nos magazines

Actualités gestion et logiciel informatique professionnel

Offre et recherche Emploi informatique internet

Salon conférences inofrmatique IT ebusiness 01

Vidéos reportage entreprise acteur informatique

Retrouvez tous les services 01Net dédiés aux professionnels !

Livres blancs e-commerce informatique et nouvelles technologies

Retrouvez l'ensemble des dossiers de la rédaction 01net Entreprise

Les synthèses des bonnes pratiques sur les sujets IT du moment

01net Entreprises

Piratage de la VoIP : un risque juridique pour les entreprises

La voix sur IP est exposée au piratage et cela peut engager la responsabilité de l'entreprise. Pour se protéger, il faut choisir un intégrateur qui prenne sa part de responsabilité.

David Maume

01net.

le 29/09/08 à 17h32

5 réactions

Chaque médaille a son revers. Plus économique et plus souple d'utilisation que la téléphonie classique, la voix sur IP présente également des risques différents de ceux induits par la téléphonie classique.

' A la différence de la téléphonie classique, la voix sur IP fonctionne sur Internet qui est un réseau ouvert. Il s'agit d'une application informatique à part entière exposée au piratage. Et à ce titre il faut prévoir des parades techniques et juridiques adaptées ', explique Diane Mullenex, avocate à la cour et membre du cabinet IMA. Celle-ci vient de réaliser une étude des risques juridiques liés au déploiement de la voix sur IP en entreprise pour le compte d'une grande fédération de PME qui souhaitait mettre en place en interne un call center utilisant cette technologie.

Les mêmes risques que sur les réseaux informatiques

Sur un plan juridique, lors de l'installation de son réseau, qu'il s'agisse d'un réseau traditionnel ou d'un réseau basé sur la VoIP, l'entreprise a la même obligation de moyen qui revient à mettre en ?"uvre les mesures nécessaires à la sécurité de son système. Mais, ' le problème est que la mise en place de cette couche de sécurité est beaucoup plus complexe dans le cas de la voix sur IP ', explique Diane Mullenex. Comme les réseaux de données, les réseaux VoIP sont en effet vulnérables à de nombreuses attaques comme les écoutes non souhaitées, les dénis de service, les attaques virales ou encore le vishing (1).

Recourir à un prestataire et engager sa responsabilité

Pour limiter ces risques, Diane Mullenex déconseille vivement l'utilisation de softphones comme Skype et surtout préconise le déploiement de solutions éprouvées par un prestataire extérieur qui accepte d'engager sa responsabilité.

' Dans la mesure où un prestataire propose une solution dont il vante le niveau de sécurité, il faut lui demander d'engager contractuellement sa responsabilité en cas de problème ', explique-t-elle. L'entreprise peut insérer dans son contrat des clauses lui permettant de rechercher la responsabilité de son prestataire en cas de mauvaises préconisations techniques (pas de chiffrement, pas de protection des accès aux serveurs, etc.). Les clauses peuvent aussi prévoir que la responsabilité de l'entreprise ne sera pas engagée en cas de défaillance de son système ou de perte d'informations liée à un piratage.

Les prestataires rechignent bien sûr à mettre en place de telles clauses. ' Une pratique courante est de proposer au client une somme forfaitaire plafonnée en cas d'incident ', explique Diane Mullenex. ' Nous incitons fortement nos revendeurs certifiés à sécuriser les solutions des clients mais ceux-ci restent libres d'engager ou pas leur responsabilité lors des déploiements. C'est un sujet extrêmement délicat dans la mesure où la voix sur IP fait partie intégrante du système d'information des clients et que ces derniers portent une part importante de responsabilité lorsqu'ils exploitent ou aménagent leur infrastructure informatique ', explique François Moïse, responsable de l'activité communications unifiées et collaboration au sein de Cisco France.

Pour Diane Mullenex, il faut néanmoins insister pour que le prestataire prenne, au moins partiellement, une part de responsabilité. En particulier si l'entreprise s'est engagée de son côté à garantir la sécurité et la confidentialité de son réseau auprès de ses partenaires (clients, fournisseurs, etc.).

