La pandémie de la Covid 19 va de pair avec un usage renforcé du télétravail, propice à la cybercriminalité. Afin d’éviter que la généralisation de cette pratique induise des risques supplémentaires pour les données et les systèmes d’information des entreprises et des citoyens, la CNIL et le gouvernement ont fait part de leurs recommandations en ce qui concerne le télétravail. Ces recommandations vont dans un sens commun : créer une bulle de cybersécurité sur le lieu de domicile pour l’exercice de l’activité professionnelle en cloisonnant le lieu de télétravail et le lieu de vie. Cette séparation matérialise l’abandon d’une logique « Trust but verify », inadaptée à l’usage, au profit d’une stratégie plus offensive fondée sur le modèle « Zero Trust ».
Par analogie, on peut se demander comment les programmes de conformité s’accordent avec cette nouvelle pratique et notamment comment le contrôle mis en place par l’entreprise pour s’assurer du respect des réglementations peut être adapté. En effet, la perte du contrôle des entreprises sur leurs locaux implique une perte d’effectivité des mesures qu’elles ont mises en place. Il est nécessaire de maintenir à une effectivité pleine et entière de ce contrôle au sein de l’espace de travail, à domicile, des salariés exposés tout en préservant leurs libertés individuelles. De la même façon que les mesures techniques créent une bulle de cybersécurité autour du salarié, la mise en place de nouvelles mesures organisationnelles doit permettre de créer une bulle de conformité autour du salarié pour le protéger ainsi que son entreprise.
Cela suppose de mener des analyses de risques régulières afin de vérifier la conformité des entreprises et d’éluder le risque de sanctions par la mise en œuvre de registres, de procédures, de dispositifs d’alertes ou encore de Code de conduite constamment vérifiés et mis à jour. Il est néanmoins essentiel d’adapter ces mesures aux nouveaux risques et de ne pas imposer les mesures les plus draconiennes à tous, indépendamment du niveau de risque. L’invasion de la sphère privée par l’entreprise doit ainsi être tempérée par une contre-invasion de la sphère privée au sein de l’entreprise qui devra prendre en compte les spécificités de chaque employé ou de chaque typologie d’employé. Cela suppose une maturité importante de l’entreprise en matière de conformité et de risque ainsi qu’une lecture fine de la réglementation, mais les effets vertueux d’une telle démarche sont évidents.
La mise en place de la compliance de façon systémique, « by design », et continue permet de garantir la conformité d’une entité, mais également de favoriser la bulle de cybersécurité évoquée précédemment. En effet nombre de réglementations, comme le RGPD ou la directive NIS, exigent la mise en œuvre de « mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque » [1].
Bref, un chaine de confiance qui ne demande qu’à être alimenté.
Valentin SCHABELMAN
Doctorant chercheur — Examin