La clause de Responsabilité | The Centauri Step, gouvernance et Sécurité informatique
La clause de Responsabilité
Marion Mellor
Comment estimer l’impact financier d’une faille de Sécurité ? Et comment négocier avec ses fournisseurs ?
Tous le monde doit en avoir une !
Parfois, les équipes Sécurité doivent s’occuper de certains aspects des contrats qui peuvent s’avérer très techniques… Prêt pour ce voyage dans le pays du juridique ? Accrochez votre ceinture !
Une clause de limitation de responsabilité, ou « clause de responsabilité » ou « Liability clause », est définie comme une clause de non-responsabilité dans un accord : elle délimite les conditions dans lesquelles une partie peut être tenue responsable de pertes ou de dommages.
L’intérêt ? Cette clause définit surtout les limites des dommages qui peuvent être réclamés dans certains cas. C’est crucial. Les équipes Sécurité doivent faire partie des négociations pour délimiter le risque informatique.
Les limitations de responsabilité peuvent ou non être exécutoires, selon leur clarté. Afin de vous protéger contre la responsabilité dans certaines situations et de plafonner le montant des dommages-intérêts qui peuvent vous être réclamés (en tant que fournisseur ou sous-traitant), ou vous protéger (en tant que client), la clause de limitation de responsabilité doit être rédigée de manière claire.
La responsabilité est l’obligation de fournir une compensation pour un manquement donné aux normes négociées ou convenues. D’où l’importance d’avoir délimité celles-ci dans un Clausier Sécurité clair et discuté entre les Parties. C’est ce document qui permet ensuite d’écrire dans une clause spécifique : « Un manquement à l’Annexe Sécurité correspond à un manquement substantiel au présent accord ».
Les obligations d’un fournisseur
À vous qui vous êtes accroché pour lire cet article jusqu’ici, j’ai la joie d’annoncer qu’il est presque toujours impossible de remplir des obligations à 100 %. C’est pourquoi il est important d’accepter des limites en vertu du droit des contrats.
Par exemple, l’installation de votre piscine peut coûter 10 000 euros, mais les dommages involontaires peuvent dépasser ce montant. Si la limite a été atteinte, l’entreprise d’installation de piscines n’aura plus l’obligation de vous payer des dommages et intérêts au-delà ce montant. Cela s’applique à tous les secteurs d’activité.
Mais qu’en est-il en matière de Sécurité de l’information, lorsque l’on touche à des sujets sur lesquels plusieurs parties prenantes ont des accès, des échanges de données, et des développements d’outils utilisés par tous au sein de l’entreprise ? Où se situe la responsabilité ?
Vers l’Infini et au-delà !
Si le risque résiduel est bas, mais que l’impact potentiel est majeur : cela signifie que l’occurrence d’un tel risque est faible mais peut être extrêmement préjudiciable (ou critique) pour l’entreprise.
Prenons un exemple : un éditeur de logiciel vous offre un service ou un outil qui vous permet de travailler au quotidien. Cet éditeur fait partie de vos prestataires de confiance, et il a accès à vos systèmes via le support de son outil par lequel il peut vous assister à distance. Un employé négligent vous demande de télécharger un plug-in lors d’une maintenance, mais c’est un fichier corrompu qui va endommager vos systèmes. Si vous avez négocié des conditions Sécurité dans votre contrat, vous pourrez certainement vous retourner contre l’éditeur. Mais comment estimer les pertes ? le volume de données perdues ? Si l’attaque a mis vos systèmes au tapis pendant trois jours, quelle est la perte opérationnelle ?
Les pertes dues à la Sécurité peuvent être infinies… Dans le cas de Sopra Steria, qui a perdu plus de 50 millions d’euros suite à une attaque via son Windows Active Directory on-prem, vers qui la société peut-elle se tourner ? Vers Microsoft qui a détecté la vulnérabilité et l’a annoncé à ses clients – laissant poindre une opportunité pour les hackers ? Contre ses fournisseurs d’outils internes de firewalls ? Contre les prestataires de son SOC / Fusion Center ? Il est très difficile pour les équipes IT ou Sécurité informatique de se prononcer quand il faut négocier une clause de responsabilité.
Ma recommandation
Généralement, je recommande de suivre les directives européennes et les planchers demandés dans le cadre des Données Personnelles. Négocier cinq fois le montant annuel en jeu dans le contrat, est un bon compromis. Vous ne recevrez pas de compensation intégrale en cas d’attaque majeure (et si les responsabilités sont établies) mais vous pourrez a minima réduire les montants de perte.
Si vous voulez des exemples de clauses de responsabilité, ou discuter de la meilleure façon d’organiser la sécurité de vos contrats, écrivez-moi via le formulaire de contact !