Cybersécurité : tendances et enjeux juridiques avec Pierre-Xavier Chomiac de Sas, Avocat fondateur, PCS Avocats.
Catégorie
🗞
NewsTranscription
00:00On commence tout de suite ce Lex Inside. On va parler cybersécurité. Quelles sont les
00:15tendances et les enjeux juridiques avec mon invité Pierre-Xavier Chaumiac de SAS,
00:20avocat fondateur de PCS Avocat. Pierre-Xavier, bonjour. Bonjour. La cybersécurité est un enjeu
00:27majeur face aux cyberattaques croissantes que connaissent les entreprises. Pour commencer,
00:32quel est le cadre juridique de la cybersécurité ? Alors la notion de cybersécurité renvoie en
00:38réalité à plusieurs éléments qu'on pourrait scinder en deux catégories ou deux groupes. D'abord,
00:44l'aspect normatif qui comprend en fait l'ensemble des règles qui sont destinées à garantir la
00:48meilleure sécurité des outils numériques qui sont proposés ou qui sont utilisés par les
00:55entreprises et les citoyens. Et là-dedans, vous avez un corpus de règles particulièrement larges.
01:01Au niveau national, on peut en citer en vrac la loi pour la confiance dans l'économie numérique
01:05de 2004, les différentes lois de programmation militaire qui ont été faites à partir des années
01:112010, la loi pour une république numérique en 2016, plus récemment l'OPMI qui est la loi
01:20d'orientation et de programmation du ministère de l'Intérieur, etc. qui comprennent toutes
01:26des dispositions en matière de cybersécurité et de protection des outils numériques. Au niveau
01:32européen, évidemment, nous avons des directives qui ont été implémentées et qui visent à apporter
01:37et consolider ces éléments-là. Les plus récentes, naturellement, ce sont les directives NIS et NIS2,
01:43mais on peut évidemment en matière de cybersécurité parler également du fameux RGPD.
01:50En général, c'est la protection des données, qui lui couvre des aspects liés aux données
01:54personnelles des citoyens, des utilisateurs. Et après, ça c'était pour l'aspect normatif et de
02:01l'autre côté, vous avez un aspect qui est plutôt répressif, l'aspect pénal, avec un certain nombre
02:06d'infractions qui ont été créées à partir des années 70 pour commencer à sanctionner finalement
02:11les faits qui sont associés à l'intrusion, l'attaque, la modification, la suppression de
02:17données dans des systèmes automatisés. Et c'est là que vous avez les escroqueries en ligne, c'est
02:22là que vous avez toutes les attaques sous forme de virus informatique, de malware, de rançons
02:29jicielle. Jean Pas, c'est des meilleurs. Et puis les infractions qui vont toucher soit des biens,
02:35donc les arnaques en ligne, soit des atteintes contre les personnes avec les infractions sur
02:40les données personnelles, les attaques contre les institutions publiques. Et on l'a vu notamment
02:44avec les hôpitaux qui sont souvent les premières cibles de l'attaque informatique de masse. Et
02:49après, des infractions spécifiques à des réglementations, par exemple le RGPD comme
02:54je le mentionnais. On a vu qu'il y a un cadre juridique assez large. On va se pencher sur les
02:59obligations des entreprises. Quelles sont les obligations des entreprises en matière de
03:04cybersécurité ? On peut les structurer autour de trois axiomes. D'une part, l'audit et la
03:13connaissance des failles et des risques associés à leurs activités. Deuxièmement, le contrôle et
03:19la mise en place d'outils de protection de ces risques. Et troisièmement, un volet plus pédagogique
03:26qui va être destiné justement à former les effectifs de la société, à la fois les dirigeants,
03:33à la fois les responsables des différents secteurs, l'ensemble du personnel, l'ensemble
03:37des effectifs qui vont tourner les stagiaires, le personnel, on va dire, qui peut être
03:44porté à l'extérieur, les prestataires, les contractants, les fournisseurs. C'est un
03:51écosystème extrêmement dense. En matière d'audit, pour revenir sur ce point-là, évidemment ça
03:56suppose à la fois de connaître les activités de sa société. D'un point de vue technique,
04:02savoir tous les éléments et outils qui sont utilisés, qu'il s'agisse de logiciels, qu'il
04:07s'agisse de personnes, qu'il s'agisse de moyens et de ressources au sens large. Comprendre quels
04:12sont les risques qui y sont associés et après préparer, encadrer d'un point de vue contractuel,
04:18d'un point de vue technique et logiciel, la protection de ces éléments. Et plus généralement,
04:24et c'est l'aspect général des directives et des réglementations en matière de cybersécurité,
04:29documenter l'ensemble de ces éléments pour qu'en cas d'attaque ou en cas de contrôle,
04:34on puisse justifier des diligences qui ont été réalisées pour témoigner d'une bonne foi et
04:39d'un sérieux dans la protection des outils numériques. Alors vous évoquez les cyberattaques,
