Alors que les vols de données sensibles, la
désinformation et le phishing pullulent sur internet, retour sur l’approche
juridique du numérique par les risques mais aussi sur les bonnes pratiques à
adopter, pour se prémunir des cyberattaques qui menacent les entreprises.
« Le droit positif change très vite en droit
numérique », affirme Arnaud Latil, maître de conférences en droit privé et
auteur de l’essai Le droit du numérique,
une approche par les risques. Le 18 avril dernier, il a animé une
conférence sur ce thème organisée par l’Université Catholique de l’Ouest, à
Nantes. Le professeur précise qu’au niveau européen, une multitude de textes
encadrant le numérique existent : le Digital
Markets Act (régulant le marché numérique), le Digital Services Act (régulant les contenus illicites et obligeant
les grandes plateformes numériques à être transparentes), le Digital Operational Resilience Act (obligeant
une résilience opérationnelle des systèmes numériques financiers) ou encore le Data Act (instaurant des règles
équitables pour l’accès et l’utilisation des données sur internet).
Le
droit numérique, un jeu d’équilibriste
Arnaud
Latil rappelle que le droit du numérique se rattache d’abord au droit commun
des risques. Avec le boom industriel au début du XIXème siècle, les politiques
publiques se soucient peu à peu des risques technologiques associés. Dès les
années 1970, des réglementations du risque font leur apparition, telles que la
classification Seveso, définissant les sites industriels dangereux et à risque
élevé.
Mais
comment définir le risque ? Pour le conférencier, il s’agit d’une corrélation
entre la probabilité qu’un événement dommageable survienne et la gravité de ses
conséquences. Et quels sont les outils juridiques à mettre en place pour
monitorer ce contexte ? Les politiques ont instauré des outils de régulation
propres aux risques, estime Arnaud Latil, tels que le principe de
proportionnalité. L’idée repose sur le sacrifice d’un droit prévu, au profit
d’un autre droit. L’intervenant précise : « on
demande alors aux organisations de faire de la proportionnalité car si leur
activité génère des risques, on zappera ces risques si les avantages sont plus
importants », que lesdits risques.
De
ce fait, le maître de conférences précise que les législations permettent de
définir ce qui est acceptable ou non, en matière de risques. « Quelle place pour le principe de précaution
? », demande une personne présente dans la salle. Réponse : « ce terme est tombé en désuétude, on ne parle
plus de principe de précaution (si c’est dangereux, on ne fait pas), mais
d’approche par les risques ». Les Français se réfèrent au clivage politique
historique au sein duquel se sont longtemps opposées la gauche, défendant le
principe de précaution, et la droite, défendant l’innovation. Pour Arnaud
Latil, l’approche par les risques intègre autant l’une que l’autre et permet de
« sortir de cette dichotomie
précaution/innovation » avec une approche par les risques qui « est une approche plus libérale du principe
de précaution ».
Quelques
réglementations en vigueur
Le
professeur propose un rapide état des lieux des politiques publiques régissant
l’approche juridique du numérique par les risques. Selon lui, ces textes
obéissent à trois mouvements. Tout d’abord, la répression, en interdisant
purement et simplement certains comportements dommageables et en sanctionnant
leurs auteurs. Ainsi, le droit pénal est, selon lui, « un outil historique de gestion des risques, avec des sanctions ex-post,
sans interdire en amont ». Ainsi, la loi Godfrain, ratifiée en 1988,
réprime les attaques de données et les piratages informatiques.
Deuxième
méthode des politiques publiques prenant en compte le risque numérique : la
responsabilisation. Pour Arnaud Latil, le législateur se positionne « sur l’anticipation, la prévention, pour que
les personnes qui s’adonnent à des activités se prémunissent des risques »
qui y sont associés. Ainsi, l’outil phare de cette approche réside dans
l’analyse des risques et leur cartographie par les acteurs en question. Ces
derniers ont pour obligation de produire des rapports indiquant le degré de
risques que comportent leurs activités, conformément à la RGPD (le Règlement
Général sur la Protection des Données), au Data
Act ou encore l’Ia Act.
Troisième
mouvement des politiques publiques du risque numérique : la résilience. Une
fois le risque advenu, il faut « se
remettre en marche et se relever », développe Arnaud Latil. « Les organisations doivent être résilientes
», après une cyberattaque, comme le prévoit la loi adoptée en mars dernier, au
Parlement européen, « sur la cyber-résilience ». Ce texte vise à « garantir que les produits dotés de
fonctionnalités numériques soient sécurisés à l'usage, résilients face aux
cybermenaces et fournissent suffisamment d'informations sur leurs propriétés de
sécurité ».
