 |
Emploi
|
|
Start-up
|
|
Evénements 01 | |
Avis d'expert | |
Vidéos | |
Indicateurs
|
|
Distribution
|
|
Telecharger Pro
|
|
Livres blancs | |||||||||||||||||||||
Piratage de la VoIP : un risque juridique pour les entreprises
par mail
l'article
Chaque médaille a son revers. Plus économique et plus souple d’utilisation que la téléphonie classique, la voix sur IP présente également des risques différents de ceux induits par la téléphonie classique.
“ A la différence de la téléphonie classique, la voix sur IP fonctionne sur Internet qui est un réseau ouvert. Il s’agit d’une application informatique à part entière exposée au piratage. Et à ce titre il faut prévoir des parades techniques et juridiques adaptées ”, explique Diane Mullenex, avocate à la cour et membre du cabinet IMA. Celle-ci vient de réaliser une étude des risques juridiques liés au déploiement de la voix sur IP en entreprise pour le compte d’une grande fédération de PME qui souhaitait mettre en place en interne un call center utilisant cette technologie.
Les mêmes risques que sur les réseaux informatiques
Sur un plan juridique, lors de l’installation de son réseau, qu’il s’agisse d’un réseau traditionnel ou d’un réseau basé sur la VoIP, l’entreprise a la même obligation de moyen qui revient à mettre en œuvre les mesures nécessaires à la sécurité de son système. Mais, “ le problème est que la mise en place de cette couche de sécurité est beaucoup plus complexe dans le cas de la voix sur IP ”, explique Diane Mullenex. Comme les réseaux de données, les réseaux VoIP sont en effet vulnérables à de nombreuses attaques comme les écoutes non souhaitées, les dénis de service, les attaques virales ou encore le vishing (1).
Recourir à un prestataire et engager sa responsabilité
Pour limiter ces risques, Diane Mullenex déconseille vivement l’utilisation de softphones comme Skype et surtout préconise le déploiement de solutions éprouvées par un prestataire extérieur qui accepte d’engager sa responsabilité.
“ Dans la mesure où un prestataire propose une solution dont il vante le niveau de sécurité, il faut lui demander d’engager contractuellement sa responsabilité en cas de problème ”, explique-t-elle. L’entreprise peut insérer dans son contrat des clauses lui permettant de rechercher la responsabilité de son prestataire en cas de mauvaises préconisations techniques (pas de chiffrement, pas de protection des accès aux serveurs, etc.). Les clauses peuvent aussi prévoir que la responsabilité de l’entreprise ne sera pas engagée en cas de défaillance de son système ou de perte d’informations liée à un piratage.
Les prestataires rechignent bien sûr à mettre en place de telles clauses. “ Une pratique courante est de proposer au client une somme forfaitaire plafonnée en cas d’incident ”, explique Diane Mullenex. “ Nous incitons fortement nos revendeurs certifiés à sécuriser les solutions des clients mais ceux-ci restent libres d’engager ou pas leur responsabilité lors des déploiements. C’est un sujet extrêmement délicat dans la mesure où la voix sur IP fait partie intégrante du système d’information des clients et que ces derniers portent une part importante de responsabilité lorsqu’ils exploitent ou aménagent leur infrastructure informatique ”, explique François Moïse, responsable de l’activité communications unifiées et collaboration au sein de Cisco France.
Pour Diane Mullenex, il faut néanmoins insister pour que le prestataire prenne, au moins partiellement, une part de responsabilité. En particulier si l’entreprise s’est engagée de son côté à garantir la sécurité et la confidentialité de son réseau auprès de ses partenaires (clients, fournisseurs, etc.).
Pas encore de condamnation d’entreprises en France
“ En cas de problème, les mécanismes de responsabilité contractuelle seront mis en œuvre par les partenaires ce qui pourra entraîner la rupture des relations contractuelles et le versement d’indemnités importantes. Attention, même sans contrat, les clients et les partenaires pourront toujours engager leur responsabilité civile pour obtenir des indemnités réparant le préjudice subi en cas de piratage du réseau et de vol d’informations les concernant ”, prévient-elle.
Pour l’instant, aucune entreprise française n’a encore été condamnée à cause du piratage de son réseau VoIP mais plusieurs actions sont en cours, essentiellement dans le cadre de mécanismes contractuels actionnés hors des tribunaux. La prudence reste donc de mise.
(1) : cette déclinaison pour la voix sur IP du phishing consiste à aiguiller des appelants vers un faux serveur vocal imitant par exemple le serveur vocal d’une banque pour récupérer des données bancaires.
01net. - 01men - RMC - BFM Radio - BFM TV - La Tribune - TousLesPodcasts - 01informatique.fr - Association RMC-BFM
