« La cybercriminalité est une réalité que les entreprises ne doivent pas ignorer »
Entretien avec Kiril Bougartchev, associé, Emmanuel Moyne, associé, Marion Dumoulin, collaboratrice, et Nathan Morin, collaborateur, Bougartchev Moyne associés
Décideurs. La cybercriminalité est en recrudescence. Quelle analyse faites-vous de ce phénomène ?
Selon l’Agence nationale de la sécurité des systèmes d’information (Anssi), la cybercriminalité correspond aux « actes contrevenants aux traités internationaux ou aux lois nationales, utilisant les réseaux ou les systèmes d’information comme moyens de réalisation d’un délit ou d’un crime, ou les ayant pour cible ». Cela désigne le vol ou le détournement de données, la diffusion de contenus illicites ou malveillants ou l’atteinte aux systèmes de traitement automatisé de données (Stad).
Nous constatons, au travers de notre pratique ainsi qu’à la lumière des affaires récentes qui défrayent la chronique, que les attaques informatiques se multiplient et se complexifient, ce qui est notamment dû à l’essor des activités numériques (cloud computing, blockchain, bitcoin, objets connectés) qui accroissent la vulnérabilité des systèmes d’information. Dans le rapport « Internet Security Threat » publié par Symantec en 2014, la France est classée neuvième parmi les pays les plus touchés par les cyberattaques. Au niveau national, les conséquences économiques de ces attaques ont été évaluées à 3,7 milliards de dollars pour l’année 2015 tandis qu’au niveau mondial, elles sont estimées à 400 milliards de dollars par an. La cybercriminalité est une réalité que les entreprises ne doivent pas ignorer.
Les entreprises françaises sont-elles armées pour y faire face ?
Le cyber-risque a longtemps été sous-estimé, ce qui a conduit à une absence d’anticipation et à une aggravation du préjudice subi par les entreprises. Cela va changer avec le nouveau règlement relatif au traitement des données à caractère personnel (RGPD) qui entrera en vigueur à compter du 25 mai 2018. Il impose aux responsables du traitement des données à caractère personnel, l’obligation de sécuriser les systèmes de traitement des données et l’obligation de notifier aux autorités compétentes, la Commission nationale de l’informatique et des libertés (Cnil) s’agissant de la France, les failles de sécurité ayant porté atteinte à des données personnelles. On peut donc espérer que dans quelques mois, les entreprises françaises seront dotées des dispositifs technologiques et processuels (identification des données confidentielles, sensibilisation des employés aux cyber-risques, plan de secours informatique) adaptés leur permettant de faire face à ces menaces.
Quels sont les différents types d’attaques auxquels les entreprises sont confrontées ?
La cybercriminalité recouvre un grand nombre de pratiques dont la finalité poursuivie varie suivant le type d’attaque. Certaines ont simplement pour objectif, par jeu ou motivation politique, de rendre un serveur inutilisable tandis que d’autres ont pour finalité de prendre des données « en otage » pour obtenir le paiement d’une rançon. Nous intervenons ainsi dans plusieurs procédures de détournements de données industrielles sensibles. Dans de nombreux cas, l’objectif poursuivi est de s’introduire dans un système de données de façon à faciliter la commission d’infractions de droit commun, telle qu’une fraude au président par exemple ou des escroqueries plus complexes.
Dans l’anticipation d’une attaque, comment les entreprises doivent-elles se préparer ?
Plusieurs technologies de cybersécurité permettent à l’entreprise de prévenir les menaces. Il s’agit des routeurs, antivirus, pare-feu, système de protection contre les intrusions, systèmes de détection des intrusions, etc. Pour une sécurité efficace, il convient également de prévoir des dispositifs de verrouillage et de blocage voire de suppression des informations contenues sur les terminaux mobiles. La question de la localisation du réseau (local ou externe) est par ailleurs sensible.
Malheureusement, ces mesures ne sont pas suffisantes pour arrêter les délinquants qui ont bien souvent une longueur d’avance sur les dernières technologies. La sécurité de l’entreprise devra donc être optimisée grâce à la mise en place de processus consistant par exemple à identifier des données sensibles (qu’il convient de protéger tout particulièrement), à sensibiliser le personnel aux problématiques de cybersécurité, ou encore à mettre en œuvre un plan informatique exposant la procédure à suivre en cas de cyberattaque, de façon à en prévenir ou limiter les dégâts.
Par ailleurs, le RGPD exige des entreprises, pour éviter que soit engagée leur responsabilité, l’adoption de mesures de prévention, de détection et de traitement des cyberattaques. En effet, il renforce les devoirs des responsables de traitement qui doivent assurer une protection optimale des données et être en mesure de démontrer le respect du règlement par la mise en œuvre de « mesures techniques et organisationnelles ».
Cela implique notamment la nomination d’un délégué à la protection des données (data protection officer), la tenue d’un registre des activités de traitement auxquelles se livre l’entreprise, l’obligation de sécurité des données et la notification des failles de sécurité à la Cnil, la conduite d’analyses d’impact relatives à la protection des données, la certification de traitement et l’encadrement des transferts de données hors Union européenne.
À défaut d’une mise en place de ces outils de conformité, le RGPD prévoit des sanctions fortes : l’amende peut aller jusqu’à 4 % du chiffre d’affaires de l’exercice précédent, selon la violation au RGPD alléguée.
Comment les entreprises doivent-elles réagir en cas d’attaque ?
Il reviendra au directeur des services d’information de l’entreprise ou à toute autre personne habilitée, d’identifier la faille informatique ayant permis l’attaque et d’y remédier. À ce stade, les preuves de la cyberattaque doivent être collectées. Pour être indemnisée, la société victime devra rapporter la preuve du blocage ou du ralentissement du site Internet et du préjudice subi. À cet égard, le département juridique devra être impliqué dans le traitement de la cyberattaque dès sa survenance. Parallèlement, il est conseillé à l’entreprise, avec l’assistance de son avocat, de saisir sans délai le procureur de la République territorialement compétent d’une plainte afin que toutes les investigations requises puissent être diligentées.
Quel rôle pour les avocats dans la prévention et la résolution des cyber-attaques et de la cybercriminalité ?
L’avocat a un rôle double. Il s’agit, d’une part, d’assister les clients victimes de cyberattaque dans le cadre de la procédure qu’ils auront lancée à l’égard des auteurs de celle-ci et, d’autre part d’accompagner les entreprises dans l’adoption et la mise en œuvre des mesures techniques et organisationnelles répondant aux exigences du RGPD.
La mise en conformité avec le RGPD représente un travail lourd et fastidieux. Dans ce cadre, il conviendra que les sociétés travaillent en étroite collaboration avec leurs conseils afin d’adopter des processus adaptés ; et ce, en tenant compte des dispositifs déjà existants et des contraintes liées à la protection des données. Plus spécifiquement, et à l’instar de ce qui a été fait dans le cadre de la mise en œuvre de la loi Sapin 2, l’avocat pourra assister l’entreprise dans la rédaction de ses politiques et procédures relatives à la protection de ses données personnelles.