La prise de conscience fut lente. Mais la succession des incidents de sécurité et l’ampleur des dommages subis, dont certains relayés par les médias, ont fini par convaincre de l’importance des cyber-risques pour l’entreprise.
Les chiffres parlent d’eux-mêmes. Les cyber-risques sont classés dans le top 5 mondial des menaces potentielles à haut risque par le World Economic Forum de Davos. Près de 200.000 cyberattaques sont menées quotidiennement, selon le cabinet d’étude PWC, lesquelles affectent tant les plus grands groupes mondiaux que les plus petites entreprises. Les victimes potentielles sont nombreuses : à l’entreprise elle-même, s’ajoutent ses salariés, ses clients, ses prospects, ses fournisseurs, ses sous-traitants ou prestataires externes.
Le 8ème Forum International de Cybersécurité (FIC), qui s’est tenu à Lille en janvier 2016, a permis de souligner l’urgence pour les acteurs économiques à s’organiser en utilisant toutes les armes technologiques et juridiques à leur disposition pour lutter efficacement contre ces menaces croissantes.
En présence d’une délinquance de plus en plus astucieuse, le temps est désormais à l’action, à la réaction.
Or une réponse globale, à la hauteur de l’enjeu, suppose une riposte multiple qui doit faire appel à des compétences transverses et complémentaires : la technologie mais également le droit, la répression mais également la réparation, l’assurabilité mais également, en amont, la nécessité d’une sensibilisation et d’une prévention à tous les niveaux de l’entreprise pour une meilleure prise en compte de ce risque aux conséquences illimitées, tout en mettant l’humain au centre de ce dispositif.
1. Comment agir pour prévenir ?
Selon le vieil adage français bien connu, « mieux vaut prévenir que guérir », dans un domaine où le risque zéro n’existe pas, la prévention doit être appréhendée comme un investissement et non comme un coût pour limiter au maximum l’impact négatif d’une cyberattaque. En faire l’économie serait non seulement déraisonnable pour l’entreprise mais pourrait rapidement se retourner contre cette dernière.
A l’égard d’un tiers malveillant, une sensibilisation des collaborateurs à tous les échelons de l’entreprise (non limités à la direction et aux DSI et RSSI) constitue une mesure aisée à prendre. La confidentialité des données, la préservation du secret des affaires et du savoir-faire de l’entreprise (usage encadré des matériels accessibles en mode nomade comme le BYOD, utilisation de mots de passe sécurisés, cryptologie, mise en place d’alertes en cas de doute sur un email suspect, information sans délai quant à la perte ou au vol d’un matériel informatique appartenant à l’entreprise…) doivent être érigés en véritable culture d’entreprise.
Une charte informatique ou code de bonne conduite doit consigner les règles de sécurité quant à l’utilisation des outils informatiques et d’Internet.
A l’égard d’un sous-traitant ou d’un prestataire externe, un audit juridique des accords contractuels permet d’évaluer la prise en compte réelle par ces tiers du traitement en amont du risque de cyberattaques. Ainsi des clauses types sont à insérer dans ces contrats (ex : contrats d’hébergement, de développement de sites Internet, Cloud computing) : garanties et responsabilités, sécurisation des accès contre intrusion de tiers, clauses de confidentialité et de sécurité en fonction du secteur (santé, banque, défense nationale, médias, les OIV). Il est impératif de s’assurer régulièrement au fil du temps de l’effectivité de la politique de prévention de toutes cyberattaques mise en place par les partenaires à l’égard de leurs propres salariés et de leurs propres sous-traitants, en organisant des audits réguliers.
A l’égard d’un salarié malveillant, la surveillance du réseau intranet dans le respect du droit du travail et du règlement intérieur de l’entreprise permet une détection des comportements ou fichiers suspects figurant sur le réseau et ainsi d’agir très tôt à la suite d’une tentative ou d’actes préparatoires à une cyberattaque.
Face aux risques identifiés, il est nécessaire pour les entreprises de toute taille de se faire accompagner et, au vu de l’évolution des technologies, de réaliser des audits de conformité de manière récurrente. Les nouvelles obligations résultant du règlement européen sur la protection des données personnelles, qui entrera en vigueur en mai 2018, ne font que renforcer cette politique de sécurisation (principe d’accountability, étude d’impact …).
2. Réagir pour réparer
Pour obtenir réparation du préjudice subi à la suite d’une cyberattaque, il convient de recourir notamment aux juges.
