[Avis d'expert] Cyberattaques : les entreprises n’ont plus le droit à l’erreur

Les cyberattaques se multiplient dans un monde de plus en plus numérique. Vol de données, logiciels espions, cryptage contre rançon : les entreprises doivent être mieux préparées à ces menaces protéiformes à fort enjeu juridique. Il faut agir maintenant, estime Arnaud Tessalonikos, avocat et directeur associé chargé du pôle droit des technologies de l’information de Fidal Paris.

Partager
[Avis d'expert] Cyberattaques : les entreprises n’ont plus le droit à l’erreur
À mesure que la numérisation de l'économie progresse, les risques de cyberattaques augmentent.

Plus une seule semaine ne passe sans que l’on entende parler de cyberattaques, parfois massives. Derniers exemples en date : le vol des données médicales de 500 000 Français suite à l’exploitation d’une faille informatique, ou encore l’intrusion d’un logiciel espion dans un outil de messagerie de Microsoft, affectant 30 000 organisations américaines. À ceci s’ajoutent les vols quotidiens d’identifiants et de mots de passe au sein de sociétés pourtant très vigilantes sur ce sujet.

Une cybercriminalité en forte croissance

Le phénomène connaît une accélération compréhensible. Dans un monde où le poids économique du numérique s’accroît sans cesse et finit par supplanter progressivement la valeur des biens physiques, la valorisation des entreprises repose de plus en plus sur leurs actifs immatériels et notamment leurs données. Les vols par effraction ou encore les braquages seront un jour relégués aux films d’action. La criminalité devient silencieuse et se fait à distance.

La cybercriminalité est décuplée par la généralisation du télétravail depuis l’an dernier, mais aussi par la multiplication des objets connectés et par le développement accru d’algorithmes traitant de vastes quantités d’informations. Ces éléments génèrent autant de failles et de cibles potentielles pour les cybercriminels cherchant à s’introduire au sein d’une organisation, notamment pour s’emparer de données qui seront ensuite utilisées ou revendues.

À LIRE AUSSI

Cybersécurité : 2021 pire que 2020 ?

Les entreprises et les administrations sont heureusement conscientes de ces dangers et font des efforts pour s’en prémunir. Les attitudes à adopter sont répétées aux collaborateurs. Mots de passe sophistiqués, VPN et restrictions d’accès constituent le quotidien de nombreux salariés. Au sein des services informatiques, des efforts sont faits à tous les niveaux pour sécuriser les systèmes dans leur globalité. Pour autant, le risque zéro n’existe pas. Le simple vol d’un portable suffit parfois à créer une faille de sécurité significative.

Un double enjeu, préventif et curatif

Au-delà du fait qu’elles doivent protéger leurs propres données face au risque de cryptage par un ransomware par exemple, les entreprises doivent surtout protéger les données de leurs clients.

C’est pour cette raison que les entreprises doivent être en mesure de parer à toute éventualité. L’aspect préventif de la lutte contre les cyberattaques est fondamental. Car au-delà du fait qu’elles doivent protéger leurs propres données face au risque de cryptage par un ransomware par exemple, les entreprises doivent surtout protéger les données de leurs clients. Il s’agit en effet d’une obligation légale : les évolutions législatives ont amené les entreprises à devenir garantes de la sécurité des données qu’elles traitent. En cas de fuite, si une entreprise n’est pas en mesure de prouver qu’elle s’était dotée d’un système de sécurité a priori suffisant pour faire face à ce risque, elle pourra être jugée responsable des dommages subis par ses clients.

De même, pour bénéficier d’un éventuel dédommagement, la réalité de l’infraction alléguée devra être prouvée. Or, ces preuves sont parfois volatiles. Tels les rares indices laissés sur les lieux d’un crime, ces éléments ne doivent pas être effacés par erreur et leur collecte doit obéir à certaines règles. Les entreprises doivent donc connaître les bases du volet curatif, c’est-à-dire les actions à mener lorsqu’une attaque parvient à ses fins. Rares sont les entreprises qui connaissent la plate-forme Pharos, l’OCLCTIC ou le C3N, qui constituent pourtant, en France, les premiers organismes à contacter en cas de cyberattaque. C’est en ayant les bons réflexes qu’un tel événement pourra être maîtrisé dans les meilleures conditions et l’entreprise protégée sur le plan juridique.

