Cyber attaques : quelles responsabilités pour les dirigeants ?

Vous êtes patron de votre entreprise ?
Vous voulez le rester ?
Alors prenez au sérieux la question des cyber attaques …

Pourquoi perdriez-vous votre entreprise pour une simple question informatique ?

  • Cas n°1 : vous n’auriez plus d’entreprise ou vous ne pourriez plus la diriger,
  • Cas n°2: vous n’auriez plus de client … ce qui entre nous revient un peu au cas n°1.

Dans le premier cas, vous pouvez faire la distinction entre : le cas tragique et le cas tragicomique…

  • Tragique : La disparition de l’entreprise qui, à la suite d’une attaque informatique, n’a tout simplement plus de quoi fonctionner…Elle peut avoir été victime d’un ransomware avec une incapacité à payer et à faire redémarrer le SI. Elle peut avoir été victime d’une escroquerie, fraude au président, au faux RIB, ou que sais-je encore, qui assèche votre trésorerie.
  • Tragi-comique: Vous avez mis des années à monter votre entreprise et vos propres financiers, associés partenaires ou autres vous lâchent, voire vous débarquent purement et simplement pour avoir mis l’entreprise en danger de mort.

 

Dans le cas n°2, la messe est dite : votre site est down ou votre SI attaqué, tout fonctionne bien, mais les données de vos clients sont aux quatre coins du monde, les données de vos clients ont été piratées et avec un peu de chance, vous passez à la télé !

Là, des clients quittent le navire et ceux qui le quittent, demandent des dédommagements …

Ce qui est consternant en matière de fraude informatique, c’est que l’entreprise et son dirigeant, qui sont pourtant des victimes, deviennent des coupables :

  • Coupables vis-à-vis des actionnaires de n’avoir pas pris les mesures de nature à protéger l’entreprise ;
  • Coupables vis-à-vis des clients de ne pas avoir protégé leurs données ;
  • Coupables vis-à-vis d’autorités comme la Cnil qui considèrera que l’entreprise a commis une faute au regard de la sécurité des données personnelles.

Et que dire côté Cnil si vous omettez de mettre en œuvre les mesures appropriées de notification ou de communication aux « personnes concernées ».

Alors comment éviter un stress supplémentaire inutile : mettre en œuvre les mesures de nature à limiter les cyber attaques et/ou leurs conséquences.

Mais soyons clair. Comme indiqué dans mon premier post, la question n’est pas de savoir si et quand vous serez attaqué, mais quand serez-vous prêt.

Ceci étant dit, avant d’être prêt, il est sans doute possible de mettre en œuvre des mesures préventives… et elles sont très nombreuses ! En voici quelques-unes :

 

Checklist des mesures préventives en cas de cyber attaques

  • Action 1 – Informer et sensibiliser les personnels des risques liés aux attaques cyber

    La charte des SI, c’est bien, mais la sensibilisation, c’est mieux
    Évidemment vous devez vous doter d’une charte des systèmes d’information voire d’une charte télétravail pour définir les règles du jeu.Mais entre lire les règles et les appliquer, il y a un monde.Or ce monde peut être facilement rapproché s’il n’existe pas de sensibilisation efficace.  Dans certaines entreprises, de faux mails sont envoyés aux salariés régulièrement pour mesurer leur degré de compréhension des cyber-menaces.

 

  • Action 2 – Faire un audit de son architecture technique et de son niveau de sécurité

Attention tout le monde ne sait pas faire les deux métiers.

L’idée est d’identifier les bonnes et les mauvaises pratiques, les risques, l’exposition au risque, la gravité et les mesures de contournement prises.

 

  • Action 3 – Disposer d’une PSSI

Le PSSI est un guide d’élaboration de politiques de sécurité des systèmes d’information. Le guide PSSI a pour objectif de fournir un support aux responsables SSI pour élaborer une politique de sécurité du ou des systèmes d’information (PSSI) au sein de leur organisme.Il est généralement décomposé en quatre sections :

  • Une introduction permettant de situer la place de la PSSI dans le référentiel normatif de la SSI et de préciser les bases de légitimité sur lesquelles elle s’appuie
  • La méthodologie ou plus précisément la conduite de projet d’élaboration d’une PSSI, ainsi que des recommandations pour la construction des règles de sécurité
  • Le référentiel de principes de sécurité,
  • La liste de documents de références de la SSI

Petite entreprise, petite PSSI,  ETI moyenne PSSI, et grande entreprise, grosse PSSI. La règle est simple : pas de PSSI = absence de référentiel, donc de réflexion et donc de management de la sécurité.

 

  • Action 4 – Choisir les « bons » prestataires

Pour tous ceux qui font appel à des services tiers, vérifiez la qualité de votre prestataire (c’est votre métier) mais aussi des engagements juridiques du prestataire (ça c’est mon métier J).Il n’y a rien de pire que de se retourner et de constater qu’on est seul au monde !

 

Il y a deux types d’entreprises : Celles qui sont en survie et celles qui ont une chance de s’en sortir.

Beaucoup me demandent à quoi sert une assurance cyber.Ma réponse est simple : pourriez-vous conduire sans inquiétude votre voiture sans assurance (même si la loi ne l’exigeait pas) ?Et tant mieux si vous n’avez pas à vous en servir, c’est que vous être un bon professionnel. Inversement, les intérêts de telles assurances sont importants : réaction immédiate, gestion de crise, expertise technique, perte d’exploitation, rançon, …

 

  • Action 6 – Se préparer

La peur n’évite pas le danger.La prévention n’empêche pas l’attaque mais elle vous permet de savoir comment gérer avec un niveau de stress acceptable qui vous permette de prendre les décisions adaptées, ce que les pilotes appellent « le temps de conscience utile », à savoir le court laps de temps que vous avez pour prendre la ou les décisions qui vous sauveront.

 

Ces différentes actions ne doivent cependant pas se substituer à des mesures opérationnelles et techniques efficaces : supervision, sonde, sauvegarde performante, PCA, PRA, etc. qu’il faudrait savoir mettre en œuvre en tenant compte des risques d’une part et des budgets d’autre part…

Encore un beau jeu d’équilibriste pour les patrons de boites que vous êtes !

 

Eric Barbry

Avocat associé chez Racine Avocats
En charge de l’équipe IP IT & Data
https://www.racine.eu/

Articles similaires

Commentaires

Les plus populaires