04:46quelles sont les conséquences juridiques des cyberattaques ? Elle varie profondément selon
04:52d'abord la forme de l'attaque, un rançongiciel qui va geler tous les dossiers d'une structure ou
04:58tous les fichiers d'une structure, les vols de données confidentielles qui pourraient être après
05:02revendues ou exploitées par des tiers. Donc d'une part la forme de l'attaque, l'ampleur de l'attaque
05:08et évidemment la préparation de l'entreprise par rapport à une attaque ou l'une de ces types
05:15d'attaques. En matière de risque juridique, évidemment le premier point à prendre en
05:20considération, c'est les conséquences de la désorganisation de la société qui va se manifester
05:26par un risque de manquement contractuel très fort avec les prestataires, avec les clients, avec
05:30les fournisseurs. Et pour citer un exemple, aujourd'hui les virus informatiques ou une attaque
05:37par virus informatique n'est pas considérée systématiquement comme un cas de force majeure
05:42qui permettrait d'exonérer la responsabilité de la société. Pourquoi ? Parce que ça s'applique au
05:48cas par cas, parce que justement fort d'obligations en matière de cybersécurité, on peut considérer
05:53qu'un stagiaire qui ouvrirait un fichier, mais évidemment dangereux, incombe finalement un
06:00un manquement de la société d'avoir formé ses effectifs, d'avoir vérifié ou d'avoir utilisé
06:05des logiciels ou des outils. Il y a une négligence quelque part de la société. Exactement, c'est tout
06:09cet équilibre à trouver entre obligations en matière de cybersécurité et deuxièmement
06:14protection en matière d'attaque. Donc désorganisation de la société, le deuxième c'est les sanctions
06:20civiles, pénales, voire administratives, si on constate des négligences, si l'on constate des
06:26manquements, si l'on constate des fautes de la part de l'entreprise dans la mise en place de ces
06:32différentes obligations et responsabilités. Et le troisième, parfois négligé, c'est la réapparation
06:38des préjudices des victimes collatérales. Un exemple, lorsqu'un fonds d'investissement se fait
06:45pirater et que des clients de ce fonds se font escroquer de l'argent par des personnes qui se
06:51seraient fait passer pour ce fonds, évidemment les clients seraient en droit de demander des
06:56comptes au fonds visé en matière de sécurité, en matière de diligence qui aurait été faite pour
07:02limiter ce genre de risque. Évidemment, le fonds peut engager sa responsabilité et on peut étendre
07:06cet axiome à l'ensemble des sociétés. Évidemment, le dernier, c'est les conséquences d'un préjudice
07:14économique du fait du gel de la société et un préjudice d'image en matière de sécurisation
07:20et de crédibilité vis-à-vis du monde des affaires. Pour éviter ces désagréments,
07:29qu'est-ce qu'on peut faire de manière préventive ? Évidemment, sortir la tête du sable et auditer.
07:37Considérer que c'est un enjeu qui est essentiel et qu'il ne s'agit pas juste de normes
07:43pénibles à respecter. Donc, procéder à un audit à la fois technique et à la fois juridique fait
07:50soit en interne si vous disposez des ressources, soit par des prestataires spécialisés qui peuvent
07:56permettre d'identifier les risques, les dangers ou les manquements à un certain nombre de normes.
08:03Ensuite, à nouveau, envisager les solutions qu'on peut mettre en place à court, moyen et long terme
08:09pour pérenniser ces éléments-là. Documenter, je l'avais dit, l'ensemble de ces éléments. Et un
08:15aspect qui est souvent négligé mais qui peut être extrêmement important et utile, c'est préparer des
08:22procédures en cas d'attaque. Simuler, tenter, faire des exercices sur différents types d'attaques
08:29pour que le jour J, lorsque ça se produit, vous ne soyez plus dans une situation de gestion de
08:35crise non préparée mais que vous connaissiez les procédures à suivre, les autorités à contacter,
08:42que ce soit l'ANSI, que ce soit l'AMF, que ce soit le RGPD. Vous avez notamment des obligations avec
08:50des délais très courts, notamment 72 heures, pour signaler sans constater un manquement vis-à-vis
08:57d'un certain nombre d'autorités. Et on sait que de manière générale, il faut aller vite dans ces
09:00cas-là. Et il faut aller évidemment vite et donc préparer le mieux les différents interlocuteurs
09:05qui seront nécessaires, les personnes à contacter, la procédure à suivre, un petit peu comme en
09:11matière d'incendie, c'est toujours mieux lorsque les effectifs ont été préparés et formés. On va
09:15conclure là-dessus. Merci beaucoup Pierre-Xavier Chaumiac de SASS d'être venu sur notre plateau.
09:21Je rappelle que vous êtes avocat fondateur de PCS Avocat. Merci, très bonne journée. Tout de suite,
09:26l'émission continue. On va parler du rôle du notaire en matière de diagnostic immobilier.