[Avis d'expert] Cyberattaques : les entreprises n’ont plus le droit à l’erreur

Les cyberattaques se multiplient dans un monde de plus en plus numérique. Vol de données, logiciels espions, cryptage contre rançon : les entreprises doivent être mieux préparées à ces menaces protéiformes à fort enjeu juridique. Il faut agir maintenant, estime Arnaud Tessalonikos, avocat et directeur associé chargé du pôle droit des technologies de l’information de Fidal Paris.

Partager

TESTEZ GRATUITEMENT L'ABONNEMENT À L'USINE NOUVELLE

15 jours gratuits et sans engagement

[Avis d'expert] Cyberattaques : les entreprises n’ont plus le droit à l’erreur
À mesure que la numérisation de l'économie progresse, les risques de cyberattaques augmentent.

Plus une seule semaine ne passe sans que l’on entende parler de cyberattaques, parfois massives. Derniers exemples en date : le vol des données médicales de 500 000 Français suite à l’exploitation d’une faille informatique, ou encore l’intrusion d’un logiciel espion dans un outil de messagerie de Microsoft, affectant 30 000 organisations américaines. À ceci s’ajoutent les vols quotidiens d’identifiants et de mots de passe au sein de sociétés pourtant très vigilantes sur ce sujet.

Une cybercriminalité en forte croissance

Le phénomène connaît une accélération compréhensible. Dans un monde où le poids économique du numérique s’accroît sans cesse et finit par supplanter progressivement la valeur des biens physiques, la valorisation des entreprises repose de plus en plus sur leurs actifs immatériels et notamment leurs données. Les vols par effraction ou encore les braquages seront un jour relégués aux films d’action. La criminalité devient silencieuse et se fait à distance.

La cybercriminalité est décuplée par la généralisation du télétravail depuis l’an dernier, mais aussi par la multiplication des objets connectés et par le développement accru d’algorithmes traitant de vastes quantités d’informations. Ces éléments génèrent autant de failles et de cibles potentielles pour les cybercriminels cherchant à s’introduire au sein d’une organisation, notamment pour s’emparer de données qui seront ensuite utilisées ou revendues.

A LIRE AUSSI

Les entreprises et les administrations sont heureusement conscientes de ces dangers et font des efforts pour s’en prémunir. Les attitudes à adopter sont répétées aux collaborateurs. Mots de passe sophistiqués, VPN et restrictions d’accès constituent le quotidien de nombreux salariés. Au sein des services informatiques, des efforts sont faits à tous les niveaux pour sécuriser les systèmes dans leur globalité. Pour autant, le risque zéro n’existe pas. Le simple vol d’un portable suffit parfois à créer une faille de sécurité significative.

Un double enjeu, préventif et curatif

Au-delà du fait qu’elles doivent protéger leurs propres données face au risque de cryptage par un ransomware par exemple, les entreprises doivent surtout protéger les données de leurs clients.

C’est pour cette raison que les entreprises doivent être en mesure de parer à toute éventualité. L’aspect préventif de la lutte contre les cyberattaques est fondamental. Car au-delà du fait qu’elles doivent protéger leurs propres données face au risque de cryptage par un ransomware par exemple, les entreprises doivent surtout protéger les données de leurs clients. Il s’agit en effet d’une obligation légale : les évolutions législatives ont amené les entreprises à devenir garantes de la sécurité des données qu’elles traitent. En cas de fuite, si une entreprise n’est pas en mesure de prouver qu’elle s’était dotée d’un système de sécurité a priori suffisant pour faire face à ce risque, elle pourra être jugée responsable des dommages subis par ses clients.

De même, pour bénéficier d’un éventuel dédommagement, la réalité de l’infraction alléguée devra être prouvée. Or, ces preuves sont parfois volatiles. Tels les rares indices laissés sur les lieux d’un crime, ces éléments ne doivent pas être effacés par erreur et leur collecte doit obéir à certaines règles. Les entreprises doivent donc connaître les bases du volet curatif, c’est-à-dire les actions à mener lorsqu’une attaque parvient à ses fins. Rares sont les entreprises qui connaissent la plate-forme Pharos, l’OCLCTIC ou le C3N, qui constituent pourtant, en France, les premiers organismes à contacter en cas de cyberattaque. C’est en ayant les bons réflexes qu’un tel événement pourra être maîtrisé dans les meilleures conditions et l’entreprise protégée sur le plan juridique.

Un besoin de standardisation des niveaux de sécurité

On comprend, dès lors, l’importance cruciale de ce sujet pour les entreprises. Il serait utile, pour ne pas dire essentiel, de développer de nouveaux standards en matière de sécurité informatique. L’idée ? Que les entreprises puissent délivrer à leurs clients et prospects un certificat prouvant la qualité globale de leur niveau de sécurité en détaillant leurs procédures.

Le principe existe déjà dans le monde des datacenters, qui sont certifiés Tier 1, Tier 2, Tier 3 ou Tier 4 selon leur niveau de sécurité. Un système semblable pourrait se développer à l’avenir au sein des entreprises, répondant aux attentes croissantes des clients. Une certification informatique de niveau élevé justifierait également des tarifs revus à la hausse.

En somme, le numérique a déjà prouvé qu’il était un formidable vecteur de créativité et d’efficacité. Il devra désormais démontrer qu’il peut aussi être un formidable vecteur de sécurité.

Arnaud Tessalonikos, avocat - directeur associé chargé du pôle droit des technologies de l’information de Fidal Paris

Les avis d'experts sont publiés sous l'entière responsabilité de leurs auteurs et n'engagent en rien la responsabilité de la rédaction de L'Usine Nouvelle.

Partager

LES ÉVÉNEMENTS L'USINE NOUVELLE

LES SERVICES DE L'USINE NOUVELLE

ARTICLES LES PLUS LUS