Quand le juridique envahit le champ d’action de la DSI

Hier, la DSI était une fonction technique de gestion des infrastructures IT. Avec l’accroissement des règlementations, elle se retrouve aujourd’hui au carrefour de bien d’autres enjeux, en particulier juridiques : protection des données, conformité, maîtrise des relations fournisseurs et gestion de contrats complexes. Une compétence de plus à maîtriser.

Le Sénat a adopté, le 13 mars dernier, le projet de loi NIS 2 qui imposera des exigences renforcées en matière de cybersécurité à quelque 15 000 « entités stratégiques », entreprises et collectivités. Cet acte législatif est le dernier (en cours) d’une série commencée avec la fameuse loi « Informatique et liberté » datant de 1978. Depuis des décennies, les entreprises de toutes tailles voient le cadre règlementaire se renforcer autour de la protection de leurs actifs numériques : données, systèmes, processus. Des textes comme le RGPD, la directive NIS 2 ou encore DORA (Digital Operational Resilience Act) sont ainsi venus s’ajouter dans les seules dernières cinq années aux référentiels et aux préconisations techniques portés par l’Anssi et la CNIL.

Sur le terrain technologique, l’évolution de l’informatique d’entreprise a suivi une trajectoire de complexification des infrastructures, applicatives et matérielles. La tendance à l’externalisation (SaaS, IaaS, cloud hybride) ajoute un niveau supplémentaire. « Les cas d’utilisation du cloud continuent de s’étendre en mettant de plus en plus l’accent sur les environnements distribués, hybrides, cloud natifs et multicloud soutenus par un cadre cross-cloud, ce qui permet au marché des services de cloud public d’atteindre une croissance de 21,5 % en 2025 », déclare Sid Nag, vice-président et analyste chez Gartner.

Pour les DSI, cette expansion signifie que chaque contrat de service dans le cloud doit être soigneusement négocié pour garantir la localisation des données, la portabilité, la réversibilité et la conformité aux normes locales (SecNumCloud, RGPD…). La multiplication des prestataires complique l’application uniforme des politiques de sécurité et alourdit la charge de pilotage pour le DSI. L’avènement de technologies comme l’intelligence artificielle et le machine learning ajoutent encore des couches de complexité. Hervé Troalic, directeur général d’Imineti by Niji, une entreprise de conseil en cybersécurité, évoque par exemple la norme ISO 42001 relative à la gestion de l’IA, en soulignant : « Avec l’émergence des agents IA, on va accélérer des comportements qui existaient déjà dans le passé, mais qui vont être décuplés. Il faut accompagner sans dire que “c’est mal”, car l’IA répond à de vrais besoins. La question, c’est comment on la gère proprement. »

Une responsabilité juridique qui s’étend

Dans ce contexte, le DSI se retrouve plus que jamais en première ligne, avec une responsabilité juridique qui ne cesse de s’accroître. Les législations se sont accumulées, le cadre règlementaire s’est durci sur la protection des actifs numériques. C’est dans ce cadre législatif et de régulation que les entreprises sont amenées à fonctionner. « Elles vont avoir besoin de se faire accompagner par des gens sérieux », prévient Hervé Troalic.

Car aux textes majeurs que sont le RGPD, NIS 2 ou DORA, s’ajoutent les exigences de la CNIL, chargée de veiller au respect du RGPD en France, et celles de l’Anssi (Agence nationale de la sécurité des systèmes d’information), qui édicte des règles et délivre des labels tels que SecNumCloud ou HDS (Hébergeur de données de santé). Combinées, ces règlementations et certifications dessinent un environnement de conformité exigeant, où la moindre faille peut se traduire par des sanctions financières, calculées le plus souvent sur la base d’un pourcentage du chiffre d’affaires de l’entreprise, et par un impact réputationnel très important.

Pour les DSI, dont la mission englobe désormais la cybersécurité, la gouvernance des données et la conformité aux textes législatifs, il est crucial de comprendre l’ampleur de ces obligations afin de limiter les risques juridiques et de saisir les opportunités associées à ces nouveaux cadres. « Un DSI, c’est un responsable digital, quelque part à mi-chemin entre le métier et l’IT », observe Hervé Troalic. Au-delà de la responsabilité légale, cette évolution place le DSI au cœur de la transformation numérique, puisqu’il doit s’assurer que la pile technologique répond aux exigences du marché tout en restant conforme aux multiples règlementations. « Au fond, c’était souhaitable pour tous que la fonction prenne cette ampleur. En revanche, attention, en cas de crise, c’est le dirigeant de l’entreprise qui porte la responsabilité ultime devant la loi. »

Abraxio, fondée par Samuel Revenu, se positionne comme un éditeur et un accompagnateur de la DSI, avec une focalisation particulière sur la gestion des fournisseurs et des contrats. Les enjeux de conformité règlementaire impactent directement son offre : « La préoccupation de base pour une DSI, c’est de faire fonctionner le SI. Mais la dimension juridique monte vraiment en puissance depuis deux ans. Les clients ont besoin de revoir très en détail les contrats, notamment pour clarifier où sont hébergées les données, qui les exploite et comment, ou encore vérifier la clause de revalorisation des tarifs. »

