Guides & Ressources pratiques
Code du travail et grossesse : droits, protections et obligations de l'employeur
Sécurité internet en entreprise : définition, enjeux et bonnes pratiques pour les DSI
Points clés de l'article
- La sécurité internet couvre la protection de tous les flux entrants et sortants entre le système d'information de l'entreprise et le réseau public (web, messagerie, SaaS, API).
- Les 3 menaces principales — phishing, ransomware, exfiltration de données — exploitent le facteur humain autant que les failles techniques.
- Le cadre juridique s'est durci : RGPD, directive NIS 2 (transposition 2024-2025) et règlement DORA imposent des obligations de sécurisation, de notification et de contractualisation.
- Les DSI doivent combiner des mesures techniques (pare-feu nouvelle génération, proxy, filtrage DNS, MFA) avec une gouvernance documentée (charte utilisateur, clauses fournisseurs, plan de réponse aux incidents).
- Chaque incident de sécurité déclenche des obligations légales précises : notification CNIL sous 72 heures, information des personnes concernées, et activation du contrat d'assurance cyber.
Besoin d'un juriste freelance ou d'un avocat ?
Accédez en -24h à un avocat d'affaires sélectionné parmi les meilleurs, à des honoraires maîtrisés.
✓ 250+ spécialistes✓ 500+ clients satisfaits✓ -30 à -50% moins cher qu'un cabinet
Sommaire
Sécurité internet : définition et périmètre exact
Sécurité internet, cybersécurité, sécurité réseau : quelles différences ?
Principales menaces internet en entreprise (phishing, malware, exfiltration)
Cadre juridique applicable : RGPD, NIS 2, DORA et obligations contractuelles
Bonnes pratiques techniques : pare-feu, proxy, filtrage DNS, MFA
Politique de sécurité internet : charte utilisateur et clauses fournisseurs
Gestion des incidents : notification CNIL, assurance cyber et plan de réponse
Sécurité internet : définition et périmètre exact
La sécurité internet désigne l'ensemble des mesures techniques, organisationnelles et juridiques destinées à protéger les échanges de données entre le système d'information d'une entreprise et le réseau internet public. Son périmètre couvre la navigation web des collaborateurs, la messagerie électronique, les applications SaaS hébergées dans le cloud, les flux API et les connexions distantes (VPN, accès nomades).
Concrètement, chaque fois qu'un salarié ouvre un navigateur, envoie un e-mail ou se connecte à un outil métier en ligne, il génère un flux de données qui transite par internet. La sécurité internet en entreprise vise à garantir que ces flux restent confidentiels, intègres et disponibles — les 3 piliers classiques de la sécurité de l'information (confidentialité, intégrité, disponibilité).
Pour un DSI, le périmètre opérationnel inclut donc :
- La passerelle internet (proxy, pare-feu périmétrique)
- Le filtrage des contenus web et des pièces jointes
- La gestion des identités et des accès aux services en ligne
- La supervision des flux sortants pour détecter toute exfiltration de données
- La sécurisation contractuelle des relations avec les éditeurs SaaS et hébergeurs
Ce périmètre dépasse la seule couche technique. Il engage la responsabilité juridique de l'entreprise au titre du RGPD et, depuis 2024, de la directive NIS 2.
Sécurité internet, cybersécurité, sécurité réseau : quelles différences ?
Ces 3 notions se recoupent sans se confondre. Les distinguer permet au DSI de structurer ses budgets et ses responsabilités.
| Notion | Périmètre | Exemples concrets |
|---|---|---|
| Sécurité internet | Flux entre le SI interne et le réseau public | Filtrage web, anti-phishing, sécurisation SaaS |
| Cybersécurité | Protection globale du SI contre toute menace numérique | Détection d'intrusion, SOC, réponse à incident |
| Sécurité réseau | Infrastructure réseau interne et externe | Segmentation VLAN, chiffrement WPA3, contrôle d'accès réseau (NAC) |
La cybersécurité est le terme englobant. La sécurité internet en constitue un sous-ensemble centré sur les échanges avec l'extérieur. La sécurité réseau, elle, porte sur l'infrastructure de transport des données, qu'elle soit connectée ou non à internet.
