Les répercussions juridiques de la cyberattaque pour les entreprises

cyberattaque

La cyberattaque fait partie des plus grands risques d’utilisation d’internet pour les entreprises. Il y a un double constat : d’un côté, 47% de la population a accès à internet et de l’autre, il existe des services de hacks simples à utiliser et qui sont très répandus. La sécurisation de cet environnement connecté est alors primordiale.

Les réalités de la cyberattaque

Dans le domaine du deep web, on voit apparaître des services, nommés Hack-as-a-Service, emprunté de la notion Software-as-a-service, qui signifie la possibilité d’accéder à un logiciel hébergé sur un cloud ou serveur à distance.

En effet, bien que la conception de l’outil requièrt des compétences spécifiques, ce n’est pas le cas de son utilisation. Cela signifie que la sécurité des données personnelles peut être compromise à tout moment et qu’un DPO RGPD doit être désigné pour s’assurer du contraire. Le service est standardisé et la rémunération se fait selon plusieurs critères et la volonté des développeurs.

En outre, les solutions de piratage sont aussi hébergées sur des serveurs à distance, accessibles depuis un navigateur. On distingue plusieurs sortes de prestation de hack :

  • Le Ransomware-as-a-Service
  • L’Attack-for-hire-Service
  • Le Phishing-as-a-Service

Le Ransomware-as-a-Service

On peut citer comme exemple le logiciel Stampado, promu via une vidéo YouTube (supprimée actuellement) et ayant accumulé un volume de ventes équivalent à 39 millions de dollars.

L’Attack-for-hire-Service

Ce n’est ni plus ni moins que le DDoS-as-a-Service. Comme exemple, on retrouve Titanium Stresser, dont l’administrateur a été condamné à 2 ans de prison.

Le Phishing-as-a-Service

L’exemple le plus probant est le iCloud phishing service, permettant de récupérer l’identifiant et le mot de passe d’un compte iCloud contre 80€ par mois.

Pour lutter contre ces services, tous les acteurs économiques doivent collaborer. Ils sont en effet responsables de la sécurité des systèmes d’information. Si votre entreprise manipule des données personnelles, vous serez peut-être intéressé par le tarif logiciel rgpd. Mais qu’en est-il alors réellement de sa responsabilité en cas de cyberattaque ?

L’exigence de sécurisation des données à caractère personnel traitées

L’article L226-17 du Code pénal prévoit que les personnes qui traitent des données personnelles doivent les sécuriser via des mesures adéquates. Ce texte renvoie donc à l’article 34 de la Loi Informatique et Libertés, qui stipule que le responsable de traitement doit prendre des mesures pour protéger les données, d’empêcher leur déformation et d’éviter que d’autres personnes n’y accèdent.

Cette loi apparaît également à l’article 5.1.f) du Règlement 2016/679 du 27 avril 2016, lié à la sécurisation des données personnelles. Cela prouve la volonté du législateur européen de faire prendre conscience aux entreprises de leur responsabilité sur la sécurité informatique. En effet, réaliser des traitements de données sans la mise en œuvre des mesures préalables appropriées, est considéré comme un délit selon l’article 226-16 du Code pénal (peine de 300 000€ d’amende et de 5 ans de prison). Ici, les mesures préalables sont :

  • Les systèmes d’authentification
  • L’installation d’un pare-feu
  • L’utilisation du chiffrement
  • Le contrôle des connexions entrantes…

Toutefois, il existe d’autres obligations pour les responsables de traitement. En effet, ils doivent signaler les violations de données personnelles à la CNIL et informer les personnes concernées, en cas de risque d’atteinte à leur vie privée. Si l’obligation de notification ne peut être respectée, une condamnation pénale est prévue en vertu de l’article 226-17-1 du Code Pénal, ainsi qu’une condamnation financière.

Il existe deux risques pour l’entreprise. D’un côté, son image peut être entachée. De l’autre, sa responsabilité civile et sociale peut être engagée, notamment si les personnes concernées ont subi un dommage et exigent réparation. En outre, la responsabilité contractuelle peut être engagée si, par exemple, l’hébergeur censé assurer la protection des données, n’a pas respecté les clauses du contrat y afférant.

Le devoir de certains prestataires de protéger leurs systèmes d’information

La Directive NIS prévoit d’autres exigences en termes de sécurité des données. La plupart des opérateurs, selon la nature de leurs activités, sont soumis à quelques obligations sur la sécurité. On peut citer :

Les opérateurs de services essentiels

Comme ce nom l’indique, ils s’occupent de services indispensables pour maintenir les activités sociétales ou économiques critiques.

Les fournisseurs de services numériques

Les services en question sont fournis par des personnes morales. Un service numérique se définit comme étant « tout service de la société de l’information ». On peut citer les activités de cloud, de moteur de recherche ou encore de marchés en ligne.

D’après les articles 14 et 16 de la directive NIS, ces acteurs doivent prendre des mesures techniques et organisationnelles adaptées pour la gestion des risques. Ils doivent aussi être capables de prévenir ce type d’atteinte pouvant compromettre la sécurité informatique et signaler les autorités compétentes sur les cyberattaques qui se produisent. Si une défaillance est constatée, elles pourront émettre des instructions. En effet, si la sécurisation des systèmes d’information n’est pas respectée, l’entreprise s’expose à une peine d’amende de 150 000€, selon l’article L1332-7 alinéa 3 du Code de la Défense.