Par Gérard Haas et Virgile Servant Volquin
Vendredi 2 juillet vers 18 h 30, 800 magasins de la chaîne Coop en Suède étaient contraints de fermer leurs portes en avance faute de pouvoir facturer leurs clients. La cause ?
La cyber-attaque dont a été victime Kaseya, une entreprise ayant fourni des solutions logicielles qui ont été corrompues à plus d’un millier de clients.
Cette attaque a particulièrement touché les Etats-Unis et l’Europe. Le préjudice direct pourrait s’élever à plusieurs centaines de millions d’euros pour un préjudice global de plusieurs milliards d’euros. La France n’a pas été touchée jusqu’à présent, mais cela vaut rappel que la prudence est de mise en matière de gestion du cyber risque.
L’inflation des cybers attaques
La délinquance informatique est en plein essor. En 2019, L’ANSSI (l’agence nationale de la sécurité des systèmes informatiques), mettait en garde les entreprises contre le cyber-espionnage, l’une des composantes du cyber risque. Un an plus tard, toujours selon la même agence, les attaques informatiques avaient augmenté par un facteur 2.5 .
Tous les publics sont concernés par ce type d’attaques. Les institutions publiques, via les sites gouvernementaux, mais également les hôpitaux sont des cibles privilégiées, car ce sont des infrastructures critiques. Cela vaut de même pour les grandes entreprises des secteurs sensibles, comme l’énergie.
Néanmoins, ces groupes font l’objet d’une vigilance renforcée de leur système d’information. Dès lors, de plus petits acteurs comme des PME ou encore des médecins peuvent avoir la mauvaise surprise de voir les données de leur clientèle apparaître sur le Darknet !
Afin de limiter le cyber risque, il appartient à tous de se mettre en conformité avec les dispositions réglementaires en matière de protection des données personnelles, notamment celles du RGPD.
La souscription à une assurance cyber risque spécifique
En sus de la mise en conformité avec le RGPD, il est fortement conseillé aux entreprises de souscrire à une assurance cyber risque spécifique. Selon une étude de l’Association pour le management des risques et des assurances de l’entreprise (Amrae), seules 8 % des entreprises françaises de moins de 5.000 salariés disposaient d’une assurance cyber contre 87 % des grandes entreprises.
Cela s’explique notamment par la difficulté d’identification du risque cyber et de ses conséquences sur l’activité opérationnelle des entreprises. Pourtant, celles-ci peuvent être énormes, comme avec la fermeture des magasins Coop en Suède. D’autant plus, la fermeture ne pouvait être imputée au groupe Coop, puisque c’est l’un de leurs sous-traitants de paiement électronique qui a subi les conséquences du piratage. Mais par ricochet, la chaîne a subi un préjudice du fait de la défaillance du système de paiement.
C’est précisément dans ce genre de situation que l’assurance cyber est importante, puisqu’elle couvre notamment les pertes d’exploitation, à l’inverse d’autres régimes généraux d’assurance comme détaillés dans le tableau suivant :
Les conséquences économiques et juridiques du risque cyber
Les conséquences économiques d’une cyber-attaque de type rançongiciel « ransomware » peuvent être désastreuses pour une entreprise de taille moyenne, allant jusqu’à menacer sa survie économique. En effet, les préjudices subis lors d’une cyber-attaque sont multiples :
- Dégradation de l’image de la société et perte de crédibilité
- Mise à l’arrêt des activités opérationnelles
- Coûts liés à la réparation
- Risque accru de seconde attaque
En outre, il est crucial de vous doter d’un pilotage juridique en cas de cyber-attaque. Rappelons en effet que le RGPD a ouvert la possibilité pour la Cnil de sanctionner financièrement (jusqu’à 20 millions ou 4% du Chiffre d’Affaires) les entreprises qui manquent aux nombreuses obligations imposées par le règlement. En cas de violation des données, des enjeux juridiques importants se posent aux entreprises comme :
- La notification de la violation à l’autorité de contrôle (la Cnil)
- L’obligation d’informer ou non les personnes concernées de la violation de données
- Les procédures à mettre en place en urgence en vue de rapporter les éléments de preuve de la responsabilité
- L’obligation ou non de payer la rançon en cas d’attaque de type « ransomware »
Enfin, les questions se complexifient d’autant plus que des sous-traitants peuvent être impliqués, qu’ils soient à l’origine de la faille ou eux aussi victimes.
Focus sur le plan d’action Cyber risque mis en place par Bercy pour 2022
L’année 2021 est donc un tournant décisif en matière d’assurance cyber risque, puisqu’elle marque la rencontre de trois mouvements de fond : l’augmentation continue des cyber-attaques, l’inadéquation de l’offre assurantielle à la demande et la prise de conscience du risque global sur l’économie nationale par le ministère de l’économie.
En effet, selon un expert cyber chez le courtier Bessé, « les assureurs ont eu à payer 260 millions d’euros en risques, contre 130 millions d’euros reçus en prime ». Conséquence directe : une augmentation massive du prix des assurances ce qui a pour effet de décourager les entreprises de taille moyenne à souscrire une assurance cyber.
C’est dans l’objectif d’apporter une réponse pertinente à toutes les parties prenantes que Bercy a annoncé avoir mis en place le 30 juin « un groupe de travail portant sur le développement d’une offre assurantielle de couverture des risques cyber ». Cette initiative a pour but de mettre en place une offre d’assurances à un prix équilibré pour une couverture pertinente de la menace cyber.
En attendant 2022 et les résultats du groupe réunissant des représentants des services gouvernementaux, des entreprises, des assureurs et des experts de la cybersécurité, il appartient tout de même à tous les acteurs économiques d’adopter la plus grande vigilance quant à la prévention du risque cyber.
***
Le département cyber sécurité du Cabinet Haas Avocats, Cabinet spécialisé depuis plus de 20 ans en droit des nouvelles technologies, se tient à votre disposition pour répondre à vos questions et vous assister dans le pilotage juridique de la gestion des cyber risques. Pour en savoir plus, rendez-vous ici.