Maîtriser les impacts opérationnels, juridiques et financiers inhérents aux cyberattaques

Qu'elles résultent d'une négligence interne ou d'un prestataire, qu'elles émanent d'un tiers malveillant avec ou sans demande de rançon ou d'un pirate « blanc » offrant un audit gratuit non sollicité, les conséquences d'une cyberattaque ne sont jamais négligeables à court, moyen et long terme.

Les cyberattaques et la gestion de crise

On dénombre une multiplication des typologies de cyberattaques. Parmi les plus courantes figurent les ransomwares. Elles visent de manière générale à prendre le contrôle des actifs d'une cible, via un malware, en vue d'exiger une rançon en échange de la restitution de ces actifs ou de l'engagement de ne pas les divulguer. D'après le rapport de l'ENISA (Agence de l'Union européenne pour la cybersécurité) de 2024, les attaques visant la disponibilité des données (DDoS) sont en croissance et devraient s'intensifier. Elles permettent une prise de contrôle pendant plusieurs heures ou jours, par une méthode consistant à surcharger les composants de l'infrastructure d'un réseau.

L'une des cyberattaques les plus connues, récurrentes et persistantes, demeure l'attaque par ingénierie sociale (social engineering attacks) consistant à manipuler (par email, appel téléphonique ou en visioconférence) le comportement de victimes, souvent le personnel d'une organisation, afin de les pousser à initier une fraude, une négligence regrettable voire fatale, telle que la célèbre « escroquerie au président ». L'essor des applications génératives et autres solutions d'intelligence artificielle décuple ce risque.

Une cyberattaque peut en cacher une autre

Une cyberattaque est souvent révélée par un jeu de données mis en vente sur le darkweb ou une demande de rançon. Il s'agit de la partie émergée de l'iceberg. Si les données faisant l'objet de la violation peuvent apparaître non sensibles ou d'un niveau de criticité faible, seuls les audits et investigations qui suivent permettent de réaliser l'ampleur de l'attaque.

Les impacts réels d'une cyberattaque

Les conséquences opérationnelles d'une cyberattaque recouvrent : fuite d'informations, atteinte à l'intégrité des données, violation de la confidentialité, espionnage industriel, révélation de vulnérabilité, atteinte à l'image et à la réputation, perte de confiance du public, des clients et des partenaires, arrêt ou frein provisoire de l'activité, décroissance, diminution de la valeur de l'entreprise, rupture de contrats, échec des transactions et opérations en cours, aggravation du climat social ou tension des relations avec les IRP (institutions représentatives du personnel), class actions, etc.

Au-delà des enjeux opérationnels à encadrer, essentiellement liés à la nécessité de contenir et résorber la cyberattaque et rétablir la confiance en interne et en externe, des impacts d'ordre juridique en découlent également en cascade. Outre les sanctions administratives, la responsabilité de la personne morale, de ses dirigeants et mandataires sociaux peut être engagée au niveau civil et pénal. Il est rappelé que la CNIL (et potentiellement ses homologues européens en cas d'atteinte dans plusieurs États) peut notamment prononcer des sanctions pécuniaires pour manquement aux obligations du RGPD pouvant aller jusqu'à 4 % du chiffre d'affaires annuel mondial du groupe. En effet, une cyberattaque constitue de manière quasi systématique une violation de données personnelles qui doit être notifiée aux autorités compétentes dans les 72 heures. Il convient de composer depuis janvier 2023 avec l'obligation pour les organismes de déposer plainte sous 72 heures pour pouvoir être indemnisés par leurs assureurs.

Une cyberattaque peut également caractériser la divulgation d'informations privilégiées susceptible d'avoir une incidence sur le cours de Bourse d'une société cotée. Une « communication AMF » (répondant aux règles de l'Autorité des marchés financiers) ou encore une communication au public via de grands médias peut se révéler indispensable sous peine de sanctions. On constate un accroissement des actions de groupe dites class actions, dont le coût est difficilement maîtrisable.

Nerf de la cyberguerre, l'impact financier direct et indirect de ces attaques demeure un enjeu majeur

Prévenir les incidents est moins coûteux que de les résorber. Le coût moyen d'une violation de données pour les organisations a atteint un niveau record en 2023, avec 4,45 millions de dollars (4,8 millions pour la France). Cela représente une augmentation de 2,3 % par rapport à 2022. Sur le long terme, le coût moyen a augmenté de 15,3 % par rapport aux 3,86 millions de dollars en 2020.

C'est sur le long terme que les répercussions sur l'organisation peuvent être mesurées, car un incident peut certes coûter dans l'immédiat, par exemple en cas d'arrêt temporaire d'un site de production, mais c'est sans compter les répercussions sur les marchés boursiers ou sur l'opinion publique.

Lorsque l'entreprise évolue dans un secteur où un très haut niveau de sécurité et confidentialité est naturellement associé et attendu (secteur de la santé, secteur public, secteur aérospatial ou secteur financier), où de très nombreuses données considérées comme sensibles sont manipulées, les incidents cyber sont jugés sévèrement par l'opinion générale.

Des mesures de précaution minimales incontournables

La prévention des risques implique la mise en oeuvre de plusieurs actions élémentaires en amont :

• Mesures de sécurité techniques et organisationnelles appropriées au niveau de risque. L'ANSSI et la CNIL mettent à disposition des référentiels, méthodologies et recommandations auxquels il convient de se conformer.
• La revue opérationnelle et juridique des contrats avec les prestataires et sous-traitants afin de vérifier l'adéquation des mesures et garantir la protection et la confidentialité des données.
• La formation du personnel, aux différents échelons hiérarchiques, à la réaction appropriée aux incidents pour optimiser la remontée d'information et la gestion du risque.
• La constitution d'une cellule de crise composée des personnes clés en interne renforcée d'experts externes (conseils IT, enquêteurs, avocats spécialisés...).

La gestion d'une cyberattaque ne se limite pas à la maîtrise de la crise y afférant. Il est impératif d'établir la documentation nécessaire afin de justifier non seulement des mesures suffisantes mises en oeuvre aux fins de gestion de l'incident, mais encore des mesures et précautions prises pour éviter la réitération dudit incident. La CNIL, qui examine toutes les notifications qui lui ont été adressées, demande souvent ces éléments lors des contrôles qu'elle opère sur place.

Merav Griguer, avocate associée du cabinet Franklin, et Grégory Chapron, CFO de Splio.