Guides & Ressources pratiques
Report de congés payés : règles, délais et cumul sur plusieurs années
Sécurité des systèmes d'information (SSI) : définition, cadre juridique et obligations pour la DSI
Points clés de l'article
- La sécurité des systèmes d'information (SSI) désigne l'ensemble des mesures techniques, organisationnelles et juridiques protégeant le patrimoine informationnel d'une entreprise.
- Elle repose sur 4 piliers : confidentialité, intégrité, disponibilité et traçabilité des données et des traitements.
- Le cadre juridique applicable est fragmenté : RGPD, directive NIS2, LCEN, Code pénal et normes ISO 27001 coexistent sans hiérarchie unique.
- Le DSI porte des obligations concrètes de gouvernance, de documentation (PSSI, cartographie des risques) et de conformité contractuelle avec les prestataires IT.
- Les sanctions en cas de manquement peuvent atteindre 10 millions d'euros ou 2 % du chiffre d'affaires mondial au titre du RGPD, et jusqu'à 10 millions d'euros au titre de NIS2.
- L'intervention d'un avocat spécialisé en droit du numérique permet de sécuriser les arbitrages techniques, contractuels et réglementaires.
Besoin d'un juriste freelance ou d'un avocat ?
Accédez en -24h à un avocat d'affaires sélectionné parmi les meilleurs, à des honoraires maîtrisés.
✓ 250+ spécialistes✓ 500+ clients satisfaits✓ -30 à -50% moins cher qu'un cabinet
Sommaire
Sécurité des systèmes d'information (SSI) : définition juridique et périmètre
SSI vs sécurité des données vs cybersécurité : démêler les concepts
Les 4 piliers de la SSI : confidentialité, intégrité, disponibilité, traçabilité
Cadre juridique applicable à la SSI : RGPD, NIS2, LCEN et normes ISO
Obligations concrètes du DSI en matière de SSI (gouvernance, mesures, contrats)
Responsabilités et sanctions en cas de manquement à la SSI
Mise en œuvre opérationnelle : PSSI, cartographie des risques, plan de continuité
Quand impliquer un avocat spécialisé en droit du numérique pour sécuriser sa SSI ?
Sécurité des systèmes d'information (SSI) : définition juridique et périmètre
La sécurité des systèmes d'information (SSI) désigne l'ensemble des mesures destinées à protéger les systèmes informatiques, les réseaux, les logiciels et les données qu'ils traitent contre toute atteinte à leur confidentialité, leur intégrité ou leur disponibilité. Cette définition, issue des travaux de l'ANSSI (Agence nationale de la sécurité des systèmes d'information), constitue le socle opérationnel utilisé par les textes français et européens.
Le périmètre de la SSI ne se limite pas aux serveurs ou aux postes de travail. Il englobe les infrastructures réseau, les applications métiers, les environnements cloud, les terminaux mobiles, les objets connectés et l'ensemble des flux de données circulant entre ces composants. Concrètement, pour un DSI, le système d'information couvre tout actif numérique participant au fonctionnement de l'entreprise, y compris les systèmes externalisés chez un prestataire.
Sur le plan juridique, aucun texte unique ne définit la SSI de manière exhaustive. Le RGPD parle de « sécurité du traitement » (article 32), la directive NIS2 vise la « sécurité des réseaux et des systèmes d'information », et le Code pénal sanctionne les atteintes aux « systèmes de traitement automatisé de données » (articles 323-1 à 323-8). Le DSI doit donc composer avec des définitions complémentaires, chacune générant des obligations distinctes.
SSI vs sécurité des données vs cybersécurité : démêler les concepts
Ces trois notions se recoupent sans se confondre. Les distinguer permet d'identifier précisément les obligations applicables à chaque périmètre.
| Concept | Périmètre | Texte de référence principal | Focus |
|---|---|---|---|
| SSI | Systèmes, réseaux, logiciels, données | NIS2, RGS, ISO 27001 | Protection globale du SI |
| Sécurité des données | Données personnelles et sensibles | RGPD (art. 32) | Protection des traitements de données |
| Cybersécurité | Menaces d'origine cyber | NIS2, Code pénal (art. 323-1) | Défense contre les attaques informatiques |
La sécurité des données constitue un sous-ensemble de la SSI centré sur les données à caractère personnel. La cybersécurité, elle, désigne la protection contre les menaces d'origine malveillante (attaques, intrusions, ransomware). La SSI intègre ces deux dimensions tout en couvrant des risques non cyber : panne matérielle, erreur humaine, défaut de configuration, sinistre physique.