En pratique, un DSI pilote ces 3 dimensions simultanément. Toutefois, la sécurité internet concentre aujourd'hui l'essentiel des risques : selon le baromètre CESIN 2024, 49 % des entreprises françaises ont subi au moins une cyberattaque réussie en 2023, et la messagerie électronique reste le vecteur d'entrée dans 74 % des cas.
Sécuriser les flux internet suppose aussi d'encadrer juridiquement les relations avec les prestataires cloud et les éditeurs SaaS.
Consultez un avocat spécialisé en cybersécurité
Principales menaces internet en entreprise (phishing, malware, exfiltration)
Les menaces qui transitent par internet exploitent 2 vecteurs : le facteur humain et les vulnérabilités logicielles. Voici les 3 catégories qui concentrent l'essentiel des incidents en France.
Le phishing et ses variantes
Le phishing (hameçonnage) consiste à usurper l'identité d'un tiers de confiance — banque, éditeur SaaS, direction générale — pour inciter un collaborateur à cliquer sur un lien malveillant ou à transmettre des identifiants. Le spear phishing cible un individu précis avec un message personnalisé. Le BEC (Business Email Compromise) vise les directions financières pour déclencher des virements frauduleux. En 2023, le coût moyen d'une attaque BEC en France atteignait 130 000 € selon le rapport Hiscox.
Les malwares et ransomwares
Un malware est un logiciel malveillant installé à l'insu de l'utilisateur, souvent via une pièce jointe ou un site compromis. Le ransomware (rançongiciel) chiffre les données de l'entreprise et exige une rançon pour les restituer. L'ANSSI a traité 143 incidents liés à des rançongiciels en 2023, dont 30 % concernaient des ETI et PME.
L'exfiltration de données
L'exfiltration désigne le transfert non autorisé de données vers l'extérieur du SI. Elle peut être le fait d'un attaquant externe ou d'un collaborateur malveillant. Les canaux utilisés incluent la messagerie personnelle, les services de stockage cloud non approuvés (shadow IT) et les clés USB. Ce risque engage directement la responsabilité de l'entreprise au titre du RGPD.
Cadre juridique applicable : RGPD, NIS 2, DORA et obligations contractuelles
La sécurité internet n'est pas seulement un sujet technique. Plusieurs textes européens et français imposent des obligations précises aux entreprises.
RGPD : obligation de sécurité des données personnelles
L'article 32 du RGPD impose au responsable de traitement de mettre en œuvre des mesures techniques et organisationnelles « appropriées » pour protéger les données personnelles. En cas de manquement, la CNIL peut prononcer des amendes allant jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires mondial. En 2023, la CNIL a prononcé 42 sanctions, dont plusieurs liées à des défauts de sécurisation des accès internet.
Directive NIS 2 : élargissement du périmètre
La directive NIS 2, applicable depuis octobre 2024 au niveau européen, élargit les obligations de cybersécurité à environ 15 000 entités en France (contre 500 sous NIS 1). Elle impose aux entités « essentielles » et « importantes » une analyse de risques formalisée, des mesures de sécurité proportionnées et une notification des incidents sous 24 heures. La transposition française est en cours via le projet de loi « Résilience ».
Règlement DORA : spécificité du secteur financier
Le règlement DORA (Digital Operational Resilience Act), applicable depuis janvier 2025, impose aux entités financières des exigences renforcées de résilience numérique, incluant la gestion des risques liés aux prestataires TIC et des tests de pénétration réguliers.
| Texte | Entrée en vigueur | Entités concernées | Obligation clé |
|---|---|---|---|
| RGPD | Mai 2018 | Toute entreprise traitant des données personnelles | Sécurité « appropriée » (art. 32) |
| NIS 2 | Octobre 2024 | ~15 000 entités en France | Analyse de risques + notification 24h |
| DORA | Janvier 2025 | Secteur financier | Résilience numérique + gestion prestataires TIC |
Le cadre juridique impose désormais de formaliser la sécurité internet dans les contrats fournisseurs et les politiques internes.
