C'est 30 millions ou je balance tout

1/ Pourquoi la cyberattaque est un cauchemar ?

Une attaque informatique ou une cyberattaque génère 4 risques majeurs  :‍

• Un risque technique sur le réseau informatique, la perte et la fuite de données personnelles et sensibles
• Un risque réputationnel vis-à-vis des clients qui risquent de perdre confiance en l’entreprise, les fuites de données étant particulièrement sensibles pour les clients
• Un risque économique, une cyber-attaque peut engendrer une perte d’exploitation et une perte d’investisseurs et de clients, ayant pour conséquence une perte     de chiffres d’affaires. Ces pertes peuvent aboutir à la liquidation judiciaire de l’entreprise
• Un risque juridique pour l’entreprise qui peut voir sa responsabilité engagée en application du règlement européen (UE) 2016/679 du 27 avril 2016 sur la protection des données personnelles (RGPD), notamment en cas de défaut d’information à la suite de la constatation d’une cyberattaque.

Bref, la cyberattaque, c'est clairement déconseillé.

2/ Comment prévenir une cyberattaque ?

L'anticipation d'une cyber-crise est essentielle pour se protéger efficacement. En la matière, la proactivité est la pièce maîtresse d'une défense efficace.

• Connaître et se former aux règles élémentaires de l’hygiène informatique (l’ANSSI a publié un guide d’hygiène informatique en     2017 qui rassemble 42 mesures pour protéger les informations des entreprises et entités publiques)
• Former et informer les salariés de l’entreprise aux risques induit par une cyber-attaque et aux bons gestes à avoir,notamment sur l’ouverture des mails (comment repérer un e-mail malveillant) et l’utilisation d’internet (site internet frauduleux, hameçonnage)
• Mettre en place un plan d’intervention et de sécurisation du système en cas de cyber-attaque La mise en place d'un système de management de la sécurité de l'information est fourni par la norme ISO 27001
• Créer une cellule de crise afin de centraliser les informations et coordonner les actions
• Prévoir un plan de communication auprès des autorités et des clients
• Associer les responsables des systèmes d'information pour s’assurer de la sécurité des     mesures déjà appliquées dans l’entreprise

Enfin,pour vos clients et fournisseurs, leur dire que tout a été mis en place et quela cyberattaque a des conséquences limitées, ça montre que vous gérez votrerisque et que vous avez une capacité d'anticipation et de résilience.

3/ Que faire en urgence face à une attaque informatique ?

Lors de la découverte d'une cyberattaque,la première étape consiste à alerter immédiatement le département informatique et/ou le prestataire informatique de votre société pour obtenir l'assistance requise. La rapidité de la prise en charge est d’une importance capitale, et pourra permettre d’atténuer les conséquences liées à la cyberattaque. La cellule de crise doit se réunir car elle permet de prévenir l’extension de la menace à l'ensemble du système et des sauvegardes de votre entreprise.

La cellule de crise doit notamment :

• Élaborer une stratégie de confinement d'un incident de sécurité
• Préparer un plan de déconnexion du réseau‍
• Vérifier l’état des données
• Réparer ou reconstituer les données
• Annuler toutes les autorisations d'accès
• Désigner un huissier de justice, chargé d'authentifier les faits
• Émettre un rapport d'incident qui permettra aux équipes d'actualiser les process interne, de mettre en place une communication adéquate et d'assurer le suivi des coûts et pertes générés par cet incident ainsi que de la procédure pénale.

4/ Quelles sont les répercussions juridiques d'une attaque informatique ?

A. Le respect d’obligations légales d’information pour la dirigeante et le dirigeant

En matière de cybercriminalité, les attaques impliquent une potentielle violation des données personnelles de l’entreprise et de ses clients. Il convient donc de veiller au respect des règles issues du règlement général sur la protection des données (RGPD).

L’assistance d’un avocat est alors particulièrement utile pour connaître les obligations qui incombent au dirigeant suite à l’attaque.

L’entité victime est soumise à 2 obligations :

• La documentation de l’incident en vue d’une qualification pénale
• La notification de l’attaque auprès de la Commission nationale de l'informatique et des libertés(CNIL) dans un délai de 72 heures après la connaissance de la violation.Cette notification est obligatoire lorsque l’incident porte atteinte aux droits et libertés des personnes physiques, clients de la société.

{{cta-news="/cta"}}

B. Le dépôt de plainte et l’indemnisation des préjudices subis

La procédure judiciaire est doublement utile en cas d’attaque : elle permettra d’identifier l’auteur et le condamner,mais aussi d’acter le statut de victime de l'entité commerciale pour obtenir réparation.

Votre dépôt de plainte, auprès d’un service de police ou du procureur de la République, permet d’ouvrir une enquête menée par les services de police nationale ou de la gendarmerie nationale.

Pour construire cette plainte, la documentation réunie en cellule de crise sert de base à la qualification juridique des faits constatés.

Lors de votre dépôt de plainte, il vous faut vous munir des renseignements suivants :

• Les documents non confidentiels rassemblés en cellule de crise
• Les références des personnes contactées, et notamment de la cellule de crise intervenue suite à l’attaque
• Les références des transferts d'argent frauduleux effectués
• Le numéro complet de votre carte de crédit ayant servi au paiement contesté
• En cas de débit, le relevé de compte bancaire où apparaît le débit frauduleux.

Le plus souvent, il s’agit d’infractions spécifiques, dites « atteintes desystèmes de traitement automatisé de données » (STAD), et prévues par le Code pénal.

Le droit pénal français réprime notamment :

• L'usurpation d'identité numérique (article 226-4-1 du code pénal)
• Le vol d'informations personnelles (article 311-1 du code pénal)
• L'escroquerie par fraude à la carte bancaire (article 313-1 du code pénal)
• L'accès et/ou le maintien frauduleux dans un STAD (article 323-1 et suivants du code pénal)
• L'introduction frauduleuse de données dans un STAD (article 323-1 et suivants du code pénal)

Si votreentreprise a subi une attaque informatique, nous vous conseillons de vérifiervotre police d’assurance pour vérifier si le sinistre et ses conséquences sont pris en charge (pertes dedonnées, pertes d’exploitation, prise en charge des dépenses liées autraitement de la cyber-attaque). Si vous n’avez pas souscrit de cyber-assurance, il est conseillé de le faire en cas de nouvelles cyberattaque.

Je veux en discuter avec vous !

Vous voulez en savoir encore plus sur les cyberattaques en attendant de nous rencontrer ? Ca tombe bien, on a écrit tout un guide sur le sujet !

Je veux télécharger le guide !