La conférence Clusif du 6 décembre s’est ouverte avec un seul mot d’ordre : « non, nous ne parlerons pas du GDPR »…
Ce fut qu’un vœux pieu, car comment aborder les « Obligations juridiques liées aux systèmes d’information » -titre du Vade-Mecum de 50 pages disponible sur l’espace téléchargement de l’association sans mentionner ne serait-ce qu’une fois de l’obligation juridique la plus importante de ces 5 dernières années.
Un Vade-Mecum qui n’est bien entendu pas centré sur le GDPR. C’est là le résultat de 2 ans de travail unissant le Clusif et Cyberlex, un groupe de spécialistes du droit (juristes, avocats, professeurs de droit, mais aussi professionnels de la sécurité). Un mariage qui vient de donner naissance à ce « livrable », sorte de manuel de première nécessité à l’usage du RSSI et du CISO, que l’on peut à l’occasion glisser dans la pile de documents à destination d’un CEO ou d’un directeur marketing qui comprendra probablement plus rapidement les implications légales d’une impasse SSI ou d’une réduction budgétaire impactant la sécurité des systèmes d’information, voir un lancement sur le marché d’un produit logiciel ou matériel imparfaitement « bordé » d’un point de vue juridique. Nul n’est besoin d’être un gourou du Pénal pour comprendre les risques de poursuite d’un objet de l’internet « fuiteux », d’un serveur de plateforme e-commerce poreux, d’un échange de documents hors de contrôle… Tout aussi rares sont ceux qui mesurent toutes les conséquences d’un échec dans ces domaines-là.
Le mémento débute, sans surprise, par une description des lasagnes de normes -ISO 27xxx en tête. Il continue sur un vaste descriptif des responsabilités de chacun : contractuelles, pénales, le tout accompagné de descriptions assez précises des prérequis de mise en œuvre et des nécessités de collectes de preuves recevables… la conservation des traces étant souvent l’un des principaux défauts en cas de conflit ou de sinistre.
L’ouvrage s’achève avec trois dossiers très documentés sur les données personnelles -thème à la mode s’il en est-, la cybersurveillance et la sécurité des contrats.
- En Bref ...
- La consommation de sécurité dans les entreprises en France – De la différence entre besoin de sécurité et demande effective de sécurité.
- Vulnérabilités et Menaces 2016 : Comment savoir si on a été attaqué ? Tracer une attaque, nettoyer son SI, comment se protéger ? Se défendre ? Conseils & Solutions
- Le multi-antivirus PlagueScanner existe… enfin
- NoSuchCon : Anthony « Frantic » Zboralski ferme le ban