Un besoin de standardisation des niveaux de sécurité

On comprend, dès lors, l’importance cruciale de ce sujet pour les entreprises. Il serait utile, pour ne pas dire essentiel, de développer de nouveaux standards en matière de sécurité informatique. L’idée ? Que les entreprises puissent délivrer à leurs clients et prospects un certificat prouvant la qualité globale de leur niveau de sécurité en détaillant leurs procédures.

Le principe existe déjà dans le monde des datacenters, qui sont certifiés Tier 1, Tier 2, Tier 3 ou Tier 4 selon leur niveau de sécurité. Un système semblable pourrait se développer à l’avenir au sein des entreprises, répondant aux attentes croissantes des clients. Une certification informatique de niveau élevé justifierait également des tarifs revus à la hausse.

En somme, le numérique a déjà prouvé qu’il était un formidable vecteur de créativité et d’efficacité. Il devra désormais démontrer qu’il peut aussi être un formidable vecteur de sécurité.

Arnaud Tessalonikos, avocat - directeur associé chargé du pôle droit des technologies de l’information de Fidal Paris

Les avis d'experts sont publiés sous l'entière responsabilité de leurs auteurs et n'engagent en rien la responsabilité de la rédaction de L'Usine Nouvelle.

SUR LE MÊME SUJET

Sujets associés

NEWSLETTER La Quotidienne

Nos journalistes sélectionnent pour vous les articles essentiels de votre secteur.

Votre demande d’inscription a bien été prise en compte.

Votre email est traité par notre titre de presse qui selon le titre appartient, à une des sociétés suivantes...

Votre email est traité par notre titre de presse qui selon le titre appartient, à une des sociétés suivantes du : Groupe Moniteur Nanterre B 403 080 823, IPD Nanterre 490 727 633, Groupe Industrie Service Info (GISI) Nanterre 442 233 417. Cette société ou toutes sociétés du Groupe Infopro Digital pourront l'utiliser afin de vous proposer pour leur compte ou celui de leurs clients, des produits et/ou services utiles à vos activités professionnelles. Pour exercer vos droits, vous y opposer ou pour en savoir plus : Charte des données personnelles.

LES ÉVÉNEMENTS L'USINE NOUVELLE

Tous les événements

LES PODCASTS

A Grasse, un parfum de renouveau

A Grasse, un parfum de renouveau

Dans ce nouvel épisode de La Fabrique, Anne Sophie Bellaiche nous dévoile les coulisses de son reportage dans le berceau français du parfum : Grasse. Elle nous fait découvrir un écosystème résilient, composé essentiellement...

Écouter cet épisode

Les recettes de l'horlogerie suisse

Les recettes de l'horlogerie suisse

Dans ce nouvel épisode de La Fabrique, notre journaliste Gautier Virol nous dévoile les coulisses de son reportage dans le jura suisse au coeur de l'industrie des montres de luxe.

Écouter cet épisode

Le rôle des jeux vidéo dans nos sociétés

Le rôle des jeux vidéo dans nos sociétés

Martin Buthaud est docteur en philosophie à l'Université de Rouen. Il fait partie des rares chercheurs français à se questionner sur le rôle du jeu vidéo dans nos sociétés.

Écouter cet épisode

Les coulisses d'un abattoir qui se robotise

Les coulisses d'un abattoir qui se robotise

Dans ce nouvel épisode de La Fabrique, Nathan Mann nous dévoile les coulisses de son reportage dans l'abattoir Labeyrie de Came, dans les Pyrénées-Atlantiques, qui robotise peu à peu ses installations.

Écouter cet épisode

Tous les podcasts

LES SERVICES DE L'USINE NOUVELLE

Trouvez les entreprises industrielles qui recrutent des talents

Safran

CHEF DE PROJET IT F/H

Safran - 22/11/2022 - CDI - Vélizy-Villacoublay

+ 550 offres d’emploi

Tout voir
Proposé par

Accédez à tous les appels d’offres et détectez vos opportunités d’affaires

974 - ST PIERRE

Acquisition de véhicules de transport en commun de type minicars.

DATE DE REPONSE 13/01/2023

+ de 10.000 avis par jour

Tout voir
Proposé par

ARTICLES LES PLUS LUS