La DSI doit cumuler les fonctions techniques et de gouvernance, y compris la gouvernance contractuelle, la gestion et le suivi des contrats. « Manager une DSI, c’est notamment gérer une grande quantité de fournisseurs, précise Samuel Revenu. Notre plateforme permet de recenser et de qualifier le risque associé à chaque prestataire pour savoir s’il manipule des données sensibles, s’il est critique pour l’entreprise, etc. Il y a ensuite tout le volet contractuel à superviser : clauses de revalorisation, SLA, vérification des engagements et échéanciers de renouvellement. »

Les obligations pesant sur les DSI ne se limitent en effet pas à la sécurisation de l’infrastructure ou à la confidentialité des données. Elles incluent également le respect des contrats de licence logicielle, l’encadrement des prestations externes, la supervision des sous-traitants et la gestion scrupuleuse des accès. Toute sous-traitance implique notamment d’évaluer les engagements de sécurité pris par le fournisseur, avec des clauses précises sur la réversibilité, la gestion des sauvegardes et la détection des malwares.

Fournir des preuves de bonne gouvernance

Cette accumulation de règles se retrouve également dans les audits, réalisés en interne ou par des éditeurs de logiciels, qui contrôlent le niveau de conformité. Selon une étude du cabinet Gartner datant de 2022, 70 % des grandes entreprises ont fait l’objet d’un audit de conformité logicielle au cours des trois dernières années, un pourcentage qui a tendance à croître avec la montée de l’externalisation des services (cloud, logiciels en mode SaaS). En pratique, le DSI doit préparer des éléments de preuve, comme des rapports sur l’état des configurations, des logs de surveillance ou des politiques internes de gestion des droits. En cas de manquement avéré, l’entreprise s’expose à des sanctions financières, à une perte de crédibilité et, pour le DSI, à des risques de mise en cause juridique si la négligence est démontrée.

En pratique, un DSI peut être licencié pour faute si son inaction ou sa négligence est avérée. Un manquement caractérisé (absence de plan de sauvegarde, ignorance répétée des alertes de sécurité…) peut aussi, dans certains scénarios, engager la responsabilité pénale des dirigeants et du DSI en cas de dommages importants.

Face à ces multiples exigences, les DSI se tournent de plus en plus vers des référentiels reconnus (ISO 27001, NIST, etc.) et peuvent solliciter l’appui de prestataires qualifiés (PASSI ou PAMS pour la partie gouvernance et audits, par exemple). De même, ils doivent intensifier leur collaboration avec les départements juridiques, surtout pour formaliser les contrats et anticiper les évolutions législatives. Les interactions régulières avec l’Anssi et la CNIL se transforment en passage obligé pour maintenir un niveau de sécurité adéquat, notamment si un incident majeur survient.

Les DSI, pilotes de la conformité

Pour les évolutions règlementaires à venir, une uniformisation plus marquée des normes européennes en matière de cybersécurité semble inévitable. La directive NIS 2 pourrait ainsi s’étendre à de nouvelles industries jugées stratégiques et introduire des exigences plus contraignantes. Parallèlement, les discussions autour d’un futur règlement ePrivacy laissent présager un renforcement de la confidentialité dans les communications électroniques, ce qui engloberait aussi bien la messagerie instantanée que la visioconférence. De plus, les initiatives visant à rapprocher les législations européennes de celles d’autres zones économiques majeures, notamment les États-Unis ou l’Asie-Pacifique, devaient aboutir à une harmonisation internationale plus poussée des règles encadrant les transferts de données transfrontaliers. « Devaient », car le revirement récent du gouvernement des États-Unis, vers une dérégulation poussée, ne va pas dans le sens d’accords de portée planétaire.

Dans ce contexte, le rôle des DSI va intégrer de plus en plus le pilotage de la conformité, en garants de la sécurité et de la protection des données à un niveau décisionnel stratégique. Ils endossent également le rôle de coordinateurs, car l’apparition d’une multitude de prestataires et de solutions cloud exige d’unifier et d’harmoniser les politiques de sécurité et de conformité au sein de l’entreprise. Enfin, les DSI s’affirment comme de véritables forces de proposition, puisque la mise en place de certificats de sécurité reconnus, tels que SecNumCloud ou ISO 27001, peut constituer un avantage concurrentiel, rassurer la clientèle et soutenir la conquête de nouveaux marchés. Mais leur enjeu fondamental est de limiter autant que possible les angles morts que le droit ne cesse de créer, avec des textes nationaux et européens qui continuent d’évoluer.

À LIRE AUSSI :

Gouvernance

Risques personnels des DSI, RSSI et DPO : guide de survie en milieu hostile

Thierry Derouet

30 Mai

Abonnez-vous à la newsletter hebdo d'IT for Business !

Rejoignez notre liste de diffusion pour recevoir toutes les semaines une sélection d'articles et quelques autres surprises préparées spécialement pour vous par notre rédaction.

ABONNEZ-VOUS !

Nous vous envoyons un e-mail de validation !