RSSI et juristes : une coopération indispensable et… enrichissante ?

Les spécialistes cyber et les juristes vivent-ils un perpétuel malentendu ? C’est la conviction de l’avocat Marc-Antoine Ledieu, spécialiste du champ cyber : « Les RSSI se retrouvent devant des concepts qu’il ne savent pas gérer, par exemple la notion de risque, et ils demandent aux juristes d’écrire des avenants mais les juristes refusent parce que c’est un domaine technique. Résultat : le plus souvent, cela n’atterrit nulle part. »

Ces relations sans issue vont être mises à mal avec la mise en œuvre du règlement d’exécution sur la sous-traitance (2025/532), paru le 2 juillet, estime Garance Mathias, avocate spécialisée dans les technologies numériques : « Cela implique une refonte des contrats et cette refonte va s’appuyer sur l’expertise de spécialistes cyber, que ce soit un CISO ou un RSSI. Ce sont eux qui vont identifier les prestataires informatiques, les « TIC » dans DORA, qu’ils soient critiques ou importants. Et suivant la cartographie des prestataires qui aura été faite par les spécialistes, le niveau d’exigence contractuelle sera différent. » 

Un défi qui devrait être facilement relevé chez AXA France où l’équipe cyber et les juristes ont commencé à travailler de concert il y a déjà dix ans lors du déploiement de la signature électronique. « Plutôt que de travailler en silo, le rapprochement s’est fait entre équipes, se souvient Catherine Martin, en charge du pôle digital et des opérations transversales au sein de la direction juridique. C’est ensemble que nous avons construit la solution. Aujourd’hui, les équipes juridiques et sécurité cyber parlent plutôt le même langage parce que nous avons appris à nous connaître. » Au-delà des classiques réunions et ateliers de travail, chaque équipe dispose de « points de contacts » qui canalisent les échanges les plus fréquents. La gouvernance facilite aussi les échanges puisque les deux équipes sont regroupées sous la houlette du Secrétariat général.

Préserver la capacité d’investissement

La souplesse du dispositif a permis de mieux mutualiser la veille. « C’est très important car ce travail en amont va nous donner une compréhension commune des sujets, de sorte qu’ensuite, quand on passe à la mise en œuvre et à la construction des solutions, nous sommes déjà très alignés, explique Sylvain Bizouard, Chief Security Officer et DPO d’AXA France. Quand il y a un projet de réglementation, nous nous soumettons mutuellement nos points d’attention ou nos questions. Nous procédons aussi de cette manière lorsque les équipes métiers nous font remonter des difficultés opérationnelles. »

D’après Arnaud Martin, administrateur du Cesin (Club des Experts de la Sécurité de l’Information et du Numérique) et directeur des risques opérationnels, cyber et contrôle du groupe Caisse des Dépôts, ces pratiques, si efficientes soient-elles ne suffisent pas, il faut aussi rappeler aux équipes cyber l’objectif de cette coopération poussée. « Mon message aux équipes cyber est le suivant : l’ensemble de ces contrôles ont bien évidemment pour but de sécuriser nos opérations mais aussi de nous mettre en capacité de fournir aux régulateurs l’ensemble des preuves attestant d’une bonne maîtrise du contrôle interne sur le risque cyber. Si tel n’était pas le cas, cela impacterait négativement notre capacité d’investissement puisque cela peut conduire le régulateur à augmenter les provisions en cas de constat de manquement ou de défaillance. »

Partager les informations

Pour les équipes qui souhaitent s’engager dans une collaboration plus étroite, Stéphane Astier, avocat à la Cour en droit du numérique et de la cybersécurité, conseille aux spécialistes de la cyber de réaliser une première étape très simple : « Pour que le juriste dispose des informations clés nécessaires à l’établissement de la qualification juridique de l’incident, il est utile qu’il puisse accéder à l’outil de pilotage des incidents et qu’il puisse ajouter, le cas échéant, des champs d’entrée spécifiques. Ces champs seront renseignés avec les informations dont le juriste a besoin pour opérer la qualification juridique de l’incident. Dans les entreprises qui n’auraient pas un outil digitalisé, il est important de disposer d’une fiche type de remontée d’incidents avec les informations nécessaires pour opérer la qualification juridique et ensuite procéder aux exigences légales requises et dépendantes de cette qualification (dépôt de plainte, saisine de la compagnie d’assurance, notification CNIL, remontée à l’ANSSI etc. »

Les avantages d’une bonne coopération ne manquent pas. Parmi les plus notables figure une forme de sécurisation réciproque. « Pour les équipes juridiques, c’est un confort important de pouvoir examiner la traduction technique d’une exigence juridique avec les équipes cyber, estime Catherine Martin. Et inversement, c’est aussi un confort pour les équipes techniques de vérifier si leurs solutions sont juridiquement conformes. »

Autre avantage essentiel : assurer la cohésion de l’écosystème des prestataires et sa montée en compétence. Une mission complexe alors que la réglementation évolue rapidement, explique Sylvain Bizouard : « Aujourd’hui, certaines discussions de renouvellement contractuel, ou même de contractualisation initiale, traînent en longueur parce que les sous-traitants ne comprennent pas toujours certaines clauses qu’ils considèrent comme excessives. Comme il peut parfois arriver que les prestations aient déjà débutées, nous voyons avec la direction juridique et les achats comment arriver, en dépit des points de désaccords, à obtenir malgré tout un niveau de validation suffisant pour mener à bien nos contrôles et avoir la garantie que le sous-traitant respecte bien tout ce qui est dans le contrat. » 

Ne pas oublier la « valise »

En parallèle, des réflexions ont été lancées pour ajouter aux contrats avec les prestataires des clauses spécifiques, de « revoyure », afin de faire évoluer les clauses de sécurité en fonction de l’évolution de la menace. « Cela permettra d’avoir des évolutions successives plus fréquentes afin d’accompagner la montée en compétences des prestataires, fluidifier les relations et mettre toutes les parties prenantes dans une posture d’anticipation », assure Catherine Martin.

Anticiper. Rien ne doit échapper à ce leitmotiv, et surtout pas les exercices de crise cyber, confirme Stéphane Astier : « Les RETEX des cellules de crise fictives montrent qu’il n’est pas inutile d’avoir une valise spéciale qui contient la documentation clé, en particulier le contact du courtier en assurance cyber ou les coordonnées de l’expert qu’il faut faire intervenir avec le commissaire de justice s’il y a besoin de faire des constatations immédiates. Il faut aussi savoir sur le champ qui a la délégation et qui est en capacité d’aller porter plainte dans les 72 heures pour éviter de se faire refuser la couverture par la police d’assurance. » 

En parallèle des exigences réglementaires, le risque cyber évolue sans relâche, ce qui pose la question récurrente des moyens alloués. Là encore, une coopération optimale entre RSSI et juriste peut s’avérer très fructueuse, assure Stéphane Astier : « Si le RSSI et le juridique forment une équipe performante et pertinente pour apporter aux décideurs un niveau d’information cohérent, construit avec une double vision gestion de risque juridique et gestion de risque technique, l’impact des recommandations pour remédier, ou en tout cas de se préparer à une crise cyber, sera beaucoup plus fort et influera sur l’allocation des budgets. » La coopération aura alors une portée doublement positive puisqu’elle motivera les équipes et leur accordera les moyens nécessaires à une meilleure protection de l’entreprise.