Outre les facteurs d’extranéité favorables à une certaine impunité, les entreprises sont parfois contraintes de recourir à des mesures précontentieuses (ordonnances sur requête auprès des opérateurs techniques) pour tenter d’identifier l’auteur à l’origine des faits (86 % des infiltrations sont en effet réalisées à distance). L’identification de l’auteur des faits étant difficile, une action en réparation devant les tribunaux civils ou commerciaux se révèle en réalité souvent impossible.
Il convient alors de recourir à l’action pénale qui n’est toutefois pas dénuée de difficultés. Ainsi, seuls 2 % des infractions ont donné lieu à dépôt de plainte. L’arsenal des infractions pénales traitant des cyberattaques est pourtant impressionnant (notamment les articles 323-1 et suivants du Code pénal avec des peines allant jusqu’à 5 ans d’emprisonnement et 150.000 € d’amende).
Les raisons du recours encore timide à la voie pénale sont diverses. Les procédures peuvent être longues et l’indemnisation de l’entreprise en-dessous du préjudice réellement subi, sans compter avec le risque de révélation, dans le cadre de l’enquête, de manquement par l’entreprise à son obligation de sécurisation des traitements mis en place démontrant ainsi son imprudence voire de sa négligence fautive en tant que victime. Enfin, l’atteinte à sa réputation peut être affectée quand les cyberattaques sont médiatisées et l’entreprise victime pointée du doigt pour sa négligence.
Malgré ces obstacles, l’action pénale doit être engagée. Des services spécialisés tels que l’OCLCTIC, l’ANSSI et la BEFTI ont été mis efficacement au service de la lutte contre la cybercriminalité et des outils de coopération judiciaire internationale se développent.
Le recours à l’assurance du cyber-risque peut constituer une stratégie de protection pas encore satisfaisante.
S’assurer, c’est transférer son risque résiduel vers une compagnie d’assurances qui pourra ainsi intervenir financièrement pour aider l’entreprise à réparer un dommage lié à une malveillance et la perte d’exploitation qui en découle. Or concevoir l’assurance des cyber-risques n’est pas aisé.
Tout d’abord se pose la question de l’assurabilité des risques. S’agissant des sanctions pécuniaires, de nature administrative, infligées par la CNIL, il faut distinguer selon que l’infraction sanctionnée a été commise de façon intentionnelle ou non, la seconde étant assurable. Concernant les sommes extorquées à une entreprise par un pirate informatique, celles-ci seraient assurables, même si cela pourrait être interprété comme une incitation à la commission d’une infraction que pourrait favoriser la collusion entre l’assuré et l’auteur de l’extorsion. La sanction classique de la fraude suffirait toutefois à parer ce risque.
Les technologies de l’information et de la communication entrainent une pluralité de victimes et une typologie des violations très large : atteintes aux données personnelles, au savoir-faire et au secret des affaires.
L’évaluation des cyber-risques est très difficile car elle suppose d’évaluer l’immatériel, de fixer la valeur de l’information ou encore d’anticiper les effets par ricochet comportant de nombreuses inconnues (recours des tiers, frais à engager pour reconstituer les biens immatériels et sécuriser le système d’information, l’atteinte réputationnelle, le risque social).
La garantie due au titre de l’assurance des cyber-risques peut être extrêmement lourde. Les risques sont assez nouveaux, multiples et parfois difficilement saisissables. Le nombre d’assurés est peu important en comparaison du montant extrêmement important que peuvent atteindre les dommages à caractère informatique.
Après avoir exclu les cyber-risques de l’assiette de la garantie, des solutions apparaissent peu à peu dans les polices d’assurance pour couvrir tout ou partie des risques liés aux cyber-attaques avec toutefois des plafonds de garanties et des franchises généralement élevées. Il convient d’en lire avec grande attention les clauses d’exclusion ou limitatives pour s’assurer de la contrepartie réellement offerte à l’entreprise au versement de primes.
Ainsi, faute d’une réponse unique donnant toute satisfaction, une lutte efficace contre les cyberrisques ne peut passer que par une réponse globale utilisant tous les volets d’actions et de réactions brièvement exposés ci-avant.
Corinne THIERACHE
Avocat associé
Responsable du Pôle Nouvelles Technologies - Propriété Industrielle
CARBONNIER LAMAZE RASLE & ASSOCIES
« Article initialement publié dans le JMJ n°53 »