Paru dans La Lettre des Juristes d’Affaires, N°1329 du 11/12/2017
« Prévenir, c’est presque guérir », c’est ainsi que l’on pourrait résumer les recommandations faites aux entreprises lors de la conférence organisée le 5 décembre par la LJA sur la cybersécurité et les données personnelles, en partenariat avec Reed Smith et White & Case.
Au cours de deux tables rondes successives, les intervenants ont livré leurs analyses sur les processus à mettre en place pour prévenir les cyberattaques, se préparer à l’entrée en vigueur du règlement général sur la protection des données (RGPD) et gérer les conséquences des défaillances du système d’information.
C’est Ludovic Malgrain, associé du cabinet White & Case, qui a ouvert les débats en attirant l’attention sur le fait que d’ici à 2020, la délinquance liée à la cybercriminalité aura quadruplé. « C’est la grande menace du 21e siècle », souligne-t-il. Il insiste également sur le fait que ces attaques ne doivent pas être, pour les entreprises, une fatalité. « Des solutions organisationnelles existent, et la formation des salariés a permis de faire un pas immense ». Sylvie Sanchis, commissaire de police et chef de la Brigade d’enquête sur les fraudes aux technologies de l’information (BEFTI) relève pour sa part qu’en 2016, la pratique du ransomware* a connu « une véritable explosion. Elle représente plus d’un tiers des attaques et nous avons plus d’une centaine de dossiers à la brigade, alors que nous n’en avions que cinq en 2016 ». La commissaire pointe du doigt le « manque de maturité numérique des sociétés, qui, notamment ne procèdent pas aux sauvegardes de leurs données sur des supports extérieurs ». Dans 30 à 40 % des cas, les ransomware sont la conséquence de conflits internes, avec des salariés ou des associés. Et d’insister sur la difficulté à identifier les auteurs de telles attaques puisque, jusqu’à présent, aucune interpellation n’a eu lieu dans le monde.
Quelques chiffres
En amont de la conférence, la LJA a réalisé un sondage par courriel auprès des participants
Cybersécurité
87 % des entreprises de plus de 500 personnes considèrent avoir des connaissances faibles ou moyennes en cybersécurité ;
37 % des répondants de la même catégorie considèrent avoir une connaissance précise des différents types de cyberattaques et des réac- tions appropriées ;
62,5 % au sein d’entreprises de plus de 500 personnes ont mise en place un mode opératoire de gestion de crise en cas d’attaque ;
40 % ont mis en place des exercices de simulation de cyberattaque ;
RGPD
La totalité des entreprises de plus de 500 personnes qui ont répondu ont lancé le chantier de la RGPD
50 % de ces entreprises estiment que leur connaissance des nouvelles obli- gations en la matière sont bonnes et 50 % qu’elles sont mauvaises ;
75 % des répondants considèrent que le RGPD est un élément de compétiti- vité pour l’entreprise ;
25% estiment avoir une bonne perception des différents contentieux pouvant émerger à l’issue de la mise en œuvre du RGPD ;
Plainte et « back to business »
Il est fondamental pour les entreprises victimes de cyberattaques de porter plainte, et ce, le plus rapidement possible. Nombre d’entre elles ne le font pas, par crainte de s’exposer. « Et en cas de plainte, nous ne voulons pas être un service qui délivre un simple récépissé pour l’assureur, ou une sorte de médecin légiste qui intervient des mois après l’attaque, car c’est inutile », souligne Sylvie Sanchis. Elle pointe la nécessité pour les entreprises de faire appel rapidement à la police et de préserver les preuves de l’attaque. Selon Nicolas Arpagian, directeur de la stratégie et des affaires publiques pour Orange cyberdefense, si la préoccupation première des entreprises lors d’une attaque est de revenir à une situation normale (back to business), il faut mettre en œuvre une politique de sauvegarde des preuves et circonscrire la menace.
Elaborer une politique de prévention et la valoriser
Stanislas de Maupeou, vice-président stratégie et marketing, systèmes d’information critiques et cybersécurité au sein de Thalès, a voulu rassurer l’auditoire : « La bataille n’est pas perdue d’avance, il existe des systèmes peu coûteux et simples pour se protéger ». L’immense majorité des problèmes rencontrés par les entreprises ne serait en effet pas due à des attaques malveillantes ciblées, mais plutôt à la mauvaise qualité du code employé. « Il faut constamment tester les codes, vérifier qu’ils ne sont pas vulnérables aux attaques. C’est un coût pour l’entreprise ». Les chiffres sont surprenants : dans le secteur industriel, 4 % seulement du budget informatique est consacré à la sécurité. « C’est un peu plus dans le milieu bancaire, 7 à 8 % », indique Stanislas de Maupeou. Ludovic Malgrain suggère pour sa part aux entreprises désireuses d’élaborer une stratégie en la matière de se référer à la loi de programmation militaire de 2013. « Ce texte fixe le tronc commun des règles à envisager, et les arrêtés donnent des éléments pour élaborer la cartographie des risques dans l’entreprise ». « Il ne sert à rien d’élaborer une feuille de route très stricte si elle n’est pas suivie » modère toutefois Nicolas Arpagian. Il appartient aux chefs d’entreprise de définir ce qui est essentiel pour eux. Le dirigeant ne doit pas considérer la cybersécurité comme une contrainte, mais au contraire, comme un vecteur de valorisation de son cœur de métier. La mise en place d’une politique en la matière doit être traitée comme « un élément valorisable et différenciateur ». Il pronostique d’ailleurs que les agences de notation financière vont prendre en compte le niveau de cybersécurité pour évaluer l’entreprise.