Faites auditer vos obligations par un avocat en cybersécurité
Bonnes pratiques techniques : pare-feu, proxy, filtrage DNS, MFA
La protection des flux internet repose sur un empilement de couches techniques complémentaires. Aucune mesure isolée ne suffit. Le DSI doit articuler plusieurs dispositifs.
Pare-feu nouvelle génération (NGFW) : il analyse le trafic réseau en profondeur (deep packet inspection), filtre les applications et bloque les communications vers des serveurs malveillants connus. Il remplace le pare-feu périmétrique classique qui se limitait au filtrage par port et protocole.
Proxy web et filtrage URL : le proxy intercepte les requêtes HTTP/HTTPS des utilisateurs, applique des règles de filtrage par catégorie de site et journalise les connexions. Il permet de bloquer l'accès aux sites de phishing et de limiter le shadow IT.
Filtrage DNS : en redirigeant les requêtes DNS vers un résolveur sécurisé, l'entreprise bloque les domaines malveillants avant même que la connexion ne s'établisse. Cette mesure est simple à déployer et efficace contre les malwares qui communiquent avec des serveurs de commande (C2).
Authentification multifacteur (MFA) : le MFA exige au moins 2 preuves d'identité (mot de passe + code temporaire, clé physique, biométrie) pour accéder aux services en ligne. Selon Microsoft, le MFA bloque 99,9 % des attaques par compromission de compte.
Chiffrement TLS systématique : tout flux entre le navigateur et les services SaaS doit transiter via HTTPS. Le proxy doit être capable d'inspecter le trafic chiffré (SSL inspection) pour détecter les menaces dissimulées dans les flux HTTPS.
Politique de sécurité internet : charte utilisateur et clauses fournisseurs
Les mesures techniques ne produisent leurs effets que si elles s'inscrivent dans un cadre organisationnel formalisé. Deux documents structurent cette gouvernance.
Charte d'utilisation des outils numériques
La charte informatique, annexée au règlement intérieur, définit les règles d'usage d'internet par les collaborateurs. Elle doit préciser :
- Les catégories de sites autorisés et interdits
- Les règles d'usage de la messagerie professionnelle et personnelle
- Les modalités de supervision et de journalisation des connexions
- Les sanctions applicables en cas de manquement
- Les droits des salariés en matière de vie privée (proportionnalité de la surveillance, information préalable)
Pour être opposable, la charte doit être soumise à la consultation du CSE et portée à la connaissance de chaque salarié. La CNIL recommande également de réaliser une analyse d'impact (AIPD) lorsque le dispositif de filtrage implique une surveillance individualisée.
Clauses de sécurité dans les contrats fournisseurs
Chaque contrat SaaS ou d'hébergement doit inclure des clauses spécifiques :
- Localisation des données et transferts hors UE (conformité RGPD, chapitre V)
- Mesures de sécurité techniques et organisationnelles du prestataire (chiffrement, cloisonnement, gestion des accès)
- Notification des incidents : délai, format, contenu
- Droit d'audit du client sur les dispositifs de sécurité
- Réversibilité : conditions de récupération des données en fin de contrat
La rédaction de ces clauses nécessite une expertise croisée entre droit du numérique et pratique contractuelle.
Identifiez un avocat spécialisé en cybersécurité pour vos contrats
Gestion des incidents : notification CNIL, assurance cyber et plan de réponse
Malgré les mesures préventives, aucun dispositif n'élimine totalement le risque. Le DSI doit anticiper la gestion de crise.
Notification à la CNIL
En cas de violation de données personnelles, le RGPD impose une notification à la CNIL dans un délai de 72 heures après la prise de connaissance de l'incident (article 33). Si la violation présente un risque élevé pour les personnes concernées, celles-ci doivent également être informées (article 34). En 2023, la CNIL a reçu 4 668 notifications de violations de données, en hausse de 14 % par rapport à 2022.
