AccueilDroitActualité du droitComment se prémunir face au cyber-risque en entreprise

CAMPUS AFJE 2021 Comment se prémunir face au cyber-risque en entreprise

A l’occasion d’une session de formation dédiée aux juristes d’entreprise, Myriam Quéméner, avocat général à la Cour d’appel de Paris, a évoqué les bons réflexes à acquérir pour prendre à bras-le-corps le cyber-risque.
Comment se prémunir face au cyber-risque en entreprise
© DR

DroitActualité du droit Publié le ,

La cybercriminalité est un « fléau en hausse constante ». Comme l’a rappelé Myriam Quéméner, l’ANSSI (Agence nationale de la sécurité des systèmes d'information) a relevé une hausse de 255 % des attaques au rançongiciel dans son périmètre d’intervention (soit la sphère publique, les entreprises « importantes » et celles intéressant la sécurité nationale). Détenteurs de données sensibles, les hôpitaux ont particulièrement été visés dans la période récente (27 attaques ont été recensées en 2020-début 2021). Les collectivités locales ont également été nombreuses à faire les frais des agissements de cybercriminels.

Altran, Fleury-Michon, Lise Charmel, Ouest-France, MMA, Sopra Steria... Les attaques contre les entreprises de la « tech » ont aussi progressé de 2 300 % en un an, et celles visant le commerce de gros et de détail ont bondi de 800 %. « Il y a une augmentation de 155 % de la fréquentation du site cybermalveillance.gouv.fr, qui donne des renseignements aux entreprises et particuliers », souligne Myriam Quéméner. Pour les particuliers, il peut s’agir d’hameçonnage (un faux message invite la personne à cliquer sur la pièce jointe), un procédé qui se traduit juridiquement par une escroquerie. Il peut également s’agir de piratage de compte, ou encore, de faux support technique. Le Royaume-Uni, les États-Unis, l’Inde, l’Australie et la France sont les cinq principales cibles de ces attaques.

Des affaires de jackpotting, de braquage numérique, ont également défrayé la chronique. « Certaines d’entre elles aboutissent à l’interpellation des complices, qui récupèrent les billets alors que le distributeur automatique de billets a été neutralisé à distance », témoigne Myriam Quéméner. Il existe également des attaques par déni de service, qui consistent à surcharger les serveurs de connexions, jusqu’à les faire planter.

En 2018, le coût moyen par entreprise a été de 8,6 millions d’euros pour les sociétés françaises et de 27,4 millions de dollars pour les structures américaines. Au niveau mondial, la cybercriminalité devrait coûter aux entreprises 6 000 milliards de dollars par an à partir de 2021 (si le risque cyber était représenté par un pays, il se situerait donc derrière la Chine et les USA).

Le profil des cybercriminels

Qui sont ces cybercriminels ? On retrouve des « hack-tivistes » et notamment les lanceurs d’alerte, à travers des affaires qui ont été retentissantes, comme l’affaire Snowden. Mais de plus en plus, la cybercriminalité est une délinquance financière. Elle concerne des réseaux et des bandes organisées.

« Il y a un glissement très net de la délinquance vers internet : il n’y a pas, par ce biais, de confrontation auteur-victime, et il y a aussi une dimension internationale qui fait que des cyberattaques peuvent émaner d’un pays à l’autre bout du monde, alors que les effets vont se faire sentir sur le territoire français », rappelle Myriam Quéméner.

On trouve également des délinquants isolés, qui agissent pour l’appât du gain et vont faire du chantage pour extorquer de l’argent aux entreprises. Des entreprises peuvent également utiliser le numérique pour déstabiliser leurs concurrents, faire de l’espionnage, du chantage économique, ou désorganiser leur adversaire.

Anticiper les risques

Il est donc essentiel d’anticiper les risques numériques et de prévenir ces cyber-risques au niveau juridique. « Il y a une véritable stratégie en matière de cybersécurité, de plus en plus nécessaire, qui se met en place au niveau de l’entreprise », ajoute Myriam Quéméner. Concernant les grands groupes, la cybersécurité est souvent placée au niveau des Comex. Pour les TPE, cette problématique représente plutôt un coût et pour elles, mettre en place une politique de cybersécurité reste difficile. Pourtant, l’impact sur le business peut être important, surtout en période de crise sanitaire : en faisant tomber le site de l’entreprise, en ralentissant la production (avec des pertes chiffre d’affaires à la clé), en entrainant un arrêt de la production sur plusieurs semaines.

Il est donc essentiel, vis-à-vis de la politique de cyber-sécurité, que les réflexes irriquent le fonctionnement de l’entreprise. « Il faut prévoir une cellule de crise en cas d’incident cyber, ce qui évite d’agir dans la panique et de manière inappropriée », rappelle Myriam Quéméner. « Face à une attaque on a tendance à réagir en informaticien, mais il y a très vite des incidents juridiques, la direction juridique doit donc être associée à la mise en place de ces cyber-réflexes », poursuit la magistrate. Il faut donc bien connaître les infractions qui pourraient être retenues. Il existe deux grandes catégories : les infractions spécifiques aux technologies de l’information et de la communication (TIC) et les infractions dont la commission est liée ou facilitée par ces TIC.

