01 56 43 68 80

6, rue de Saint-Petersbourg, 75008 Paris

Cyber-attaques: Comment se prémunir ?

Securite informaique HAAS Avocats
  • Actualité juridique, Base de données, BIG DATA, CNIL, Communication, Concurrence, Confidentialité, Consommation, Contentieux, Contrat informatique, Cybercriminalité, Cybersurveillance, Data, Données personnelles, Droit des télécommunications, Droits des affaires, E-Réputation, Fichier informatique, Géolocalisation, Information et libertés, Libertés individuelles, Loi Informatique et libertés, Sanctions, Site internet, Télécommunications, Vie privée

 

Par Stéphane Astier et Amanda Dubarry

La cyber-sécurité constitue un enjeu majeur du XXIe siècle. Longtemps restée dans l’ombre, cette problématique qui touche les entreprises comme les Etats a explosé en plein jour avec les révélations d’Edward Snowden en 2013. Depuis, la cyberguerre a dévoilé son visage, ou plutôt ses visages.
Le sujet des cyber-attaques agite ainsi régulièrement la scène internationale comme en attestent les récentes accusations de Washington à l’encontre de Moscou concernant l’influence présumée du gouvernement russe sur les résultats des élections américaines de novembre dernier.
Bientôt tenues de déclarer leurs failles de sécurité à la suite de l’entrée en vigueur du Règlement général pour la protection des données du 27 avril 2016 (ci-après RGPD), les entreprises de l’Union Européenne s’organisent pour parer au pire et éviter de défrayer la chronique en cas de piratage de leurs bases de données.
Qu’il s’agisse des Etats, des entreprises ou des particuliers, les cyber-attaques sont classiquement définies comme des atteintes à des systèmes informatiques dans un but malveillant.
Au-delà de la nouvelle médiatisation des actes de piratage informatique, les actes de cyber-attaque explosent et ce de manière exponentielle.

Pourtant selon une enquête en date de décembre 2016, menée auprès des entreprises (TPE/PME) françaises par la société de conseil Denjean & Associés, seulement 38% des décideurs estiment que le risque de cyber-attaque est « important » alors que 52% des sociétés ont déjà été piratées.

Face à un tel décalage, il est important de réagir. Quels sont en effet les enjeux liés aux cyber-attaques ? Comment se prémunir contre un tel fléau ?

1.Les enjeux liés aux cyber-attaques

L’élaboration d’une base de données structurée, la maîtrise de sa réputation ou la mise en place d’une veille concurrentielle sont autant d’éléments nécessaires au développement d’une entreprise.
Autrement dit, la croissance économique réside dans l’accès à l’information, la protection et la valorisation de celle-ci. On parle alors de « patrimoine informationnel de l’entreprise » ; des fichiers, des données qui constituent pour leur détenteur – le maître du traitement – une source majeure de richesse et de développement.
Dans ce contexte, les cyber-attaques ont un impact redoutable. Elles ne se limitent pas à des atteintes au patrimoine informationnel de l’entreprise et aux dommages matériels et financiers en résultant. Les cyber-attaques touchent également à la réputation de la victime qui se voit décrédibilisée vis-à-vis de ses clients, de ses partenaires, des investisseurs, etc. La médiatisation des cyber-attaques est en effet vectrice de « bad buzz ».
A titre d’exemple, la société américaine Yahoo a annoncé avoir été victime d’une attaque informatique d’ampleur en août 2013, à l’issue de laquelle les données de plus d’un milliard d’utilisateurs ont été volées. Dès le lendemain de cette annonce, Yahoo a reculé à la bourse de New-York (-1,9 %).
Les entreprises plus modestes sont, elles aussi, concernées par ces attaques et souvent de façon plus forte en raison d’un système de sécurité moins élaboré.
La cible des hackers est bien identifiée : le fichier-clients. Ce fichier est trop souvent rendu accessible sans protection adéquate à des tiers : collaborateurs, partenaires, prestataires (etc.). L’absence de protection facilite en outre l’action des hackers qui rechercheront à détourner les informations volées à des fins mercantiles ou par pure malveillance.
Or, au-delà des dommages matériels et financiers, au-delà de l’impact substantiel d’une réputation entachée d’un fait de cyber-attaque, l’entreprise victime doit également faire face à ses responsabilités juridiques.
Rappelons sur ce point que le nouveau règlement européen du 27 avril 2016, qui entrera en application dans tous les Etats Membres à compter du 25 mai 2018, renforcera considérablement l’obligation des responsables de traitement.
Ainsi, les failles de sécurité devront obligatoirement être notifiées à l’autorité de contrôle (la CNIL en France) dans les 72 heures et à la personne concernée en cas d’atteinte grave à la vie privée.
Par ailleurs, le RGPD a considérablement augmenté les sanctions administratives infligées par la CNIL. Celles-ci pourront aller jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel de l’entreprise.
Outre l’atteinte aux données personnelles, l’entreprise peut également être victime d’un vol de ses informations stratégiques. Le cyber-espionnage touche en effet de plus en plus le secteur industriel et notamment les PME qui représentent 31% de ces attaques. Or, la divulgation de données sensibles porte atteinte au patrimoine immatériel de l’entreprise et notamment à son savoir-faire.

