Les aspects relatifs à la sécurité

Vincent Gautrais, « Les aspects relatifs à la sécurité », dans Daniel Poulin et al. (dir.), Guide juridique du commerçant électronique, Montréal, Thémis, 2003, p. 129-140.

Malgré l’importance croissante que les acteurs lui accordent actuellement, la sécurité des réseaux informatiques demeure la moins organisée et la plus négligée des quatre principales dimensions du commerce électronique (juridique, commercial, technique et sécurité). Responsable d’une école en sécurité informatique, Nicolas SADIRAC prétend à ce titre que les entreprises se contentent de propagande et occultent l’ignorance de la population quant aux problèmes de sécurisation des transactions. Les succès de certains pirates informatiques à interrompre le fonctionnement de sites commerciaux réputés semblent lui donner raison. D’ailleurs, les spécialistes s’accordent sur le fait que la question n’est pas de savoir qui va être touché par des intérêts malvaillants (hacking) ou négligents mais plutôt quand.

Des raisons économiques et sociales expliquent l’attitude passive des commerçants électroniques à l’endroit de la sécurité. D’abord, l’évolution agitée de la nouvelle économie implique des investissements rapides rarement compatibles avec l’implantation onéreuse d’une structure de sécurité. La sécurité est une science « transversale » qui se place au-dessus des structures organisationnelles traditionnelles et nécessite la participation de tous les acteurs d’une compagnie – ainsi que de spécialistes rares et coûteux. Par exemple, un chef de service n’a pas toujours l’habitude de se référer à d’autres intervenants susceptibles, de surcroît, de remettre en cause ses pratiques comportementales. En somme, la sécurité demande des investissements et des ajustements structurels que les entreprises en ligne préfèrent souvent oublier. L’absence de conscientisation collective caractérise également la dimension sécuritaire du commerce électronique.

Alors que la gestion de l’information papier est chose connue, la gestion de l’information électronique balbutie et demeure en réalité une bien faible priorité. Au même titre que la vente à distance exigea au début du vingtième siècle une structure relationnelle solide, une vitrine efficace de commerce électronique requiert un encadrement sécuritaire stable. Le présent chapitre vise à montrer qu’il n’y aura pas, demain davantage qu’aujourd’hui, de commerce électronique sérieux et durable sans la mise en place d’une véritable structure organisationnelle de sécurité.

Néanmoins, nous voudrions éviter de faire des chevauchements avec certains aspects déjà explicités ailleurs en traitant davantage de la sécurité organisationnelle que de la sécurité technique. En ce sens, nous voulons envisager les procédures qui peuvent être mis en place par un responsable de site afin que les transactions électroniques qu’il compte encadrer le soit diligemment. Or, la sécurité informatique est généralement associée à des techniques de chiffrement, à des certificats ou autres techniques de communication. Une transaction électronique est pourtant tri-temporelle et se situe par conséquent avant, pendant et après l’échange de données. En conséquence, une chaîne d’opération relatant les différentes étapes de la transaction électronique doit être mise en place afin d’identifier chacune des sources de vulnérabilité. À chacun de ces éléments, une solution ou une série d’éléments de protection doit être installée, avec toujours un degré de perfectionnement différent selon chaque situation factuelle, chaque site Internet.

Dans cet ordre d’idée, nous indiquons dans les sections de ce chapitre les démarches à suivre lors d’un processus de mise en place d’une sécurité organisationnelle et étudions les éléments centraux des politiques de sécurité ainsi que les aspects contractuels afférents. En effet, les contrats disposent d’éléments de formalisme qui encadrent les risques d’une relation d’affaire. À cet égard, l’entente contractuelle prendra une forme différente selon le type de la relation et l’ampleur des enjeux en cause. Il est donc fondamental de ne pas oublier l’environnement général qui entoure le contrat.

Mis à jour le 23 août 2014 à 10 h 37 min.