Cyberattaques : prévenir et réagir
Les professionnels de la cybercriminalité ne cessent de le répéter : « il y a deux types d’entreprises,
celles qui ont été piratées et celles qui ne le savent pas encore ». À l’heure où les technologies
de l’information et de la communication sont omniprésentes et vitales au sein des
entreprises de tous les secteurs, ce constat est alarmant
Les menaces de cyberattaques planent en permanence, que ce soit à l’encontre des PME ou de grands groupes internationaux. De plus, la professionnalisation et la sophistication croissante de la cybercriminalité renforce ces menaces. La cybersécurité est devenue un sujet primordial de la gouvernance d’entreprise. Le patrimoine informationnel fait l’objet de convoitises et chaque entreprise doit se préparer, avec son personnel, à la survenance d’une cyberattaque. Le risque zéro n’existant pas, les outils de protection traditionnels peuvent s’accompagner de nouveaux outils comme ceux proposés par le marché de l’assurance. Dans ce contexte, intéressons-nous à la façon dont une entreprise peut se protéger des cyberattaques, tant d’un point de vue juridique qu’assurantiel. Regards croisés de Me Gary Cywie (cabinet d’avocats Allen & Overy) et Martial Beguin (société de courtage en assurances Vanbreda & Lang).
Que faire avant une cyberattaque ?
Me Gary Cywie – Tout type de donnée est ciblé, qu’elle soit personnelle, relative aux secrets d’affaires ou à la propriété intellectuelle. Afin de se protéger et de disposer de moyens d’action, des politiques internes comme des chartes, des procédures et des règlements doivent être mis en place. Cela permet aussi à l’entreprise de se conformer à ses obligations légales selon son secteur d’activité. Par exemple, en cas de traitement de données personnelles, la loi prévoit que l’entreprise responsable doit assurer la sécurité de ses données. De plus, la directive dite NIS impose certaines obligations aux opérateurs de services essentiels ou aux fournisseurs de services numériques, telles que la notification des failles de sécurité à l’autorité compétente et la continuité du service. Toutes ces obligations peuvent aussi devenir de bonnes pratiques générales. Enfin, avant la cyberattaque, l’entreprise doit créer sa cellule de crise, s’entourer de partenaires et d’experts, et définir sa communication sur le sujet.
Martial Beguin – En qualité de gestionnaire de risques pour nos clients, nous sommes amenés à évaluer les nombreuses évolutions impactant les entreprises. Nous focalisons notre attention sur l’émergence de nouveaux risques qui sont intimement liés aux bouleversements technologiques et juridiques. Nous évoquons avec nos clients l’étendue des différents risques pouvant potentiellement mettre en péril les activités de l’entreprise. Parmi ces différents risques, nous identifions et qualifions des risques tangibles et intangibles. Cette approche externe et neutre permet d’objectiver la situation actuelle de l’entreprise et d’initier une réflexion interne riche et constructive. Les risques intangibles, tels que les risques cyber, font spécifiquement l’objet d’une phase de sensibilisation dont le partage de cas vécus reste le vecteur le plus commun.
Toute entreprise détient une quantité importante de données (informations de clients, du personnel, bancaires, commerciales…). L’accumulation de ces données implique de nouveaux risques dont il est opportun de rappeler les conséquences fâcheuses en cas d’atteinte à celles-ci (perte d’intégrité, confidentialité, disponibilité). Les risques d’atteinte au système informatique mais aussi d’extorsion de fonds se sont, malheureusement, transformés d’un vague concept théorique en une réalité économique pour toute entreprise naturellement dépendante de son système d’information (effet domino : perte de données, dégradation de la réputation, perte de confiance, perte de revenus).
