Lorsqu’une entreprise souhaite mettre en place un SOC, de nombreux enjeux juridiques doivent être anticipés, que le SOC soit internalisé ou externalisé.
En premier lieu, il est possible que les prérogatives du SOC entrent en conflit avec les normes internes à l’entreprise. Ainsi, certains changements internes devront être effectués afin de permettre la mise en œuvre des missions de sécurité du SOC (règlement intérieur, charte informatique, etc.). Cependant, de tels changements peuvent nécessiter l’information et/ou la consultation du comité d’entreprise/des délégués du personnel. Cette procédure pourrait aussi être mise en œuvre lorsque la mise en œuvre du SOC est susceptible d’entraîner un contrôle de l’activité du salarié.
Cas particulier de l’externalisation du SOC
L’externalisation d’un service suppose une contractualisation entre l’entreprise et le prestataire. Quels sont les principaux enjeux contractuels ?
Tout d’abord, il est nécessaire de prévoir le périmètre des prestations relatives à la mise en place du SOC, puis à l’exécution du contrat. Le prestataire devra-t-il seulement détecter les incidents ? Devra-t-il prendre le contrôle du système d’information pour faire face à ces incidents ? Quels acteurs le SOC devra-t-il alerter dans l’hypothèse d’une violation de données à caractère personnel ? Ce périmètre doit impérativement être intégré au contrat, afin d’éviter tout problème d’ingérence durant les situations de crise.
Il conviendra également de préciser les modalités d’accès au système d’information par le prestataire. L’entreprise devra ainsi délimiter les éléments à externaliser, afin de minimiser l’ouverture des données tout en garantissant l’efficacité de la prestation.
Pour sécuriser la confidentialité des données contenues dans le système d’information ou dans les données transférées en général, il est préférable d’inclure dans le contrat une clause de confidentialité vis-à-vis du prestataire.
En outre, il est conseillé d’insérer dans le contrat des mesures d’évaluation de la prestation, permettant éventuellement de le résilier en cas de non-respect de la part du prestataire. Il s’agira notamment de préciser les délais d’intervention (de réaction aux incidents, par exemple). Qui dit délai d’intervention, dit pénalités de retard.
Toute entreprise choisissant d’externaliser un SOC devrait également songer à mettre en œuvre des procédures de contrôle. Pour cela, l’insertion d’une clause d’audit dans le contrat est fortement conseillée. Ceci permet de fixer concrètement le cadre du service et les prestations attendues.
Une attention particulière doit être portée à la clause relative à la responsabilité du prestataire (dommages couverts, plafond de responsabilité, etc.). Le contrat pourra également comporter une clause d’assurance, par exemple, garantissant la réparation des dommages le cas échéant.
En dernier lieu, il convient de prévoir les conséquences du terme du contrat, notamment en vue d’assurer la continuité du service, mais aussi le sort des informations sensibles et données à caractère personnel collectées par le prestataire.
Protection des données personnelles dans le cadre d’un SOC
Dans le cadre d’un SOC, la conformité à la législation relative à la protection des données personnelles doit être assurée.
En effet, la loi Informatique et Libertés du 6 janvier 1978 et le règlement européen 2016/679 (entré en vigueur le 24 mai 2016 et applicable à partir du 25 mai 2018), fixent un cadre juridique de protection des données à caractère personnel.
Dans l’hypothèse où l’entreprise faisant appel aux services d’un SOC collecte des données à caractère personnel, elle sera caractérisée, a priori, comme « responsable de traitement ». A ce titre, le Règlement Général de Protection des Données impose au responsable de traitement de prendre des mesures techniques et organisationnelles appropriées, telles que la pseudonymisation et le chiffrement des données.
Si le SOC est externalisé, le prestataire en charge de la sécurité du système d’information, sera susceptible de traiter ces données afin de mener à bien sa mission. Dès lors, il sera a priori caractérisé comme un « sous-traitant », au sens des dispositions législatives. Le Règlement Général de Protection des Données prévoit une évolution sur ce point puisque le sous-traitant pourra faire l’objet de sanctions en cas de non-respect des obligations qui lui sont imposées quant à la protection des données personnelles qu’il traite.
L’article 34 de la loi Informatique et Libertés dispose que « Le responsable de traitement est tenu de prendre toutes les précautions utiles (…) pour préserver la sécurité des données ». De plus, l’article 35 de la loi Informatique et Libertés dispose que « les données à caractère personnel ne peuvent faire l’objet d’une opération de traitement de la part d’un sous-traitant (…) que sur instruction du responsable de traitement ». Il est donc bon de s’assurer que le SOC ne traite pas les données à caractère personnel en dehors des missions qui lui sont confiées. Pour rappel, en l’état actuel de la réglementation, seul le responsable de traitement peut être sanctionné par la CNIL.
Se pose en outre la question de la localisation du SOC extérieur à l’entreprise. En effet, le transfert de données à caractère personnel hors de l’Union européenne est strictement encadré. Il faut alors que cet Etat soit considéré comme assurant un niveau de protection suffisant, ou qu’il soit inséré dans les contrats entre l’entreprise et le prestataire des clauses type dictées par la Commission européenne, assurant une protection adéquate des données.
Les textes à anticiper dans la mise en œuvre d’un SOC
Après trois ans de négociations, le Parlement européen et le Conseil de l’Union européenne ont adopté le 6 juillet 2016 la directive concernant les mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information dans l’Union, ou plus simplement « directive NIS » (Network and Information Security).
S’agissant d’une directive et non d’un règlement, sa transposition dans les droits nationaux de chaque Etat membre devra intervenir avant le 9 mai 2018.
La directive NIS se propose de renforcer la cyber-sécurité des Etats membres et leur coopération en matière de sécurité informatique. Les SOC sont concernés, en tant qu’acteurs de premier plan pour ce qui est de la cyber-sécurité.