En mai dernier, l’avocate, ancienne bâtonnière du barreau de Paris et ancienne présidente du CNB, Christiane Féral-Schuhl, et le magistrat et chef de mission de prévention et de lutte contre la cybercriminalité au ministère de la Justice, Xavier Léonetti, ont publié un ouvrage pratique consacré à la cybersécurité intitulé Cybersécurité, mode d’emploi (Éditions Puf). Cet ouvrage, conçu sous forme de fiches, vise à donner des réponses concrètes au dirigeant, afin de soutenir la vie économique de l’entreprise.

Vous avez rédigé à quatre mains, avec le magistrat Xavier Leonetti, l’ouvrage Cybersécurité, mode d’emploi. Comment ce projet est-il né ? Et en quoi ce regard croisé entre un avocat et un magistrat est-il particulièrement pertinent pour le lecteur ?

L’initiative en revient à Xavier Leonetti qui m’a proposé ce projet à l’issue d’un e-débat portant sur la cybersécurité où nous étions intervenus ensemble. L’approche  "regards croisés avocat-magistrat " m’a paru originale dans la mesure où les sujets technico-juridiques sont généralement abordés en binôme juriste-expert consultant. Or, s’il est utile pour un chef d’entreprise de connaître ses obligations au regard des nombreux textes nationaux et européens qui sont de nature à engager sa responsabilité, il est intéressant de savoir ce qui se passe en aval, lorsqu’il est victime et qu’il doit actionner par exemple une plainte. Ce sont nos expériences de terrain complémentaires que nous avons voulu partager.

Cybersécurité, mode d'emploi, Xavier Leonetti, Christiane Féral-Schuhl, 

Éditions Puf, 372 pages – 14,99 €

Votre ouvrage s’adresse principalement aux dirigeants d’entreprises et directions métiers. Que représente le risque cyber pour les entreprise, notamment depuis la crise Covid et avec la guerre en Ukraine ?

Le risque cyber est une réalité depuis plusieurs années. Il est vrai qu’il s’est amplifié encore avec la crise sanitaire et le conflit russo-ukrainien, d’où les mises en garde des autorités contre la recrudescence des attaques informatiques. Pour vous donner une idée de la réalité des risques cyber, il suffit de constater que 100 % des utilisateurs de services numériques ont déjà été victimes d’une cyberagression (phishing notamment). Par ailleurs, il faut savoir que 80 % des risques sont liés à des actes internes à l’entreprise (salariés ou anciens salariés), du fait notamment de l’utilisation de leurs outils personnels. (ordinateurs, smartphones…). Il s’agit parfois d’actes de malveillance, mais, plus souvent encore, d’actes de négligence .

En termes de cybersécurité, quels sont les domaines sur lesquels les entreprises doivent être particulièrement vigilantes ?

Les entreprises s’exposent au risque cyber dès qu’elles utilisent des outils connectés. Ce risque est amplifié par le télétravail et aussi par l’interconnexion avec les outils propres aux salariés. Ceux-ci

La cybersécurité ne concerne pas que les grands groupes, mais aussi les PME. Comment ces dernières peuvent-elles se protéger ?

La clé est de se former et de former son personnel aux gestes quotidiens qui permettent d’éviter qu’une menace se réalise. Il existe un « cyber bon sens » qui peut être adopté par chacun dès lors qu’il est sensibilisé à ces questions. Et ces mesures ne sont pas coûteuses ! Elles sont accessibles à tous, grands groupes et PME.

Les PME doivent être particulièrement attentives à cette formation et à la sensibilisation de leurs employés : les objets connectés sont autant de portes d’entrée pour les cybercriminels.

Toutefois, il y a d’autres précautions à prendre. Par exemple, il est prudent de distinguer la sécurité de l’entreprise des projets numériques. Le RSSI (responsable de la sécurité des systèmes d'information)a une responsabilité distincte de celle du DSI (directeur des systèmes d'information) et il est prudent de ne pas fusionner ces missions. La direction générale doit rester impliquée et attentive à la cybersécurité.

