Cybersécurité Utilisateur

Formation Cybersécurité (Sensibilisation)

Module 5 : Incident, signalement et responsabilités

Module 5 : Incident 17 min de lecture

5.3 Responsabilités : salarié, employeur, DPO, RSSI, fournisseurs

Qui est responsable de quoi dans la chaîne cybersécurité d'une entreprise ? Quelles sanctions encourt chacun en cas d'incident ? Comment la responsabilité se partage entre l'entreprise utilisatrice, ses fournisseurs IT, ses dirigeants et ses salariés.

Matrice RACI des responsabilités cybersécurité
Direction
  • Accountable obligation sécurité
  • Validation budgets
  • Politique de sécurité
  • NIS2 : responsabilité personnelle
RSSI
  • Responsible exécution
  • Définition technique
  • Pilotage SOC
  • Audit et reporting
DPO
  • Consulted données perso
  • Conformité RGPD
  • Notification CNIL
  • Conseil et formation
DSI
  • Responsible infrastructure
  • Opérations IT
  • Réponse aux incidents
  • Maintien sécurité technique
Salariés
  • Responsible usage quotidien
  • Application des règles
  • Signalement incidents
  • Formation continue
Fournisseurs IT
  • Responsible partagée
  • Annexe sécurité contrat
  • Notification incidents
  • Audit et certifications
1

L'employeur : l'obligation de sécurité de résultat

L'employeur est juridiquement responsable de la sécurité de l'information dans son entreprise, au titre :

  • RGPD article 32 : « mesures techniques et organisationnelles appropriées »
  • NIS2 article 21 : exigences de cybersécurité pour les entités essentielles et importantes
  • Code du travail L4121-1 : obligation de sécurité (générale, étendue par la jurisprudence à la sécurité numérique)
  • Code civil article 1240 : responsabilité délictuelle pour dommages causés à autrui par négligence

Cette responsabilité est de résultat, pas de moyens : l'employeur ne peut pas se contenter de prouver qu'il a fait « de son mieux ». Il doit démontrer qu'il a effectivement mis en place les mesures nécessaires. En cas d'incident, la défense classique consiste à présenter :

  • Politique de sécurité documentée
  • Évaluation des risques (EBIOS RM ou équivalent)
  • Charte informatique signée par les salariés
  • Mesures techniques (MFA, EDR, sauvegardes, chiffrement)
  • Formation cybersécurité de tous les salariés (cette formation peut en être le support)
  • Plan de réponse aux incidents testé
  • Audit régulier (ISO 27001, MASE, audit interne)

Une entreprise qui peut documenter ces 7 éléments aura une défense solide. Une entreprise qui ne peut documenter aucun risque la requalification en faute caractérisée, voire en mise en danger délibérée.

2

Le dirigeant : responsabilité personnelle renforcée par NIS2

Avant NIS2, la responsabilité cyber était principalement portée par la personne morale (l'entreprise). Avec NIS2, la responsabilité personnelle des dirigeants est explicitement engagée. Article 20 §1 de la directive :

« Les États membres veillent à ce que les organes de direction des entités essentielles et importantes approuvent les mesures de gestion des risques en matière de cybersécurité prises par ces entités, supervisent leur mise en œuvre et soient tenus responsables des manquements. »

— Article 20 §1, directive NIS2 (UE 2022/2555)

Concrètement, un dirigeant qui n'aurait pas approuvé une politique de sécurité, n'aurait pas alloué de budget suffisant, n'aurait pas suivi de formation cybersécurité, peut être personnellement sanctionné :

  • Sanctions disciplinaires au titre du mandat social (révocation, mise à pied)
  • Interdiction temporaire d'exercer des fonctions dirigeantes dans le secteur
  • Sanctions civiles (mise en cause de la responsabilité civile personnelle, dommages-intérêts à l'entreprise)
  • Sanctions pénales en cas de faute caractérisée (article 121-3 CP)

C'est l'une des évolutions les plus marquantes de NIS2 : la cybersécurité monte au niveau du COMEX et de la direction générale, et ne peut plus être déléguée intégralement à la DSI ou au RSSI. Les dirigeants doivent eux-mêmes suivre une formation cybersécurité — cette formation peut en faire partie.