52%
des PME victimes d’une cyberattaque
Selon
une étude menée en 2022 par le cabinet de conseil économique Asterès, les
cyberattaques réussies (telles que l’hameçonnage ou le rançongiciel) ont coûté
2 milliards d’euros aux organisations françaises, avec des pertes de production
à hauteur de 252 millions d’euros. Parce qu’elles sont nombreuses en France,
les principales victimes de ce type d’attaques sont les entreprises et surtout
les PME. Toujours selon le rapport d’Asterès, 52% des petites et moyennes
entreprises ont été la cible au moins une fois d’une cyberattaque réussie au
cours des douze derniers mois. Pourtant, seulement 32% des PME ont souscrit à
une assurance de cybersécurité, selon un sondage IFOP, réalisé en 2022. Autre
chiffre notable : seulement 42% des TPE/PME réalisent une sauvegarde régulière
de leurs données, selon une étude de l’Afnic (l’Association française pour le
nommage Internet en coopération), réalisée en 2022.
Pour
rappel, conformément à la directive européenne NIS2 (Network and Information Security), adoptée en janvier 2023, de
nombreuses entreprises (des PME aux entreprises du CAC 40) auront l’obligation
de renforcer leurs moyens de cybersécurité internes. La directive devra être
transposée en droit français avant septembre 2024. En attendant ce renforcement
législatif national, les guides de bonnes pratiques à destination des
entreprises sont nombreux à être publiés. Citons celui de l’Institut Montaigne, mais aussi celui de l’ANSSI (Agence nationale de la sécurité des systèmes
d’information), et celui de l’AMRAE (l’Association pour le Management des Risques et des
Assurances de l’Entreprise), rédigé en partenariat avec l’ANSSI.
Que
faire pour prévenir les risques numériques ?
Le
rapport de l’AMRAE conseille aux organisations la création d’un comité des
risques numériques, « dédié et adapté aux
réalités de l’organisation ». Son rôle est de définir une stratégie de
sécurité numérique et de s’assurer de sa mise en œuvre. Pour cela, le comité a
à sa charge la rédaction et la mise à jour régulière d’une Politique de
sécurité des Systèmes d’Information (PSSI), définissant les investissements
nécessaires à une meilleure cybersécurité. Le comité doit également prévoir ses
« pires scénarios de risques », tout
en proposant des réponses efficaces à adopter dans chaque cas de figure. Il
doit aussi identifier le cadre légal et réglementaire, national et
international, régissant les activités numériques de l’organisation. Par
exemple, l’État peut lui attribuer le statut particulier d’opérateur
d’importance vitale (OIV), reconnaissant ses activités « d’indispensables au bon fonctionnement et à la
survie de la Nation ».
Le
rapport de l’AMRAE préconise de « placer
l’humain au centre de la politique de sécurité numérique ». Ainsi, en
incluant les collaborateurs dans les plans de sécurité prévus par la PSSI, ces
derniers assureront « une participation
active à la sécurité numérique de l’organisation, suivie de résultats rapides
et significatifs, pour un coût raisonnable ». Dans cette optique, le
rapport recommande la mise en œuvre d’actions de sensibilisation des équipes et
la conduite d’exercices réalistes de cyberattaques. Des mises en situation
organisées à intervalles réguliers, afin de « développer une véritable culture de la sécurité numérique, de telle
sorte que les membres de l’organisation, appuyés de procédures de sécurité,
parviennent à déjouer les pièges les plus courants ».
Enfin,
il est aussi possible de souscrire à une assurance de cybersécurité, aidant
ainsi l’organisation « à gérer la crise
et revenir au plus vite à une situation normale ». L’assurance met à
disposition de nombreuses ressources telles qu’une aide d’experts cyber,
d’experts systèmes, de conseillers juridiques et de conseillers en
communication de crise, dans le but de préserver l’image de l’organisation.
Autre avantage d’une telle souscription : amortir le choc financier de la
cyber-attaque - notamment lié à l’arrêt de l’activité - et faire face aux frais
engendrés pour compenser les dommages causés à des tiers. Un point essentiel,
puisque ce dédommagement permet de préserver la crédibilité de l’organisation
vis-à-vis de ses fournisseurs, de ses partenaires ou de ses clients.
La
cybersécurité, un avantage compétitif à ne pas sous-évaluer
Le
rapport de l’AMRAE rappelle également que « les
parties prenantes, poussées par la transformation numérique, attendent de
l’organisation qu’elle aille au-delà de la simple gestion du risque numérique
et qu’elle se positionne véritablement comme un tiers de confiance numérique ».
Ainsi, une organisation qui valorise ses investissements en matière de sécurité
numérique a de fortes chances de « les
transformer en avantages concurrentiels avec un apport de valeurs », telles
que la confiance, la proactivité et l’optimisation d’investissements.
Cette
valorisation de la cybersécurité assurée par l’organisation opère comme une
garantie pour « générer de la croissance
et saisir des opportunités de développement auprès de ses investisseurs et
partenaires » mais aussi pour « accéder
a` de nouveaux marchés (notamment sensibles) en se positionnant comme opérateur
de confiance ». Sans oublier que les agences de notation prennent de plus
en plus en compte le niveau de cybersécurité et de sa valorisation au sein des
organisations. De quoi prendre la cybersécurité de son entreprise (très) au
sérieux.
Inès Guiza