Pour le DSI, cette distinction est opérationnelle. Une politique de SSI qui ne traiterait que la cybersécurité laisserait hors champ les obligations RGPD relatives aux traitements de données. À l'inverse, une conformité RGPD isolée ne couvrirait pas les exigences NIS2 sur la résilience des infrastructures.
Les 4 piliers de la SSI : confidentialité, intégrité, disponibilité, traçabilité
La SSI s'articule autour de 4 principes fondamentaux, souvent désignés par l'acronyme CIDT :
- Confidentialité : seules les personnes autorisées accèdent aux informations. Cela implique des mécanismes de contrôle d'accès, de chiffrement et de gestion des habilitations.
- Intégrité : les données et les systèmes ne sont pas altérés de manière non autorisée. Les dispositifs de contrôle de version, de signature électronique et de journalisation répondent à cet objectif.
- Disponibilité : le système d'information reste accessible aux utilisateurs légitimes dans les conditions prévues. Les plans de continuité d'activité (PCA) et de reprise d'activité (PRA) en sont les instruments.
- Traçabilité : chaque action sur le SI est enregistrée et imputable. Ce pilier conditionne la capacité de l'entreprise à démontrer sa conformité en cas de contrôle ou d'incident.
Ces 4 piliers structurent la norme ISO 27001, référentiel international de management de la sécurité de l'information. Ils servent également de grille d'analyse pour l'ANSSI dans ses recommandations et pour la CNIL dans l'évaluation des mesures de sécurité au titre de l'article 32 du RGPD.
Un DSI qui structure sa gouvernance SSI autour de ces 4 piliers dispose d'un cadre d'arbitrage clair pour prioriser ses investissements et documenter ses choix.
Échanger avec un avocat spécialisé en cybersécurité
Cadre juridique applicable à la SSI : RGPD, NIS2, LCEN et normes ISO
Le cadre juridique de la sécurité des systèmes d'information en France résulte de la superposition de plusieurs textes, chacun imposant des exigences spécifiques.
RGPD (Règlement général sur la protection des données, 2018) : l'article 32 impose au responsable de traitement et au sous-traitant de mettre en œuvre des mesures techniques et organisationnelles « appropriées » au regard du risque. Le texte cite explicitement le chiffrement, la pseudonymisation, la capacité de rétablir la disponibilité des données et les procédures de test régulier.
Directive NIS2 (transposition prévue en droit français en 2025) : elle élargit le périmètre des entités concernées à environ 15 000 entreprises en France (contre 300 sous NIS1). Les entités « essentielles » et « importantes » devront notifier les incidents significatifs à l'ANSSI sous 24 heures et mettre en place une gouvernance SSI documentée.
LCEN (Loi pour la confiance dans l'économie numérique, 2004) : elle impose aux hébergeurs et fournisseurs d'accès des obligations de conservation de données de connexion et de coopération avec les autorités judiciaires.
Normes ISO 27001 et 27002 : bien que non contraignantes juridiquement, elles constituent le standard de référence pour structurer un système de management de la sécurité de l'information (SMSI). Leur adoption facilite la démonstration de conformité au RGPD et à NIS2.
| Texte | Entrée en vigueur | Entités visées | Obligation clé |
|---|---|---|---|
| RGPD | 2018 | Tout responsable de traitement | Mesures de sécurité proportionnées au risque |
| NIS2 | 2025 (transposition FR) | ~15 000 entités essentielles/importantes | Gouvernance SSI, notification sous 24 h |
| LCEN | 2004 | Hébergeurs, FAI | Conservation des données de connexion |
| ISO 27001 | Volontaire | Toute organisation | SMSI certifiable |
Obligations concrètes du DSI en matière de SSI (gouvernance, mesures, contrats)
Le DSI n'est pas juridiquement le « responsable de traitement » au sens du RGPD — ce rôle incombe au dirigeant ou à l'entité morale. En revanche, il est le pilote opérationnel de la SSI et porte, en pratique, la charge de sa mise en œuvre.
