ETI et cybercriminalité

Un contexte propice

La cybercriminalité se développe du fait de la digitalisation des entreprises et institutions, du développement du télétravail et des pratiques moins vigilantes en termes de sécurité informatique et du nombre croissant de données stockées sur les serveurs, offrant ainsi un panel d’actions et un potentiel de rentabilité exponentiel aux hackers, favorisant ainsi le développement de ce type d’activités délictuelles et criminelles.

Des risques accrus

Dans la mesure où la majorité des attaques informatiques ne sont pas ciblées, les ETI deviennent des cibles des plus attractives pour les hackers dans la mesure où malgré leur succès économiques et géographique, celles-ci ne bénéficient pas toujours d’un haut niveau de maturité en matière de sécurité de leurs systèmes d’information et de sensibilisation de leur personnel à ces enjeux.

La cybercriminalité connaît désormais de multiples visages : les tentatives d'extorsion, la diffusion de contenus illégaux frauduleux en ligne, les infractions classiques se déplaçant vers l'univers numérique (les trafics et escroqueries en ligne), ou encore les infractions mixtes.

De multiples démarches à mettre en œuvre en cas d’incident

Une attaque informatique nécessite à la fois :

  • une réaction organisationnelle (la mise en place d’une cellule de crise, l’identification des intervenants majeurs à savoir la DSI/RSSI, la direction juridique, les équipes de communication, le DPO) et des rôles et responsabilités de chacun. Il est extrêmement important d’assurer la confidentialité de cette phase de gestion de crise et de contrôler les communications qui seront faites et de mettre en œuvre un plan de reprise/continuité d’activité
  • une réaction technique (identification des systèmes d’information impactés, analyses forensiques de l’attaque, des informations et données concernées, de la nature de l’incident de sécurité et de la violation de données ; isolement des systèmes, serveurs, réseaux et périphériques impactés afin de limiter la propagation du virus en cas de rançongiciel notamment ; assurer la sauvegarde ou récupération des données en en vérifiant leur qualité ; et constitution du dossier de preuves en assurant la licéité et traçabilité des preuves)
  • une réaction juridique impliquant notamment de contacter les autorités de police compétentes ainsi que les autorités administratives, le cas échéant, selon la qualification juridique de l’incident (à savoir notamment, notification a minima de la CNIL en cas de violation de disponibilité, confidentialité ou intégrité de données personnelles, qu’elle soit volontaire ou involontaire et définitive ou temporaire). De même, une information des personnes concernées pourra être nécessaire en cas de risque élevé pour la vie privée. D’autres actions juridiques telles que la mise en œuvre d’obligations contractuelles en cas de faille à l’égard de ses partenaires et clients ou l’activation de clauses contractuelles en cas d’incident survenu du fait d’un prestataire sous-traitant ; ou alors la mise à jour de sa documentation d'accountability et la déclaration d’assurances sont autant de réflexes à avoir en cas d’attaque.

Des conséquences déplorables

Outre les montants demandés au titre d’une rançon, par exemple dans le cadre d’une attaque par rançongiciel, les incidences financières en termes de gestion de crise et de remédiation des systèmes d’information peuvent rapidement atteindre des milliers d’euros. De même, les incidences en termes psychologiques pour les personnes concernées et réputationnelles pour l’entreprise ne doivent pas être sous-évaluées.

Les responsables du traitement et les sous-traitants se voient ainsi contraints de faire face d’une part à ces menaces quotidiennes et d'autre part à leur obligation renforcée de garantir un niveau de sécurité des données personnelles qu'ils traitent. Car à l’attaque informatique, s’ajoutent les risques de sanctions, notamment administratives,  pour manquement aux obligations de mettre en place les mesures techniques et organisationnelles  requises par le Règlement général sur la protection des données n° 2016/679 (RGPD) et la Loi Informatique et liberté française du 6 janvier 1978.

Objectif : se prémunir contre de telles atteintes et améliorer sa résilience pour limiter les incidences en cas d’attaque

Il est recommandé d’établir une politique de prévention pour tenter de limiter la réalisation du risque et une politique de gestion de crise pour limiter l’étendue de l’impact d’une telle attaque grâce à une meilleure résilience.

Une gouvernance juridique adaptée, une documentation de l’entreprise - cartographie des données, politique de conservation des données, chartes d’utilisation des systèmes d’information , une gouvernance des traitements de données à caractère personnel, des dispositifs licite de surveillance informatique à des fins de sécurité, une conservation appropriée des logs, l’adoption et la sensibilisation des acteurs à une politique de gestion de crise, un encadrement vigilant de ses partenaires, la souscription à une police d’assurance adaptée à son activité et ses risques… sont autant d’outils à disposition des ETI pour leur permettre de limiter leur risque. 

{{filterContent.facetedTitle}}

Suivez notre actualité sur LinkedIn

Contactez-nous

Alexia  Chameroy

Alexia Chameroy

Avocat, Senior Manager, PwC Société d'Avocats

Masquer