L'incompétence n'est pas une faute professionnelle ! la volonté de nuire, OUI ...
Peut on considérer une infection par virus informatique comme une faute professionnelle?
il y a 6 ans
par
PascalW
Je viens de lire que des entreprises continuent à être infectées par des Ransomwares (Virus qui chiffre les données en demande une rançon en échange de la clé de déchiffrage) . Les vecteurs d'infection sont connus et si je me base sur les témoignages que j'ai recueillis en 2016, beaucoup de gens ont cliqué sur la pièce jointe "pour voir ce que cela faisait" !
Je me demande donc si une entreprise ne peut pas se retourner vers son salarié en cas d'infection? (en particulier si la conduite à tenir est clairement exprimée dans une charte informatique)
droit sécurité informatique faute professionnelle
4
4
5 réponses
Bonne Question !
Ca me parait néanmoins compliqué à mettre en oeuvre car le nombre de mèls reçus permet de plaider assez facilement l'inattention d'autant que certains de ces mèls peuvent prêter à confusion (une facture en pièce jointe reçue dans les services compta par exemple).
Je pense donc qu'il faut maintenir la vigilance par la sensibilisation quasi permanente. Evidemment, la répétition des inattentions par une même personne peut, selon moi, devenir un motif de rappel à l'ordre.
En revanche, ce qui me paraît plus répréhensible, c'est la perte de données occasionnée éventuellement par un non respect des règles de stockage des données (typiquement des espaces perso de disque durs non pris en charge par les processus de sauvegarde de l'entreprise).
Merci pour ta réponse.
Tu soulignes un (autre) problème de gouvernance des données. Les données appartiennent à l'entreprise et les sortir sans autorisation de son périmètre est une faute beaucoup pus claire dans mon esprit. Même si les faits me montrent régulièrement que tout le monde n'a pas le respects des données de l'entreprise.
La faute doit être démontrée et l'on sait pertinemment que dans ce domaine c'est un peu délicat et que les expertises sont complexes et coûteuses.
Que ce soit pour une entreprise ou un salarié, "un mauvais accord vaut mieux qu'un bon procès".
Je comprend que les entreprises restent à la merci des "petits curieux" qui cliquent pour voir... Sinistre partie de poker dans de nombreux cas. La protection ne passe donc pas par la sanction, reste la sensibilisation...
Si c'est intentionnel peut-être, si c'est par méconnaissance des bonnes pratiques en terme de sécurité c'est sans doute plus difficile! La défense pourra toujours tenter de démontrer que l'entreprise n'a pas fait assez pour former les gens aux bonnes pratiques...
Je me rend compte que quelque soit les efforts fait en terme de sensibilisation ou même de formation, quelqu'un qui "click sans réfléchir" pourra toujours se défausser sur un manque d'information.
Ca peut si l'intention de nuire est démontrée.
Mais ça risque de coûter très cher à l'entreprise et au salarié. Et tout le monde est perdant perdant.
Si c'est possible, par contre, c'est de remonter à la source de l'infection et d'avoir une action de prévention (notamment si des dégâts ont été causés et que l'entreprise s'est retrouvée toute ou partie à l'arrêt).
Des couillons (patrons ou salariés) qui voudront "voir ce que ça fait", il y en aura toujours.
Des sauvegardes redondantes, historisantes des version et plusieurs fois par jour, aujourd'hui, je ne vois que ça. Voir même des réinstallations de serveurs régulières (car certains de ces ransomwares et autres virus sont dormants pendant plusieurs semaines histoire de se retrouver dans les sauvegardes et donc réinstallés)