[Grand angle] Les juristes, le Covid-19 et la cybersécurité

A l’occasion de la date anniversaire de WannaCry - cyber attaque massive de mai 2017 - le spécialiste de la cybersécurité Kaspersky et l’organisation intergouvernementale Interpol ont lancé un appel pour inciter les professionnels à réviser leur stratégie de sauvegarde et de protection des données. En 2020, la menace des « rançongiciels » - logiciels malveillants cryptant les données d’un ordinateur et proposant à l’utilisateur de les libérer contre le versement d’une somme d’argent - pèse toujours, mais elle n’est pas la seule. D’autant qu’avec le développement du télétravail pendant le confinement, les risques se sont accrus. 

« Des failles de sécurité apparaissent dans certains outils de réunion à distance qui n’étaient pas dimensionnés pour une utilisation d’une telle ampleur en si peu de temps », confirme Stéphane Prévost, responsable du DU Droit numérique de Reims et rédacteur en chef de la revue Dalloz IP/IT. Les juristes, eux-mêmes, représentent des cibles. « Lorsque nous réalisons des tests de cybersécurité, la boite de messagerie du directeur juridique est auditée car elle est vulnérable, de nombreux arbitrages complexes y figurent, qui représentent autant de bombes à retardement », argumente Gérôme Billois, partner Wavestone, conseil en gestion des risques numériques. 

« Pendant la crise, nous avions 36 000 collaborateurs en télétravail, nous pouvons amoindrir le risque, mais il est impossible de l’annuler totalement, d’ailleurs il circule en permanence », témoigne Isaure de Chateauneuf, directrice juridique technologies de l’information et déléguée à la protection des données de Saint-Gobain, entreprise qui a été victime d’une attaque en 2017. Le groupe français qui conçoit, produit et distribue des matériaux et solutions pour le bien-être dispose d’une politique de sécurité avancée. Il s’appuie sur le référentiel NIST (National institute of standards and technology) qui détermine les activités à mener suivant cinq fonctions (identification, protection, détection, réaction et résilience), priorise les actions du programme de sécurité et adapte les résultats attendus à l’entité et à ses risques. 

« Nous renforçons les mesures et les outils constamment et particulièrement pendant la crise, nous rappelons les bonnes pratiques, nous mettons en avant la charte de sécurité », détaille la directrice juridique. 

Le groupe dispose d’un VPN  (réseau privé virtuel), qui sécurise les flux, d’un niveau de sécurité des accès par une authentification forte, etc. « Dans le contexte actuel, un des dangers provient du “shadow IT“, solutions mises en œuvre sans l’approbation de la direction des systèmes d’information (DSI) et donc hors de contrôle », note Isaure de Chateauneuf. La directrice juridique, qui intervient à tous les niveaux (prévention, protection et gestion de crise) en appelle sur ce point à la responsabilité de chacun.

D’une façon générale, la directrice juridique IT de Saint-Gobain estime que tous les juristes doivent être sensibilisés et développer les bons réflexes. Les points de vigilance étant nombreux. « Je travaille en étroite collaboration avec la direction de la cybersécurité au sein de la DSI et je fais partie du Codir des SI », ajoute celle qui se félicite de cette proximité car « un juriste sans information ne peut rien faire ». 

Toutes les entreprises ne bénéficient pas d’un tel niveau de collaboration entre les juristes et les informaticiens. Loin s’en faut. D’ailleurs, 

« le niveau d’implication de la direction juridique dépendrait de la taille de l’entreprise et de son organisation, selon Eric Barbry, avocat associé chez Racine et président de la commission juridique de l'Acsel (Association de l’économie numérique). Les entités de taille substantielle se sont emparées du sujet, car elles disposent de direction juridique étoffée et ont nommé un juriste en charge de l’IT, un profil ayant un master en droit des technologies, par exemple, qui met ses compétences au service de l’entreprise ». 

Une autre typologie de firme est bien équipée, il s’agit des entreprises du numérique. « Les plateformes comme les grands site de e-commerce ont forcément intégré la compétence », assure Eric Barbry. En revanche, dans les autres secteurs, les directions juridiques d’entreprises de taille plus modeste externalisent la fonction auprès d’un cabinet d’avocats.

Dans ce cas, indique Oriana Labruyère, avocate DPO, dirigeante du cabinet Labruyère&Co, « la mission consiste à faire en sorte que les juristes et les membres de la DSI se parlent et se comprennent ». Car pour limiter les risques, chaque direction doit solliciter l’autre en amont des projets. « Les juristes semblent plus en demande aujourd’hui, constate Oriana Labruyère, mais la sécurité informatique est parfois encore perçue comme un frein à l’avancement des travaux par d’autres métiers ». Pour rassurer, l’avocate suggère de réunir toutes les parties autour de la table et d’impulser une communication positive afin de valoriser la démarche.

Gestion d'entreprise

La gestion d’entreprise constitue l’essentiel de l’activité d’un dirigeant d’entreprise. Elle fait appel à un grand nombre de notions empruntées de la comptabilité, de la finance (gestion des risques au moyen de la gestion des actifs et des assurances professionnelles), du droit des affaires (statut juridique, contrats commerciaux, fiscalité, cadre réglementaire et légal de l’activité), de la gestion de ressources humaines...

Découvrir tous les contenus liés

EGAlim : vers des négociations commerciales équilibrées avec les agriculteurs

Je télécharge gratuitement