EN PÉRIODE DE CRISE PLUS IMPRÉVISIBLE QUE JAMAIS, COMMENT GÉRER LES CYBER RISQUES ?

Sans surprise, le contexte de crise sanitaire a accéléré le recours aux outils digitaux par les entreprises et a, ainsi, fait le bonheur des cybercriminels. En effet, dans son rapport de 2020, l’ANSSI déclare que les attaques cyber ont quadruplé[1]. Dans ce cadre, les nouvelles pratiques et nouveaux risques cyber ne cessent d’évoluer faisant, plus que jamais, du domaine de la cyber sécurité est un point clé dans la stratégie de gestion des risques en entreprises. L’occasion de refaire le point sur l’état de la menace, les obligations des acteurs ainsi que leurs possibilités.

Le constat d'une menace exponentielle

D’après l’ANSSI, la cyber sécurité est l'état recherché pour un système d'information lui permettant de résister à des événements du cyberespace, susceptibles de compromettre la disponibilité, l'intégrité ou la confidentialité des données stockées, traitées ou transmises, ainsi que les services que ces systèmes offrent ou rendent accessibles. Autrement dit, c'est protéger et pérenniser un système d'information vis-à-vis d’attaques cyber.

100 000, c'est le nombre d'infractions étant liées à de la cybercriminalité qui ont été recensées pour l'année 2020 en France, ce qui correspond à environ 274 infractions par jour[2]. Ce nombre est en forte hausse depuis 2020. Selon un sondage du CESIN (Club des Experts de la Sécurité de l’Information et du Numérique) publié en janvier dernier, plus de 50%[3] des entreprises, soit une entreprise sur deux, déclare avoir été victime d’une cyberattaque. Entre chiffrement des messageries, blocage des chaînes de production/ distribution, suspension des sites marchands, vol des données sensibles et usurpation d’identité, les entreprises subissent de réelles pertes économiques et organisationnelles.

Les TPE et PME, souvent mal protégées et très peu équipées, constituent des proies vulnérables pour les cybercriminels et sont donc particulièrement exposées. Elles sont, en outre, insuffisamment sensibilisées aux questions de cyber sécurité qui sont perçues par la majorité comme complexes et abstraites. Or, ces attaques peuvent provoquer des dommages importants et paralyser une entreprise pendant des jours, sans même évoquer le préjudice financier et la perte de réputation. Par conséquent, une entreprise non préparée au risque verra, en cas d’attaque, son activité durablement affectée.

Les attaques les plus répandues sont notamment les rançongiciels (ransomwares). Il s’agit d’un logiciel malveillant conçu pour chiffrer, rendre illisibles des informations (économiques, financières, portefeuilles clients, messageries, etc.), de l’entreprise victime. Une rançon est demandée en contrepartie de la restauration de ces informations, sans aucune garantie qu’elles seront réellement restaurées. Cette attaque crée un sentiment de panique chez la victime, souvent menacée de voir toutes ses données publiquement divulguées ou supprimées. Les vecteurs d’attaques étant, le plus souvent, l’hameçonnage ou l’exploitation de faille, leur fréquence peut être considérablement atténuée par une simple prise de conscience du risque cyber et la mise en place de mesures préventives concrètes au sein de l’entreprise.

La sécurité : une obligation au sens du RGPD 

La sécurité des données est un principe phare du RGPD lequel prévoit, en son article 5, que « les données doivent être traitées de façon à garantir une sécurité appropriée des données à caractère personnel ».

C’est dans ce contexte que l’article 32 précise que « le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les besoins :

• La pseudonymisation et le chiffrement des données à caractère personnel ;
• Des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ;
• Des moyens permettant de rétablir la disponibilité des données à caractère personnel et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique ;
• Une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement. »

L’analyse de ces mesures doit être effectuée, conformément à l’article précité, au regard de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, et du contexte et des finalités du traitement ainsi que des risques.

Cette obligation repose, depuis l’entrée en vigueur du RGPD, tant sur le responsable de traitement que le sous-traitant. La CNIL n’a d’ailleurs pas hésité à sanctionner, en janvier 2021, un responsable de traitement (150 000 euros) et son sous-traitant (75 000 euros) pour ne pas avoir pris des mesures satisfaisantes pour faire face à des attaques par bourrage d’identifiants[4].

En effet, le RGPD prévoit qu’une violation de l’obligation de sécurité prévue par l’article 32 est sanctionnée par une amende administrative pouvant s’élever jusqu’à 10 millions d’euros ou, dans le cas d’une entreprise, jusqu’à 2% du chiffre d’affaires annuels mondial total de l’exercice précédent, le montant le plus élevé étant retenu[5]. Outre l’amende administrative et l’éventuelle réparation du préjudice subi par les personnes concernées[6], le défaut de mise en œuvre des mesures appropriées peut faire l’objet d’une sanction pénale, à savoir cinq ans d’emprisonnement et 300 000 euros d’amende[7].

