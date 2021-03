L'Usine Digitale : Quel est le rôle d'un avocat dans la gestion de la sécurité informatique des entreprises ?

Jean-Guy de Ruffray : En amont, nous pouvons proposer du conseil en cybersécurité, c'est-à-dire aider les clients à mettre en place des mesures organisationnelles qui vont leur permettre d'éviter des attaques informatiques. Evidemment, nous avons nos limites sur le plan technique. Mais nous avons des contacts privilégiés avec des sociétés de sécurité informatique qui pourront épauler nos clients.



Tout d'abord, il y a l'aspect "social", c'est-à-dire faire de la sensibilisation auprès des salariés. Car l'humain constitue encore aujourd'hui la porte d'entrée la plus courante des attaques. Puis, il y a les conseils liés à la mise en œuvre du Règlement général sur la protection des données car une attaque peut provoquer une fuite de données à caractère personnel.



Laetitia Daage : En étant en contact permanent avec les entreprises, nous nous sommes rendu compte qu'il y avait un vrai problème d'absence de conscience du risque. Dans la majorité des cas, il n'y a pas d'anticipation ni les outils adaptés. Il est aujourd'hui nécessaire de ne pas former seulement les directeurs juridiques et les directeurs des systèmes d'information. Il faut descendre plus bas dans la sensibilisation et aller sur des salariés de tous les jours qui sont susceptibles de cliquer sur des liens frauduleux ou de laisser ouverts des canaux à des cyberattaquants.



Une fois l'attaque informatique a été perpétrée, que pouvez-faire ?

JGR : C'est le rôle du "pompier". Le cas de figure est le suivant : un client nous appelle en nous expliquant qu'il est complètement bloqué. Il nous demande ce qu'il doit faire. Nous devons alors avoir les bons réflexes en matière de réglementation et agir sur le plan pénal. Par ailleurs, sur demande du client, nous pouvons aider à la communication de crise.



LD : Nous avons environ 15 jours pour recueillir les traces de connexion qui permettent de remonter la piste vers les attaquants. Il faut donc faire vite ! Tout d'abord, il faut déposer plainte. Des sociétés sont encore un peu frileuses à le faire de peur de renvoyer une mauvaise image. Nous devons les pousser en leur expliquant le bienfait de cette procédure.



Justement, en quoi est-ce indispensable de déposer plainte ?

LD : Sans plainte, les enquêteurs ne peuvent pas travailler et ne peuvent donc pas remonter la filière criminelle. C'est le Parquet qui va saisir le bon service en fonction de la famille de malware qui a infiltré le système d'information de la victime.



JGR : Il y a également un intérêt vis-à-vis des assurances pour enclencher le versement de la prestation. Il faut savoir qu'aujourd'hui le cyber risque n'est pas du tout couvert par une police d'assurance classique de type "responsabilité civile professionnelle". Donc les entreprises sont très mal protégées.



Ces plaintes aboutissent-elles réellement ?

LD : Cet aspect a beaucoup évolué. Il y a quelques années, en cas de fraude au président ou aux virements, ce que nous arrivions à faire de mieux, c'était de geler les fonds dans un pays mais nous n'étions pas encore assez bien armés pour remonter les pistes. Là-dessus, il y a eu pas mal de progrès. D'ailleurs, récemment, certains réseaux ont été démantelés par les autorités.



C'est la coopération européenne et internationale qui a beaucoup changé. Lorsqu'un service est saisi et qu'il découvre des adresses qui mènent à d'autres pays européens, il va immédiatement lancer des demandes d'entraide et/ou des commissions rogatoires internationales avec leurs homologues via Europol notamment. Ainsi, l'autorité va pouvoir accéder à des bases de données centralisées et pouvoir remonter la filière criminelle.



Bien qu'elles soient victimes de la cyberattaque, les entreprises peuvent-elles également être qualifiées de responsables aux yeux de la loi ?

JGR : En cas de cyberattaque, il y a quand même souvent une négligence ou une inattention qui a permis l'intrusion dans le système d'information. C'est le cas classique d'un salarié qui a cliqué sur un email frauduleux. D'où l'importance de procéder à des simulations de crise cyber pour sensibiliser les personnes.



Il y a également l'aspect "protection des données". Si la compliance du RGPD n'est pas assurée, c'est évident que la zone de risque est augmentée. Or, aujourd'hui, la mise en œuvre de ce texte est loin d'être complète.



L'entreprise a également des obligations à respecter pour éviter une sanction. Dans les 72 heures à compter de la connaissance de la faille, elle doit faire une notification à la Commission nationale de l'informatique et des libertés qui pourra procéder à des contrôles.



En cas de phishing, est-ce qu'un salarié peut être sanctionné ?

JGR : Pour pouvoir le sanctionner, il faut que son comportement ait été en violation soit de règles élémentaires de prudence, soit de la charte informatique. Mais bien évidemment, en cas d'attaque, la première chose à faire n'est pas de sanctionner le salarié qui a cliqué sur un lien frauduleux.



LD : Il faut comprendre que pour le salarié concerné c'est très difficile de porter cette responsabilité, en particulier si les pertes éventuelles et le coût de la remise en place du système sont élevés. Il faut avoir une gestion psychosociale des conséquences sur ce salarié. Dans un premier temps, il est donc indispensable de le préserver.



Plus généralement, pensez-vous que la législation française et européenne est suffisante pour lutter et punir les cyberattaques ?

LB : Au niveau européen, il y a une lacune. En effet, les pays membres ne sont pas harmonisés sur les délais de conservation des données par les opérateurs télécoms. En France, ils ont l'obligation de conserver ces données un an. Mais dans d'autres Etats, ce délai est différent. Or, en pratique, cela complique le travail des enquêteurs pour la récolte des preuves.



De plus, une récente décision de la Cour de justice de l'Union européenne va en quelque sorte anéantir ce principe de conservation. En effet, elle estime qu'il est interdit d'imposer une conservation de données personnelles sans une raison de gravité extrême.