Droit social : 3 bonnes pratiques pour gérer les cyber-risques
L'augmentation des cyber-risques en entreprise peut conduire l'employeur à prendre des mesures contre un salarié responsable de l'incident. Si l'intégrité du système d'information doit être préservée, comment prévenir de tels agissements et quelles réactions adopter après coup ?
Cyberattaques, intrusions, vols et cryptages de données. Les risques cyber touchent de plus en plus les entreprises et leurs systèmes d'information (SI). À l'image du ransomware (rançongiciel) WannaCry en mai 2017 ou de l'attaque Petya plus récemment, l'actualité rappelle les risques qui peuvent subvenir en cas de cyber-attaques. Touchant majoritairement les entreprises et les administrations publiques, les conséquences sont souvent lourdes pour les victimes, allant d'une simple perte de données au paiement de rançons souvent coûteux ou à la perte temporaire ou totale des capacités de production.
Pourtant, parmi les nombreux aspects que recouvre la cybersécurité en entreprise, les incidents ont majoritairement pour origine les salariés de l'entreprise. C'est le constat qui ressort d'une étude du cabinet PWC (2016) qui relève que 34 % des incidents de sécurité en entreprise ont été causés par des salariés en poste. À l'occasion d'un débat sur la cyber-sécurité et l'organisation du travail organisé le 29 juin 2017, Stéphane Bloch et Patrick Berjaud, avocats associés au département droit social du cabinet KGA Avocats estiment que deux vecteurs encouragent le développement de ces risques en entreprises.
"Le facteur socioprofessionnel illustré par la plus grande mobilité des salariés, allié à la porosité de la vie professionnelle et privée, ainsi que le facteur technologique dû à la fois à la révolution digitale des entreprises et par le fait que l'information est un bien de grande valeur font que les cyber-risques se développent et obligent les entreprises à s'adapter", explique Me Stéphane Bloch.
Une nouvelle réalité qui incite les PME à réaliser un travail de prévention en amont et de réaction, en aval, lorsqu'une situation de crise se présente.
1. Impliquer les acteurs de l'entreprise
"Mieux vaut prévenir que guérir". L'adage s'adapte à la problématique de la cyber-sécurité dans le monde professionnel. Un exemple suivi par le groupe FDJ dans sa transformation numérique depuis 2010. Invité à présenter les adaptations du groupe français en termes de sécurité informatique, Stéphane Marais, responsable du projet RH, rappelle que "traiter en amont la sécurité informatique suppose d'avoir pensé et réfléchi à la mise en place de la transformation digitale au sein de l'entreprise".
Un exercice complexe qui s'appuie à la fois sur le choix des outils utilisés par les collaborateurs tant dans l'entreprise qu'en dehors et sur leur formation à l'usage des logiciels. Logiciels collaboratifs, réseaux sociaux internes et externes, cloud, téléphones, tablettes ou ordinateurs, les multiples dispositifs mis à disposition des salariés supposent un encadrement des pratiques afin de limiter les risques liés à la perte d'informations sensibles de l'entreprise. "Cela s'inscrit dans la démarche plus globale de réflexion autour de l'organisation du travail des collaborateurs", ajoute, Me Patrick Berjaud.
Alors que la data ne cesse d'intéresser les entreprises sur un plan commercial, la question de la protection des données personnelles est également un sujet d'actualité. L'adoption par le Parlement européen du Règlement général sur la protection des données (RGPD) en mai 2016 obligera en mai 2018, les entreprises à garantir le stockage sécurisé des données personnelles à travers la mise en place d'un Data protection officer (DPO) en remplacement du Correspondant Informatique et Libertés (CIL).
L'objectif, rappelle Stéphane Bloch, est de "gérer et d'assurer la protection des données personnelles" dans l'entreprise. "Les TPE et PME peuvent procéder à la mise en place d'un DPO externe sous la forme d'un prestataire", ajoute-t-il. Si le sujet s'avère complexe pour les entreprises, les avocats considèrent que le respect de la législation ne peut être réalisé sans "la nécessité de sensibiliser les salariés par le biais de formation".
2. Adapter les normes en entreprises
Point essentiel à la sensibilisation des salariés, l'encadrement des pratiques des collaborateurs passe également par le contrat de travail et les différents textes normatifs de l'entreprise. Si "elle n'est que très rarement mise en place dans l'entreprise", comme le relève Me Berjaud, la rédaction d'une clause de confidentialité figure comme un des prérequis pour limiter les risques de divulgation d'informations sensibles en dehors de l'entreprise.
La clause de télétravail apparaît aussi comme un texte amené à être plus largement utilisé dans l'avenir. "Elle permet d'assurer que le salarié respecte certaines règles liées à la réalisation de son travail en dehors de l'entreprise", précise l'avocat qui ajoute que "l'objectif est d'anticiper les multiples comportements des salariés tout en laissant place aux libertés individuelles".
D'autre part, les conseils juridiques préconisent l'établissement d'une politique écrite de sécurité des systèmes d'information (PSSI). Décrivant les enjeux stratégiques et les règles de sécurité à appliquer sur le système d'information, la PSSI se veut comme un guide de prévention et d'action à suivre, destiné à tous les acteurs du SI.
La mise en place d'une charte informatique visant à qualifier les comportements et les utilisations acceptables du système d'information en entreprise sont, par ailleurs, indispensables pour définir les règles minimales de sécurité dans l'entreprise.
En outre, Stéphane Bloch rappelle la nécessité de travailler l'établissement de ces clauses avec les partenaires sociaux de l'entreprise. "La consultation des IRP est indispensable, tout comme leur déclaration auprès de l'Inspection du travail, de la Direccte et de la Cnil", note-il.
Les clauses du contrat de travail pour préserver le patrimoine de l'entreprise
La rédaction du contrat de travail
3. Réagir à une situation de crise
Le cyber-risque doit être appréhendé sur plusieurs pans par la direction de l'entreprise. Si, bien évidemment les services du SI doivent limiter les risques et tenter de régler le problème en contenant la menace, ils doivent également s'assurer de garder des traces de l'incident, lorsqu'il est réalisé, afin de prouver l'infraction constatée devant une juridiction civile ou pénale. Patrick Berjaud estime que l'employeur peut faire appel à un huissier pour le recueil des preuves. Et met en garde : "il faut faire attention à ne pas piétiner la scène de crime".
Sur le pan du droit social, l'employeur dispose de plusieurs leviers d'action à l'encontre du salarié fautif lorsque le risque cyber est imminent. Stéphane Bloch fait savoir que "le salarié sensible repéré peut être mis à pied à titre conservatoire dans le cadre d'une procédure de licenciement pour motif disciplinaire mais elle doit être réalisée concomitamment à la convocation à entretien préalable". En parallèle, l'accès à distance au système d'information peut être suspendu uniquement si le salarié est mis à pied à titre conservatoire ou s'il est dispensé d'exécution de son préavis.
Pour autant, chaque décision de l'employeur doit être réalisée en conformité avec la législation sur le droit du travail. Néanmoins, tous s'accordent à considérer que, dans de tels cas, "la jurisprudence a tendance à accorder de plus en plus de marges de manoeuvre aux entreprises".
Sur le même thème
Voir tous les articles Risques