Garantir la sécurité des systèmes d’information et par la même occasion celle des données personnelles est vitale. Dès 2015, la France s’est dotée d’une stratégie nationale pour la sécurité du numérique, soulignant l’avantage concurrentiel que les entreprises françaises pouvaient en tirer. Retour sur quelques étapes clés pour la prévention également la résilience, si vous êtes victime d’une cyberattaque.

Aujourd’hui, on observe que les entreprises ont encore trop tendance à limiter l’enjeu de la cybersécurité à la direction des systèmes d’information (dite "DSI"). Pourtant, si l’aspect technique de la cyber-sécurité est indéniable, l’aspect juridique ne doit pas être délaissé. La direction juridique et la DSI doivent donc travailler de concert afin d’encadrer la cybersécurité.

"Mieux vaut prévenir que guérir" :

Échanger avec les collaborateurs

La formation des collaborateurs aux risques cyber est essentielle. Cela favorisera la remontée rapide de l’information en cas d’e-mail suspicieux et permettra ainsi de mitiger en amont les risques d’une tentative de cyberattaque.

Identifier les vulnérabilités

L’entreprise peut recourir à un référentiel type pour cartographier les risques auxquels elle peut être confrontée et établir leur criticité. En matière de protection des données, il existe notamment l’analyse d’impact, un outil permettant d’identifier les risques inhérents aux traitements de données (article 35 du RGPD).

Ce document nécessite une évaluation juridique afin d’établir la nécessité et proportionnalité du traitement envisagé. Prenons pour exemple le traitement à grande échelle des cartes d’identité des salariés dans le cadre de la gestion du personnel. Il existe un risque d’usurpation d’identité. Or, en cas d’usurpation, la responsabilité tant civile que pénale de l’entreprise peut être engagée. En effet, l’usurpation d’identité est une infraction réprimée par l’article 226-4-1 du Code pénal et le droit au respect de la vie privée est un droit fondamental garanti par l’article 9 du Code civil.

L’entreprise peut également recourir à la méthode EBIOS Risk Manager de l’Anssi [Agence nationale de la sécurité des systèmes d’information, Ndlr] qui réalise une synthèse entre conformité et scénarios propres à l’entreprise. À titre d’exemple, l’entreprise va identifier les chemins d’attaque qu’une source de risque est susceptible d’emprunter pour atteindre son objectif.

Corriger les vulnérabilités

Lorsque l’entreprise a identifié ses vulnérabilités, elle doit les corriger en proposant un cadre technique et juridique favorisant la sécurité logique et physique du système d’information. D’un point de vue technique, il pourra être mis en œuvre un ensemble de mesures visant à sécuriser la connexion aux logiciels, aux données et plus largement au système d’information en fonction de la situation de l’organisation..D’un point de vue juridique, l’organisation veillera notamment à l’existence de la documentation suivante :

- en interne : rédiger et déployer une charte informatique, une procédure de gestion de violation de données, un plan de continuité de l’activité et une politique de sécurité des systèmes d’information ;

- en externe : rédiger et revoir les contrats avec les prestataires afin d’encadrer la protection des données personnelles (i), établir les mesures de sécurité à mettre en place (ii) et responsabiliser les prestataires en cas de faille de sécurité (iii).

"Et sinon... Mieux vaut tard que jamais" :

La création d’une cellule de crise

Pour avoir une bonne gouvernance d’entreprise, il faut savoir établir une organisation interne de gestion de crise. La cellule de crise devra être organisée autour d’un représentant par département (informatique, direction générale, juridique, ressources humaines, communication). Elle aura vocation à minimiser et évaluer les risques en mettant en place un plan d’action. Ce plan permettra d’établir une stratégie de réponse et ainsi se protéger en cas de nouvelle attaque. La cellule de crise devra aborder les questions suivantes en priorité :

- l’antériorité de l’attaque (pour définir le degré de gravité de l’attaque) 

- l’origine de l’attaque 

- son ampleur sur les activités et supports de l’entreprise

La notification à l’assurance

Il est essentiel de déclarer cette attaque à l’assurance. Selon les termes du contrat, le risque cyber peut être pris en charge et la victime pourra alors être dédommagée des dépenses engagées.

Le signalement aux autorités compétentes

En fonction des faits et de la gravité, l’entreprise victime d’une cyberattaque a pour obligation de notifier certaines autorités publiques.

Un accompagnement juridique est ici fondamental pour identifier les autorités à notifier (i), vérifier les conditions de notification (ii) et qualifier la cyberattaque (iii). Par exemple, lorsqu’une cyberattaque affecte des données personnelles et présente un risque pour les droits et libertés des personnes concernées, l’entreprise est obligée d’en informer la Cnil dans un délai de 72 heures à compter de la connaissance de l’attaque (article 33 du RGPD).

Si la cyberattaque affecte des données personnelles et qu’elle présente un risque élevé pour les droits et libertés de ces personnes (par exemple, s’il y a un risque d’usurpation d’identité) alors l’entreprise est dans l’obligation d’informer la personne victime (article 34 du RGPD). En outre, si l’attaque venait à affecter significativement l’activité, l’entreprise doit déclarer l’incident auprès de l’Anssi. Enfin, une cyberattaque est la matérialisation d’une infraction pénale. La victime doit déposer plainte afin que des poursuites soient engagées. Elle peut également saisir le procureur de la République rattaché au tribunal judiciaire dans le ressort duquel se trouve son siège social.

Le risque de la double peine

Non seulement l’organisation qui ne se soucie pas de sa cybersécurité se met en péril vis-à-vis des attaquants et de son activité mais elle s’expose également à de lourdes sanctions financières.

Les autorités infligent des sanctions records

Les autorités ne manquent pas de fermeté sur les condamnations en matière de cyberattaques. En octobre 2020, l’autorité de protection des données britannique, Information Commissionner’s Office, a condamné la compagnie aérienne British Airways et le groupe hôtelier Marriott à des amendes colossales pour manquement à leur obligation de sécurité. Ces manquements ont entraîné des violations de données personnelles en masse. D’une part, les données de plus de 430 000 personnes ont été exposées dans le cas de British Airways. D’autre part, les données de plus de 39 millions de personnes ont été divulguées dans le cas de Marriott (dont des données bancaires). Ces amendes sont à ce jour les plus élevées jamais prononcées pour manquement à l’obligation de sécurité :

- British Airways écope d’une amende de 20 millions de livres sterling (22 millions d ’euros) et Mariott d’une amende de 18,4 millions de livres sterling (20 millions d’euros).

Ces affaires illustrent l’importance du respect des règles d’hygiène en matière de sécurité numérique et du risque financier pesant sur les entreprises en infraction. Il est donc urgent que les entreprises se dotent de moyens de prévention et de réponse afin de gérer au mieux les risques auxquels la digitalisation les expose.

Image

 

SUR LES AUTEURS :

Le cabinet Oriana Labruyère&Co assiste ses clients face aux enjeux du droit du numérique et notamment de la mise en conformité au RGPD. Sa fondatrice Oriana Labruyère et son équipe, s’attachent à fournir des réponses concrètes aux contraintes opérationnelles et juridiques propres à chaque client.