Cet article a été publié pour la première fois sur ITK SECURITY.
Dernière mise à jour il y a 1 an par Patrick Ruppelt
Loi sur la sécurité informatique ?
La loi sur la sécurité informatique n'existe pas
La raison pour laquelle de nombreuses entreprises ne s'intéressent pas à la question de la sauvegarde des données n'est pas aussi difficile à comprendre qu'il n'y paraît à première vue. Il faut se plonger dans différents textes de loi et instructions avant d'arriver - avec de la chance - à un résultat.
Ce livre blanc concis n'a pas la prétention d'être exhaustif, ni de fournir au lecteur un aperçu technique approfondi, ni même d'analyser les nouveaux précédents juridiques. Il s'agit plutôt de présenter sous une forme lisible les directives qui peuvent être déterminantes et les conclusions que tu peux en tirer en tant qu'entrepreneur. Et tu devrais.
Nous t'envoyons volontiers le livre blanc complet gratuitement sur demande.
Si l'on examine sommairement le cadre juridique, on constate rapidement que la loi sur la sécurité informatique n'existe pas en réalité. C'est pourquoi nous nous basons sur d'autres domaines de la jurisprudence ou sur des dispositions particulières qui apparaissent dans le cadre de thèmes plus vastes. Citons tout d'abord la loi sur le contrôle et la transparence dans les entreprises (KonTraG), la loi fédérale sur la protection des données (BDSG) et les lois sur les sociétés anonymes et les sociétés à responsabilité limitée (AktG et GmbHG). Il n'est pas nécessaire de discuter ici des conséquences juridiques en cas de violation de ses propres obligations : Les amendes et les peines d'emprisonnement ne sont pas rares.
Il convient de noter que le code civil (BGB) peut également être pertinent, par exemple en ce qui concerne la faute partagée au sens du § 254 GBG.
Sécurité informatique
...et qui est responsable ?
En s'appuyant sur la protection de base BSI
La sécurité informatique s'intéresse à ce qui doit être garanti pour maintenir les processus commerciaux et prévenir les dommages. Cela comprend notamment les questions relatives à
- de la disponibilité permanente,
- de la confidentialité ainsi que
- l'intégrité
de données. Les raisons sont multiples. La protection primaire des données de l'entreprise peut avoir des raisons juridiques, économiques et financières.
Il existe des règles claires pour les formes d'entreprises spécifiques comme la société anonyme. Mais le gérant d'une SARL doit lui aussi faire preuve de la "diligence d'un homme d'affaires avisé" (§43 alinéa 1 GmbHG). Et la jurisprudence actuelle fait le reste. Quintessence : l'entrepreneur est responsable de tous les dommages qui auraient pu être évités par l'introduction d'un concept de sauvegarde des données.
Attention aussi du côté des fournisseurs : les prestataires de services informatiques sont responsables de manière similaire s'ils proposent la "sauvegarde" comme un service et omettent la maintenance et le contrôle.
Et cela signifie que la sauvegarde est volontaire ?
Et ceux qui ne le font pas : n'agissent-ils pas illégalement ?
De la conclusion d'une affaire, de la tromperie et de la fin de la rigolade.
C'est finalement une question de responsabilité, une question de preuve, de démonstration. Le commerçant, comme l'entrepreneur en général, doit s'assurer qu'il peut remplir toutes ses obligations à tout moment.
C'est là que le bât blesse : il n'y a aucune loi qui dit que les données doivent être conservées sous la forme d'une "sauvegarde légale". Mais il y a l'obligation - ou parfois la simple nécessité - de conserver des données. Il existe un certain nombre de cas où cela n'est pas facilement possible, en bref, nous appelons cela une erreur technique, humaine ou organisationnelle. Selon la jurisprudence dominante, il faut partir du principe que l'entrepreneur est lui-même responsable de la sauvegarde de ses données, qui est pour ainsi dire requise par la loi - mais pas obligatoire.
Quelques exemples pour illustrer : l'administration fiscale fixe des délais à respecter, c'est bien connu. Si, en raison d'une défaillance technique, il n'est pas possible de fournir des chiffres préparés, l'administration peut légitimement procéder à une estimation. L'entrepreneur est responsable. La même chose se produit si les défenseurs des consommateurs ou d'autres plaignants ne peuvent pas fournir de preuve contraire.
Bâle II prend de plus en plus d'importance à une époque où les conditions financières sont tendues. Pour l'évaluation de la solvabilité d'une entreprise, Bâle II établit implicitement la technologie de l'information responsable comme critère. Cela doit augmenter la sécurité des investissements pour les prêteurs et les investisseurs et place à nouveau la responsabilité entre les mains de l'entreprise. Les auditeurs d'entreprise procèdent de la même manière. Par exemple, KPMG n'évaluera pas positivement une entreprise qui n'utilise pas de solution de sauvegarde et d'archivage.