Il est également nécessaire de se renseigner sur les services spécialisés (ANSSI, Police, Gendarmerie). En cas d’incident de sécurité, selon le type de structure visée, une notification sera nécessaire : l’ARS pour le secteur de la santé, en cas « d’incidents graves de sécurité » ou l’ANSSI pour les OIV (opérateurs d’importance vitale). S’il y a violation de données à caractère personnel pouvant présenter un risque pour les personnes, il faudra également notifier la CNIL (72 heures après la connaissance de l’incident).

Il faut, par ailleurs, suite à la survenance d’une cyberattaque, rassembler des indices numériques et les préserver dans la mesure du possible. Ils seront en effet utiles par la suite dans le cas d’un dépôt de plainte et d’une procédure judiciaire. Cela peut être, par exemple, une analyse de réseau, une collecte d’adresses IP, un suivi des historiques de navigation, la conservation des échanges éventuels avec les cybercriminels (qui auraient revendiqué la cyberattaque et réclamé une rançon). « Des échanges téléphoniques permettront de caractériser une tentative d’extorsion, ou une démarche de chantage », illustre Myriam Quéméner.

Il faut ensuite, si possible, faire des captures d’écran avec la date et l’heure, et conserver les adresses URL. « Un contact peut être pris avec cybermalveillance.com, la plateforme va orienter l’entreprise grâce à des experts et des sociétés labellisées par l’ANSSI et ces éléments pourront être recueillis dans des conditions exploitables », précise-t-elle.

La politique de cybersécurité doit également passer par de la sensibilisation et la formation des nouveaux collaborateurs. Pour Myriam Quéméner, il est essentiel de porter à la connaissance de ces derniers la charte informatique, qui est en constante évolution et doit tenir compte de ces risques numériques (utilisation des outils numériques de l’entreprise et des outils personnels, des réseaux sociaux, et, plus récemment, du télétravail). Il faut dire que le Rapport mondial d’analyse comparative du Gone Phishing Tournament 2021 a révélé qu’un salarié sur cinq était encore enclin, aujourd’hui, à cliquer sur un lien contenu dans un mail d’origine malveillante.

Le dépôt de plainte

Si, pendant longtemps, les entreprises avaient peur de déposer plainte, craignant des atteintes à leur réputation, désormais, beaucoup osent franchir le pas. « Il faut déposer plainte rapidement après la commission des faits, car il y a, en matière de preuve numérique, toujours un risque de dépérissement », alerte l’avocate générale. Les assurances proposent de plus en plus d’offres pour garantir le risque de cyberattaques, même si le secteur reste encore peu développé (quelque 0,0026 % des PME sont assurées).

Mais la question de savoir s’il faut payer ou non la rançon fait encore débat. Des travaux parlementaires ont notamment préconisé de ne pas payer, insistant sur la nécessité de légiférer en la matière. Le ministère de l’Economie et des Finances a par ailleurs lancé un groupe de travail associant professionnels des assurances et entreprises, notamment pour trouver des solutions à ce problème. Mais pour Myriam Quéméner, le sujet n’est pas complètement stabilisé aujourd’hui. « L’ANSSI, en lien avec le Parquet de Paris, a clairement déconseillé de payer les rançons. Il faut dire que payer ne garantit pas de récupérer ses données. L’arnaque peut se poursuivre jusqu’au bout : les cyber-délinquants font miroiter la possibilité de récupérer ses données et finalement, il n’en est rien ». Une autre raison explique cette prise de position : payer revient à alimenter les réseaux criminels derrière ces attaques.

L’entreprise doit quoi qu’il en soit rester discrète lorsqu’elle souscrit une police de ce type. En effet, si le cyber-délinquant venait à avoir accès à l’ensemble des données de l’entreprises, il pourrait faire encore davantage « chanter » l’entreprise. La magistrate de conclure : « Rien ne vaut l’anticipation. La prévention des risques doit prendre le pas sur la répression. Normalement, la responsabilité de l’entreprise ne devrait pas être mise en cause si tout est anticipé. Il faut, pour cela, ne pas s’isoler et ne pas hésiter à se tourner vers les structures existantes ».

Les données chiffrées sont notamment issues du rapport du Club des juristes intitulé « Le droit pénal à l’épreuve des cyberattaques ».

Partager :
Abonnez-vous
  • Abonnement intégral papier + numérique

  • Nos suppléments et numéros spéciaux

  • Accès illimité à nos services

S'abonner
Journal du 14 janvier 2022

Journal du14 janvier 2022

Journal du 07 janvier 2022

Journal du07 janvier 2022

Journal du 31 décembre 2021

Journal du31 décembre 2021

Journal du 24 décembre 2021

Journal du24 décembre 2021

S'abonner
Envoyer à un ami
Connexion
Mot de passe oublié ?