dans un contrat d'externalisation. Le prestataire devra assurer la scurit de ses systmes d'information. L'entreprise son tour doit s'assurer que son prestataire est fiable et qu'il dispose des moyens ncessaires et conforme la norme en termes de scurit de l'informationLe contrat devra imprativement prvoir une clause de confidentialit relative aux donnes et informations de l'entreprise qui figurent dans les serveurs du prestataire (ii) Les dlgations de pouvoirs DSI ou au RSSI Il s'agit d'un mcanisme qui consiste transfrer le pouvoir du chef de l'entreprise vers un dlgataire, les entreprise font souvent recours ce mcanisme dans le cas d'une atteinte au patrimoine informationnel caus par une faille de scurit dans le systme d'information, ce transfert de pouvoir impliquera aussi un transfre responsabilit pnale correspondant aux

fonctions dlgues, savoir la responsabilit pnale ne sera plus supporte par chef de l'entreprise mais par le dlgataire.

18

IV.

Les assurances :

1. Introduction et contexte
Lassurance de lexploitation informationnelle consiste protger le patrimoine informationnel de lentreprise, contreles vnements imprvisibles qui peuvent causer des dommages et des pertes considrables. Dans le cas dun problme, dun accident ou dune simple malveillance, les consquences peuvent se traduire par un arrt prolong du systme dinformation, ou une perte de donne notamment la voix, ou les images. Par ailleurs le cout financier de ces pertes est assez consquent, et prcisons que la scurit ne pourra jamais tre 100%. Cest pourquoi les assurances PEI consistent complter le niveau de scurit de lentreprise. La premire apparition de la nouvelle notion dassurance tout risque sauf en Europe continental date de 40 ans dj et tait emmen par une compagnie d'assurance amricaine, spcialise dans les risques informatique diversifis. Cette nouvelle conception de lassurance informationnel est utile pour la protection contre des risques dont les causes varient considrablement : nous pouvons cites lexemple dune guerre civile ou trangre, ou encore les risque atomiques. Cependant tous les autres risques sont compris dans les prises en charge de lassurance. Pour illustrer cette ide, prenons lexemple dune entreprise qui serait confront un sinistre dont lorigine est un risque compris dans le contrat pass avec la compagnie dassurance. Laspect positif de ces contrats est donc la prise en charge financire de lassureur tout au long de la dure de lindisponibilit du systme. Prcision que ces compagnies PEI sont des assurances de capitaux, par consquent ce sont les montants plafonds qui sont calculs, et elles procdent en crant des scnarios simulant les risques potentiels. Concernant leur domaine dapplication, deux risques sont principalement couverts suite lindisponibilit du SI : les frais supplmentaire et la reconstitution des mdias.

19

2. Montant du sinistre brut/net :

Montant S brut = Le montant total des pertes directes et indirectes Montant S Net = Montant S brut - montant des cibles assures Montant S Net = Montant S brut - montant des cibles assures

3. Les enjeux
Le plan de continuit dactivit est une solution technique informatique et tlcoms mise en place par les entreprises et visant apporter une protection contre toutes menaces la disponibilit et la traabilit du systme d'information. Par ailleurs Les entreprises sadressent aux assurances perte d'exploitation informationnelle (PEI) car elles reprsentent un complment financier vis--vis du PCA. En effet cette assurance offre la couverture de la reconstitution des mdias et des frais supplmentaires. Certes le PCA et les assurances PEI sont complmentaires pour couvrir lindisponibilit du SI. Cependant le PCA reste le pivot du redmarrage du systme d'information, car L'assurance PEI a une certaine limite car en cas de sinistre elle constitue seulement un complment montaire ncessaire pour couvrir le risque financier. Lindisponibilit du systme d'information pendant une longue dure reprsente un cout lourd et croissant pour les entreprises. Voil pourquoi dtermine la dure de couverture dassurance PEI. On comprend alors lutilit du calcul et de la validation du temps de redmarrage et des dgts potentiels sur les media de lentreprise. Ensuite il est prudent de majorer ces capitaux en cas de sinistre d'une porte exceptionnelle. la dure de redmarrage en phase de

croisire du systme d'information de l'entreprise a une importance capitale : car elle

4. Recommandations
La figure suivante rsume la mthodologie pour s'assurer en perte d'exploitation informationnelle (PEI) :

20

Classifier l'information

Btir des scnarios de sinistre

Dterminer le montantdu sinistre brut

Dterminer le montant du sinistre net

Estimer les montants frais supplmentaires (FS) et reconstitution de mdias (RM)

Fixer le RMT

21

Rfrences :
Protection du patrimoine informationnel 2007_CYGREF OCDIE : Protection et dfense du Patrimoine informationnel et des Connaissances http://fr.wikipedia.org/wiki/Patrimoine_immat%C3%A9riel http://www.diffusion-rie.com/IMG/pdf/Patrimoineinformationnel_r2ie.pdf

22