« Il existe un « cyber bon sens » qui peut être adopté par chacun dès lors qu’il est sensibilisé à ces questions. »

Comment les entreprises peuvent-elles répondre aux menaces, toujours plus innovantes ?

Le plan de sécurité doit être une préoccupation constante et prioritaire. Le DSI comme le RSSI occupent des positions clés qui exigent savoir-faire et compétence. Il y a des mesures indispensables comme l’installation des mises à jour lorsque les éditeurs des logiciels signalent des failles de sécurité. Il y a également la politique de sensibilisation des salariés, par exemple en alertant régulièrement sur les mails suspects ou en invitant à modifier régulièrement les mots de passe, ou à éviter le recours à des connexions publiques.

Plus généralement, il faut aussi apprendre à hiérarchiser l’importance des données et ne pas avoir un accès indifférencié à toutes les informations.

La législation est-elle aujourd’hui en mesure de répondre aux risques auxquels les entreprises sont exposées ?

Nous disposons d’un arsenal législatif très riche depuis longtemps, les premières infractions spécifiques (par exemple, l’entrée sans droit dans un STAD*) datant de la loi Godfrain de 1988. Ce point est important, car il faut un texte pour que l’infraction existe. La véritable difficulté réside en amont, dans l’identification de l’auteur de l’infraction (les cybercriminels et cyberdélinquants se logent souvent anonymement et dans des lieux difficilement accessibles) ou encore dans l’absence de conventions bilatérales avec certains pays. En aval, on constate qu’il est très difficile de faire exécuter un jugement… Il faudrait renforcer les moyens humains et techniques des autorités chargées d’enquête et sanctionner plus sévèrement les infractions constatées. Le premier point relève d’une volonté politique. Le second d’une meilleure prise de conscience par les magistrats de la gravité des préjudices subis.

La meilleure protection en l’état de la loi et de la jurisprudence, c’est évidemment l’investissement préventif le plus en amont possible (les audits, la mise en place des mesures de sécurité, la sensibilisation…). Beaucoup d’entreprises – et on n’en parle pas suffisamment – ont disparu à la suite d’attaques au moyen de rançongiciels ou ont subi des pertes considérables pour remédier à la désorganisation consécutive à une attaque informatique.

Au début de votre carrière, le numérique n’était pas aussi omniprésent qu’aujourd’hui. Pourquoi avez-vous choisi cette spécialité ? 

Le hasard fait bien les choses. La spécialisation '"droit du numérique " n’existait pas à l’époque, mais c’étaient les débuts de la loi informatique et libertés et, plus particulièrement, des questions liées à la sécurité des données sensibles, notamment les données de santé. On commençait à parler de la carte vitale et du dossier médical partagé. J’ai eu la chance d’être interrogée sur le sujet par une association de médecins passionnés d’informatique. Leurs questions partaient dans tous les sens. J’ai pris le temps d’apporter des éléments de réponse aussi pragmatiques que possible, m’appuyant sur les fondamentaux du droit. Celles-ci ont été publiées sous forme de questions/réponses dans leur revue et puis tout s’est enchaîné très vite avec chaque fois des sujets nouveaux, passionnants. Le droit a été mis à dure épreuve avec le numérique, mais il a plutôt bien résisté. Et moi aussi ! Plus de trente années sont passées et j’observe deux choses : certains sujets sont récurrents, d’autres gagnent en précision et en profondeur. Par exemple, la ligne de démarcation entre la responsabilité du fournisseur d’hébergement et celle du fournisseur de contenus posée par la loi pour la confiance dans l’économie numérique de 2004 a été brouillée par le web 2.0. Cependant, la jurisprudence s’est employée à apporter des réponses au cas par cas. Le législateur aussi.

* Système de traitement automatisé de données.

Propos recueillis par Constance Périn