RGPD : un changement de paradigme
Le RGPD, le nouveau règlement européen sur les données personnelles, s’appliquera dès le 25 mai 2018 à toute entreprise qui collecte, traite et stocke des données personnelles et dont l’utilisation peut directement ou indirectement identifier une personne. Il leur impose un certains nombre d’obligations. Selon Valérie Valais, directrice affaires publiques et corporate development au sein de Dassault Systemes, ce règlement marque un changement de paradigme pour l’entreprise. « Le RGPD va renforcer le droit des individus, mais aussi alléger les charges pour les entreprises ». Il supprime ainsi la formalité de la déclaration préalable à l’autorité de contrôle d’un système de traitement des données personnelles, même si certains droits nationaux la conserveront. Mais il opère un véritable renversement de la charge de la preuve, puisque ce sera désormais à l’entreprise concernée de démontrer qu’elle s’est conformée à la RGPD.
Juliette Rouilloux-Sicre, group data protection officer & cybersecurity legal director chez Thalès, relève cependant que le règlement prévoit 56 renvois au droit national, ce qui laisse aux Etats membres une large marge de manœuvre. Ils pourront ainsi prévoir des dispositifs plus contraignants, notamment en ce qui concerne les données sensibles, comme par exemple celles relatives à la santé. Christophe Richard, directeur médical de Santeos, ajoute qu’avec ce dispositif, les données sensibles pourront être traitées avec un niveau de sécurité supérieur. Il donne notamment l’exemple des données de facturation d’un dispositif médical, qui devraient faire l’objet d’une protection de niveau égal à celle des données relatives à une pathologie.
Un investissement
La mise en œuvre du RGPD suppose d’impliquer l’ensemble des fonctions de l’entreprise et que le règlement incite, comme en matière de cybersécurité, à établir une cartographie des risques. C’est finalement une véritable politique stratégique qui doit être mise en œuvre. « Elle oblige à la refonte des processus » souligne Valérie Valais. Les dirigeants doivent comprendre qu’il s’agit d’un investissement, qui apporte à l’entreprise un avantage concurrentiel et une sécurité juridique accrue. Juliette Rouilloux-Sicre plaide aussi pour que le top management soit sensibilisé à ces questions. « La capacité d’identification des erreurs et des anomalies est un élément marketing ».
72 heures pour réagir en cas de faille
En cas de faille dans le système de traitement des données personnelles, l’entreprise a 72 heures pour réagir et mettre en œuvre les éventuelles procédures de notification, le RGPD prévoyant des sanctions spécifiques en cas de carence. « Il faut impérativement prévoir des procédures d’alerte rapide en cas de violation, par exemple un formulaire à envoyer par le salarié qui perd une clé USB dans le métro », renchérit Valérie Valais. Le délai imparti est très court, notamment lorsque le système de traitement des données personnelles est géré par un, voire plusieurs sous-traitants sur un cloud. « La procédure de notification est une source de responsabilité, prévient Daniel Kadar, associé du cabinet Reed Smith, et les sanctions peuvent être très lourdes puisque le RGPD prévoit des amendes qui peuvent aller jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondialisé ». Le risque juridique est double puisqu’en cas de faille, l’entreprise est exposée non seulement à la sanction par l’autorité de contrôle, mais également à des actions de groupe de la part des clients touchés par la faille dans le système de traitement. Et en la matière, le rôle du juriste est bien sûr crucial. « Tout doit être parfaitement défini et anticipé, résume Christophe Richard. Il ne faut pas de zones grises. La zone grise est l’ennemi du RGPD ».
« La cybersécurité et le RGPD sont finalement les deux faces d’une même médaille, conclut Daniel Kadar. Ce ne sont en réalité pas deux chantiers qui doivent être mis en œuvre dans les entreprises, mais un seul. Car se conformer au RGPD permettra à l’entreprise de se prémunir des cyber attaques ».