Oriana Labruyère : « Le premier préjudice en cybersécurité que nous observons c’est celui que les entreprises ou organisations se créent elles-mêmes »

La cybersécurité est un enjeu majeur du XXIe siècle. D’après l’Agence nationale de la sécurité des systèmes d’informations (ANSSI) la cybersécurité se définit comme un « état recherché pour un système d’information lui permettant de résister à des événements, issus du cyberespace, susceptibles de compromettre la disponibilité, l’intégrité ou la confidentialité des données stockées, traitées ou transmises et des services connexes que ces systèmes offrent ou qu’ils rendent accessibles ». La législation française puis européenne ne cesse d’évoluer pour protéger au mieux les données informatiques. Pour les entreprises, la sensibilisation à la cybersécurité est essentielle. Oriana Labruyère, avocate spécialisée en droit numérique, décrypte le sujet pour Actu-Juridique. 

Actu-Juridique : Quels sont les textes juridiques en vigueur dans le domaine de la cybersécurité ?

Oriana Labruyère : Pour identifier les règles juridiques relatives à la cybersécurité, les dirigeants d’entreprise doivent porter leur attention plus particulièrement sur plusieurs textes. Il y a d’abord la loi Informatique et libertés du 6 janvier 1978 : elle met à la charge des entreprises l’obligation d’assurer la sécurité des données personnelles en prenant toutes les précautions utiles (art. 34). Puis, le règlement européen sur la protection des données (RGPD), qui met à la charge des entreprises l’obligation de prévoir les mesures techniques et organisationnelles appropriées pour garantir la sécurité des données personnelles (art. 32). Enfin, le Cybersecurity Act, un règlement européen qui permet d’adopter un mandat permanent pour l’agence européenne pour la cybersécurité mais également de définir un cadre de certification de cybersécurité. Par ailleurs, une législation particulière régule les activités des opérateurs d’importance vitale, des opérateurs des services essentiels et des fournisseurs de services numériques. Elles sont encadrées notamment par la loi de programmation militaire pour les années 2014-2019 (art. 15 et 22), la loi n° 2018-133 du 26 février 2018 portant diverses dispositions d’adaptation au droit de l’Union européenne dans le domaine de la sécurité, la loi de programmation militaire pour les années 2019-2025 (art. 34) et la directive européenne sur la sécurité des réseaux et des systèmes d’information dite NIS (national information security). Ces textes mettent à la charge de ces opérateurs des obligations relatives notamment à la déclaration à l’Agence nationale de la sécurité des systèmes d’informations (ANSSI) de tout incident de sécurité susceptible d’avoir un impact significatif sur la continuité des services qu’ils assurent. Ils auront également pour obligation de se soumettre à des contrôles de sécurité effectués sur demande du Premier ministre, par l’ANSSI ou par des prestataires de services qualifiés.

AJ : Quelles sont les sanctions prévues en cas de violation de ces différentes réglementations ?

O.L. : En vertu du RGPD, une entreprise s’expose à une sanction allant jusqu’à 2 % de son chiffre d’affaires annuel mondial ou 10 M€ si elle viole les dispositions relatives à la sécurité des données personnelles (art. 83, point 4 RGPD). Si cette violation entraîne en plus une atteinte aux droits des personnes, l’entreprise s’expose à une amende allant jusqu’à 4 % de son chiffre d’affaires annuel mondial ou 20 M€ (art. 83, point 5 RGPD). De plus, une atteinte à la cybersécurité d’une entreprise peut être qualifiée en infraction et être sanctionnée par le Code pénal. À titre d’exemple, le fait d’accéder ou de se maintenir, frauduleusement, dans tout ou partie d’un système de traitement automatisé de données, en altérant ou modifiant lesdites données, est passible d’une amende de 3 ans d’emprisonnement et de 100 000 € d’amende (C. pén., art. 323-1). L’Autorité de régulation des communications électroniques peut sanctionner les opérateurs de communications électroniques ne respectant pas leurs obligations en matière de sécurité. Cette sanction peut aller jusqu’à 450 000 € (C. postes comm. électr., art. L. 36-11). Enfin, par décision du 14 mai 2019, le Conseil de l’Union européenne est désormais en mesure d’imposer des sanctions en cas de cyberattaques ayant des effets importants ou potentiellement importants et constituant une menace extérieure pour l’Union ou ses États membres. Le Conseil de l’Union a d’ailleurs récemment sanctionné 6 personnes et 3 entités responsables de cyberattaques ou ayant participé à des cyberattaques. Le Conseil a notamment imposé une interdiction de territoire ainsi qu’un gel des avoirs.

AJ : Dans votre activité au quotidien, quels types de préjudice et d’affaires retrouvez-vous ?

