Par Stéphane Astier et Anne-Charlotte Andrieux
A l’heure de la généralisation du télétravail, chaque employeur doit s’attacher à organiser les accès aux systèmes d’information par les collaborateurs, en assurer la sécurité tout en contrôlant le bon déroulement des missions.
Pour remplir ces missions aussi importantes que sensibles dans un contexte d’accélération de la digitalisation du fait de la pandémie, l’employeur doit s’appuyer sur des profils particuliers de salariés : les administrateurs des systèmes d’information. Ces collaborateurs, du fait de leurs habilitations particulières et de leur rôle dans « l’administration » au quotidien des différents systèmes d’information déployés (internet/intranet, smartphones, téléphone, ...) ont vocation à voir leurs actions encadrer par des dispositions spécifiques, dispositions formalisées au sein d’une Charte « Administrateur des SI »
Cette Charte est en effet l’un des piliers essentiels du référentiel sécurité d’une entité qu’elle soit publique ou privée. Ce document participe directement à répondre à l’impératif de documentation des mesures organisationnelles et techniques visées par le RGPD.
De quoi parle-t-on exactement ?
Rappelons qu’un administrateur est non seulement un acteur clé du système d’information (SI) mais également un contributeur majeur de la sécurité dudit SI. Les administrateurs se distinguent ainsi des autres utilisateurs par les droits étendus qui leur sont accordés sur le SI et constituent à ce titre une ressource critique pour les entreprises. La Charte « administrateur des SI » a précisément vocation à encadrer l’exercice de ces droits étendus.
Conformément aux dispositions de l’article 24 du RGPD, l’ANSSI rappelle que la sécurité des systèmes d’information nécessite la mise en œuvre de mesures de sécurité techniques et organisationnelles appropriées pour garantir la sécurité des données. C’est à ce titre que la Charte administrateur des SI constitue une documentation indispensable pour tout responsable de traitement
Cet outil a pour finalité d’établir un équilibre entre les pouvoirs spécifiques accordés aux administrateurs et le respect d’obligations indispensables à la sécurité du SI.
1. Pourquoi réaliser une Charte administrateur des SI ?
D’une manière générale, la Charte administrateur des SI vise à assurer :
- la protection des droits des personnes dont les données sont traitées dans les systèmes d’information
- la confidentialité des données
- la sécurité du système d’information
A cet égard, elle a vocation à compléter le « Référentiel Sécurité » et plus particulièrement la Charte d’utilisation des systèmes d’information.
2. Quel champ d’application ?
La Charte doit s’appliquer à toute personne disposant d’un droit d’administration à la mesure de l’étendue des droits d’administration qui lui ont été accordés, qu’il s’agisse :
- des administrateurs internes responsables des réseaux et des Systèmes d’Information ou des informaticiens ayant des compétences spécifiques
- des administrateurs externes, sous-traitants ou prestataires de services extérieurs
3. Ce que doit contenir une Charte administrateur des SI
La Charte doit tout à la fois prévoir les règles de sécurité que l’administrateur devra respecter et établir les objectifs et les limites de l’intervention de l’administrateur sur le SI.
A ce titre elle devra informer chaque Administrateur désigné au sein d’une entité :
- de ses obligations en termes de sécurité et de bon fonctionnement des SI pour lesquels il est habilité à intervenir
L’administrateur a notamment pour rôle d’assurer le bon fonctionnement général des Systèmes d’Information (performance, disponibilité, interopérabilité...) et de veiller à la bonne utilisation des Systèmes d’Information (administration des habilitations et des profils, gestion de l’utilisation des messageries et des accès à internet, etc.)
- des moyens à sa disposition pour assurer sa fonction et des limites de son utilisation des outils
Pour garantir la sécurité du SI, les moyens mis à sa disposition et son périmètre d’action devront être précisément circonscrits (postes informatiques, serveurs, connexion, accès distants, applications, etc.)
- de son obligation de confidentialité au regard des données traitées
La CNIL rappelle que les Administrateurs sont contraints à une obligation de confidentialité renforcée. Cette obligation de confidentialité renforcée porte sur l’ensemble des informations et données dont l’administrateur pourrait avoir connaissance dans le cadre de ses fonctions à l’exclusion des seules données publiques.
- des modalités de gestion des mots de passe spécifiques à ses fonctions.
Le rôle principal de l’Administrateur est de veiller à la sécurité des systèmes d’information et notamment de respecter la plus stricte confidentialité des mots de passe et notamment de son mot de passe administrateur.
Le Cabinet HAAS Avocats, fort de son expertise depuis plus de 20 ans en matière de nouvelles technologies, accompagne ses clients dans leur démarche de conformité au RGPD. Que ce soit en appui du DPO ou en qualité de DPO externalisé le Cabinet Haas réalise ainsi tout type de mission en lien avec la protection de la vie privée avec deux départements spécialisés sur ces questions : le département Protection des données et le département cyber sécurité. Contactez-nous ici