La charte informatique est aujourd’hui devenue un élément indispensable des politiques de maîtrise des risques des systèmes d’information. Sa mise en place permet non seulement d’éviter toute forme d’abus dans l’usage des outils informatiques mais également de mieux prévenir les risques de hacking ou autres piratages. Enfin, une charte ayant vocation à être communiquée et expliquée aux utilisateurs elle peut aussi être un élément clé de la stratégie marketing et communication de la DSI

 

Des risques internes et externes

Alors que ces derniers mois, les cyberattaques ont à plusieurs reprises fait la une de l’actualité (NotPetya en juin, WannaCry en mai), la sécurité des systèmes d’information des entreprises est plus que jamais une priorité pour les DSI. D’autant que ces derniers doivent de plus en plus faire face au développement du BYOD (Bring Your Own Device), du COPE (Corporate Owned Personally Enabled), ou encore du CYOD (Choose Your Own Device)  et à la multiplication  des risques qui y sont inhérents.

Des risques dont il convient de prendre la pleine mesure au regard des conséquences qu’ils peuvent entrainer, tant sur le plan financier qu’en terme d’image pour l’entreprise. Les conséquences juridique (nous avons déjà parlé ici de GDPR/RGPD) et même pénales sont aussi réelles pour les DSI et les Dirigeants d’entreprise.

Face à ce contexte, la mise en place d’une charte sécurité informatique présente de nombreux avantages.

 

Objectifs de la Charte Sécurité Informatique

La Charte Sécurité Informatique a notamment pour vocation de fixer les règles d’utilisation des ressources numériques et de communication dans l’entreprise en vue d’en assurer la sécurité et de protéger son patrimoine informationnel. Elle permet par ailleurs de valider et de mettre en conformité les opérations de cyber-surveillance et de cyber-protection des salariés.  Recommandée par la CNIL, cette charte est également reconnue comme faisant partie du règlement intérieur en cas de litige.

 

Elle doit néanmoins respecter le code du travail à travers trois grands principes : la discussion collective (concertation entre les DSI, Directions Juridiques, DRH, instances représentatives du personnel), la transparence (les salariés doivent en être informé collectivement et individuellement), la proportionnalité (les données collectées doivent être proportionnelles à un but légitime recherché).

Enfin, la charte sécurité informatique est un moyen pour l’entreprise de se protéger juridiquement en cas de dommages commis par un employé. Elle n’est cependant obligatoire que pour les entreprises qui collectent des données à caractère personnel sur leurs salariés (log de connexion, archivage de messagerie…)

 

Que doit contenir une Charte Sécurité Informatique ?

Le contenu de la Charte Informatique varie selon la valeur que l’employeur entend lui donner (simple mode d’emploi ou document créateur d’obligations pour l’employé) mais également selon la nature et les besoins de l’entreprise (certaines entreprises étant plus exposées que d’autres à l’espionnage industriel).

Les principaux points définis dans une charte Sécurité Informatique :

  • Objet et champs d’application de la Charte : utilisateurs, systèmes d’informations et de communication concernés
  • Règles d’utilisation de la messagerie et d’internet
  • Administration des accès internet et aux réseaux de l’entreprise (règles relatives aux comptes utilisateurs, filtrage…)
  • Protection des ressources sous la responsabilité de l’utilisateur : moyens humains et techniques mis en place par l’entreprise pour assurer la sécurité matérielle et logicielle du système d’information et de communication.
  • Règles relatives à l’installation de hardware et de software
  • Contrôle : règle d’utilisation générale des outils informatiques, contrôles effectués par l’employeur, sanction en cas de violation à la charte informatique
  • Entrée en vigueur de la charte informatique : clause visant à informer les salariés que la procédure d’implémentation de la charte informatique a bien été respectée (consultation des instances représentatives du personnel, date de dépôt de la charte au conseil des Prud’hommes…) et date d’entrée en vigueur.

 

Exemple de charte publique :

La charte de l’UPMC, qui est aussi un outil de pédagogie pour expliquer aux utilisateurs notamment le danger du Phishing.

FavoriteLoadingAjouter à mes favoris

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.