30  juillet  2018,  transposant  S’inscrivant  dans  une  dyna- naces  informatiques  et  les  pra-
         cette directive, énonce que toute  mique  relativement  similaire,  tiques  de  sécurité  mises  en
         information  peut  être  protégée  l’Association  Française  de  Nor- place  par  350  entreprises  fran-
         au  titre  du  secret  des  affaires  malisation  (AFNOR)  a  entrepris  çaises en 2019. Il ressort notam-
         sous  réserve  qu’elle  ne  soit  pas  de  réaliser  un  guide  pratique  ment  que  72 %  d’entre  elles
         connue  du  grand  public  ou  du  visant  à  faire  prendre  cons- étaient dotées en 2019 d’un res-
         secteur    d’activité   concerné,  cience aux organisations des im- ponsable de la sécurité des sys-
         qu’elle  revête  une  valeur  com- pacts   économique,     financier,  tèmes  d’information  (RSSI),  soit
         merciale,  effective  ou  poten- d’image,  en  cas  d’une  perte  de  une  progression  de  14  points
         tielle,  du  fait  de  son  caractère  tout ou partie de son patrimoine  par  rapport  à  l’année  précé-
         secret, et qu’elle fasse l’objet de  informationnel. En date de 2014,  dente.  Mais  au-delà  de  la  créa-
         la part de son détenteur légitime  ce guide, référencé sous le n° BP  tion  d’une  fonction  de  RSSI  se
         de  mesures  de  protection  rai- Z90-001  «  Prévention  et  gestion  pose  la  question  de  son  posi-
         sonnables [..] pour en conserver  de  la  fuite  d'informations  -  Pro- tionnement  au  sein  d’une  orga-
         le  caractère  secret.  À  la  lecture  tection  du  patrimoine  informa- nisation : à quelle direction doit-
         de  ce  texte,  l’entreprise  ou  l’or- tionnel  »,  présente  et  décrit  les  il être rattaché ? Si d’un point de
         ganisation  doit  ainsi  se  doter  principaux  domaines  de  la  pré- vue historique, le RSSI a souvent
         d’une  analyse  préalable  lui  per- vention  et  de  la  gestion  de  la  été  rattaché  au  directeur  des
         mettant  de  savoir  quelles  infor- fuite  d’information  et  indique  systèmes  d’information  (DSI),  il
         mations  peuvent  être  protégées  comment en limiter les risques.   n’est  pas  rare  d’observer  régu-
         au titre de la loi 2018.                                              lièrement  son  rattachement  à
                                            B. Une  gouvernance  de  la  cy-   une direction juridique ou finan-
            ii.  Prévention  et  gestion  de   bersécurité  en  pleine  muta-  cière . Mais quel que soit le rat-
                                                                                    11
         la fuite d’information                                                tachement, le RSSI reste au final
                                            tion
         Comme nous l’avons évoqué pré-                                        au seuil des décisions prises par
         cédemment,  la  protection  des       i. Une évolution sémantique     « cercle des directeurs », donc à
         données est un enjeu stratégique  du  RSSI  au  directeur  cybersé-   l’écart  des  réflexions  straté-
         pour  l’entreprise  dont  la  portée  curité                          giques.  À  l’étranger,  l’appella-
         n’est  pas  simplement  d’ordre                                       tion de « Chef de la sécurité de
         juridique ou financier. Les entre-  L’Internet d’entreprise a favorisé  l’information  »  (chef  informa-
         prises  doivent  s’interroger  sur   l’émergence de nouveaux usages  tion security officer – CISO) per-
         leur  organisation  pour  protéger   et permis l’accès à de nouveaux  met  de  dépasser  en  partie  cet
         au  mieux  leurs  actifs  straté-  marchés.  Dans  le  même  temps,  écueil  d’ordre  sémantique  mais
                                            la
                                                          d’exposition
                                                surface
                                                                          aux  au combien symbolique.
         giques  et  leur  réputation. Ainsi,   risques cyber s’est considérable-
         à  aucun  moment,  la  sécurité  de   ment  intensifiée  légitimant  en-
         l’information ne doit être consi-  core   davantage    la   présence    ii.  Télétravail :  Un  nouveau
         dérée    comme     une   variable   d’une  personne  en  charge  de  la   paradigme  et  un  challenge  à
         d’ajustement.                                                         relever
                                            cybersécurité au sein de l’entre-
         Faisant  suite  aux  préconisations  prise.                           Le  Télétravail  oblige  à  repenser
         d’un  rapport  de  2006  relatif  à                                   la cybersécurité. Le distanciel ne
         l’économie  de  l’immatériel,  l’État   La  question  de  son  positionne-  doit  pas  faire  obstacle  aux  ré-
         créait, par arrêté du 23 avril 2007,   ment  vis-à-vis  de  la  direction   flexes  de  sécurité.  Dès  lors,  il
         un service à compétence nationale   générale et le budget qui lui est   importe  qu’une  personne  soit
         dénommé « Agence du Patrimoine     alloué  apparaît  souvent  comme   désignée  pour  veiller  à  la  bonne
         Immatériel de l’État » (APIE) deve-  des  sujets  de  tension,  voire  de   application  des  mesures  de  sécu-
         nue  mission  Appui  au  patri-    conflictualité.  Dans  le  contexte   rité prévues.  À l’inverse,  les télé-
         moine immatériel de l’État, le 1    de confinement et de multiplica-  travailleurs sont autant de portes
                                          er
         janvier  2020.  Cette  agence  est   tion  des  cyber-attaques,  le  Club   ouvertes  vers  l’entreprise.  L’ab-
         chargée  d’accompagner  les  ad-   de  la  sécurité  de  l’information   sence  de  système  de  protection
         ministrations  dans  la  valorisa-  français (CLUSIF) a publié le jeu-  se  traduira  inévitablement  par
         tion et la protection de leur pa-  di  25  juin  2020  sa  dernière   l’intrusion  de  cyberdélinquant.
                                                  10
         trimoine immatériel.               étude de  référence  sur  les  me-  À  l’inverse,  un  dispositif  de  sé-


                                                                                                            35
                                                      N 32– Janvier 2021
                                                       °