La crise du Covid-19 et le confinement ont imposé aux entreprises de recourir au télétravail. D’un point de vue cybersécurité, cette pratique a posé certaines questions. «Cela a créé un certain nombre de défis, car toutes les sociétés n’étaient pas forcément prêtes. L’accès à distance aux systèmes de l’entreprise était donc plus compliqué. Pour celles qui étaient moins préparées, des risques supplémentaires sont apparus: les ordinateurs personnels pouvaient par exemple devenir un vecteur d’entrée et d’attaque pour les cybercriminels», précise Olivier Reisch, avocat associé à la tête de l’équipe propriété intellectuelle et nouvelles technologies chez DLA Piper Luxembourg.
Un autre aspect concernait la surveillance des salariés. «Ce ne sont pas des questions nouvelles, mais au Luxembourg, des règles strictes existent au niveau de cette surveillance, avec notamment des obligations de consultation des salariés et certains pouvoirs d’intervention de la CNPD.»
Une professionnalisation des cybercriminels
Depuis plusieurs années, nous assistons à une professionnalisation des cybercriminels. Ces derniers n’agissent plus en solitaire, mais en groupes de plus en plus organisés, devenant ainsi des «quasi-entreprises» spécialisées dans la pénétration des systèmes informatiques. «Il y a un fort élément humain qui rentre en ligne de compte. La formation en interne est importante pour être sensibilisé aux différents types d’attaques de plus en plus sophistiquées», explique David Alexandre, avocat spécialisé en propriété intellectuelle et protection des données personnelles, counsel chez DLA Piper Luxembourg.
Si les grands groupes d’entreprises étaient plus particulièrement visés, aujourd’hui, même les PME sont de potentielles cibles. «Il y a quelques années, les attaques étaient menées à plus grande échelle, sans discrimination. Les serveurs étaient attaqués au hasard via des outils automatisés. Maintenant, cela devient de plus en plus ciblé», reconnaît Olivier Reisch. Les petites sociétés disposant de moyens moins importants à consacrer à la protection de leur structure informatique sont plus vulnérables. «Cela reste du cas par cas, tout dépend de la politique de sécurité de chaque entreprise», ajoute David Alexandre.
Faire de la cybersécurité une priorité
Grâce à la crise et aux outils de visioconférence, le grand public et les petites entreprises ont pris conscience de l’importance de la cybersécurité, notamment à travers plusieurs affaires ayant récemment frappé certains grands acteurs en la matière. «Nous assistons à un changement. La cybersécurité et la protection des données pouvaient être perçues comme un coût. Elles sont maintenant un argument de vente pour attirer les clients», poursuit David Alexandre. Ce sujet va-t-il pour autant devenir une priorité? En réalité, l’Europe accuse un retard par rapport aux États-Unis, où les entreprises ont une plus grande expérience de ces attaques. «Le secteur financier luxembourgeois est plutôt bien préparé, car les règles en matière de sécurité informatique sont extrêmement strictes. Les acteurs au Luxembourg font généralement partie de grands groupes internationaux et bénéficient de leur expérience.»
Les acteurs au Luxembourg font généralement partie de grands groupes internationaux et bénéficient de leur expérience.
Protéger ses données
Le cloud, malgré ses avantages pour les entreprises (externalisation de l’infrastructure informatique, sous-traitance de l’élément sécurité), implique une perte de contrôle au niveau de la localisation des données notamment. «En termes de protection des données et de GDPR, cela crée des problématiques, car il faut s’assurer, le cas échéant, que ces données restent en Europe», précise Olivier Reisch.
Les attaques menées par les cybercriminels sont en outre plus sophistiquées. Avant, nous parlions de ‘ransomware’: le hacker s’introduisait dans le système pour chiffrer les fichiers et exiger une rançon. Aujourd’hui, les attaquants prennent le temps d’explorer et d’extraire les données confidentielles avant de bloquer le système, réclamant une double rançon, d’une part pour débloquer les machines, et d’autre part pour assurer la discrétion des criminels. «Nous observons des conversations très professionnelles entre criminels et victimes, c’est bluffant! Les premiers mènent les négociations de rançon tout en expliquant les conséquences pour les secondes d’une divulgation des données en termes de chiffre d’affaires, de réputation, de coût», s’exclame Olivier Reisch.
Dans ce cas de figure, il est crucial de faire appel à un avocat spécialisé, dont le rôle ne se limite plus à une simple assistance sur la conformité avec le GDPR. «Notre rôle est d’agir comme chef d’orchestre des différents acteurs, il va falloir conseiller le client rapidement, mais aussi coordonner, en vrai gestionnaire de crise, les actions avec les équipes internes, agences de communication, médias et autres prestataires externes», affirme David Alexandre. La connaissance des mécanismes de coopération internationale entre les régulateurs locaux comme la CNPD devient cruciale, en particulier lors d’attaques transfrontalières. «Nous avons la chance de disposer d’une équipe intégrée de spécialistes en cybersécurité en Europe, ainsi que dans de nombreux pays du monde. Les clients s’attendent à une assistance multijuridictionnelle rapide et efficace.»