Cybercrises : êtes-vous prêts à l’inévitable ?

En 2024, les cyberattaques sont devenues une réalité incontournable du paysage économique français, avec 53% des entreprises touchées par ces incidents. Si le préjudice moyen s'élève à près de 15.000 euros, les attaques les plus dévastatrices peuvent engendrer des pertes dépassant 230.000 euros pour une entreprise sur huit. Face à cette menace croissante, la transformation numérique présente un paradoxe : elle propulse les entreprises vers l'avenir tout en les exposant aux prédateurs du cyberespace. La réponse à cette vulnérabilité passe désormais par une approche globale intégrant expertise technique, couverture assurantielle et maîtrise juridique, trois piliers essentiels pour construire une résilience durable face aux cybermenaces.

Lorsqu’une entreprise dispose d’une assurance cyber, elle pourra procéder en cas d’attaque informatique à une déclaration de sinistre sur une adresse email ou une ligne téléphonique dédiées.

Dans les heures qui suivent, l’entreprise sera recontactée par un coordinateur de crise agissant pour l’assureur et mise en relation avec des prestataires spécialisés qui l’accompagneront dans les différentes étapes de la gestion de l’incident (expert technique, expert en communication, etc.).

L’entreprise pourra faire appel à son avocat pour procéder aux différentes actions juridiques qui s’imposent à la suite d’un incident informatique (notifications aux autorités et personnes concernées, plainte pénale, etc.). Les frais correspondants seront pris en charge par l’assureur cyber.

Gestion d'entreprise

La gestion d’entreprise constitue l’essentiel de l’activité d’un dirigeant d’entreprise. Elle fait appel à un grand nombre de notions empruntées de la comptabilité, de la finance (gestion des risques au moyen de la gestion des actifs et des assurances professionnelles), du droit des affaires (statut juridique, contrats commerciaux, fiscalité, cadre réglementaire et légal de l’activité), de la gestion de ressources humaines...

Découvrir tous les contenus liés

L’atteinte aux systèmes informatiques : Les cyberattaques constituent d’abord une atteinte au système de traitement automatisé de données (STAD), sanctionnée par l’article 323-1 et suivants du Code pénal. Ce terme englobe tout équipement permettant le stockage, le traitement ou la transmission de données numériques. Trois comportements sont spécifiquement réprimés, l'accès ou le maintien frauduleux dans un système, son altération du fonctionnement, enfin la modification ou la suppression frauduleuse des données. En pratique, la jurisprudence s’accorde sur une définition large du STAD.

Focus sur les ransomwares : Dans le cas d'un rançongiciel, deux infractions se cumulent, l'atteinte au STAD pour le blocage du système et l'extorsion (article 312-1 du Code pénal) ou sa tentative pour la demande de rançon. Les cybercriminels exploitent la paralysie de l'entreprise comme moyen de pression, ce qui caractérise l'extorsion au sens pénal.

Payer ou ne pas payer la rançon, telle est la question : Les autorités, notamment l’autorité nationale de la sécurité des systèmes d’information (ANSSI), déconseillent fermement de céder à ces demandes. Cette position repose sur des arguments pragmatiques et stratégiques visant à réduire le risque global et à décourager ce type de criminalité. Le paiement de la rançon accroit les risques de réitération et ne permet pas de garantir la récupération des données, ni le fait que ces données ne seront pas exploitées par les cybercriminels. Le paiement d’une rançon n’est pour autant pas pénalement sanctionné et ne fait pas de vous un complice.

Le dépôt d’une plainte : En tout état de cause, il est fondamental, en cas de cyberattaque, de déposer plainte. Depuis la loi LOPMI (avril 2023), le dépôt de plainte est devenu obligatoire pour bénéficier de l'indemnisation assurantielle. Il doit être effectué dans les 72 heures suivant la découverte de l'attaque (article L.12-10-1 du code des assurances).

Enfin, pour assurer une réponse efficace et être à la hauteur des enjeux, les acteurs de la chaîne pénale se sont spécialisés. Il est ainsi conseillé de déposer plainte auprès de la section J3 cybercriminalité du parquet de Paris qui est compétente en matière de cybercriminalité tant sur le ressort de Paris que sur l’ensemble du territoire national, concurremment avec tous les parquets.

EGAlim : vers des négociations commerciales équilibrées avec les agriculteurs

Je télécharge gratuitement

Une fois les premières actions de gestion de crise mises en œuvre, l’assureur cyber indemnise l’entreprise des conséquences financières de l’attaque informatique au titre du volet dit « dommages » de la police d’assurance.

Elles seront principalement de deux ordres :

- les frais ayant trait à la remise en état du système informatique impacté par l’attaque dans la limite d’une reconstitution à l’identique,

- les pertes d’exploitation, c’est-à-dire la perte de marge brute subie pendant la période d’interruption du système informatique.

Au titre du volet dit « responsabilité civile », l’assureur prendra en charge les frais de défense que l’entreprise devra exposer pour se défendre contre une réclamation, qu’il s’agisse d’une action engagée par un ou des tiers ou d’une procédure initiée par la CNIL.

Les garanties d’assurance pourront également s’étendre aux condamnations mises à la charge de l’entreprise suite à une décision judiciaire lui imposant de réparer le préjudice subi par le tiers réclamant. En revanche, les sanctions administratives infligées par une autorité administrative ne seront prises en charge que dans la mesure où elles sont légalement assurables.

Une cyberattaque présente un risque important de violation des données personnelles détenues par une entreprise, pouvant entrainer leur destruction, perte, altération, divulgation ou accès non autorisé compromettant ainsi l'intégrité, la disponibilité et la confidentialité de ces données.

L'une des premières actions de gestion de crise est de contacter sans délai le Délégué à la Protection des Données (DPO) afin qu’il évalue l’impact de la cyberattaque sur les données personnelles détenues par l’entreprise et, selon les cas, notifier les autorités compétentes et les personnes concernées de l’incident et de la violation des données personnelles.

L'entreprise, en tant que responsable du traitement, doit notifier la CNIL dans un délai maximal de 72 heures après avoir pris connaissance de la violation. Certaines entités, comme les opérateurs de services essentiels (OSE), les fournisseurs de services numériques, de communication électronique, ainsi que les organismes publics, devront également notifier l’ANSSI de l’incident dans un délai de 24 heures. Enfin, dans certains cas, les autorités sectorielles (telles que l’ARS ou l’ACPR) devront aussi être informées sans délai.

En cas de violation de données personnelles susceptible d’entraîner un risque élevé pour les droits et libertés des personnes concernées, l’entreprise doit les en informer, dans les meilleurs délais, en leur précisant la nature de la violation, les conséquences probables de celle-ci, une description des mesures prises ou envisagées par l’entreprise pour y remédier ainsi que les coordonnées de contact pour obtenir plus d’informations.

Outre la sécurisation de son système d’information, la prévention des cyberattaques nécessite pour une entreprise de mettre en place un plan de réponse aux incidents et un protocole de communication pour réagir efficacement en cas d'attaque. Ce plan devrait notamment prévoir une équipe dédiée à la gestion des cybercrises (DPO, DSI, directeur juridique, direction), une liste des autorités à notifier selon l’activité de l’entreprise et les délais associés, ainsi que la tenue d’un registre des violations des données. Il est aussi essentiel que l'entreprise mène des actions de sensibilisation auprès de ses collaborateurs afin de réduire les risques d'erreurs humaines pouvant entraîner des vulnérabilités et des menaces.