3

Le salarié : responsabilités et limites

Le salarié a des obligations individuelles en matière de cybersécurité, sans pour autant porter la responsabilité globale :

  • Respecter la charte informatique (article L1121-1 du Code du travail)
  • Suivre les formations obligatoires
  • Appliquer les mesures de sécurité au quotidien (mots de passe, MFA, signalement)
  • Signaler immédiatement tout incident ou comportement suspect
  • Ne pas contourner les mesures techniques (VPN, MDM, restrictions)
  • Respecter la confidentialité des données auxquelles il a accès (article L1227-1 du Code du travail)

En cas de manquement caractérisé, le salarié peut faire l'objet de sanctions disciplinaires :

  • Avertissement ou blâme pour un manquement isolé sans gravité
  • Mise à pied disciplinaire pour un manquement répété ou significatif
  • Licenciement pour faute sérieuse pour une négligence grave avec impact
  • Licenciement pour faute grave pour un acte délibéré (vol de données, sabotage, contournement intentionnel)
  • Licenciement pour faute lourde + dommages-intérêts pour une intention de nuire avérée

La jurisprudence a clarifié plusieurs points importants en 2020-2024 :

  • Un salarié victime de bonne foi d'un phishing ne peut pas être sanctionné — il est lui-même victime
  • Un salarié qui signale immédiatement un clic accidentel ne peut pas être sanctionné pour le clic
  • Un salarié qui cache un incident peut être sanctionné pour le silence, pas pour l'incident initial
  • L'employeur doit prouver la faute au sens strict (acte délibéré ou négligence caractérisée)
Publicité
4

DPO et RSSI : deux rôles complémentaires

Deux fonctions clés à distinguer :

Le RSSI (Responsable de la Sécurité des Systèmes d'Information) est en charge de la sécurité technique et organisationnelle. Son rôle :

  • Définir la politique de sécurité (PSSI)
  • Piloter le SOC et la réponse aux incidents
  • Évaluer les risques et arbitrer les mesures
  • Reporter à la direction
  • Coordonner les audits (ISO 27001, MASE, NIS2)
  • Animer la communauté sécurité interne

Le DPO (Data Protection Officer / Délégué à la Protection des Données) est en charge de la conformité RGPD et donc de la protection des données personnelles. Son rôle :

  • Vérifier la conformité des traitements de données personnelles
  • Tenir le registre des traitements
  • Conseiller sur les analyses d'impact (AIPD)
  • Notifier la CNIL en cas de violation de données
  • Servir de point de contact pour les personnes concernées et la CNIL
  • Sensibiliser et former les équipes au RGPD

Le DPO est obligatoire dans certains cas (organismes publics, traitement à grande échelle de données sensibles, suivi systématique à grande échelle — RGPD article 37). Il est souvent externalisé dans les PME via des cabinets spécialisés. Le RSSI n'est pas explicitement obligatoire mais NIS2 impose une fonction équivalente dans toutes les entités essentielles et importantes.

DPO et RSSI doivent travailler ensemble mais avec des rôles distincts. Un même profil peut cumuler les deux dans une PME (avec attention à l'éventuel conflit d'intérêts puisque le DPO est indépendant), mais idéalement deux personnes différentes en ETI / grand groupe.

5

Fournisseurs et sous-traitants : la chaîne de responsabilité

Aucune entreprise ne fait sa cybersécurité seule. Elle dépend toujours de fournisseurs : éditeurs de logiciels, hébergeurs cloud, prestataires informatiques, sous-traitants applicatifs. La responsabilité se partage selon des règles précises :

RGPD : distinction responsable de traitement (vous, qui décidez de la finalité) et sous-traitant (votre prestataire, qui exécute pour votre compte). L'article 28 impose un contrat écrit (« DPA — Data Processing Agreement ») entre les deux, avec engagements précis du sous-traitant. En cas de violation chez le sous-traitant, vous restez le responsable principal — mais le sous-traitant est co-responsable.

