Trois questions à Matthieu Bourgeois, avocat, associé, spécialiste en droit des nouvelles technologies de l’informatique et de la communication de KGA Avocats et à  Amira Bounedjoum, juriste, élève-avocat de KGA Avocats

GPO Magazine : Les cyberattaques sont-elles la crainte n°1 des entreprises en matière de sécurité informatique ? Comment ont évolué dans le temps ces attaques ?
> Les cyberattaques représentent l’une des formes de criminalité qui connaît le taux de croissance le plus fort. Entre 2012 et 2013, les cyberattaques ont doublé¹ et en 2013, 93 % des entreprises françaises de plus de 250 salariés en ont été victimes. L’impact pour les entreprises victimes de ces attaques se traduit tant financièrement (pertes d’exploitation en raison de l’arrêt du service informatique, frais d’investigation et d’investissement pour le rétablissement de la sécurité du système…) qu’en termes d’image. À titre d’exemple, l’attaque subie par la société Orange et sa condamnation² récente pour défaut de sécurité des données, relayée par plusieurs médias, ont été très nocives pour l’image de cette entreprise. La multiplication des attaques et les préjudices considérables qui en découlent en font un risque majeur pour toute entreprise.

GPO Magazine : De quelle manière les entreprises, notamment les PME, peuvent-elles se protéger juridiquement face aux cyberattaques ?
> Contre les cyberattaques, les entreprises, doivent se protéger sur le plan technique et juridique.
Sur le plan technique, il est fortement recommandé aux entreprises de mettre en place notamment une politique d’habilitation d’accès au Système d’Information (SI), d’authentifier chaque utilisateur de l’entreprise et de sécuriser tous les postes de travail, notamment par des antivirus performants, activés et mis à jour. Le réseau informatique de l’entreprise doit également être sécurisé via, par exemple, une limitation des flux réseaux et un chiffrement des communications. Sur le plan juridique, tout accès/intervention sur le SI de l’entreprise doit donner lieu à la formalisation d'un contrat indiquant les limites de l’habilitation d’accès conférée. Des accords de confidentialité peuvent également être signés par le personnel de l’entreprise mais aussi par tout prestataire externe.

Des services spécialisés de la justice, tels que la Brigade d'enquête sur les fraudes aux technologies de l'information (BEFTI) ou l'Office central de lutte contre la criminalité liée aux technologies de l'information et de la communication (OCLCTIC) assistent les entreprises victimes de cyberattaques et coordonnent les enquêtes de la police.

GPO Magazine : Faut-il faire de la prévention dans ce domaine?
> Absolument ! Il convient de rappeler que les entreprises, même victimes d’attaques virtuelles,  demeurent  responsables de leurs données. La majorité des cyberattaques étant internes aux entreprises, une sensibilisation dans ce domaine est indispensable. Cette sensibilisation peut prendre la forme de chartes éthiques et informatiques qui, lorsqu’elles sont  déployées comme un règlement intérieur, ont une force contraignante. La prévention passe également par la réalisation d’audits de sécurité.

<sup>1. Selon l’étude menée par Iron Mountain et Pwc sur la gestion des risques de l’information dans les entreprises
2. Délibération de la formation restreinte de la Cnil n°2014-298 du 7 août 2014 prononçant un avertissement à l’encontre de la société Orange</sup>

Contrats d’externalisation : sécurisez les données personnelles de votre entreprise

Afin d’optimiser leurs frais généraux, de plus en plus de PME/ETI recourent à un prestataire chargé de leur fournir des ressources informatiques et d’héberger/traiter l’ensemble de leurs données. Les données sont alors stockées sur les serveurs distants, parfois localisés dans le monde entier.

Ce type de prestation nécessite d’être vigilant sur le plan juridique, notamment au regard de la loi du 6 janvier 1978 (« loi informatique et libertés »). En sa qualité de « responsable de traitement », l’entreprise doit prendre toutes précautions utiles pour préserver la sécurité de ses données et empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. Tout manquement à cette obligation est lourdement sanctionné (jusqu’à 5 ans d’emprisonnement et 300 000 € d’amende – art. 226-17 c. pén.).
La loi informatique et liberté rend, par ailleurs, indispensable de formaliser un contrat entre l’entreprise et son prestataire (alors qualifié de « sous-traitant »), imposant notamment à ce dernier des obligations de sécurité, de confidentialité et de garantie. Ce contrat doit également procéder à un partage clair des responsabilités lors­que le prestataire dispose d’une autonomie dans la détermination des moyens ainsi que des finalités du traitement, car il est alors, selon la Cnil, susceptible d’être considéré comme « responsable du traitement » aux côtés de l’entreprise.

Cela peut, par exemple, être le cas d’un « Cloud provider » offrant une solution packagée et imposant des choix techniques et fonctionnels à ses clients qui ne décident pas alors seuls de toutes les finalités du traitement de leurs données. Il est également indispensable que l’entreprise connaisse précisément la chaîne des intervenants étant amenés à traiter ces données personnelles, afin de ne pas en perdre le contrôle, ainsi que les pays ou ceux-ci opèrent, afin de pouvoir, si ces pays sont situés en dehors de l’Union Européenne, solliciter l’autorisation préalable de la Cnil comme la loi l’exige.

Source : Mathieu Bourgeois, avocat, associé, spécialiste en Droit des nouvelles technologies de l’informatique et de la communication de KGA Avocats et Amira Bounedjoum, juriste, élève-avocat de KGA Avocats.