L’image de la menace numérique a considérablement changé ces dernières années. Pour de nombreuses entreprises, les cyberattaques ne sont plus une question de « si », mais de « quand ». Le Centre national de cybersécurité a enregistré trois fois plus d’incidents graves en 2020, par rapport à 2019.
Pierre Kimsås-Otterbech (Photo: Thommessen)
Les attaques de hackers qui ont frappé plusieurs grands acteurs publics et privés cet été ont clairement rappelé le risque. L’Autorité de sécurité nationale a déclaré que de nombreuses entreprises norvégiennes ne disposent pas d’un niveau de sécurité adéquat et que la sensibilisation accrue au risque numérique ne se traduit pas en action.
Le message est clair : les entreprises norvégiennes doivent être équipées pour faire face à la nouvelle image de la menace numérique, et c’est urgent.
Christopher Sparre-Enger Clausen
La surveillance de l’activité dans les systèmes informatiques est l’un des nombreux outils qui peuvent être utilisés pour détecter et prévenir les failles de sécurité et les attaques numériques. Cela inclut également la surveillance de certaines parties de l’activité des employés – par exemple, si quelqu’un envoie des quantités anormales de données ou télécharge des documents contenant des informations sensibles pour l’entreprise.
Jostein Opdahl-Jenssen
En Norvège, nous avons des restrictions strictes sur la capacité de l’employeur à inspecter les e-mails et les fichiers des employés et à surveiller l’utilisation par les employés des systèmes informatiques de l’entreprise. Le raisonnement est que les employés ont droit à une certaine sphère privée au travail. Les employeurs en Norvège doivent avoir confiance en leurs employés et ne pas surveiller les systèmes informatiques pour vérifier qu’ils font leur travail.
Ce point de départ est facile à accepter, mais la démarcation pratique est plus difficile : où se situe la frontière entre la surveillance illégale de l’effort de travail et la surveillance légale pour découvrir les failles de sécurité ?
Les règles d’accès et de surveillance sont prévues dans les règlements de la loi sur l’environnement de travail et s’appliquent en complément de la loi sur les données personnelles et du RGPD. Les réglementations sont appliquées par l’Autorité norvégienne de protection des données et les violations peuvent être sanctionnées par des amendes conformément aux autres violations du RGPD.
La réglementation stipule qu’en règle générale, les employeurs ne peuvent pas contrôler l’utilisation par les employés des équipements électroniques, tels que les ordinateurs, les téléphones portables, Internet et les systèmes informatiques de l’entreprise. Les seules exceptions s’appliquent si le but de la surveillance est soit l’administration des systèmes informatiques, soit « pour découvrir ou clarifier des failles de sécurité dans le réseau ».
Mais qu’est-ce qu’une « brèche de sécurité dans le réseau»? Et quelles mesures – le cas échéant – l’employeur peut-il prendre lorsque la menace à la sécurité peut provenir de l’utilisation des systèmes par ses propres employés ?
Les réponses aux questions ci-dessus ne sont pas claires. Les règles actuelles en matière de contrôle ont été élaborées au milieu des années 2000 et sont restées pratiquement inchangées depuis leur entrée en vigueur en 2009. Cette question n’a pas été abordée lors de l’élaboration des règles, ni clarifiée par la suite.
L’Autorité norvégienne de protection des données n’a pas donné de réponse claire. Dans une note d’information de 2019 sur l’utilisation de l’application Netclean, l’Autorité norvégienne de protection des données a au contraire indiqué qu’il n’existe aucune source disponible pouvant éclairer la manière dont le terme « atteinte à la sécurité » dans le règlement doit être compris.
Il ne fait aucun doute que les entreprises norvégiennes doivent renforcer leur sécurité informatique pour faire face aux nouvelles menaces numériques, mais dans la situation actuelle, il faut presque deviner où se situe la limite des mesures de sécurité légales.
La réalité est que les entreprises norvégiennes doivent trouver un équilibre entre le risque de cyberattaques et le risque d’amendes RGPD par millions. Cela affecte à la fois la sécurité informatique et la sécurité juridique.
Il est grand temps que les règles de contrôle de l’utilisation des systèmes d’information par les salariés dans l’entreprise soient remises en cause. Des limites claires doivent être tracées pour les moyens juridiques dont disposent les employeurs pour faire face à l’image actuelle de la menace numérique.(Termes)Copyright Dagens Næringsliv AS et/ou nos fournisseurs. Nous aimerions que vous partagiez nos cas en utilisant des liens, qui mènent directement à nos pages. La copie ou d’autres formes d’utilisation de tout ou partie du contenu ne peuvent avoir lieu qu’avec une autorisation écrite ou dans la mesure permise par la loi. Pour plus de termes voir ici.
… faut deviner où se situe la limite des mesures de sécurité légales
