L’observation du sujet (cyber)sécurité présente les principales caractéristiques des crises dites « majeures » que peut traverser une entreprise à savoir :
un impact majeur pour l’entreprise, pouvant être temporaire et/ou futur : arrêt de fonctionnement, perte de chiffres d’affaire, perte de données, perte d’image auprès de tiers notamment les clients, etc ;
une complexité dans la gestion des rapports humains. Comme toute crise, elle a une dimension humaine importante avec des moments de tensions sur les équipes internes de l’entreprise.
Les règles usuelles de gestion de crise permettent d’anticiper ces problématiques : procédures internes, formation et entrainement, gestion contractuelle, etc.
Existe-t-il des spécificités liées à une crise (cyber)sécurité ?
Oui, deux spécificités majeures sont relevées :
1/ Un impact et une complexité technique d’ampleur : Nous observons que cette particularité cyber a pour effet que bien souvent l’entreprise ne dispose pas des ressources nécessaires en interne soit parce que cela nécessite une expertise très qualifiée et/ou rare soit parce que la quantité de ressources est insuffisante (les ressources devront à la fois se mobiliser sur la correction du problème cyber et pour que l’entreprise puisse continuer à fonctionner). Bien évidemment, les entreprises ayant anticipé ce risque sont plus résilientes face aux crises cyber.
Comment l’anticiper ?
Deux axes sont proposés :
prévoir dans ses contrats avec ses fournisseurs IT notamment les modalités de leur coopération ainsi que les conditions financières, et ;
prévoir par anticipation quel tiers (prestataire IT, avocat, huissier, etc) pourra vous accompagner et selon quelles modalités.
2/ Une maitrise incontournable des enjeux juridiques : Le constat, malheureusement, est que peu d’entreprises prennent conscience des enjeux juridiques qui d’ailleurs ne figurent pas dans les PRA et/ou PCA ni dans les procédures de gestion d’incident de sécurité.
Quels sont les enjeux juridiques qu’il est nécessaire d’appréhender ?
Le premier enjeu juridique est de taille, il s’agit de réagir de manière conforme à la loi. En effet, il existe des obligations légales à respecter lors d’un incident de sécurité, sous peine d’engager sa responsabilité. Attention, ces obligations sont disparates dans les textes de loi. Elles peuvent concerner un secteur (ex : bancaire, médical, etc.), le statut de l’entreprise (ex : OIV, etc) et la nature de l’incident (ex : violation de données à caractère personnel, la CNIL doit en être informée dans les 72 heures). Le non-respect de ces obligations est sanctionné, souvent par des amendes administratives.
Le second concerne le respect de ses obligations vis-à-vis des tiers, notamment les obligations contractuelles. Il est en effet de plus en plus courant d’intégrer dans les contrats (clients, fournisseurs, prestataires, salariés) des dispositions spécifiques à la gestion des incidents de sécurité (information, procédure à respecter, etc). Il est impératif de respecter ces dispositions sous peine de voir la responsabilité de l’entreprise engagée par ses cocontractants.
Enfin le dernier enjeu sur lequel nous attirons l’attention concerne la préservation des intérêts de l’entreprise. A savoir identifier, préserver et conserver de manière adéquate les éléments de preuve de l’incident, saisir les autorités publiques, avertir son assureur.
Comment accompagner les organismes et entreprises victimes ?
La crise cyber est épreuve humaine pour les équipes de l’entreprise impactée.
Aussi, lorsque nous intervenons en pleine crise cyber, nous axons notre intervention sur la prise en main de l’ensemble des enjeux juridiques afin que ces sujets ne viennent pas perturber le travail des équipes notamment techniques dans la gestion de la crise.
Par ailleurs, un avocat pourra également accompagner sur de nombreux sujets connexes tel que l’éventuelle négociation avec un cybercriminel, les échanges avec les autorités administratives (BEFTI, ANSSI, CNIL, etc), l’encadrement et les négociations avec les tiers intervenants en urgence, etc.
Enfin, bien évidemment la préparation de la gestion d’une crise cyber est essentielle : comme le disait très justement Albert Einstein : « Un problème sans solution est un problème mal posé ».
