Blog ENI : Toute la veille numérique !
🎁 Jusqu'au 25/12 : 1 commande de contenus en ligne
= 1 chance de gagner un cadeau*. Cliquez ici
🎁 Jusqu'au 31/12, recevez notre
offre d'abonnement à la Bibliothèque Numérique. Cliquez ici
  1. Livres et vidéos
  2. Guide juridique de la cybersécurité
  3. La gestion externe de la réponse à un incident
Extrait - Guide juridique de la cybersécurité Mettre en place un bouclier légal pour se protéger, se défendre et réagir
Extraits du livre
Guide juridique de la cybersécurité Mettre en place un bouclier légal pour se protéger, se défendre et réagir Revenir à la page d'achat du livre

La gestion externe de la réponse à un incident

Introduction

Un incident cyber implique de réagir rapidement en interaction avec de multiples parties prenantes. Au-delà de la remédiation interne de l’incident, le pilotage juridique d’une crise cyber nécessite d’appréhender les relations avec les tiers et d’anticiper les enjeux probatoires, les obligations de conformité et les mécaniques de responsabilité susceptibles d’être actionnées.

La gestion des relations avec les sous-traitants concernés

Un incident cyber peut trouver son origine dans une succession de défaillances humaines et techniques, ou résulter d’une chaîne d’attaques dites « par rebond ». Dès lors, plusieurs parties sont susceptibles d’être impliquées, de sorte que la gestion de l’incident nécessitera par exemple une collaboration active du sous-traitant clé en charge des systèmes d’information compromis afin d’obtenir les informations nécessaires et, le cas échéant, de faire le point sur les responsabilités mobilisables.

Dans la plupart des cas le schéma d’attaque et l’étendue des conséquences ne sont pas immédiatement déterminables. Plusieurs bonnes pratiques peuvent être adoptées afin de faire la lumière sur la matérialité des faits, identifier les responsabilités réciproques et remédier à la situation dans les meilleurs délais possibles.

images/P203DP01.png

1. Le courrier d’étonnement et de levée de doute

S’il n’existe pas de définition juridique d’une levée de doute, cette étape essentielle désigne de manière générale toutes les vérifications devant être opérées consécutivement à une situation de crise cyber. Les investigations laissant présumer une attaque cyber sont essentielles dans la réaction à un tel incident.

La victime doit en effet disposer des éléments factuels pour qualifier juridiquement l’incident, remplir ses obligations légales et réglementaires...

Relations avec les compagnies d’assurance

Le développement exponentiel de la menace cyber fait prendre conscience de la nécessité pour les entreprises d’intégrer le risque cyber lors de la souscription à une police d’assurance. La gestion des relations avec la compagnie d’assurance devra dès lors faire partie intégrante du pilotage juridique de la crise cyber afin de permettre, voire d’optimiser la prise en charge du sinistre.

L’ACPR estime que l’exposition aux risques cyber demeure encore mal maîtrisée en l’absence notamment de cartographie des risques précise, ainsi que de bases statistiques fiables (5). Cet état de fait devrait évoluer avec la transposition prochaine de la Directive NIS 2 (6) en France dont le texte prévoit des accords de partage d’informations en matière de cybersécurité. Cette possibilité devrait faciliter la création de cartographies et la connaissance des risques cyber.

Face à ces incertitudes, France Assureurs a mis à disposition des entreprises un guide dans lequel elle présente le rôle de l’assurance dans le cadre d’une garantie d’assurance cyber (7). Si l’assurance doit couvrir financièrement les dommages subis en cas de sinistre, elle peut également fournir une assistance juridique.

images/P203DP02.png

En pratique tous les frais liés à un incident cyber ne sont cependant pas assurables. La question s’est notamment posée concernant les amendes administratives. À cet égard, le Haut Comité juridique de la Place Financière de Paris semble distinguer entre les sanctions et amendes administratives (8) (sanctions pécuniaires et l’astreinte) qui sont par nature inassurables, et les mesures dites correctives (8) qui sont des mesures de mise en conformité, dont certaines pourraient être légalement assurables (9). Il pourrait s’agir des pertes d’exploitations dues à la suspension des flux de données ou à l’interruption provisoire de la mise en œuvre du traitement, des mises en demeure de notifier la violation de données aux personnes concernées et de remettre les opérations de traitement en conformité, ou encore de la suspension provisoire de la certification...

Relations avec les personnes - Communication de crise

La gestion d’un incident cyber implique d’échanger avec différentes parties prenantes, voire d’informer les personnes concernées lorsqu’une violation de données personnelles est caractérisée et qu’un « risque élevé » sur leurs droits et libertés ne peut être écarté.

La gestion de crise implique ici de communiquer sur l’incident auprès des tiers avec une attention particulière et des contraintes réglementaires potentiellement fortes.

Dans un souci de préservation de la réputation de l’entité victime et à des fins conservatoires, il importe que cette communication de crise soit anticipée et gérée en coordination avec la remédiation technique et le pilotage juridique de l’incident.

1. Communication légale : personnes concernées

Il est des cas dans lesquels l’organisme victime se trouve dans l‘obligation légale de communiquer auprès des personnes concernées (clients, partenaires, salariés…).

En effet, dans l’hypothèse où l’incident implique une violation de données à caractère personnel, l’article 34 du RGPD impose d’informer les personnes concernées dans les meilleurs délais si la situation implique un risque élevé pour leurs droits et libertés.

La réglementation implique de procéder à une analyse de risque afin d’identifier les risques susceptibles de peser sur les personnes concernées selon les circonstances de la violation (incident cyber malveillant, incident interne…), la qualité des personnes concernées (personnes vulnérables, mineurs), la nature des données en présence (données sensibles ou données hautement personnelles) ou encore les mesures prises suite à l’incident pour limiter les risques.

Selon le résultat de cette analyse, des arbitrages devront être faits afin d’informer les personnes concernées...

Références

(1) Article 28 du RGPD

(2) Dalloz IP/IT | Dalloz

(3) CNIL, Délibération SAN-2021-013 du 27 juillet 2021

(4) Ibidem

(5) Communiqué de presse de l’ACPR du 12 novembre 2019 Directive (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union

(6) Disponible sur : franceassureurs.fr

(7) Au sens de l’article 83 du RGPD

(8) Au sens de l’article 58§2 du RGPD

(9) Haut Comité juridique de la Place Financière de Paris. « Rapport sur l’assurabilité des risques cyber », 28 janvier 2022

(10) Rançongiciel ou ransomware, que faire ? - Assistance aux victimes de cybermalveillance 

(11) Haut Comité juridique de la Place Financière de Paris. « Rapport sur l’assurabilité des risques cyber », 28 janvier 2022 (p.36)

(12) L’assurance du risque cyber - Pierre-Grégoire Marly, Alexis Valençon - Dalloz IP/IT 2019

(13) Disponible sur : franceassureurs.fr

(14) Pierre-Grégoire Marly, Alexis Valençon. « L’assurance du risque cyber ». Dalloz IP/IT 2019

(15) Article L 12-10-1 du code des assurances issue de la loi n° 2023-22...