Paris (75)

Valérie Lafarge-Sarkozy : « Aujourd’hui, seulement 3 % des entreprises sont assurées contre le risque cyber » !

Publié le 14/11/2022

Le ministre de l’Intérieur, Gérald Darmanin, a présenté en conseil des ministres, le 7 septembre dernier, le projet de loi d’orientation et de programmation du ministère de l’Intérieur (LOPMI). Une large partie du texte est consacrée à la cybersécurité : création d’une école de formation cyber au sein du ministère, du 17 Cyber pour signaler une cyberattaque ou encore le déploiement de 1 500 cyberpatrouilleurs. En parallèle de ces mesures, le texte prévoit une évolution concernant les assurances contre le risque cyber. Intéressée depuis une dizaine d’années par le sujet de la cybersécurité, Valérie Lafarge-Sarkozy est avocate spécialisée dans le contentieux corporate, commercial et le droit de la responsabilité au sein du cabinet Advant Altana à Paris (75). Pour Actu-Juridique, elle décrypte les enjeux autour de l’assurance contre le risque cyber et la prise de conscience par les entreprises de ce danger.

Actu-Juridique : De quelle manière vous êtes-vous intéressée à la cybersécurité en tant qu’avocate ?

Valérie Lafarge-Sarkozy : Je suis engagée sur la question de la cybersécurité depuis une dizaine d’années maintenant. Comme je fais du droit de la responsabilité, je m’intéresse aux risques à venir. À ce moment-là, il y avait deux risques importants dans les prochaines années : le risque climatique et le risque cyber. J’ai dû développer mes connaissances à propos de la cyber car c’est très technique et très technologique. Pourtant, je n’avais pas d’appétence pour ce domaine. Il y avait donc une nécessité de travailler ce risque pour comprendre son fonctionnement. Je me suis fait accompagner. Maintenant, nous travaillons en réseau avec des huissiers par exemple, des gestionnaires de crise ou des entreprises capables de restaurer les systèmes de sécurité ou d’aller chez nos clients pour détecter les failles de leur système d’information et ainsi prévenir une cyberattaque. Puis nous échangeons aussi avec les assureurs. À ce propos, j’ai participé à l’écriture d’un livre pour le Club des Juristes intitulé L’assurance du cyber-risque, il y a cinq ans. À l’époque, il y avait très peu d’entreprises assurées. Aujourd’hui, c’est toujours le cas. Elles sont seulement 3 %. Cela a certainement contribué à l’intégration de la cybersécurité dans le projet de loi d’orientation et de programmation du ministère de l’intérieur (LOPMI) par le gouvernement.

Actu-Juridique : Qu’est-ce que ce projet de loi présenté le 7 septembre en conseil des ministres va permettre ?

Valérie Lafarge-Sarkozy : Le projet de loi d’orientation et de programmation du ministère de l’Intérieur veut permettre aux assureurs d’indemniser la cyber-rançon. Mais l’indemnisation par l’assurance est conditionnée à un dépôt de plainte avant 48 heures par la victime de la cyberattaque. Il y avait un vide juridique à ce propos, même si personne n’ignore que le financement du terrorisme est contraire à l’ordre public. L’Agence nationale de la sécurité des systèmes d’information (l’ANSSI) préconise de ne pas payer les rançons car elles servent à financer le plus souvent le terrorisme, le trafic d’armes, de drogues. En octobre 2021, la députée Valérie Faure-Muntian a travaillé sur le sujet. Elle préconisait aussi d’interdire l’indemnisation de la rançon.

Actu-Juridique : Quel regard portez-vous sur le fait de payer la rançon lors d’une cyberattaque ?

Valérie Lafarge-Sarkozy : À titre personnel, je déconseille de payer la rançon. Mais, à travers ce projet de loi, le gouvernement veut, me semble-t-il, mener deux objectifs en inscrivant dans la loi l’indemnisation du paiement des rançons par les assurances. D’abord, il veut inciter les entreprises à s’assurer contre le risque cyber. L’assurance en cyber va obliger les entreprises à réfléchir à la façon dont elles peuvent protéger leur système d’information et leurs données. Elles devraient ainsi réfléchir à identifier leurs les données sensibles qui peuvent être ciblées par une attaque. Elles devraient également s’intéresser aux failles de leur système. Pour réaliser cet objectif, les sociétés peuvent se faire accompagner notamment les TPE et les PME par leurs assureurs. Puis, le second objectif est d’obliger les entreprises à déposer plainte. Souvent, après avoir été victimes d’une attaque, elles ne déposent pas plainte. D’une part, subir une cyberattaque est extrêmement violent. Du jour au lendemain, les dirigeants et les salariés n’ont plus accès à rien au sein de leur société. Ils ne peuvent plus communiquer par mail, produire, livrer leur client ou même parfois accéder à leurs bureaux. C’est une situation totalement désarmante. Ils se retrouvent donc en pleine panique et ne savent pas comment faire face. Les entreprises refusent souvent de déposer plainte par une crainte irrationnelle d’être exposées et préfèrent payer la rançon dans l’espoir vain de retrouver rapidement leurs données. Aujourd’hui, 62 % des entreprises attaquées paient la rançon dont 47 % récupèrent leurs données souvent cryptées et inutilisables.

Actu-Juridique : En quoi le dépôt de plainte est de plus en plus essentiel dans le cadre de la lutte contre les cyberattaques ?