Gouvernance : le DSI doit formaliser une politique de sécurité des systèmes d'information (PSSI), validée par la direction générale. Ce document fixe les objectifs de sécurité, les rôles et responsabilités, les règles d'usage du SI et les procédures de gestion des incidents.
Mesures techniques : elles incluent le contrôle des accès, le chiffrement des données sensibles, la segmentation réseau, la gestion des correctifs (patch management), la détection d'intrusion et la sauvegarde régulière. L'ANSSI publie un guide de 42 mesures d'hygiène informatique qui constitue un socle minimal.
Contrats IT : chaque contrat avec un prestataire (hébergeur cloud, éditeur SaaS, infogérant) doit intégrer des clauses de sécurité : niveau de service (SLA), localisation des données, procédure de notification d'incident, audit de conformité, réversibilité. L'absence de ces clauses expose l'entreprise en cas de violation de données impliquant un sous-traitant.
La rédaction des clauses de sécurité dans les contrats IT conditionne directement la capacité du DSI à transférer ou partager la responsabilité en cas d'incident.
Consulter un avocat en cybersécurité pour sécuriser vos contrats IT
Responsabilités et sanctions en cas de manquement à la SSI
Un défaut de sécurité du système d'information expose l'entreprise à des sanctions administratives, pénales et civiles.
Sanctions RGPD : la CNIL peut prononcer des amendes allant jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial pour un manquement à l'article 32. En 2023, la CNIL a prononcé 42 sanctions, dont plusieurs visaient des défauts de sécurité : absence de chiffrement, mots de passe stockés en clair, défaut de journalisation.
Sanctions NIS2 : les entités essentielles s'exposent à des amendes pouvant atteindre 10 millions d'euros ou 2 % du chiffre d'affaires mondial. Les entités importantes risquent jusqu'à 7 millions d'euros ou 1,4 % du chiffre d'affaires. La directive prévoit également la possibilité de suspendre temporairement les fonctions de direction.
Responsabilité pénale : les articles 323-1 à 323-8 du Code pénal sanctionnent l'accès frauduleux à un système, mais aussi le maintien d'un système vulnérable ayant facilité une atteinte. Le dirigeant peut voir sa responsabilité personnelle engagée en cas de négligence caractérisée.
Responsabilité civile : les clients, partenaires ou salariés victimes d'une violation de données peuvent engager une action en réparation sur le fondement de l'article 1240 du Code civil (responsabilité pour faute) ou de l'article 82 du RGPD (droit à réparation).
Mise en œuvre opérationnelle : PSSI, cartographie des risques, plan de continuité
La mise en conformité SSI repose sur 3 instruments opérationnels que le DSI doit piloter :
1. La PSSI (Politique de Sécurité des Systèmes d'Information)
Document fondateur, la PSSI formalise les objectifs de sécurité, les règles applicables à l'ensemble des utilisateurs du SI et les responsabilités de chaque acteur. L'ANSSI met à disposition un guide méthodologique pour sa rédaction. Elle doit être révisée au minimum une fois par an.
2. La cartographie des risques
Elle identifie les actifs critiques du SI, les menaces associées, les vulnérabilités existantes et le niveau de risque résiduel après application des mesures de sécurité. La méthode EBIOS RM, développée par l'ANSSI, est le référentiel français de référence. Cette cartographie conditionne la priorisation des investissements de sécurité.
3. Le plan de continuité et de reprise d'activité (PCA/PRA)
Le PCA définit les procédures permettant de maintenir les activités critiques en cas d'incident. Le PRA organise la restauration du SI après un sinistre. Ces plans doivent être testés régulièrement — l'ANSSI recommande au minimum un exercice annuel de simulation de crise cyber.
- Étape 1 : nommer un responsable SSI (RSSI) ou attribuer formellement cette fonction
- Étape 2 : réaliser un audit initial du SI et de sa conformité réglementaire
- Étape 3 : rédiger et faire valider la PSSI par la direction générale
- Étape 4 : déployer la cartographie des risques selon la méthode EBIOS RM
- Étape 5 : formaliser les PCA/PRA et planifier les tests
- Étape 6 : intégrer les clauses de sécurité dans tous les contrats IT
La formalisation de ces documents constitue à la fois un outil de pilotage interne et une preuve de diligence en cas de contrôle ou de contentieux.
