Prévenir le risque juridique

La cybersécurité ! Un enjeu stratégique pour les entreprises

L’assurance, une protection juridique des risques visant les systèmes d’information

L’internet et plus généralement l’informatique ont ouvert l’entreprise vers de nouveaux marchés en bouleversant les notions géographiques et temporelles. La relation commerciale est maintenant à un clic de souris et le nouveau client peut être à l’autre bout du monde. Cependant cette nouvelle médiatisation expose l’entreprise à la convoitise en la rendant accessible par la voie des réseaux informatiques.

Les cyberattaques, celles utilisant les réseaux et les moyens informatiques, sont une réalité. Opportunistes ou ciblées, elles peuvent avoir un but mercantile ou une visée stratégique. D’une prise en otage de l’entreprise, en chiffrant sournoisement le système d’information par un code malveillant, à l’exfiltration de fichiers sensibles comme une base client ou un savoir-faire pointu, les agresseurs emploient des méthodes rodées appuyées par des experts vendant leurs exploits aux plus offrants. Les menaces sont protéiformes, passant par le vol de données, l’ingénierie sociale, l’infection virale, l’usurpation d’identité (comme les faux ordres de virement internationaux) ou le phishing sur les sites web ou la messagerie.

 

Les risques liés à la cybermenace ne doivent pas être ignorés par les dirigeants

Le risque économique est celui qui est le plus facilement mesurable. Il s’agit par exemple de la perte d’exploitation liée à l’indisponibilité d’un site web marchand par un déni de service le rendant inaccessible. Il peut s’agir de la perte de nouveaux contrats liée au vol de données commerciales ou de données clients.

Le risque d’image en est la conséquence. Plus difficilement mesurable par anticipation, il peut avoir des conséquences catastrophiques en raison de la perte de confiance dans l’entreprise surtout si l’attaque est accompagnée de dénigrements sur les réseaux sociaux.

Le dernier et non le moindre est le risque juridique. La responsabilité civile et pénale du dirigeant est engagée en cas de mauvaise protection de son système d’information surtout si celle-ci entraine la divulgation de données personnelles.

C’est là que les assurances peuvent pleinement jouer leur rôle en proposant une couverture des pertes financières. Parmi celles-ci citons les pertes d’exploitation, les coûts de notification à la CNIL et aux clients, les frais d’expertise, les coûts de la gestion de crise et de la communication pour rétablir l’impact sur l’image, et bien sûr les frais de justice et d’éventuelles sanctions pécuniaires.

 

Prévention, protection, réaction

La première démarche pour réduire les risques est d’apprendre à bien les connaître. La sensibilisation des collaborateurs et des dirigeants de l’entreprise est essentielle. Ils doivent connaître les menaces et adopter de bons comportements, au travail et pendant leurs déplacements.

La mise en place par le service informatique des mesures de sécurité doit permettre de protéger efficacement le système d’information. Pour aider l’entreprise, l’ANSSI[1] a édité un « guide d’hygiène informatique » qui donne les règles essentielles qui devraient toujours être mises en place.

En cas d’attaque avérée, il est essentiel de porter plainte auprès des autorités compétentes. Il faut considérer le SI qui a été attaqué comme une « scène de crime » afin de préserver les indiques et traces qui serviront aux enquêteurs dans leurs investigations.

Voici les coordonnées des services spécialisés selon votre localisation :

  • Dans les grandes villes : l’office central de lutte contre la criminalité liée aux technologies de l’information (OCLCTIC) au 01 49 27 49 27 ;
  • Sur Paris et petite couronne : la brigade d’enquêtes sur les fraudes aux technologies de l’information (BEFTI) au 01 55 75 26 19 ;
  • Sur le reste de la France contacter le 17en demandant un référent nouvelles technologies de la Gendarmerie (NTECH) ;
  • Pour les administrations ou collectivités locales contacter l’ANSSI au 01 71 75 84 50.

 

 

[1] Agence Nationale pour la Protection des Systèmes d’Information

Thierry Autret