Quelques bonnes pratiques pour se protéger 

Compte tenu de l’évolution des cyber menaces et des obligations légales, il est donc primordial, pour chaque entreprise, de prendre toute mesure préventive nécessaire pour assurer sa pérennité. Bien qu’il soit impossible d’éviter toute cyberattaque, la mise en place de bonnes pratiques au sein de l’entreprise permet non seulement de réduire le risque et limiter à minima les dégâts, mais aussi de participer à la protection des parties prenantes à l’entreprise et renforcer le lien de confiance.

Certains points clés sont dès lors à prendre en compte :

• La sensibilisation des mandataires, collaborateurs et salariés de l’entreprise aux cyber risques et aux bonnes pratiques à adopter, ainsi que la mise en place d’une charte informatique,
• La mise à jour régulière des systèmes d’information, des logiciels et des équipements de sécurité (Ex : antivirus).
• La mise en œuvre d’une vigilance accrue quant aux pratiques d’hameçonnage (pièces jointes, contenus d’e-mails, messages et sites douteux) qui s’accompagne de la mise en place de système anti-phishing.
• La sauvegarde régulière du patrimoine informationnel de l’entreprise.
• La mise en place d’outils de détection et de traçage des intrusions sur les réseaux de l’entreprise.
• Le renforcement des mesures de protection des données.
• L’évaluation récurrente du niveau de sécurité des sites web, serveurs, logiciels, systèmes informatique et données personnelles de l’entreprise.

Gardons en tête que le plus tôt l’intrusion sera signalée, le plus tôt elle pourra être neutralisée ! Il est ainsi indispensable, en cas de cyberattaque, d’alerter les services compétents. Au-delà, les plaintes contribuent à l’évaluation effective de la cyber menace et le renforcement de la lutte publique contre la cybercriminalité puisqu’elles permettent d’identifier les attaques, le type de cibles, les méthodes employés, le « timing », et dès lors améliorer les moyens de sécurité.

Responsabilité du dirigeant et délégation de pouvoirs 

A la suite d’une cyber attaque, la responsabilité civile et/ou pénale du dirigeant, personne physique,  peut être engagée, sur l’un des fondements suivants :

• Violation délibérée ou par négligence des dispositions du RGPD[8], notamment l’obligation de mettre en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque[9] ou celle de communiquer la violation de données à caractère personnel à la CNIL et à la personne concernée dans les meilleurs délais[10] ;

Sanctions : 5 ans d’emprisonnement et 300 000 euros d’amende[11].

• Faute et/ou négligence personnelle[12] ;
• Faute commise par un salarié, dans le cadre de ses fonctions[13].

La responsabilité pénale de la personne morale n’exclut, en effet, pas celle des personnes physiques auteurs ou complices des mêmes faits[14].

Aux côtés d’une politique de cyber sécurité adéquate et efficace, la mise en œuvre d’une délégation de pouvoirs du chef d’entreprise à l’égard du Directeur des Systèmes d’Information apparait alors nécessaire, voire indispensable, afin de prévenir et de gérer les risques.

Remarque : l’absence de mise en œuvre d’une telle délégation pourrait, d’ailleurs, être reprochée au dirigeant, qui se rendrait coupable d’imprudence ou de négligence dans l’organisation de son entreprise et pourrait se voir reprocher une faute de gestion.

Le mécanisme de la délégation de pouvoirs permet au dirigeant, le délégant, de transférer une partie de ses pouvoirs à un subordonné, le délégataire, plus à même de connaitre et d’appliquer, sur un plan pratique, les obligations qui doivent être respectées en la matière.

Le transfert de pouvoirs a, alors, pour corollaire le transfert de la responsabilité pénale, et a donc pour conséquence de faire peser sur les véritables décideurs, et non pas sur le seul chef d’entreprise, les conséquences de leurs actes et omissions.

La délégation de pouvoirs n’exonère, en revanche, pas le dirigeant de sa responsabilité civile, aucun transfert n’étant opéré en la matière.

Pour être valide, la délégation de pouvoirs doit répondre à certaines conditions. Le délégataire doit, en effet, être pourvu :

• De l’autorité,
• Des compétences, et
• Des moyens nécessaires pour assumer la délégation faite à son profit.

