Ces derniers mois, avec la crise sanitaire, les cyberattaques se sont multipliées dans les entreprises. Tous les systèmes de sécurité mis en place ne suffisent pas toujours à couvrir les risques et la probabilité pour que cela se produise n’est pas à exclure.
Les menaces informatiques ont des causes multiples : fuites de données, attaques externes, piratage, acte interne volontaire, incendie, dégât des eaux…
Les risques juridiques, sur l’image et le business des entreprises de telles attaques sont nombreux : contentieux mettant en cause la responsabilité des entreprises, atteinte à l’image, cybercriminalité (chantage et demande de rançon, utilisation frauduleuse des données piratées), espionnage industriel, sabotage…
Vous pouvez vous poser les questions suivantes : pouvez-vous compter sur un bon avocat conseil ? Êtes-vous suffisamment couvert par votre assurance ? Pouvez-vous vous appuyer sur un expert en communication de crise ? Votre prestataire informatique est-il suffisamment solide ? Avez-vous défini une organisation pour anticiper et affronter une éventuelle crise ?
Vous pouvez mettre en place une cellule de crise et un process permettant à vos équipes et vos conseils de pouvoir être réactifs et efficaces. Cette cellule de crise pourra par exemple être constituée des personnes suivantes :
Vos équipes informatiques, en lien avec leur prestataire, devront être mobilisées de façon réactive, dès la saisine de la cellule de crise.
Votre avocat conseil ainsi que votre assureur sont des partenaires indispensables afin de vous aider à surmonter l’attaque et ses conséquences et vous accompagner dans les différentes étapes de gestion de cette crise : plainte pénale, déclaration aux autorités compétentes, informations légales à donner aux clients ou salariés victimes de cet acte de cybercriminalité, gestion des impacts contractuels…
Pendant la crise, il est fondamental de savoir communiquer en interne comme en externe et de s’appuyer sur des professionnels de la communication de crise se coordonnant avec les juristes. L’enjeu sera de mobiliser les équipes pour stopper l’attaque, informer de façon coordonnée les différents acteurs de l’écosystème de l’entreprise (dont les clients et partenaires) et maitriser le buzz médiatique.
Passée la crise Cyber, il est nécessaire d’évaluer les pertes de la société. Les échanges entre la direction, les assureurs, le service juridique interne et la communication peuvent être compliqués car les points de vue et les langages employés sont très différents. Un informaticien estimera la perte en termes de volumétrie de données, de serveurs, d’heures passées à rétablir le service ; l’assureur ou le juriste auront une définition bien différente de la perte de données ; et le communicant regardera les impacts en termes d’image.
Dans le cas d’une cyberattaque, une fois la crise gérée et un retour à une activité « normale », les équipes informatiques se retrouvent, dans la plupart des cas, avec un projet ambitieux de refonte du système d’information (SI). Les équipes RH travaillent quant à elles, sur un plan de sensibilisation du personnel. C’est un projet d’entreprise qui nécessitera de remettre en cause un certain nombre de pratiques. La durée constatée pour retrouver un SI pleinement opérationnel et sécurisé peut aller jusqu’à 3 ans !
Votre avocat conseil peut vous accompagner depuis le diagnostic de votre situation jusqu’à la certification RGPD de votre entreprise. Une démarche qui peut devenir un véritable avantage concurrentiel, dans le contexte actuel.
Du point de vue d’une équipe informatique, il peut être difficile d’identifier les données personnelles, de distinguer la frontière entre données personnelles et données non personnelles, entre sécurité du SI et RGPD. Des séances de formation juridique de vos équipes informatiques pourront se révéler nécessaires. Votre avocat conseil pourra vous accompagner dans ce cadre.
Avec l’évolution des technologies, les nouveaux services digitaux explosent. Leur implémentation peut avoir pour effet de diminuer le socle technique de sécurité mis en place. Par exemple, l’ère du Cloud, du Edge et du collaboratif a tendance à transformer un SI compartimenté (parfois trop) à un SI poreux, voire même ouvert. Ces solutions ont l’avantage de permettre le partage d’un grand nombre de documents avec ses équipes, ses clients et partenaires. Mais cela peut entrainer une faille de sécurité : les données peuvent sortir de façon involontaire ou non du SI, données qui font partie du patrimoine de la société.
Un des moyens de parer à la fuite de données est de mettre en place des outils de type DLP (Data Leak Prevention). Mais cela reste un sujet complexe à déployer car le prérequis est de classifier les données de l’entreprise. Un projet d’entreprise ambitieux pour lequel la direction doit définir les grandes lignes de la stratégie de classement de ses données.
Avec votre prestataire informatique, votre avocat peut vous accompagner pour déployer ces nouveaux services digitaux en toute sécurité.
Plus qu’un prestataire, notre société d’avocats est un partenaire privilégié pour toutes vos problématiques liées à la cybersécurité !
Entrée en vigueur du Digital Services Act (DSA) pour l’ensemble des fournisseurs de services intermédiaires
Retrouvez le décryptage de Serge Lederman, Cécilia Jieyue Shi et Adeline Planckaert d...
Les enjeux de la blockchain pour les gérants
Article de notre avocate Léa Öffer-Bomsel et de notre juriste Adam Stolcz dans la rub...
