Le point de vue des dirigeants

Cyberattaques : l’arsenal juridique à mettre en place

Chaque jour, les directeurs juridiques traitent une multitude de questions légales en rapport plus ou moins direct avec les métiers de leur entreprise. Mais lorsqu’ils doivent gérer une cyberattaque, la tension monte d’un cran. Sachant qu’aucune méthode de prévention est 100 % efficace et que toutes les entreprises sont des cibles potentielles, vivre en permanence avec cette épée de Damoclès est source de stress. Notre dernier rapport M-Trends 2019 révèle d’ailleurs que dans tous les secteurs d’activité, des entreprises ont été victimes de violations de sécurité l’an dernier.

La mise en place d’un plan de réponse à incident (IR) approprié s’impose. Mais avant de plancher sur la question, les juristes d’entreprise doivent bien cerner les enjeux et conséquences d’une compromission. Outre leurs capacités sans précédent à infiltrer les réseaux, les hackers sont passés maîtres dans l’art du camouflage pour éviter de se faire repérer. Selon le rapport M-Trends 2019, la durée médiane d’implantation, c’est-à-dire le temps de présence d’un attaquant sur un réseau avant qu’il ne soit débusqué, était de 78 jours en 2018 à l'échelle mondiale. C’est beaucoup plus de temps qu’il n’en faut pour s’emparer de données sensibles (propriété intellectuelle, identifiants personnels, secrets commerciaux, etc.).

Autre élément à prendre en compte : les coûts. Selon une étude menée en 2018, l’impact financier d’une violation de données s’élèverait en moyenne à 3,86 millions de dollars à l’échelle mondiale. S’ajoutent ensuite les conséquences immatérielles comme l’atteinte à la réputation et l’image de la marque ; l’érosion de la confiance des clients et des actionnaires ; et enfin le temps, l’énergie et les sommes à engager dans les actions en justice et le versement de dommages et intérêts. Selon les cas, d’autres coûts pourront encore venir corser l’addition : amendes pour infraction à la réglementation, renforcement de la sécurité informatique, audits post-incidents et perte de productivité des salariés.

Devant de tels enjeux, les services juridiques ne peuvent, et ne doivent, pas partir seuls au front. Après tout, la cybersécurité est un travail d’équipe. La mise en œuvre d’un plan de réponse à incident (IR) robuste passe par une collaboration entre la direction juridique et le RSSI, ainsi qu’une coordination efficace avec d’autres pôles stratégique de l’entreprise comme la Finance et le Marketing. Ce plan exige également d’impliquer la direction de l’entreprise et, dans certains cas, de faire appel à une expertise externe.

Dans ce monde marqué par l’omniprésence du cyber-risque, le grand enjeu pour les juristes d’entreprise est de se préparer à toute éventualité et d’adopter les bons réflexes en situation de crise. Ces quelques recommandations devraient vous aider à y parvenir.

Collaboration. Travaillez avec tous les grands acteurs de l’entreprise, à commencer par les RSSI pour faire un point complet sur les données : niveau de criticité, dispositifs de protection, lieux de stockage et d’accès, visibilité de l’équipe de sécurité sur les ressources informatiques, etc. Autant d’éléments qui permettront d’identifier les données et ressources présentant le plus d’intérêt aux yeux des attaquants (valeur à la revente, secrets industriels, délits d’initié, etc.). Aujourd’hui, la cybersécurité n’est plus de la seule responsabilité des RSSI. L’ampleur de la menace impose un partenariat étroit entre les directions informatiques et juridiques.

Planification. Développez un plan IR et attribuez les rôles essentiels à son exécution : PDG, RSSI, Directeurs marketing, services juridiques internes/externes, professionnels de la communication (relations publiques, relations avec les investisseurs, etc.), spécialistes externes de la réponse à incident/l’analyse forensique, etc.