NIS2 : la directive impose la gestion des risques de la supply chain. Les entités essentielles et importantes doivent évaluer la cybersécurité de leurs fournisseurs critiques et inclure des engagements de sécurité dans leurs contrats. Pour les CSP (Critical Service Providers) du secteur financier, DORA va plus loin avec une supervision directe par les autorités européennes.

Bonnes pratiques :

  • Annexe sécurité contractuelle détaillée : exigences techniques (chiffrement, MFA, EDR), organisationnelles (formation, audits), notifications d'incident (délais, contenus)
  • Certifications exigées selon la criticité : ISO 27001, SOC 2 Type II, certification ANSSI / FedRAMP pour les hébergeurs
  • Audit régulier : droit d'audit contractuel, ou audits par un tiers de confiance
  • Notification d'incident : engagement contractuel sous 24 h maximum, avec procédure claire
  • Plan de réversibilité : capacité à changer de prestataire en cas de défaillance, sans perte de données
6

La culture cybersécurité : le facteur multiplicateur

Au-delà des responsabilités individuelles et des sanctions, la culture cybersécurité d'une entreprise est ce qui fait la différence entre une bonne et une mauvaise posture. Marqueurs d'une culture forte :

  • Direction exemplaire : les dirigeants suivent eux-mêmes les formations et respectent les règles
  • Communication régulière : newsletter cybersécurité, retours d'expérience d'incidents évités
  • Simulations de phishing régulières + débriefing pédagogique (pas punitif)
  • Reconnaissance positive des bons signalements (« signaleur du mois »)
  • Onboarding renforcé : formation cyber dès le 1er jour, pas un détail dans le livret d'accueil
  • Drills réguliers : exercices de table-top pour les équipes IT et direction, scénarios d'incidents
  • Investissement budgétaire : 5 à 10 % du budget IT idéalement consacré à la sécurité
  • Audits externes : contrôles ISO 27001, MASE, audits d'assurance, pour éviter le « cocon » interne

Les entreprises avec une culture forte ont des taux d'incidents 3 à 10 fois inférieurs aux entreprises à culture faible, à infrastructure technique pourtant similaire. C'est cette culture, plus que la technologie, qui fait la résilience cyber d'une organisation en 2026.

Sanctions encourues par type d'acteur
Personne morale (entreprise)
  • RGPD : jusqu'à 20 M€ ou 4 % CA mondial
  • NIS2 : jusqu'à 10 M€ ou 2 % CA mondial (entité essentielle)
  • DORA : jusqu'à 1 % CA quotidien (sans plafond)
  • Pénal : 75 000 à 225 000 € (homicide involontaire, art. 121-2 CP)
  • Civil : indemnisation des victimes (dommages-intérêts)
  • Faute inexcusable : majoration rente AT/MP, hors assurance
Personne physique (dirigeant / salarié)
  • Pénal art. 121-3 CP : 3-5 ans + 45-75 K€
  • NIS2 dirigeant : interdiction d'exercer
  • Disciplinaire salarié : avertissement → licenciement faute grave
  • Civil : responsabilité personnelle si faute lourde
  • Pénal salarié : vol de données art. 323-1 CP (3 ans + 100 K€)
  • Mise en danger délibérée : 1 an + 15 K€ (art. 223-1 CP)
À retenir
  • Employeur = obligation de sécurité de résultat (RGPD, NIS2, L4121-1).
  • Dirigeant = responsabilité personnelle renforcée par NIS2 (interdiction d'exercer, sanctions civiles/pénales).
  • Salarié : obligations + protection no-blame en cas de signalement immédiat de bonne foi.
  • DPO (RGPD) ≠ RSSI (sécurité technique). Complémentaires.
  • Fournisseurs : annexe sécurité contractuelle + certifications (ISO 27001, SOC 2) + audit.
  • La culture cybersécurité divise les taux d'incidents par 3-10 à infrastructure technique équivalente.
Sommaire de la formation
Progression : 90%