Les entreprises face aux "cyber-risques"

Cet article est paru dans la LJA 1215 du 29 juin 2015 (Abonnés)

Piratage de données stratégiques, espionnage, phishing,... Dans une société où le numérique règne en maître, les entreprises n’échappent pas à ses dérives et sont aujourd’hui soumises à des risques nouveaux dont elles ne mesurent pas toujours l’ampleur et les conséquences. Un contexte dans lequel la direction juridique a, plus que jamais, un rôle à jouer.

« L’entreprise face à la cybercriminalité ». L’intitulé du colloque organisé le 17 juin dernier par l’Association française des juristes d’entreprises (AFJE) à la Maison de la Recherche de Paris, en partenariat avec le cabinet Etrillard et l’École de droit de Sciences-Po, sonne presque comme une série policière américaine. Pourtant, les nouveaux risques liés à Internet et au numérique sont bien réels et touchent de plus en plus d’entreprises souvent démunies et mal préparées pour leur faire face. Le cyber-risque pénal en fait partie, et a alimenté à lui seul l’une des tables rondes de la journée. Ses conséquences sont nombreuses entre pertes commerciales, atteinte à la réputation des entreprises ou encore engagement de la responsabilité des dirigeants. Un constat majeur : face à ces risques, les sociétés doivent s’organiser et faire de « l’hygiène de sécurité », selon les termes du directeur des affaires juridiques et des affaires publiques de Microsoft France Marc Mossé, une priorité.

Établir une cartographie
En guise d’introduction à cette table ronde, Marc Mossé a d’ailleurs martelé des chiffres à donner le tournis : 3 000 milliards de dollars attribués aux cyberattaques, un préjudice de 3,5 millions de dollars subi en moyenne par les entreprises victimes d’un vol de données, ou encore 243 jours avant qu’une entreprise ne parvienne à détecter une attaque en son sein. Chez Microsoft, la direction des affaires juridiques et publiques a mis en place une équipe dédiée appelée Digital Crime Unit. Son but ? « Anticiper, prévenir les risques et organiser la stratégie judiciaire à adopter contre les cybercriminels grâce à une équipe composée d’une centaine de juristes, enquêteurs et ingénieurs. » D’autres entreprises, faute d’informations ou de moyens, ne bénéficient pas d’un tel programme. Le minimum, selon la directrice juridique adjointe de Capgemini Nathalie Lanneret, est en tout cas de mettre en place un véritable programme de "cyber-résilience" intégré dans la stratégie digitale de l’entreprise.

Les cyber-risques peuvent aujourd’hui faire passer l'entreprise
de victime à coupable

« Nous somme arrivés à un stade où avoir simplement un anti-virus et modifier régulièrement ses mots de passe n’est clairement plus suffisant, ajoute-t-elle. L’objectif est de passer d’une vision actuelle assez statique de la sécurité à une vision plus dynamique, dans laquelle on supervise cette sécurité. Pour ce faire, il s’agit de bien connaître sa société et ses atouts, ses failles, ses adversaires, puis de classifier les données en fonction de leur criticité – un secret commercial dont le brevet n’a pas encore été déposé n’a pas le même degré d’importance que la rémunération d’un dirigeant. Il faut établir une véritable cartographie de l’existant. » Si pour le directeur juridique d’Atos, Alexandre Menais, le cyber-risque est davantage devenu un sujet de direction générale que de direction juridique, il n’en souligne pas moins l’importance du rôle des juristes en cas de cyber-attaque. À une condition : se poser en sages face à la frénésie des opérationnels et des ingénieurs en faisant preuve de patience. « Chez Atos, lorsque nous sommes dans ce genre de situation, nous consacrons avant les procédures d’audit quelques heures dédiées aux juristes, afin qu’ils analysent la situation en amont », explique-t-il.

Réguler l’espace numérique
Quelques précieuses heures de réflexion pouvant faire gagner beaucoup à une société ; car outre les impacts en cascade sur sa productivité, les cyber-risques peuvent aujourd’hui la faire passer de victime à coupable... « Malheureusement, entre les différences de délai de notification des failles de sécurité à la Commission nationale de l’informatique et des libertés (CNIL) et le projet européen, les choses se complexifient », déplore Nathalie Lanneret, avant d’ajouter : « un défaut de notification à la CNIL est aujourd’hui sanctionné à la fois pénalement et administrativement. De même, si une entreprise ne gère pas bien la phase post-attaque, elle peut également être pénalement tenue responsable. Or, ne pourrait-on pas considérer que dans certains cas, la cyber-attaque est un cas de force majeure ? Un élément extérieur, irrésistible et bien souvent imprévisible ? À quand un arrêté préfectoral sur les cyber-catastrophes ? Le problème ne doit plus uniquement reposer sur les épaules des entreprises. »
À l’unisson, les intervenants de la table ronde ont estimé qu’après l’espace terrestre, aérien et maritime, il convenait désormais de réguler l’espace numérique. « Le monde est en train d’évoluer vers une digitalisation massive, fait remarquer Alexandre Menais. Pour réguler les données et les responsabilités de chacun, les entreprises se doivent dans un premier temps de faire preuve de transparence. » Pour Marc Mossé, la clé se trouverait dans l’homogénéisation des législations entre pays. « Les cyber-menaces, la protection et l’accès aux données personnelles n’est aujourd’hui plus qu’une simple question nationale », affirme-t-il. Et de conclure : « À l’occasion du projet de loi sur le renseignement en France, il serait judicieux que le Conseil constitutionnel ait un regard transnational afin de permettre de poser les bases d’un cadre juridique international de protection des données et de lutter contre la cybercriminalité. Nous sommes à un moment charnière. »