Newsletter
 Mars – Avril 2022

SOMMAIRE

Article

Appréhender la cybermenace au sein de l’entreprise

Brèves

ARTICLE

Appréhender la cybermenace au sein de l’entreprise

Le 8 mars dernier, une chaine de télévision française, une plateforme de musique en ligne et une application de messagerie instantanée ont cessé de fonctionner normalement, elles ont été victimes de cyber attaque.

Ce phénomène n’est pas rare, en 2020, toutes les 39 secondes, une entreprise subissait une cyber-attaque. Depuis la crise de la COVID-19, le cyber risque s’est accentué en raison de l’accélération de la numérisation des échanges au sein de l’entreprise, entrainée par la mise en place, dans l’urgence, du télétravail généralisé.

Ce cyber risque concerne toutes les entreprises peu importe leur taille, leur activité ou leur notoriété. Les cybers attaquants cherchent avant tout une faille de sécurité pour s’immiscer dans un système d’information afin d’accéder à des données confidentielles pour en tirer un profit économique.

Ainsi, l’attaque la plus répandue est le rançongiciel qui consiste pour un cyberattaquant à bloquer l’accès à des données essentielles pour le fonctionnement quotidien de l’entreprise. La victime est contrainte à payer une rançon pour pouvoir accéder de nouveau à son système d’information.

Malgré la multiplication de ces attaques, il existe plusieurs instruments pour prévenir la cyberattaque et surtout gérer les conséquences critiques qu’elles occasionnent.

S’il est bien évidemment indispensable de se protéger techniquement en sécurisant les systèmes d’information de l’entreprise via l’ingénierie informatique, l’entreprise doit prendre connaissance des risques juridiques attachés à la cybercriminalité.

A titre d’exemple, le droit européen incite les Etats membres « à prévoir, dans le cadre de leur droit national, des mesures pertinentes permettant d’engager la responsabilité des personnes morales, lorsque celles-ci n’ont de toute évidence pas assuré un niveau de protection suffisant contre les cyberattaques » (directive 2013/40/UE du Parlement européen et du Conseil du 12 août 2013 relative aux attaques contre les systèmes d’information). Ainsi, une entreprise victime d’une cyberattaque pourrait voir sa responsabilité engagée si elle ne justifie pas d’un niveau de protection suffisant.

Une cyberattaque peut porter atteinte à toutes les activités d’une entreprise et à ses relations avec les clients, les fournisseurs ou les salariés. Au-delà des moyens techniques et technologiques de protection, il existe aussi des bons réflexes sur le plan juridique pour encadre et/ou réduire les risques en cas de cyberattaque.

Sur le plan des relations commerciales, il est vivement recommandé d’intégrer dans les contrats et dans les conditions générales d’achat/de vente de l’entreprise des clauses contractuelles permettant d’anticiper les conséquences qui pourraient résulter d’une cyber attaque. Par exemple, il est important de vérifier si les clauses organisant les conséquences d’une mauvaise exécution ou d’une inexécution (retard de livraison, force majeure) ou encore les clauses limitant la responsabilité sont adaptées au regard des nouveaux risques.

De plus, une cyber attaque peut être le fruit ou la suite d’une cyber attaque antérieure subie par l’un des partenaires de l’entreprise. Très souvent les entreprises qui subissent une cyberattaque ont tendance à ne pas informer leurs partenaires, par mégarde ou par volonté de ne pas afficher le fait d’avoir subi une cyberattaque. Des clauses obligeant l’information immédiate de son partenaire en cas de cyber attaque peuvent permettre de limiter le risque de propagation de l’attaque et protéger l’entreprise.

Enfin, il existe des polices d’assurance spécialisées pour couvrir le cyber risque et notamment indemniser la perte des données, prendre en charge le coût de la récupération informatique des données volées ou encore le paiement de la rançon. Suivant l’activité de l’entreprise et le niveau de risque auquel elle est exposée, il peut être intéressant de souscrire une assurance. L’obligation de souscrire une assurance peut aussi être imposée à un partenaire commercial.

Sur le plan des relations avec les salariés, il faut garder à l’esprit que 98% des attaques sont liées à une erreur humaine.

Par conséquent, il est très important de sensibiliser ses salariés au cyber risques. Cela peut être fait par le biais de formations ou par l’adoption d’une Charte de bonnes pratiques dans l’utilisation des outils numériques.

Un dernier point d’attention concerne la réaction à une cyberattaque. En cas de cyberattaque l’entreprise peut être confrontée à différentes exigences, comme : identifier l’origine de l‘attaque, se constituer des preuves, identifier nature des données volées et le cas échéant la nécessité de notifier sous 72h la violation de données à caractère personnelle. Il est important pour l’entreprise de former ses équipes aux bons réflexes en cas de cyberattaque.

BREVES

1. Evènement du cabinet

Nathalie Cazeau interviendra au séminaire UIA « fashion law » au sujet de la notion de conformité en matière de vente internationale de marchandises , à Barcelone le 18 mars 2022.

2. Formation

Le 9 avril, Nathalie Cazeau donne son cours annuel de Responsabilité Sociale et Environnementale (RSE) des entreprises aux étudiants du MBA droit des affaires de l’Université Paris-Panthéon-ASSAS.