Valérie Lafarge-Sarkozy : Selon moi, le dépôt de plainte a deux vertus. D’abord, c’est nécessaire pour retrouver la personne ou l’organisation qui a perpétré ce délit et, bien sûr, pour récupérer la rançon et les données. Ensuite, la plainte est un geste civique. Les enquêteurs vont avoir des informations et vont pouvoir les croiser et les partager notamment au niveau européen. La lutte contre la cybercriminalité est bien organisée à l’échelle européenne. C’est un moyen d’arriver à démanteler les gangs. Le dépôt de plainte devient donc un geste collectif pour permettre aux services spécialisés d’agir et tenter ainsi d’avoir une longueur d’avance sur les cyberattaquants, qui sont de plus en plus agiles.

Actu-Juridique : Comment avez-vous vu évoluer la cybersécurité comme enjeu juridique, depuis que vous êtes engagée sur le sujet ?

Valérie Lafarge-Sarkozy : Toujours pour le Club des Juristes, nous avons écrit un livre intitulé : Le droit pénal à l’épreuve des cyberattaques, préfacé par le professeur Agathe Lepage. Nous avons travaillé avec des magistrats, commissaires de police et avons interviewé de nombreuses parties prenantes comme l’ANSSI, le parquet, le centre de lutte contre la criminalité numérique (C3N), l’Association pour le management des risques et des assurances de l’entreprise (AMRAE) pour faire le point sur l’état de la situation. En France, nous avons déjà un arsenal juridique extrêmement complet. Il existe les infractions visant les systèmes informatisés de données (STAD), mais des infractions plus classiques, tels que le vol ou l’escroquerie, peuvent aussi être commises dans le cyberespace. Il y a par ailleurs depuis le 25 mai 2018 un risque de sanctions pour les entreprises en application du règlement européen sur la protection des données. L’imprudence et la négligence de l’entreprise qui ne prend pas les mesures nécessaires pour protéger les données personnelles qui lui sont confiées constitue une faute. Cette faute peut entraîner la responsabilité de l’entreprise victime d’un incident cyber ayant entrainé un vol et/ou une divulgation de données personnelles. Sinon, les évolutions se font dans la pratique concrète. Notre système judiciaire s’est organisé pour mieux répondre aux attaques cyber. Par exemple, il y a eu la création du parquet Junalco, spécialisé sur les questions de cybercriminalité. Il y a aussi de plus en plus de magistrats qui sont spécialisés. On peut notamment citer les enquêteurs du C3N qui sont d’une efficacité redoutable et la coopération internationale qui est remarquable. C’est plutôt l’organisation de notre système judiciaire qui a évolué pour répondre à ces attaques et mettre la main sur ces cyberdélinquants.

Actu-Juridique : Quel constat faites-vous aujourd’hui concernant la prise de conscience de l’enjeu de la cybersécurité par les entreprises ?

Valérie Lafarge-Sarkozy : La prise de conscience a été extrêmement lente. Les cyberattaques sont de plus en plus médiatisées à l’heure actuelle. Le risque cyber rentre donc dans les esprits. Les grands groupes ou les entreprises de tailles intermédiaires ont déjà pris la mesure de cet enjeu. Elles sont souvent assurées, ont une gouvernance cyberorganisée autour d’une direction des systèmes d’information (DSI). Elles ont travaillé sur ce risque, savent faire face à une cyberattaque et sont donc plus ou moins protégées. La prise de conscience actuelle concerne plus les PME et les TPE. Elles ne se rendent pas compte qu’elles sont des cibles vulnérables aux cyberattaques et qu’elles peuvent toutes être victimes d’une attaque cyber. Pendant plusieurs jours, l’activité est bloquée, les employés ne sont pas payés, les clients ne sont pas livrés, l’accès à l’entrepôt est impossible, etc. C’est la paralysie totale. Pour ceux qui subissent une première attaque, ils connaissent une phase de sidération totale. Les dirigeants et les salariés sont souvent perdus. Pendant quinze jours minimum, l’activité se fait en mode dégradée. La restauration d’un système d’information peut être onéreuse et la perte d’exploitation est certaine. Enfin, un élément alarmant aussi, 62 % des entreprises attaquées subissent une nouvelle cyberattaque l’année suivante, sans avoir tiré de leçon et pris la mesure du risque.

Actu-Juridique : Quels conseils pouvez-vous donner à ces entreprises pour se prémunir contre les cyberattaques ?

Valérie Lafarge-Sarkozy : Je vais utiliser la même terminologie qu’avec le Covid-19 ! Il y a des gestes barrières à adopter dans le monde du numérique… Il faut donc changer régulièrement les codes, ne pas brancher une clé USB inconnue, ne pas ouvrir un mail suspect. Il faut former ses collaborateurs aux gestes barrières pour se prémunir des virus informatiques. En réalité, 90% des attaques sont dues à des défaillances humaines. Il est donc nécessaire de mettre en place une cybergouvernance et de s’assurer contre le risque cyber. C’est ce que font majoritairement les grands groupes, mais ce devrait également être le cas pour les PME et TPE. Enfin, il y a un investissement important pour le matériel ou la formation. Guillaume Poupard, le directeur général de l’ANSSI, disait que les entreprises devaient consacrer 5 à 10 % de leur budget informatique pour se protéger contre les attaques cyber. Mais elles n’ont pas forcément les moyens. Par conséquent, le coût de la cybersécurité est aussi un sujet.

Plan
X