Comment réagir ? Comment se prémunir contre de tels risques ?

2.La prévention des cyber-attaques sur le terrain du droit

Les risques de cyber-attaque émergent de l’existence de menaces couplées à des failles de sécurité. Si les entreprises, principales victimes, ne peuvent agir sur les menaces, elles peuvent néanmoins corriger leur vulnérabilité afin de diminuer le risque d’attaque informatique.

Plusieurs actions peuvent d’ores et déjà être mises en place :

•La formalisation d’un « référentiel sécurité »
La mise en place d’un référentiel sécurité constitue un outil juridique indispensable pour se prémunir des cyber-attaques.
Celui-ci est composé de différents documents (une charte « utilisateur des SI » et « Administrateur des SI », une politique de gestion des incidents liés aux SI, une politique de durée de conservation des données et archivage, une politique d’habilitation) permettant d’encadrer juridiquement la gestion de son système d’information.

•La conduite d’études d’impact
Avec l’adoption du RGPD, les acteurs économiques voient leurs obligations renforcées. A cet égard, ils devront mettre en place toutes les mesures organisationnelles et techniques contre le piratage pour empêcher que des tiers non autorisés accèdent aux données.
L’étude d’impact sur la vie privée (en anglais : Privacy Impact Assessment) permet d’assurer une prise en compte optimale de la protection des données personnelles dans le cadre de l’activité des entreprises.
L’objectif d’une telle étude, qui s’effectue suivant une procédure divisée en plusieurs étapes, est de vérifier que les risques liés à la sécurité des données et qui pourraient avoir des impacts sur la vie privée des personnes concernées sont traités de manière proportionnée.
Elle constitue également un moyen de preuve efficace permettant à l’entreprise de démontrer qu’elle a mis en place des mesures permettant de protéger les données à caractère personnel qu’elle collecte.

•Les tests d’intrusion
Sous un angle plus technique, il est conseillé aux entreprises d’effectuer un audit global de leur système d’information.
A cet égard, le test d’intrusion, qui permet de vérifier la sécurité d’un système d’information en simulant une attaque informatique, peut permettre d’identifier précisément les éventuelles failles du système testé et de proposer des solutions pour les corriger.

•L’audit des contrats assurances
L’identification des risques effectuée lors de l’audit du système d’information se traduit juridiquement par la souscription d’un contrat d’assurance.
Ces contrats d’assurance doivent notamment garantir les dommages immatériels informatiques (perte de l’information, etc.) consécutifs ou non à des dommages matériels.
Afin de s’assurer de l’étendue de la couverture souscrite avec son assureur et amplifier, le cas échéant, cette protection, il est recommandé d’effectuer un audit des contrats d’assurance.

•La désignation d’un Délégué à la protection des données personnelles
Le règlement européen prévoit la désignation d’un Délégué à la protection des données personnelles (DPO). Le DPO sera obligatoire dès lors que les entreprises feront des traitements à grande échelle de suivi régulier et systématique des personnes ou des données sensibles.
Ce nouvel acteur aura notamment pour mission de s’assurer de la conformité des traitements mis en place au sein de l’entreprise, au regard des dispositions du RGPD, le plus souvent en coordination avec la Direction des Systèmes d’Information de l’entreprise (DSI) et avec le Responsable de la Sécurité des Systèmes d’Information (RSSI).
Ainsi, le DPO devra s’assurer que les données à caractère personnel collectées et traitées par lesdites structures font l’objet d’une politique de sécurité adéquate.
Au-delà des obligations légales, la présence d’un DPO au sein d’une entreprise contribuera fortement à sa protection et à la valorisation de son patrimoine informationnel.

Assurer la conformité juridique des systèmes d’information apparaît de plus en plus complexe au regard des nouvelles réglementations européennes en la matière.
Expert sur les questions liées à la cyber-sécurité le Cabinet HAAS accompagne ainsi ses clients dans les missions suivantes :
•Formalisation / consolidation / mise à jour du Référentiel Sécurité
•Réalisation d’études d’impact incluant des tests d’intrusion et d’audit de traitements
•Contrat de prestation de services CIL/DPO (externalisation de la fonction DPO)
•Formations aux enjeux de la réglementation sur la protection des données

N’hésitez pas à nous contacter pour tout renseignement complémentaire concernant ces différentes missions, en cliquant ici.

ENVELOPPE NEWSLETTER copie

L'actu juridique numérique
du mardi matin.

Inscrivez-vous pour recevoir nos derniers articles, podcasts, vidéos et invitations aux webinars juridiques.

*Champs requis. Le cabinet HAAS Avocats traite votre adresse e-mail pour vous envoyer ses newsletters.

Vous pouvez accéder aux données vous concernant, les rectifier, demander leur effacement ou exercer votre droit à la limitation du traitement de vos données en nous contact à l’adresse mail suivante : dpo@haas-avocats.com