Par Stéphane ASTIER et Axelle POUJOL
Dans son rapport annuel publié en avril 2019, l'Agence Nationale de la Sécurité des Systèmes d'Information (ANSSI) met en garde les entreprises contre le cyber-espionnage, qui représenterait aujourd’hui le risque le plus élevé pour les organisations.
1. Mais de quoi parle-t-on exactement ?
Le cyber-espionnage peut être défini comme l’ensemble des pratiques visant à écouter ou espionner des personnes, des entreprises, des organismes privés ou publics par l’utilisation de moyens informatiques. Ces pratiques trouvent souvent leur origine dans une intrusion non désirée au sein du système informatique et génèrent des failles aux conséquences potentiellement dramatiques pour les entreprises.
Des coûts importants sont ainsi engagés tant pour pallier les failles et renforcer la sécurité des systèmes d’information (management du risque cyber) que pour traiter ses conséquences : crypto blocage des fichiers avec demande de rançon, détournement de savoir-faire, à des actes de concurrence déloyale ou encore à l’atteinte à la réputation de l’entreprise.
2. Quelles sont les bonnes pratiques à adopter face à ces menaces ?
De plus en plus sophistiquées et ciblées, les cyber-attaques se démultiplient[1]. Dans son rapport, l’ANSSI rappelle que les attaquants bénéficient de moyens financiers de plus en plus importants. Cela leur permet de cibler aussi bien les PME et les individus dans le cadre d’attaque de masse que des secteurs d’activité d’importance vitale et des autres infrastructures critiques spécifiques, tels que les secteurs de la défense, de la santé ou de la recherche qui demandent plus de ressource du fait de leur sécurisation présumée. Tout organisme aujourd’hui est susceptible de faire l’objet de cyber-espionnage. La récente affaire des fichiers Monsanto en est un exemple frappant[2].
Avec l’adoption des législations européennes pour la protection des données personnelles[3] et pour la cybersécurité[4], les institutions entendent confronter les organismes à ces problématiques et les astreindre à adopter de bonnes pratiques pour lutter contre ces menaces.
Prévenir le cyber-espionnage et anticiper les cyberattaques implique de consolider la sécurité de ses systèmes ainsi que de ses procédures internes. La réglementation précitée implose ainsi à tout acteur de justifier de la mise en place de « mesures organisationnelles et techniques » dédiées à la protection des données. Pour ce faire, plusieurs actions peuvent être mises en place :
- Communication et sensibilisation des équipes et de l’ensemble de l’écosystème de partenaires à la cybersécurité et aux cyber-risques[5];
- Adoption d’une démarche de Security by design ;
- Formalisation d’un référentiel sécurité[6];
- Audits de sécurité et tests réguliers d’intrusion ;
- Assurance contre le cyber-risque[7];
- …
Par ailleurs, s’agissant des données personnelles, le règlement général européen sur la protection des données[8] implique également de mettre en place un certain nombre de mesures et de bonnes pratiques afin d’assurer la sécurité des données :
- Cartographie des traitements réalisés et identification des données traitées ;
- Adoption d’une démarche de privacy by design et privacy by default[9];
- Désignation d’un DPO[10];
- Réalisation d’études d’impact sur la vie privée pour certains traitements[11];
- Formalisation d’accords sur la protection des données comportant une politique de sécurité complète et les garanties suffisantes pour assurer la protection des données
- Notification à la CNIL et éventuellement aux personnes concernées en cas de violation des données ;
- …
Avec les attaques indirectes ou par rebond[12], les opérations de déstabilisation et d’influence, le cryptojacking et les fraudes en ligne, le cyber-espionnage fait partie des cinq menaces majeures identifiées par l’ANSSI.
Si les organismes doivent faire preuve de vigilance, les mesures mises en place peuvent également être des éléments suscitant la confiance des clients et partenaires, permettant de se différencier sur des marchés concurrentiels divers.
*
* *
Le cabinet HAAS Avocats est spécialisé depuis plus de vingt ans en droit des nouvelles technologies et de la propriété intellectuelle. Le département cybersécurité accompagne de nombreux acteurs du secteur public comme du secteur privé dans le cadre de la mise en place de dispositifs dédiés à la gestion du risque cyber et à la protection des données. Pour en savoir plus, contactez-nous ici.
[1] https://www.lemonde.fr/cyberespionnage/
[2] http://info.haas-avocats.com/droit-digital/fichage-en-secret-de-personnalites-laffaire-monsanto
[3]http://info.haas-avocats.com/droit-digital/s%C3%A9curit%C3%A9-des-donn%C3%A9es-le-bilan-6-mois-apr%C3%A8s-le-rgpd
[4] http://info.haas-avocats.com/droit-digital/le-parlement-europ%C3%A9en-adopte-le-cybersecurity-act-
[5]http://info.haas-avocats.com/droit-digital/cyber-s%C3%A9curit%C3%A9-la-communication-au-c%C5%93ur-de-la-gestion-du-risque-cyber
[6] https://www.haas-avocats.com/actualite-juridique/sensibiliser-lentreprise-risque-securite-informatique/
[7] http://info.haas-avocats.com/droit-digital/assurance-cyber-risque-vers-un-big-bang-
[8] Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données
[9] https://www.avocat-rgpd.com/single-post/2019/01/23/Que-signifie-les-principes-de-privacy-by-design-et-privacy-by-default-
[10]http://info.haas-avocats.com/droit-digital/les-5-questions-%C3%A0-se-poser-avant-de-nommer-un-d%C3%A9l%C3%A9gu%C3%A9-%C3%A0-la-protection-des-donn%C3%A9es-dpo
[11] http://info.haas-avocats.com/droit-digital/5-raisons-de-mener-une-%C3%A9tude-dimpact-pia
[12] http://info.haas-avocats.com/droit-digital/cybers%C3%A9curit%C3%A9-les-attaques-par-rebond-cibl%C3%A9es-par-lanssi
