Malgré les récentes avancées législatives en termes de protection des données, l’entreprise reste une cible privilégiée pour les cybercriminels. Dans un contexte d’utilisation croissante des solutions de cloud dans l’entreprise, la vulnérabilité des systèmes informatiques professionnels pose des questions de droit auxquelles le législateur a apporté des réponses fortes. Juristes et entrepreneurs doivent s’en emparer pour réduire à minima les risques pesant sur l’entreprise.

Selon l’Étude Fraude 2019[1] établi par Euler Hermes, la fréquence des cyberattaques contre les entreprises a connu une hausse importante en 2018. Le spécialiste de l’assurance-crédit dévoile que 1 entreprise sur 5 a été visée par plus de 10 tentatives de cyberattaque en 2018 en France, soit deux fois plus qu’en 2017. La situation s’aggrave aussi en ce qui concerne l’efficacité de ces attaques ; le nombre d’entreprises ayant subi un préjudice supérieur à 100.000 euros suite à une cyberattaque était de 13% l’année dernière, contre 10% en 2017.

Paradoxalement, cette même étude dévoile le relatif manque d’intérêt des entrepreneurs dans la défense de leurs systèmes informatiques : 6 entreprises françaises sur 10 n’auraient pas alloué de budget pour lutter contre la menace que représente la cybercriminalité.

De nombreux dispositifs, préventifs comme répressifs, permettent de lutter contre ces menaces et assurent la sécurité des entreprises dans le cyberespace. Le droit de la cybersécurité participe à l’identification et à la maîtrise des risques afin de protéger les entreprises contre les atteintes portées à leur patrimoine numérique. Afin de prévenir la commission de telles infractions, les entreprises se voient imposer la mise en place de système de sécurité renforcée pour protéger leurs réseaux et équipements, leurs serveurs, leurs applications et leurs données.

QUELS RISQUES POUR LES ENTREPRISES ?

L’intrusion dans les systèmes d’information est une des 5 attaques les plus répandues parmi les pirates s’attaquant aux entreprises. Selon le rapport M-Trends 2019 de FireEye [2], la durée moyenne d’implantation d’un attaquant sur le réseau d’une entreprise victime était de 78 jours en 2018. De plus selon les auteurs, « une entreprise victime d’une compromission a beaucoup plus de chances d’être à nouveau prise pour cible ».

Une fois le pirate introduit dans le réseau informatique de l’entreprise, ce dernier peut utiliser les données à sa disposition de plusieurs manières ;

• en collectant les plus précieuses d’entre elles (propriété intellectuelle, comptabilité, données clients) et espérer obtenir une rançon contre leur restitution et/ou leur non-divulgation
• en utilisant les informations dont il dispose comme point de départ d’une fraude plus étendue

Cette intrusion est en effet souvent la porte d’entrée vers d’autres formes de fraudes, beaucoup plus traditionnelles. C’est ainsi que la fraude aux faux fournisseurs, au faux président ou toute autre usurpation d’identité (avocats, banquier, comptable) est toujours le moyen le plus utilisé par les pirates pour parvenir à leurs fins. D’ici 2020, le Forum Économique Mondial estime à plusieurs centaines de milliards d’euros les pertes économiques dues aux cyberattaques à l’échelle du monde.

QUELLES PROTECTIONS JURIDIQUES POUR LES DONNÉES DÉTENUES PAR LES ENTREPRISES ?

Les entrepreneurs jouissent aujourd’hui d’un certain nombre de garanties légales qui leur permettent de pouvoir poursuivre les auteurs de cyberattaques. Les articles 323-1 à 323-4 du Code pénal mettent à disposition des juristes et entrepreneurs un arsenal complet contre les atteintes susceptibles d’être portées au système de traitement des données des entreprises. Un individu qui accèderait frauduleusement à un système de traitement de données s’exposerait ainsi à de lourdes peines, lesquelles sont aggravées lorsqu’il en résulte soit la suppression, la modification de données ou l’altération du fonctionnement du système piraté.

Pour prévenir les risques de cyberattaques, le Règlement Général sur la Protection des Données (RGPD), adopté le 27 avril 2016, prévoit un certain nombre d’obligations de protection pour les entreprises. Le texte impose notamment aux responsables de traitement de données et sous-traitants de réaliser une étude d’impact pour leur permettre de mieux identifier les risques d’accès frauduleux et d’adopter les mesures de sécurité adéquates. Cette étude doit contenir « une description du traitement et de ses finalités, une évaluation de la nécessité et de la proportionnalité, une appréciation des risques ».

Les entreprises sont aussi invitées à sensibiliser l’ensemble de leur personnel sur les aspects liés à la sécurité et de réexaminer régulièrement leur politique de contrôle d’accès aux systèmes en limitant l’accès des utilisateurs aux seules données dont ils ont besoin. « 57% des entreprises n’ont pas mis en place de plan d’urgence à activer en cas de fraude. Ce constat alarmant montre que les entreprises n’ont pas encore pris totalement la mesure de ce risque ni de ses conséquences » dévoile Euler Hermes.

DES OBLIGATIONS PARTICULIÈRES POUR LES ENTREPRISES FOURNISSEURS DE SERVICES NUMÉRIQUES

La directive Network and Information System Security (NIS), adoptée le 6 juillet 2016 par le Parlement européen, vise à garantir un meilleur niveau de protection des réseaux et des systèmes d’information dans l’Union. En renforçant les capacités nationales de cybersécurité des États membres, l’Union Européenne souhaite instaurer un cadre commun harmonisé.

Le texte a adopté deux dispositifs de cybersécurité dédiés d’une part, aux « opérateurs fournissant des services essentiels » et d’autre part aux « fournisseurs de services numériques ». Ces opérateurs désignent toute entreprise participant au maintien de l’activité économique et sociétale et intervenant dans des secteurs sensibles : électricité, transports, services bancaires, infrastructures de marchés financiers, santé, eau. Quant aux fournisseurs, il s’agit notamment des prestataires de cloud, des moteurs de recherche ou encore des places de marché en ligne dépassant une certaine taille (effectif de plus de 50 salariés ou chiffre d’affaires de plus de 10 millions d’euros).

Pour ces acteurs, la directive prévoit des devoirs de sécurité renforcées comme une obligation de déclaration d’incidents dont les conséquences peuvent être majeures pour l’économie et la société.

^[1] https://www.eulerhermes.fr/actualites/etude-fraude-2019.html

^[2] https://content.fireeye.com/m-trends-fr/rpt-m-trends-2019-fr