Les entreprises françaises sont-elles suffisamment bien armées face aux risques d'attaques informatiques ? L'Agence nationale de la sécurité des systèmes d'information (Anssi) est loin d'en être convaincue. Face à un sujet complexe à traiter et délicat à gérer quand il survient, l'organisme gouvernemental chargé des questions de cybersécurité préconise d'aborder le problème par une première mesure simple : la mise en place d'une « charte d’utilisation des moyens informatiques et des outils numériques ».
Tous acteurs de la sécurité informatique en entreprise
Pour aider les dirigeants à rédiger un tel document, l'Anssi vient de publier un guide pratique à l'attention des PME et ETI. Elle considère en effet cette charte comme l'une des « étapes fondamentales » à l'instauration d'une culture de la prévention des risques numériques. Elle est, en particulier, l'occasion de « faire de la sécurité un enjeu partagé par l’ensemble des utilisateurs de votre entreprise (salariés, partenaires, sous-traitants, etc.) », souligne le directeur général Guillaume Poupard en préambule. C'est bien là l'idée maîtresse développée par l'Anssi : chaque utilisateur du système d'information de l'entreprise doit être un garant de la sécurité de celui-ci. Il convient donc de le « sensibiliser (...) sur le rôle déterminant qui est le sien dans la protection du système d’information » de la société.
Une charte pour définir droits, devoirs... et sanctions
Dans cette logique, la charte se doit donc, dans un premier temps, de définir ses droits, mais surtout ses devoirs et « les règles d’usage » des moyens informatiques et outils numériques mis à sa disposition. Sur ce point, les experts de la cybersécurité déconseillent « fortement (...) d’utiliser ses outils personnels à des fins professionnelles (et inversement) en raison du manque de contrôle de ces équipements et des risques en matière de sécurité des données ». Le document doit, dès lors, prévoir des moyens de contrôle et des sanctions envers tout manquement à ses principes. À ce titre, plus qu'un simple recueil de bonnes pratiques, la charte est « un document à portée juridique », rappelle l'Anssi. Elle doit donc être opposable à tout collaborateur de l'entreprise. Celle-ci doit toutefois se soumettre à certaines obligations légales pour s'assurer de sa validité (information des salariés, déclaration à la Cnil, etc.).
