La cybersécurité entend que le cybercrime soit combattu de manière préventive, par l’instauration au sein des organisations de mesures d’ordre technique et organisationnel — donc humain et juridique. Le cabinet Grenier Avocats apporte son éclairage sur les protections à mettre en place afin d’aménager le risque juridique des organisations, de l’anticiper et de le gérer.
Selon 80 % des responsables de la cybersécurité et de la gestion des risques interrogés lors d’une enquête mondiale d’IRM (groupe Altran) en 2019, le déploiement de la technologie 5G risque d’accroître le cybercrime. En effet, la 5G permettra de connecter un nombre sans précédent de capteurs, notamment ceux des objets connectés prisés dans de nombreux secteurs aux données sensibles — notamment santé, logistique, énergie, électricité. Or, ces dispositifs connectés sont piratables, exposant les données qu’ils collectent et transmettent à un haut risque de vol ou de compromission. Ce cyber risque participe à intensifier le risque numérique global et accentue sa propension à gagner toutes les activités de l’organisation. L’évolution du risque numérique engage dorénavant la responsabilité du dirigeant vis-à-vis de sa gestion et de son traitement, réglementations à l’appui. Ainsi, l’entreprise doit se conformer au Règlement général sur la protection des données (RGPD) ou à la Directive européenne Network and Information Security (NIS). De plus, si l’entreprise ciblée par une attaque informatique en est victime, elle peut en même temps être juridiquement responsable d’un acte corollaire : l’extraction illicite de données personnelles en grand nombre. Or, parmi les données qui vont transiter par la 5G, beaucoup sont des données personnelles, à l’instar des données de santé, d’identité ou de localisation. L’entreprise doit donc prendre les devants pour parer les cyberattaques et mettre à l’abri les données qu’elle détient et traite contre la compromission et le vol. D’où l’importance de la cybersécurité et du rôle du juriste pour aménager, anticiper et gérer le risque juridique des organisations.
Mise en conformité juridique et prévention
Afin de préserver ses responsabilités civile et pénale, comme celles de l’organisation en tant que personne morale, le dirigeant doit en premier lieu connaitre les exigences légales et réglementaires applicables à son organisation. Il peut ainsi évaluer son niveau de conformité et recenser toutes les protections à garantir. Le conseil d’un expert juridique est ici primordial pour aider le dirigeant à passer en revue les obligations sectorielles, propres à la nature de l’organisation (public, santé, nucléaire, transports, finances, etc.) et à son statut — par exemple opérateur d’importance vitale (OIV) ou d’opérateur de service essentiel (OSE) — ainsi que les obligations relatives aux règles nationales ou internationales pour recenser toutes les protections à garantir. Sur le plan contractuel, le dirigeant doit vérifier les exigences de sécurité incluses dans les contrats passés avec ses clients, fournisseurs ou partenaires. Il faut ensuite doter l’entreprise d’un cadre de gouvernance du risque numérique. Le dirigeant doit définir, avec le conseil d’administration, les nouveaux seuils d’acceptabilité du risque. La démarche concerne également les parties prenantes de la chaîne de valeur de l’entreprise. Enfin, l’entreprise doit traiter le facteur humain, déclencheur de 70 % des cyberattaques. Ainsi, l’entreprise doit sensibiliser ses collaborateurs aux menaces et les former aux bons comportements de sécurité. La démarche concerne aussi les sous-traitants et les prestataires (art. 39 du RGPD).
Sécuriser machines et systèmes d’informations
La cybersécurité va concerner les systèmes d’information de l’entreprise, qu’il faut armer de sécurités informatiques. Celles-ci doivent s’accompagner de bonnes pratiques à déployer dans la société, et le dirigeant a tout intérêt, là encore, à se faire accompagner par des experts dans ce domaine. Les systèmes industriels sont également en ligne de mire des cyberattaques, car ils sont fortement informatisés et interconnectés avec les systèmes d’information classiques. Aussi, ils exposent les salariés à un cyber risque en poste au voisinage d’un équipement de travail vulnérable. La sécurité des machines, tant en matière de conception que d’utilisation, est donc concernée. Le conseil juridique va aider le dirigent à mener une analyse, notamment celle proposée dans le cadre de la directive européenne «Machines» 2006/42/CE et de la protection des salariés. Elle vise à apporter des éléments méthodologiques pour prévenir le cyber risque et ses conséquences sur la santé et la sécurité des opérateurs. Malgré toutes les mesures de cybersécurité mises en place, l’entreprise doit être préparée en cas d’attaque. Ainsi procédures, responsabilités et rôles dans les équipes doivent être définis et opérationnels en cas de problème. Autre allié de l’entreprise dans la démarche : son assureur. Il peut l’accompagner en termes de prévention, lui proposer une assistance en cas d’attaque, couvrir des pertes financières subies du fait d’une attaque et assurer sa responsabilité si l’attaque informatique entraîne des recours ou dommages à des tiers. Il existe aujourd’hui des contrats dits de « cyber assurance », dans un contexte où le risque numérique fait de plus en plus l’objet d’une exclusion des contrats d’assurance classiques, au profit de polices d’assurance plus spécifiques.