Assurance cyber
L'assurance cyber couvre les frais de gestion de crise (investigation forensic, notification, restauration), la perte d'exploitation et la responsabilité civile. Depuis la loi LOPMI de janvier 2023, le versement de l'indemnité est conditionné au dépôt d'une plainte dans les 72 heures suivant la découverte de l'attaque. Le DSI doit vérifier que le contrat couvre explicitement les incidents liés aux flux internet et aux prestataires SaaS.
Plan de réponse aux incidents
Un plan de réponse formalisé doit prévoir :
- Détection et qualification : qui identifie l'incident, selon quels critères de gravité
- Confinement : isolement des systèmes compromis pour limiter la propagation
- Investigation : analyse technique (forensic) pour identifier le vecteur d'attaque
- Remédiation : correction de la vulnérabilité exploitée et restauration des systèmes
- Retour d'expérience : mise à jour des procédures et des dispositifs de protection
Ce plan doit être testé au moins une fois par an via un exercice de simulation. NIS 2 rend cette pratique obligatoire pour les entités concernées.
La gestion juridique d'un incident cyber — notification, plainte, activation de l'assurance — requiert une coordination rapide entre DSI, direction juridique et conseil externe.
Anticipez avec un avocat en cybersécurité
FAQ
Qu'est-ce que la sécurité internet en entreprise ?
La sécurité internet en entreprise désigne la protection de tous les flux de données échangés entre le système d'information interne et le réseau internet public. Elle couvre la navigation web, la messagerie, les applications SaaS et les connexions distantes. Elle repose sur des mesures techniques (pare-feu, proxy, MFA), organisationnelles (charte utilisateur) et juridiques (conformité RGPD, clauses contractuelles).
Quelle est la différence entre sécurité internet et cybersécurité ?
La cybersécurité est le terme englobant qui couvre la protection de l'ensemble du système d'information contre toute menace numérique. La sécurité internet en est un sous-ensemble, centré sur les échanges avec l'extérieur via le réseau public. La sécurité réseau, quant à elle, porte sur l'infrastructure de transport des données.
Quelles obligations impose NIS 2 aux entreprises françaises ?
La directive NIS 2 impose aux entités « essentielles » et « importantes » — environ 15 000 en France — de formaliser une analyse de risques, de mettre en œuvre des mesures de sécurité proportionnées et de notifier les incidents aux autorités compétentes sous 24 heures. La transposition en droit français est en cours via le projet de loi « Résilience ».
Quel est le délai de notification à la CNIL en cas de violation de données ?
Le RGPD impose une notification à la CNIL dans un délai de 72 heures après la prise de connaissance de la violation (article 33). Si l'incident présente un risque élevé pour les personnes concernées, celles-ci doivent être informées individuellement. Le non-respect de ce délai peut entraîner une sanction de la CNIL.
Pourquoi intégrer des clauses de sécurité dans les contrats SaaS ?
Les contrats SaaS doivent inclure des clauses de sécurité pour encadrer la localisation des données, les mesures de protection du prestataire, les délais de notification d'incident, le droit d'audit et les conditions de réversibilité. Ces clauses permettent au DSI de documenter sa conformité RGPD et NIS 2, et de disposer de leviers contractuels en cas de défaillance du prestataire.
Pour aller plus loin
Sécurité : Protéger le réseau informatique - CNIL
La cybersécurité pour les TPE/PME en treize questions - ANSSI
10 mesures essentielles pour assurer votre cybersécurité - Cybermalveillance.gouv.fr
SWIM LEGAL est une alternative au cabinet d’avocats traditionnel pour les besoins juridiques des entreprises. Incubé par le Barreau de Paris, SWIM a reçu le Prix de l’Innovation pour sa solution permettant à toute entreprise, quelle que soit sa taille ou sa localisation, d’accéder rapidement via la plateforme à des avocats d’affaires expérimentés. Les entreprises peuvent déposer leur besoin — qu’il s’agisse d’un dossier, d’une consultation ou d’un renfort temporaire — de manière confidentielle et recevoir des propositions d’avocats pour répondre rapidement à leur demande.