Cela suppose que le délégataire accomplisse sa mission de façon autonome et dispose d’un pouvoir de décision, lui permettant de donner des directives et de sanctionner leur non-respect, d’une expérience professionnelle et des compétences techniques lui permettant d’assumer ses missions ainsi que des moyens humains, matériels, financiers et techniques suffisants et adaptés.

Bien que la formalisation de la délégation de pouvoirs par écrit ne soit pas obligatoire, une délégation verbale pouvant être valable, c’est sur le terrain de la preuve de celle-ci qu’il est néanmoins utile de rédiger un écrit.

Cet écrit devra préciser l’objet de la délégation, les moyens mis à disposition du délégataire pour exercer les fonctions déléguées, etc.

Le document établi devra justifier du caractère certain et non équivoque de la délégation de pouvoirs, ainsi que de l’acceptation de la délégation par le délégataire.

Face au risque accru de cyber attaques, la mise en place de délégations de pouvoirs adéquates et le suivi régulier de celles-ci afin de les sécuriser, le cas échéant, en effectuant des mises à jour, apparaissent essentiels.

Une offre assurantielle insuffisante 

La nécessité de se doter de plus en plus de boucliers techniques et organisationnels pour protéger ses infrastructures numériques va de pair avec la souscription à une assurance cyber. Compte tenu de la vulnérabilité des acteurs économiques, cette couverture parait, dans un premier temps, comme un marché fleurissant avant d’opérer un retournement de situation qui se traduit par le durcissement des conditions d’éligibilité à ce type d’assurance. Dans son rapport de 2021 relatif à la cyber assurance, l’Assemblée nationale fait l’état des lieux de ce marché qui s’avère déséquilibré et inégal[15]. 

En effet, en ce début d’année, les assureurs Generali France et AXA annoncent qu’ils ne prendront plus en charge le paiement de rançons. Le sujet divise les professionnels puisque d’un côté, certains affirment que le paiement de rançon contribue à renforcer l’activité des cybercriminels, tandis que de l’autre, on souligne qu’il n’y a parfois pas d’autres choix pour sauver l’entreprise que de payer la rançon.  En tout état de cause, le cyber n’a pas été rentable pour les assureurs qui ont remboursé plus que les primes encaissées.

Ainsi, à l’heure où les entreprises en ont le plus besoin, il est de plus en plus difficile de s’assurer. De nombreuses entreprises, notamment les plus exposées aux risques cyber, ont vu leur contrat subitement résiliés et ont été contraintes d’accepter la réduction des risques couverts et la hausse des primes qui leur ont été imposées.

Dès lors, ce marché jugé insuffisant nécessite un réel effort de structuration. Le rapport de l’Assemblée nationale propose, à l’occasion, quelques pistes d’évolution afin d’améliorer le marché français de la cyber assurance et d’adapter les offres pour répondre au besoin des entreprises tout en limitant le risque des assureurs.

LE PÔLE DATA 

Dans le cadre de notre activité Données - Bases de données – RGPD / DPO, les avocats du cabinet ALTIJ se tiennent à votre disposition pour vous accompagner dans la prévention des risques cyber et la protection et la valorisation de vos actifs immatériels. 

[1] ANSSI, Rapport 2020 : https://www.ssi.gouv.fr/agence/missions/rapport-dactivite-2020/

[2] Plateforme Cyber malveillance, Rapport d’activité 2020 : https://www.cybermalveillance.gouv.fr/tous-nos-contenus/actualites/rapport-activite-2020

[3] CESIN, 7^e édition du baromètre annuel (Janvier 2022) : https://www.cesin.fr/actu-7eme-edition-du-barometre-annuel-du-cesin-enquete-exclusive-sur-la-cybersecurite-des-entreprises-francaises.html

[4] Voir la page de la CNIL : https://www.cnil.fr/fr/credential-stuffing-la-cnil-sanctionne-un-responsable-de-traitement-et-son-sous-traitant.

[5] Article 83. 4 a) du RGPD.

[6] L’article 82 du RGPD prévoit en effet que toute personne ayant subi un dommage matériel ou moral du fait d’une violation du RGPD a le droit d’obtenir du responsable de traitement ou du sous-traitant réparation du préjudice subi.

[7] Article 226-17 du Code pénal.

[8] RGPD, art. 82

[9] RGPD, art. 32

^[10]RGPD, art. 33 et 34

[11] C. pén.,art. 226-17 et 226-17-1

[12] C. civ., art. 1240 ; C. pén., art. 226-1 et s.

^[13] C. civ., art. 1242 al. 5

[14] C. pén., art. 121-2

[15] Assemblée national, Rapport 2021 : https://www.lassuranceenmouvement.com/wp-content/uploads/2021/10/Rapport_La-Cyber-assurance_Valeria_Faure-Muntian_13102021.pdf