Le risque cyber demande une approche transversale

Les lockdowns ont entraîné une augmentation du travail à domicile, ce qui accroît le risque de compromission des systèmes des entreprises. Lors d’une cyberattaque, les coûts pour l’entreprise sont à la fois directs en termes de restauration des systèmes et d'incapacité des employés à accomplir leurs missions, mais également indirects, notamment en termes de réputation et de confiance lorsque des données ont été volées. Il est d’ailleurs de plus en plus fréquent que les intrusions se jouent à différents niveaux, les ransomwares bloquant l'activité mais dissimulant en réalité la capture d'informations confidentielles ou stratégiques.Puisque la question n'est pas de savoir « si, mais quand la cyberattaque se produit, souligne Guillaume Morat, expert chez Pinsent Masons en technologie, médias et télécoms, l'approche essentielle se situe en amont, à travers par exemple des formations sur la prévention des risques, des serious games impliquant tous les métiers de l’entreprise avec scénarios de crise sur la gestion des données personnelles, ou bien encore des audits réguliers sur la gestion des données personnelles ou sur le respect des mesures de sécurité ». Un autre aspect de la prévention consiste à négocier la cyber couverture la plus adaptée à ses besoins, tant en termes de garanties que de limites.

À cela s’ajoutent les contraintes réglementaires à respecter dans des délais très courts, et « ceux qui l’ont vécu savent qu’il est difficile de gérer une crise cyber qui impose à la fois de prendre des mesures pour limiter les dégâts tout en notifiant les autorités de contrôle, qui doivent être informées du contexte de la faille et des mesures prises pour en limiter les conséquences, ainsi que, s’il y a lieu, les personnes dont les données auraient pu être affectées ». Il arrive même que certaines structures méconnaissent les cadres réglementaires qu’elles doivent respecter, « par exemple, certaines collectivités locales ignorent parfois qu’elles relèvent non seulement du RGPD mais également de la directive dite ‘‘ NIS’ ’ qui a été transposée en droit interne en 2018 et qui prévoit le renforcement de la sécurité des systèmes d'information des ‘‘ opérateurs de services essentiels ’’. Celle-ci introduit en effet l’obligation de notifier les incidents de sécurité impactant les services essentiels qu'ils sont amenés à fournir tels que la gestion d'infrastructures et de services de transport, la distribution d'eau et d'électricité et la gestion de la restauration collective.

Il existe désormais des plateformes logicielles sur le marché, comme Cyturion, qui permettent d’automatiser une partie de ces démarches même lorsque son système informatique est à l’arrêt, mais l’intervention d’experts juridiques reste indispensable, tant pour aider à organiser les notifications que pour structurer le dépôt des plaintes.