Par Stéphane Astier et Eve Renaud-Chouraqui
L’explosion actuelle des cyberattaques témoigne d’un mouvement fort de bascule entre délinquance « classique » et délinquance informatique.
Fraudes diverses, usurpation d’identité, escroqueries amplifiées par l’appât des gains, guerres étatiques, manipulation des masses, espionnage industriel…, tous les secteurs sont concernés du particulier au professionnel ; du secteur public au secteur privé, de la petite PME de produits artisanaux aux grandes multinationales du digital.
L’ANSSI fait, du reste, état d’une profonde inquiétude au regard de cette explosion qui s’explique :
- d’un côté par une digitalisation accélérée de nos sociétés dont l’effet est amplifié par la crise sanitaire
- de l’autre par une augmentation drastique des moyens dont disposent les hackers de la planète pour mettre en œuvre leurs actions.
Mais au-delà de cette prise de conscience, se pose la question de la manière dont chaque organisme doit s’organiser pour prévenir ce risque spécifique mais également pour réagir efficacement en cas de survenance d’une crise cyber.
Comme précédemment détaillé, cette gestion des risques doit être à notre sens mise en œuvre tant au travers d’un pilotage technique que d’un pilotage juridique tout aussi essentiel.
Or, il existe au sein du pilotage juridique une zone trop souvent négligée qui s’avère pourtant déterminante : la question de la couverture assurantielle.
1. Les typologies de cyberattaques et leurs conséquences spécifiques
Les quatre grandes typologies de cyberattaques sont les suivantes :
- la cybercriminalité ;
- l’atteinte à l’image (Soit par une attaque de déni de service rendant temporairement un site ou un service indisponible, soit par une attaque par défiguration, consistant à modifier l’apparence ou le contenu d’un site et violer l’intégrité des pages en en modifiant le contenu);
- l’espionnage ;
- le sabotage (Forme d’attaque s’apparentant à une panne généralisée, venant frapper toute ou partie d’un système d’information).
Concernant plus particulièrement la cybercriminalité, celle-ci s’entend :
- soit dans l’attaque par hameçonnage (phishing), au travers de laquelle, via une usurpation d’identité, le pirate va obtenir des renseignements personnels et des identifiants bancaires ;
- soit dans l’attaque par rançongiciel (ransomware), au travers de laquelle des programmes informatiques viennent chiffrer les données d’une entreprise ou d’une organisation, afin de solliciter le paiement d’une rançon pour obtenir une clé de déchiffrement.
L’une comme l’autre ont des conséquences désastreuses pour l’entreprise ou l’organisation qui en est victime :
- perte financière, liée au ralentissement ou à l’arrêt total de l’activité en lien avec la cyberattaque ;
- dégradation de l’image de marque de l’entreprise et perte de confiance des consommateurs ou utilisateurs ;
- coûts liés à la réponse à la cyberattaque (expertise technique, investigations aux fins de déterminer l’origine et le responsable de la faille de sécurité ayant permis la cyberattaque, frais juridiques, frais induits par la notification aux personnes dont les données sont concernées par la cyberattaque, immobilisation d’un personnel pour faire face à la crise , frais de constitution d’une cellule de crise – mise en place d’un standard téléphonique pour l’accueil des personnes concernées, etc..) ;
- coûts liés à la réparation (frais liés à la remise en service des systèmes informatiques et frais liés au renforcement de la protection du système) ;
- coût humain difficilement quantifiable (personnel en situation de stress intense, fragilisé par la crise induite par la cyberattaque, perte d’adhésion de groupe, etc…) ;
- risque de sanctions financières par la CNIL (jusqu’à 20 millions d’euros et 4% du CA mondial consolidé), pouvant auditer et sanctionner l’entreprise si celle-ci n’a pas mis en œuvre l’ensemble des mesures techniques et organisationnelles pour assurer la sécurité des données collectées et traitées.
Certaines de ces conséquences peuvent être assurées dans un contrat spécifique : le contrat d’assurance cyber risque.
2. L’assurance cyber risque couvre les préjudices et coûts spécifiques à une cyberattaque
La souscription à une assurance cyber s’inscrit au cœur du dispositif de mise en conformité, dans la mesure où elle vient couvrir des frais induits par l’application de la réglementation RGPD.
Y souscrire permet, en outre, de réduire les coûts supportés par l’entreprise ou l’organisation victime de la cyberattaque et d’assurer également la prise en charge de certaines sanctions ou recours de tiers.
Le tableau fait un état des lieux synthétique des différents régimes assurantiels et des frais et dépenses couverts :
- l’assurance classique multirisques ;
- la responsabilité civile ;
- l’assurance cyber.
L’assurance cyber ne peut plus être négligée par les entreprises, particulièrement de petite taille, qui également exposées au risque de cyberattaque peuvent voir leur activité économique et leur survie impactées par de telles attaques.
La souscription d’une telle assurance est une étape importante dans la sécurisation de ces risques.
Or, l’analyse juridique des polices d’assurance (niveau de couverture, exclusions de garanties, engagements de l’assuré etc.) est souvent un vrai casse-tête lorsque l’on n’a jamais été confronté à ce type de sinistre. Sans étude d’impact d’une cyber crise, sans sensibilisation des décideurs à ce risque spécifique avec mise en situation au sein d’une cellule de crise fictive construite à partir de scénarii personnalisés, il sera difficile de placer le curseur de la protection assurantielle et des règles préventives à déployer en interne.
***
Le département cyber sécurité du Cabinet Haas Avocats, cabinet spécialisé depuis plus de 20 ans en droits des nouvelles technologies et de la communication et en droit de la propriété intellectuelle, se tient à votre disposition pour répondre à vos questions et vous assister dans le pilotage juridique de la gestion des cyber risques.
Pour plus d’informations ou des demandes de rendez-vous, contactez-nous ici.