O.L. : Le premier préjudice que nous observons c’est bien celui que les entreprises/organisations se créent elles-mêmes malheureusement. En effet, la première cause c’est l’erreur humaine qui entraîne un préjudice économique important car les équipes vont être mobilisées sur la gestion de l’incident, au lieu de dédier ce temps au business. Mais il ne s’agit pas de culpabiliser qui que ce soit. Le second préjudice est presque toujours un préjudice d’image. La société qui adresse à ses clients/fournisseurs un message concernant un incident a un préjudice d’image. Une forme parfois qui va jusqu’à la perte de confiance alors même que la société est souvent une victime. En termes d’affaires, nous gérons souvent avec nos clients l’évaluation de l’incident et de leur obligation ou non de déclarer l’incident à la CNIL par exemple. Ensuite, ces incidents sont parfois l’occasion de renégocier un contrat avec un prestataire car les incidents arrivent souvent chez des sous-traitants.

AJ : Quels conseils pouvez-vous donner à une entreprise ayant subi une attaque ?

O.L. : Afin de répondre au mieux à une attaque, il est primordial d’établir une organisation interne de gestion de crise. Vos équipes doivent savoir à qui remonter l’information. Par exemple, il peut s’agir de leur responsable, du directeur des systèmes d’information et du délégué à la protection des données. Pour que l’information circule de manière efficace, vous devez organiser en interne une cellule de gestion de crise autour d’un représentant par département : informatique, direction générale, juridique, ressources humaines, communication. Afin de minimiser et évaluer les risques, la cellule de crise devra mettre en place un plan d’action visant à se protéger en cas de nouvelle attaque et d’établir une stratégie de réponse. Il faut ensuite qualifier l’attaque. La cellule de crise devra établir un état des lieux des actions et évènements liés à l’attaque. Plusieurs questions sont essentielles : l’antériorité de l’attaque pour définir le degré de gravité de l’attaque, l’origine de l’attaque et son ampleur sur les activités et supports de l’entreprise. Enfin, lorsque vous êtes victime d’une cyberattaque, vous devez le signaler à certaines autorités publiques, en fonction des faits et de la gravité. Il est essentiel de déclarer cette attaque à votre assurance selon les termes de votre contrat d’assurance, avec une possibilité de prise en charge de certaines dépenses et des dommages que vous auriez en tant que victime. Lorsqu’une cyberattaque affecte des données personnelles et présente un risque pour les droits et libertés des personnes concernées, vous êtes obligés d’en informer la CNIL dans un délai de 72 heures à compter de votre connaissance de l’attaque (art. 33 du RGPD). Si la cyberattaque affecte des données personnelles et qu’elle présente un risque élevé pour les droits et libertés de ces personnes (par exemple, s’il y a un risque d’usurpation d’identité) alors vous êtes dans l’obligation d’informer cette personne (art. 34 du RGPD). Si l’attaque venait à affecter significativement votre activité, vous seriez dans l’obligation de déclarer l’incident auprès de l’ANSSI. Face à un délit, vous devez déposer plainte auprès d’un commissariat de police afin que des poursuites soient engagées. Vous pouvez également saisir le procureur de la République rattaché au tribunal judiciaire dans le ressort duquel se trouve votre siège social. Il est conseillé de se faire accompagner par un avocat pour la rédaction de la plainte afin de qualifier juridiquement l’infraction. Dernière étape vous pouvez assurer la résilience de votre entreprise à la suite d’une attaque de ce type. C’est essentiel pour garantir la sécurité et l’intégrité de votre système d’information.

AJ : Comment se prémunir d’une telle menace au niveau juridique, assurantiel et technique ?

O.L. : Il y a 3 méthodes clés pour prévenir une cyberattaque. D’abord, il est important que vos salariés soient attentifs et formés aux risques cyber afin de vous remonter l’information. Vous devez donc les sensibiliser. Ensuite, vous devez établir un référentiel type pour cartographier les risques auxquels votre entreprise peut être confrontée et établir leur criticité. Dans ce cas, vous pouvez établir des analyses d’impact conformément à l’article 35 du RGPD. C’est un outil relatif aux données personnelles. Cette méthodologie vous permet d’identifier les risques inhérents à vos traitements de données personnelles et ainsi vous prémunir de tentative d’hameçonnage visant les données personnelles que vous traitez. Vous pouvez également recourir à la méthode EBIOS Risk Manager de l’ANSSI, qui réalise une synthèse entre conformité et scénarios propres à votre entreprise. Enfin, lorsque vous avez identifié les vulnérabilités, il vous faut mettre en place des mesures techniques et organisationnelles permettant de réduire le risque d’attaque.  En termes de mesures techniques, vous pouvez par exemple limiter les accès physiques à des endroits sensibles de votre entreprise. En termes de mesures organisationnelles, vous pouvez par exemple auditer vos partenaires afin de vérifier qu’ils ont mis en place des mesures de sécurité les protégeant de cyberattaques. Enfin, vous pouvez sensibiliser vos salariés par le biais d’une documentation interne.