Le Droit, élément clé d'une stratégie cyber

Les attaques informatiques augmentent à un rythme exponentiel et touchent tout type d’entreprise, quels que soient sa taille, son secteur d’activité, sa visibilité.

Des moyens techniques existent pour se protéger et empêcher certaines attaques. Une méthode organisationnelle et juridique mérite aussi d’être déployée, en amont et, le cas échéant, en aval de l’attaque, d’autant plus qu’il existe, pour les entreprises, une obligation de protéger les données qu’elle exploite.

Le RGPD exige que des « mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque » soient prises.

Les organisations doivent comprendre que l’impact d’une attaque cyber peut être nettement limité par une stratégie de prévention (1) qui désintéressera les attaquants ou leur rendra la tâche ardue. Couplée à une stratégie de défense robuste (2), elle garantira, au minimum, la conformité de l’organisation à la réglementation applicable, et la préservera d’une atteinte encore plus grave que celle résultant de l’immobilisation de ses données, à savoir, l’atteinte, souvent définitive, à sa réputation.

1. Une stratégie de prévention

En matière de cyber-attaque, la prévention n’est pas uniquement technologique. Il s’agit aussi d’avoir conscience des risques juridiques encourus, d’établir, un plan d’actions préventif, le tout préparant à la construction d’une infrastructure interne robuste.

• Connaître les risques juridiques

Pour identifier sa zone de vulnérabilité, la première étape consiste à établir une cartographie des risques cyber.

Cartographier les risques permet d’identifier les menaces pesant sur un système, de les caractériser et ensuite de les classer selon des critères à définir. Ces critères permettront ensuite de prioriser les actions à mener, le tout, en fonction des caractéristiques propres de l’organisation concernée. Une fois le bilan des risques dressé le dirigeant d’entreprise réunit ses ressources informatiques et juridiques pour établir un plan d’actions préventif.

• Etablir un plan d’actions préventif

La sécurité des systèmes d’information est généralement entendue comme un sujet exclusivement technologique dont la Direction des Systèmes d’Information se doit d’avoir la maîtrise, ce qui est partiellement inexact. En effet, la sécurité informatique ne se conçoit pas seule et revêt désormais de multiples figures. A ce titre, elle ne doit pas être réduite aux seuls moyens et mesures technologiques disponibles pour sécuriser ses données.

La démarche de sécurisation doit s’élargir en englobant les procédures internes, les ressources financières, la gouvernance et la gestion des risques juridiques liés à l’exploitation des données qui sont au cœur de la sécurité de l’information.

C’est pourquoi, pour établir un plan d’actions efficace, deux acteurs clés doivent être réunis autour de la table : l’informaticien (ou le technicien) et le juriste. Chacun a en charge l’identification des risques, informatiques ou juridiques, selon le cas, qui s’imbriquent et se complètent. Après identification des risques couverts, ces deux acteurs coopèrent pour couvrir ensemble les risques non couverts et articuler leurs actions.

• Construire une infrastructure interne adaptée

La prévention de la crise cyber intègre la mise en place d’une organisation robuste.

Il s’agit de définir et de rendre opérationnelles des procédures internes éprouvées par les collaborateurs. Cela consiste aussi à anticiper la nécessité de devoir communiquer en urgence sur une attaque, et, potentiellement, une violation de données personnelles. Les données pertinentes et les personnes clés doivent donc pouvoir, le moment venu, être mobilisables très rapidement.

Les dirigeants d’entreprise doivent s’engager dans la démarche, un budget approprié devant être alloué et une formation interne organisée et suivie afin de sensibiliser tous les intervenants directs et indirects en cas de crise.

De même, pour répondre aux questions et demandes urgentes qui se posent en cas d’incident critique, la mise en place d’une cellule de crise fait partie des mesures phares du plan d’action.

2. Une stratégie de défense

La stratégie de défense de l’entreprise touchée par une cyber-attaque s’articule, d’un point de vue juridique, autour de trois axes : fournir une information qualitative, appliquer un processus décisionnel efficace et engager les actions juridiques nécessaires.

• Fournir une information qualitative

L’une des priorités de l’entreprise victime d’une cyber attaque est d’assurer le maintien de la fourniture d’une information qualitative.

A cette fin, ce sont tant la Direction Générale que les Directions des SI, Financière, Juridique et Ressources Humaines qui doivent être mobilisées, en raison des responsabilités et des compétences qu’elles incarnent.

Ces organes sont, en cas de crise cyber, les interlocuteurs et acteurs clés des opérations à mener en vue de répondre et d’informer, en fonction des circonstances, la CNIL, l’ANSSI et les services d’enquête.

• Appliquer un processus décisionnel efficace

Les impératifs en la matière sont simples à énoncer : « faire vite et bien ».

Identifier les acteurs clé est un préalable.

En pratique, cela suppose de nommer les personnes responsables, d’être en mesure de les contacter et de les mobiliser rapidement.

Un autre prérequis s’impose : respecter le cadre juridique applicable malgré la crise afin d’éviter le suraccident. En effet, du statut de victime l’entreprise peut très vite passer à celui d’auteur d’un manquement à la réglementation, voire d’une infraction pénale.

Les règles de gouvernance propres à l’organisation et les éventuelles délégations de pouvoirs en vigueur permettent d’y veiller.

• Engager les actions juridiques nécessaires

Une entreprise commerciale touchée par une cyberattaque a, une fois qu’elle est à nouveau opérationnelle, un objectif : retrouver son efficacité opérationnelle et son niveau de rentabilité antérieur afin de poursuivre sa stratégie en vue d’atteindre ses objectifs. Elle pourrait être tentée de négliger l’étape suivante, l’« après ». Pourtant, certains objectifs doivent être gardés à l’esprit.

Le premier d’entre eux est de limiter les préjudices subis et de protéger, consécutivement, l’organisation, ses organes et les tiers. En effet, une crise cyber est potentiellement source de responsabilité civile ou pénale des personnes physiques ou morales mises en cause.

Etre proactif et concourir à l’action des services de police et des autorités judiciaires s’impose.

A cette fin, il est essentiel que l’entreprise préserve les données dont elle est responsable et qu’elle soit en mesure de notifier, en fonction des circonstances, les personnes concernées par la violation de la sécurité de leurs données et les autorités, à savoir, la CNIL. Cette obligation de notification est un élément central dans la gestion de la crise cyber.

Le deuxième objectif de l’entreprise est de collecter et de conserver les preuves numériques des infractions. Elle pourra utilement se former ou se faire accompagner à cet effet.

L’entreprise victime d’une attaque cyber se trouve face à la question du dépôt de plainte et son troisième objectif est de documenter et d’expliciter sa plainte pour la rendre efficace.

Le cas échéant, la victime sera aussi en mesure de solliciter la réparation de son préjudice en se constituant partie civile.

Le dépôt de plainte est souvent aussi un préalable à la déclaration de sinistre faite par l’entreprise auprès de sa compagnie d’assurances, pour peu qu’elle ait souscrit une police d’assurances prenant en charge le risque cyber, ce qu’il est important de vérifier en amont.

***

Ainsi, en amont comme en aval, de multiples mesures peuvent être prises par les entreprises pour se protéger, limiter les dommages subis par tous les acteurs de la donnée et ne pas engager, au détriment de leur activité et de leurs résultats, leur responsabilité.

Organic Avocat est à votre disposition pour vous accompagner dans la gestion de votre risque cyber afin de sécuriser la stratégie de votre entreprise.

www.organic-avocat.fr