Une fois l’ossature de l’équipe constituée, mettez en place un système d’astreinte des différents intervenants pour agir rapidement en cas d’incident. L’expertise d’un spécialiste de la forensique sera particulièrement utile pour décortiquer les mécanismes de l’attaque (séquence des événements, informations volées, ressources compromises, riposte à engager, etc.) le plus rapidement possible. Plus vous vous préparez en amont, plus vite l’équipe trouvera ses automatismes en situation de crise.

Un autre aspect important de la planification consiste à passer à la loupe les obligations contractuelles des fournisseurs dotés d’accès à des données ou informations sensibles. Vous pourrez ainsi mieux comprendre les mesures de cybersécurité et les procédures en place en cas de compromission. Nous vous recommandons par ailleurs de vous rapprocher du RSSI et de son équipe pour effectuer un audit de sécurité des fournisseurs potentiels avant de signer le moindre contrat. Votre cabinet d’avocats fait partie de ces partenaires à auditer en priorité, car il est le dépositaire de données, documents et communications extrêmement sensibles sur des litiges, opérations de fusions-acquisitions, dépôts de brevet, conflits sociaux, etc. Nous vous encourageons également à rédiger un avenant à vos contrats en cours pour y ajouter une clause de protection et de confidentialité des données prévoyant les dispositions nécessaires en cas d’incident de sécurité chez le fournisseur.

Enfin, pensez aux exigences de notification des violations de sécurité et autres obligations de l’entreprise vis-à-vis de ses clients en cas de compromission de données sensibles.

Exécution. Testez le plan de réponse. Pour cela, conduisez des exercices de simulation de crise pour vérifier que tous les acteurs désignés sont disponibles et savent ce qu’ils ont à faire. À l’heure des réseaux sociaux et des technologies mobiles, réagir rapidement à une situation de crise est d’autant plus crucial que le législateur ne laisse que très peu de temps. Exemple : le RGPD ne donne que 72 heures pour notifier les autorités en cas de compromission de données. Travaillez avec le marketing et la direction générale pour préparer un plan de com' en amont, puis répétez différents scénarios en conditions réelles. Chaque exercice de ce type devra donner lieu à un bilan des points à retenir et actions d’amélioration à engager. Si l’équipe n’identifie aucune faille et ne pose aucune question, il y a de fortes chances que le plan comporte des lacunes.

Protection. Veillez à prendre toutes les mesures nécessaires pour assurer le secret des communications entre vous et vos avocats, de préférence au préalable, sinon dès après une violation. Compte tenu des litiges, investigations et enquêtes publiques qui accompagnent souvent les incidents de sécurité, nous ne saurions trop recommander la mise en place en amont d’une convention tripartite entre vous, vos avocats et les consultants IR de votre entreprise.

Implication. Informez régulièrement le Comité exécutif (Comex) des travaux réalisés avec le RSSI. Les responsabilités fiduciaires relatives à la cybersécurité exigent des membres du Comex qu’ils s’informent, se forment, s’impliquent et prennent leurs responsabilité dans le mesure du « raisonnable », avec tout ce que cette notion recouvre dans le droit des affaires. Il s’agira par exemple de s’assurer que l’entreprise recourt à des méthodes courantes de gestion des identifiants et mots de passe, engage des hackers éthiques pour réaliser des tests d’intrusion et comble les failles de sécurité connues.

Estimation. Évaluez la possibilité de souscrire un contrat de cyber-assurance dans le cadre du programme d’assurance global de l’entreprise. Les coûts d’une violation et les risques de perte encourus peuvent justifier un tel investissement. Si vous souhaitez étudier la possibilité d’un contrat de cyber-assurance, établissez un diagnostic du niveau de risque de votre entreprise sur la base de ses technologies, processus et ressources humaines. Vous pourrez ainsi identifier et classifier les risques pour calculer le montant de la police.

Au cours de ces dernières années, la cybersécurité est passée d’une problématique technique de back-office à une thématique récurrente dans les plus hautes sphères de l’entreprise. Pour beaucoup, la question n’est donc plus de savoir « si », mais bien « quand » une attaque aura lieu. En suivant ces quelques conseils, les directeurs juridiques poseront des bases solides pour bien préparer leur entreprise à faire face le jour J.