Les médias se font très régulièrement l’écho de cyberattaques survenues aux quatre coins du globe, et conduisant à des demandes de rançon, des fuites de données, du vol de propriété intellectuelle, une interruption des opérations… Ces différentes conséquences, à l’évidence, représentent un important risque stratégique pour l’entreprise. Elles peuvent en effet leur coûter très cher, tant au niveau financier qu’en matière de réputation. «Pourtant, on constate que ce sujet ne figure pas toujours parmi les priorités des entreprises, que l’on parle de start-up, de PME ou de multinationales», estime Bertrand Moupfouma, Partner chez Themis Lex, un cabinet d’avocats ayant développé une expertise en droit des technologies innovantes. «Les organisations semblent encore méconnaître la valeur de leurs données, ignorer que leur principal actif est souvent intangible, et qu’il est à la portée des cybercriminels.»
Victime et responsable
Pour se défendre contre ces attaques, la cybersécurité se développe petit à petit, principalement autour de procédés techniques permettant de protéger le système informatique contre l’intrusion d’un tiers. Mais si cette démarche est nécessaire, elle n’est toutefois pas suffisante. «Bien souvent, une cyberattaque conduira à une fuite de données, et parfois de données sensibles», rappelle Bertrand Moupfouma. «Or, le Règlement général sur la protection des données (RGPD) impose aux entreprises détenant des données personnelles de mettre en place des systèmes de sécurité garantissant la confidentialité des data qu’elles détiennent. Si des données ‘fuitent’, l’entreprise, considérée dans un premier temps comme une victime, devient aussi responsable d’une faute condamnable d’un point de vue juridique.»
Pour l’avocat, il est donc indispensable de disposer d’un plan juridique précis à mettre en œuvre en cas d’attaque informatique. «Si une violation du RGPD est constatée, par exemple, le management doit savoir exactement quoi faire au niveau légal, pouvoir compter sur une cellule de crise juridique qui prévient les personnes concernées et sait ce que prévoit l’assurance de l’entreprise dans ce cas de figure, etc. Mais il faut aussi être capable d’anticiper les problèmes en ‘pilotant’ le plan de cybersécurité, notamment en détaillant les contrats signés avec des fournisseurs. C’est en effet toujours lorsqu’un problème se présente qu’on constate que le fournisseur de solution, à l’origine de l’incident, ne peut être tenu pour responsable.» Au rang des tâches qui incombent également aux juristes à des fins préventives, on peut aussi relever les analyses et audits réguliers permettant d’assurer que les pratiques des collaborateurs ne présentent aucun risque en matière de cybersécurité. L’erreur humaine reste en effet l’une des principales portes d’entrée des cybercriminels.
Il faut aussi être capable d’anticiper les problèmes en ‘pilotant’ le plan de cybersécurité, notamment en détaillant les contrats signés avec des fournisseurs.
Une menace renforcée par le Covid
L’urgence de se préparer, tant techniquement que juridiquement, pour faire face à la menace d’une cyberattaque, est d’autant plus prégnante que la crise du Covid a considérablement accéléré la transformation digitale des entreprises. Le télétravail s’est généralisé et, avec lui, les risques se sont accrus. «On a fourni des outils numériques aux collaborateurs et ceux-ci se sont connectés aux serveurs ou au cloud de l’entreprise depuis leur propre réseau, bien souvent sans savoir s’il était protégé. Ces pratiques peuvent rapidement conduire à l’arrivée massive de virus sur un ensemble d’ordinateurs ou un serveur», illustre Bertrand Moupfouma.
Il reste que la cybersécurité a un coût, et que les entreprises de taille plus modeste auront peut-être plus de difficultés à l’assumer. Mais cet investissement, qui doit aussi couvrir la préparation juridique, doit être mis en perspective avec les amendes parfois salées qui sont infligées aux acteurs tenus responsables, par exemple, d’une fuite de données. «Quand on doit débourser plusieurs millions d’euros parce qu’on n’a pas fait le nécessaire pour protéger efficacement ses données, je pense qu’on regrette de ne pas avoir fait le nécessaire en matière de cybersécurité, que ce soit au niveau technique ou juridique», explique Bertrand Moupfouma. «Les risques sont tellement élevés et diversifiés qu’ils sont même difficilement quantifiables: il n’est pas évident de chiffrer l’impact d’un tel événement sur la réputation de la société touchée, par exemple.»
Les risques sont tellement élevés et diversifiés qu’ils sont même difficilement quantifiables: il n’est pas évident de chiffrer l’impact d’un tel événement sur la réputation de la société touchée.
Devenue plus que jamais un enjeu stratégique pour l’entreprise et un outil d’intelligence économique, la cybersécurité doit donc également être pilotée d’un point de vue juridique pour atteindre une réelle efficacité. Et il est temps de mettre en œuvre ce chantier: avec la signature électronique, la blockchain et les nouvelles technologies qui continuent à arriver sur le marché, la marche de la digitalisation n’est pas près de s’interrompre…