Après avoir pris les mesures préventives qui s’imposent et pour limiter son exposition aux risques résiduels, l’entreprise peut avoir recours au marché de l’assurance. Le mécanisme de l'assurance ne modifie pas la probabilité de survenance du risque. Le contrat organise, par le biais du versement d’une prime d’assurance, le transfert de la garantie et du risque d'un agent économique, l'assuré, à un ou plusieurs autres ensembles d'assurés constituant une mutualité : c'est la mutualisation des risques. Grâce à la souscription de nombreux risques similaires, une mutualisation des risques entre les assurés est effectuée. Cette maîtrise statistique du risque permet à l'assureur de diminuer la volatilité totale de ses risques. La loi des grands nombres permet alors à l'assureur de connaître approximativement le montant des sinistres futurs. En qualité d’assuré, celui-ci est donc protégé contre des événements qu’il ne pourrait supporter seul.
Que faire pendant une cyberattaque ?
Me Gary Cywie – Dès la survenance d’une cyberattaque, la cellule de crise doit être opérationnelle et réactive, même dans l’urgence. Ses prérogatives doivent être au plus large pour permettre une réponse appropriée. Elle doit disposer d’une pluralité de compétences afin de contrer la cyberattaque sur tous les plans. Il s’agit de mettre en oeuvre toutes les procédures préalablement définies, de limiter un maximum les dégâts et de prévoir les implications juridiques concernées. Sur le plan juridique, l’entreprise doit être doublement attentive. D’une part, elle doit respecter ses obligations légales. D’autre part, elle doit anticiper sa part de responsabilité éventuelle dans la cyberattaque en mettant en oeuvre tous les moyens nécessaires à la prévention et à la réaction contre la cyberattaque, pour ne pas voir sa responsabilité engagée postérieurement.
Martial Beguin – Le paradoxe de ce risque émergent est que toute victime tend à se replier sur elle-même au moment de subir la cyberattaque, créant un profond isolement. Les solutions d’assurance les plus abouties proposent un volet assistance et offrent des services d’experts en sécurité informatique, de conseil juridique en cas d’enquête administrative, de crisis management, mais également de réparation de l'atteinte à la réputation.
Que faire après une cyberattaque ?
Me Gary Cywie – Directement après la cyberattaque, l’entreprise doit entamer une phase d’enquête afin de sauvegarder et de se préconstituer des preuves, et engager la responsabilité de l’auteur qui peut être un pirate ou même un employé innocent, négligent ou malintentionné. Les règles en droit du travail peuvent donc être concernées et des procédures disciplinaires peuvent être engagées. Les procédures judiciaires à mettre en oeuvre s’envisagent sur un plan tant national qu’international, selon la provenance de la cyberattaque. De plus, l’action portée par l’entreprise doit être aussi bien pénale pour réprimer l’auteur que civile pour obtenir réparation des préjudices causés. Ces derniers peuvent être multiples et sont parfois dévastateurs. Les pertes subies peuvent être financières, matérielles ou immatérielles, mais elles sont aussi indirectes. En effet, l’atteinte à la réputation, la perte de confiance d’actionnaires, de clients et de fournisseurs est autant problématique. Par ailleurs, bien que victime d’une cyberattaque, l’entreprise doit, le cas échéant, préparer sa défense en justice contre les actions en responsabilité des tiers. Enfin, une fois la cyberattaque passée, l’entreprise doit parvenir à reconstituer ce qui a été endommagé lorsque cela est possible et faire le bilan de la crise en vue de toujours mieux se préparer aux suivantes.
Martial Beguin – Au-delà des mesures correctives d’urgence à apporter, l’évaluation continue des risques est devenue un processus vital dans toute entreprise. Promouvoir le cercle vertueux émanant de l’analyse détaillée des sinistres permet, à toute partie prenante de l’entreprise, de mettre en place des plans d’action cohérents, transversaux et bénéfiques sur le long terme. Pour ce faire, Vanbreda & Lang est en mesure d’apporter le conseil et l’accompagnement nécessaires.
Pour conclure ces propos, nous pouvons donc dire que le plus grand risque pour l’entreprise n’est pas la cyberattaque elle-même, mais sa dénégation.