Cyber-sécurité : pourquoi un pilotage juridique est-il nécessaire ?

Cyber-sécurité : pourquoi un pilotage juridique est-il nécessaire ?

Par Gérard Haas et Stéphane Astier

+255% en 2020. Ce chiffre récemment publié par l’ANSSI est sans appel.

Il est suffisamment vertigineux pour illustrer cette explosion d’attaques informatiques en rançongiciels où des pirates bloquent le système informatique d'une entreprise ou d'une institution et leur réclament une rançon.

Le gouvernement français annonce ce jeudi 18 février 2021 un vaste plan destiné à construire ce que sera demain l’industrie hexagonale de la cybersécurité pour répondre à cette menace qui touche notre pays, l’Europe dans son ensemble mais également les Etats-Unis.

1. L'explosion des attaques informatiques

Les cyber-attaques et la cyber sécurité en général n’ont pas attendu cette annonce pour prendre le devant de la scène. Dans une société hyper connectée qui ne cesse d’accélérer sa révolution digitale, la délinquance informatique est en pleine recrudescence depuis des années et défraye régulièrement les chroniques des médias.

Hôpitaux avec les attaques récentes des hôpitaux de Dax et de Villefranche-sur-Saône, mairies et collectivités territoriales avec les attaques de la ville d’Angers, de La Rochelle ou encore de Marseille, Entreprises privées dont la liste - qui n’est que le sommet visible de l’iceberg - ne cesse de s’allonger, toutes les entités, publiques privées, de grande ou moyennes taille sont désormais concernées.

Et si l’ANSSI fait état ce cette augmentation exponentielle des rançongiciels, elle note également une augmentation de 155% en 2020 de la fréquentation du site cybermalveillance.gouv.fr qui permet aux particuliers et petites entreprises de disposer d’un premier niveau d’information et de signaler des actes malveillants de typologies très nombreuses dont ils sont victimes (hameçonnage, détournement de compte, usurpation d’identité, vols de données etc.).

A cela s’ajoutent d’autres catégories d’attaques au niveau des Etats cette fois et des grandes entreprises de ce monde qui se livrent une guerre « tout terrain » dans les arcanes de la Toile. Les affaires d’espionnage, de déstabilisation de pays ou de multinationales, de manipulation des masses et autres fake news sont autant d’autres exemples d’attaques informatiques à large spectre et dont l’impact demeure difficilement appréhendable.

Si d’un côté l’Etat français annonce le déblocage d’un milliard d’euros pour renforcer la résilience de notre pays face à ce fléau, de l’autre les réseaux de pirates et autres hackers s’organisent pour déclencher des offensives toujours plus sophistiquées avec des sinistres engendrés abyssaux.

 

 

2. Comment prévenir les risques d'attaques informatiques ? Comment réagir ?

Trois principales erreurs sont à éviter.

Une première erreur consisterait à penser que ce type d’attaque n’arrive qu’aux autres ou aux seules grandes entreprises stratégiques du Pays. Toute entité publique ou privée est concernée : du médecin de campagne qui peut voir l’intégralité de son fichier patient partir sur le Dark Web à la PME creusoise en passant par l’office de tourisme de votre commune qui peuvent du jour au lendemain se retrouver sans outil informatique, sans comptabilité, sans accès à leur chaine de montage.

Une deuxième erreur consisterait à attendre d’être touché pour se saisir du sujet. La prévention des risques en matière de cyber sécurité est en effet un impératif. Contrôler sa police d’assurance, vérifier les systèmes de sauvegardes et leur garantie de résilience en cas d’attaque (ex. présence d’une sauvegarde à froid), formaliser une politique de gestion des incidents, sensibiliser régulièrement le personnel sont autant d’exemples de mesures préventives aujourd’hui indispensables.

Enfin une troisième erreur consisterait à ne traiter la question de la cyber sécurité que sur un plan technique. En effet, prévenir une attaque cyber et réagir suppose non seulement un traitement technique (DSI et RSSI seront ici au cœur du dispositif) mais également un pilotage juridique. Cet aspect, trop souvent oublié s’avère pourtant indispensable. Mais de quoi parle-t-on exactement ?

Tout d’abord, la légitimité de l’intervention juridique dans le pilotage et la gestion du risque cyber tire sa source dans la lettre même de la règlementation. A titre d’exemple, rappelons que le RGPD prévoit un engagement général de sécurité et de confidentialité. Pour respecter cet engagement, le responsable de traitement doit ainsi être en capacité de justifier de la mise en œuvre de « mesures organisationnelles et techniques » (Cf. art.32 RGPD). Or la formalisation de ces mesures organisationnelles qui couvrent à la fois le règlement intérieur (Charte Utilisateurs des SI), la politique d’habilitation, la politique de gestion des incidents ou encore les engagements de confidentialité des administrateurs des SI appelle l’intervention d’un professionnel du droit en étroite collaboration avec les autres directions concernées (RH pour la Charte Utilisateurs, DSI et RSSI pour les autres documents du référentiel sécurité).

Ensuite, la gestion d’une crise cyber suppose certes un traitement technique (récupération des sauvegardes, réinitialisation des systèmes, modification des mots de passes etc.) mais également en parallèle un traitement juridique à l’occasion de cellules de crise où devront être traitées bon nombre de questions essentielles supposant une expertise juridique particulière.

A titre d’exemple, voici quelques questions importantes devant être traitées juridiquement en parallèle des questions d’ordre technique à l’occasion de l’intervention d’une faille :

 

  • La faille constitue-t-elle une violation de droit au sens du RGPD et implique-t-elle une notification sous 72h à la CNIL ?
  • Le risque engendré par la violation est-il grave au sens du RGPD et suppose-t-il d’informer les personnes concernées ?
  • quelles sont les garanties contractuelles offertes par le prestataire sous-traitant à partir d’où la faille s’est propagée ?
  • Doit on procéder à un constat, comment établir la preuve lorsque la faille est d’origine interne (ex. vol de données d’un salariés) ?
  • Doit-on procéder à une déclaration de sinistre auprès de notre compagnie d’assurance ? est-on couvert pour ce type de risque ?
  • Doit-on payer la rançon demandée ?
  • Faut-il porter plainte et dans l’affirmative comment procéder et sur quels fondement ?
  • Peut-on engager la responsabilité du prestataire à l’origine de la faille ?

Mais avant tout, une sensibilisation des Dirigeants de l’entreprise ou de l’entité publique au risque cyber avec un volet juridique prononcé constituera un atout indéniable en vue d’optimiser la gestion des responsabilités, l’organisation des délégations de pouvoir, le contrôle des relations contractuelles en cours, la vérification des couvertures assurantielles, ou encore de la sensibilisation des équipes.

***

Le département cyber sécurité du Cabinet Haas Avocats, Cabinet spécialisé depuis plus de 20 ans en droits des nouvelles technologies et de la communication et en droit de la propriété intellectuelle, se tient à votre disposition pour répondre à vos question et vous assister dans le pilotage juridique de la gestion des cyber risques. Pour en savoir plus, rendez-vous ici.

Gérard HAAS

Auteur Gérard HAAS

Suivez-nous sur Linkedin