Faille de sécurité du système d’information : une révolution culturelle

C’est tombé en plein été l’an dernier, le 24 août, et passé un peu inaperçu… « En cas de violation de données à caractère personnel, le fournisseur […] avertit sans délai la Cnil. » Cette simple ordonnance a créé, pour la première fois en France, une obligation de notification des failles de sécurité constatées sur les systèmes d’information. Ce texte appelle trois observations. Dans la plupart des lois anglo-saxonnes, la suspicion d’une faille suffit à créer l’obligation de notification. La loi française exige plus, une « violation » des données à caractère personnel. A l’inverse, une faille peut exister sans porter atteinte à des données nominatives, la notification dans ce cas n’est pas obligatoire. Le texte vise aussi bien les failles qui vont être exploitées par un attaquant, que le simple accident. Enfin, une clé US B oubliée dans les transports en commun, voire un ordinateur volé, sans qu’il s’agisse à proprement parler d’une faille, entrent dans le cas de l’ordonnance. L’article 226-17-1 du Code pénal punit de cinq ans de prison et/ou 300 000 euros d’amende, le fournisseur qui ne notifie pas la faille alors qu’il en avait l’obligation. De quoi bousculer l’absence de transparence des récalcitrants. O. I.