Structurer votre conformité SSI avec un avocat spécialisé
Quand impliquer un avocat spécialisé en droit du numérique pour sécuriser sa SSI ?
Le DSI maîtrise la dimension technique de la SSI. En revanche, plusieurs situations exigent une expertise juridique spécifique :
Qualification réglementaire : déterminer si l'entreprise relève du périmètre NIS2 (entité essentielle ou importante) nécessite une analyse juridique des critères de taille, de secteur et de criticité définis par la directive.
Rédaction et audit des contrats IT : les clauses de sécurité, de responsabilité, de notification d'incident et de réversibilité dans les contrats cloud, SaaS ou d'infogérance requièrent une rédaction juridique précise. Un défaut de clause peut priver l'entreprise de tout recours contre un prestataire défaillant.
Gestion de crise post-incident : en cas de violation de données, l'entreprise dispose de 72 heures pour notifier la CNIL (RGPD) et de 24 heures pour alerter l'ANSSI (NIS2). L'accompagnement juridique permet de sécuriser les notifications, de préserver les preuves et de limiter l'exposition contentieuse.
Transferts de données hors UE : l'hébergement de données chez un prestataire soumis à une législation extraterritoriale (comme le Cloud Act américain) soulève des questions de conformité RGPD que seule une analyse juridique peut trancher.
L'implication d'un avocat en droit du numérique ne se substitue pas au travail du DSI. Elle le complète en apportant la sécurité juridique nécessaire aux arbitrages techniques et organisationnels.
FAQ
Quelle est la différence entre SSI et cybersécurité ?
La sécurité des systèmes d'information couvre l'ensemble des risques pesant sur le SI : cyberattaques, pannes, erreurs humaines, sinistres physiques. La cybersécurité se concentre sur les menaces d'origine malveillante. La SSI englobe donc la cybersécurité, mais ne s'y réduit pas.
La directive NIS2 s'applique-t-elle à mon entreprise ?
NIS2 vise les entités essentielles et importantes dans 18 secteurs d'activité (énergie, transports, santé, numérique, etc.). Les critères de taille varient : en règle générale, les entreprises de plus de 50 salariés ou réalisant plus de 10 millions d'euros de chiffre d'affaires dans un secteur visé sont concernées. Une analyse juridique précise est nécessaire pour confirmer l'assujettissement.
Qui est responsable de la SSI dans l'entreprise ?
Le responsable légal est le dirigeant ou l'entité morale, en tant que responsable de traitement au sens du RGPD. Le DSI assure le pilotage opérationnel. Le RSSI, lorsqu'il est nommé, coordonne la mise en œuvre. La responsabilité se partage entre ces acteurs selon les fonctions documentées dans la PSSI.
La certification ISO 27001 est-elle obligatoire ?
Non. La norme ISO 27001 est un référentiel volontaire. Toutefois, sa mise en œuvre facilite la démonstration de conformité au RGPD et à NIS2. Certains donneurs d'ordre ou secteurs réglementés l'exigent contractuellement.
Quel est le délai de notification en cas d'incident de sécurité ?
Le RGPD impose une notification à la CNIL dans les 72 heures suivant la constatation d'une violation de données personnelles. La directive NIS2 prévoit une alerte initiale à l'ANSSI sous 24 heures, suivie d'une notification complète sous 72 heures. Ces délais courent à compter de la prise de connaissance de l'incident.
Pour aller plus loin
Cybersécurité des systèmes d'information - ANSSI
Guide de la sécurité des données personnelles 2024 - CNIL
Directive (UE) 2022/2555 NIS 2 - Légifrance
SWIM LEGAL est une alternative au cabinet d’avocats traditionnel pour les besoins juridiques des entreprises. Incubé par le Barreau de Paris, SWIM a reçu le Prix de l’Innovation pour sa solution permettant à toute entreprise, quelle que soit sa taille ou sa localisation, d’accéder rapidement via la plateforme à des avocats d’affaires expérimentés. Les entreprises peuvent déposer leur besoin — qu’il s’agisse d’un dossier, d’une consultation ou d’un renfort temporaire — de manière confidentielle et recevoir des propositions d’avocats pour répondre rapidement à leur demande.