Pas encore de condamnation d'entreprises en France

' En cas de problème, les mécanismes de responsabilité contractuelle seront mis en ?"uvre par les partenaires ce qui pourra entraîner la rupture des relations contractuelles et le versement d'indemnités importantes. Attention, même sans contrat, les clients et les partenaires pourront toujours engager leur responsabilité civile pour obtenir des indemnités réparant le préjudice subi en cas de piratage du réseau et de vol d'informations les concernant ', prévient-elle.

Pour l'instant, aucune entreprise française n'a encore été condamnée à cause du piratage de son réseau VoIP mais plusieurs actions sont en cours, essentiellement dans le cadre de mécanismes contractuels actionnés hors des tribunaux. La prudence reste donc de mise.
(1) : cette déclinaison pour la voix sur IP du phishing consiste à aiguiller des appelants vers un faux serveur vocal imitant par exemple le serveur vocal d'une banque pour récupérer des données bancaires.

envoyer
par mail

imprimer
l'article

Actu précédente

SFR et Neuf Cegetel fusionnent leurs offres entreprises

Actu Suivante

Une immersion en Chine avant le diplôme d'ingénieur

5 AVIS SUR CET ARTICLE

Avis sur «Piratage de la VoIP : un risque juridique pour les entreprises »

Demeurons réaliste

de Gymmy , posté le 29 septembre 2008 à 19h47

Il m'apparait une volonté de masturbation intellectuelle entre membres du CAC40. Dans la réalité, la quantité d'informations qui circulent sur le NET, que ce soient des photos, des documents, des voix, permet de penser que les écoutes sont infimes. Et même, il semble tout aussi futile de passer des informations sensibles par Internet, téléphone, télévision ! Seule, la relation entre personnes est sécurisée ! De plus, l'immense majorité des 500 000 entreprises en France peuvent téléphoner tranquillement ! Demeurons sérieux !

alerter le modérateur

exact

de pierre1031 , posté le 30 septembre 2008 à 08h40

maintenant que la ToIp prend son rythme dans le marché, voila que certains "intellectuels" s'en melent. Premièrement, il me semble que les integrateurs ne les ont pas attendus pour conseiller des solutions de chiffrement de la voix sur le LAN client ou de sécurisation des serveurs
Deuxièmement, s'il est nécessaire de faire un contrat de 100 pages induisant les responsabilités de chacun sur une infra ToIp; autant revenir au TDM parce que la on va pouvoir impliquer du monde: l'intégrateur voix, l'intégrateur LAN, l'intégrateur en charge de la sécurité, le client, l'opérateur dans le cadre d'un réseau étendu(MPLS ou autre), les utilisateurs...Si qqun "pond" ce document, qu il fasse tourner ;-)

alerter le modérateur

Arrêtez !

de YYY666 , posté le 01 octobre 2008 à 03h22

Cet article qui cultive de fausses peurs et semble n'avoir pour but que de générer du chiffre d'affaires chez l'avocate interrogée est particulièrement ridicule.
Surtout, il n'honore ni la maîtrise technologique de 01net ni le sens critique du journaliste interviewer.
Mesdames et messieurs de 01net, ceci étant de plus en plus fréquent, s'il vous plaît, reprenez vos esprits et vérifiez / croisez vos sources.

alerter le modérateur

Un peu de bons sens s'il vous plait

de rubrette , posté le 01 octobre 2008 à 23h30

Effectivement tout est bon pour faire de l'argent. Au contraire le piratage en VoIP est une affaire de spécialiste alors que n'importe qui en analogique peu brancher une jarretière en // ou mettre une bobine d'induction pour capter une conversation. La VoIP n'est qu'un moyen de transport des communications et n'a rien changé aux principes de base du téléphone.

alerter le modérateur

piratge

de auridov , posté le 04 octobre 2008 à 21h25

kakakakxsc sdjhdksj;

alerter le modérateur