Pour finir, même le tribunal régional supérieur de Hamm a déclaré dès 2003 : "La sauvegarde des données est une évidence dans les entreprises".
La sauvegarde n'est pas l'archivage
WORM, magnéto-optique & Co.
Ce qu'il en est vraiment de la sécurité de l'audit.
Là où une sauvegarde de données doit prévenir la perte de données et où la restauration rapide est prioritaire dans le sens de la continuité de l'activité, il faut faire une distinction généralement négligée avec l'archivage de données.
L'archivage a un caractère plus durable. La motivation est en principe la même que pour la sauvegarde des données : que ce soit les autorités fiscales, d'autres partenaires économiques ou des organes juridiques. Tous les documents et données archivés à long terme doivent être stockés pendant de nombreuses années de manière complète, examinable et inviolable. Cela peut aller jusqu'à l'ensemble des e-mails de l'entreprise, selon le type d'activité.
S'il n'existe guère de véritables règles juridiquement contraignantes pour la sauvegarde des données, il existe en revanche quelques directives pour l'archivage. En particulier, le BSI mentionne dans la protection de base IT avec G 2.74 des critères de classement au moins insuffisants pour les archives. L'unicité et la sécurité de révision sont au premier plan. En Punto archivage de données, on peut donc constater que les exigences en matière d'archives électroniques peuvent influencer directement le choix des supports de stockage et que, par exemple - tout à fait contrairement à la sauvegarde des données - une solution Cloud dans le sens d'un archivage sur un support de stockage réseau ne répond pas aux exigences du législateur. Dans ce cas, les contrats cadres et les accords spéciaux ne sont plus d'aucune aide. Les disques durs ne sont pas sûrs, car il n'est pas possible de garantir que les données archivées ne seront pas modifiées ultérieurement.
Les mémoires WORM, qui sont utilisées par exemple dans les lecteurs de bandes actuels avec des supports LTO5, sont considérées comme sûres. Les systèmes magnéto-optiques peuvent également être sûrs. Les disques durs non.
Sauvegarder et archiver
Dans la pratique - simple et sûr
Comment le statu quo est maintenu.
La direction supérieure doit donc définir la gestion de la sécurité de l'information, ce qui inclut la sauvegarde des données et l'archivage de la même manière. Les questions centrales sont les suivantes : Comment réduire les risques, quels risques peuvent être transférés et quels risques peuvent être acceptés ?
Selon le principe B 1.4 du BSI, un concept de sauvegarde des données doit être adopté en premier lieu. Un concept de sauvegarde minimal décrit d'abord quels logiciels, quelles données de système et d'application et quelles données de protocole doivent être sauvegardés. En utilisant des logiciels de sauvegarde spéciaux et des supports de sauvegarde correspondants, une protection intégrale ne peut avoir lieu que si un contrôle, un entretien et une maintenance appropriés sont effectués. Cela peut être fait soit par le service informatique de l'entreprise, soit par un prestataire de services externe. Dans tous les cas, le responsable de la protection des données de l'entreprise doit être impliqué ; il ne faut pas oublier que la sauvegarde des fichiers peut aussi être une donnée sensible, dont la confidentialité est aussi importante que celle des données d'origine.
Le choix du support de sauvegarde se fait en fonction des critères mentionnés précédemment. En clair : un stockage sur disque dur décentralisé peut être suffisant, tout comme une solution cloud, si les conditions cadres correspondantes sont (peuvent être) fixées par écrit.
Si les données de l'entreprise doivent également être archivées - ce qui devrait être le cas pour la plupart des entreprises - il faut aller un peu plus loin. Dans ce cas, il est possible d'implémenter les appareils techniques correspondants ou de faire appel à un prestataire de services qui offre ce service et qui, grâce à des systèmes de gestion décentralisés, est en mesure de fournir à l'entreprise des copies à l'épreuve des révi-sions, de préférence sur un système lisible courant comme les bandes LTO, conformément au plan d'archivage à définir de toute façon.
Dans tous les cas, il faut veiller à ce que l'entreprise ait toujours la possibilité d'accéder immédiatement à son stock de données. Dans le cas d'une sauvegarde, le temps de récupération doit être réduit au minimum, tandis que dans le cas de l'archivage, l'accent est mis sur l'authenticité, l'intégrité et la sécurité de révision des copies réalisées.
L'externalisation et le cloud offrent de nouvelles possibilités, mais à la fin, cela reste une question de confiance.