La crise générée par l’épidémie de Covid-19 est inédite sur de nombreux points. Qu’il s’agisse des aspects sociétaux ou économiques, le mois de mars et d’avril 2020 ont été réellement marqué par la mise en place d’un nouveau fonctionnement planétaire, entre confinement, télétravail, désinfection et lutte contre un virus mondialement nuisible.

Le tableau clinique de la situation pourrait s’arrêter là mais ce serait sans compter sur un autre type de virus1, tout aussi immatériel mais exclusivement informatique, qui porte les doux noms de malware, ransomware ou cheval de Troie, pour ne citer qu’eux.

Ce deuxième type de virus précède le Covid-19. Pourtant, force est constater que sa puissance s’est démultipliée depuis la crise sanitaire mondiale. Contrôlé par des criminels en col blanc, le virus informatique profite de l’omniprésence des outils numériques et du développement sans précédent du télétravail pour se répandre. Les symptômes caractéristiques de sa présence au sein d’un système d’information sont le chiffrement des données, la demande de rançon, l’exfiltration de données voire la vente de celles-ci sur des blackmarkets.

Si les politiques publiques usent de nombreux outils de communication pour faire connaître les mesures d’hygiène et de lutte contre le virus du Covid-19, elles sont moins prolixes s’agissant de la cybersécurité et encore moins lorsqu’il s’agit de la réglementation applicable à la cybersécurité.

Il conviendra, d’une part, d’inciter les dirigeants et organisations à prévoir et à utiliser les outils juridiques appropriés de lutte contre les menaces numériques et, d’autre part, de constater l’apport indispensable du juridique en cas de cyberattaque.

1       Le juridique comme l’une des forteresses de la cybersécurité

La prévention de la cybercriminalité peut se schématiser comme la mise en place de forteresses pour protéger un donjon constitué par les données du système d’information.

D’emblée, plus le nombre de forteresses est important et plus le risque de pénétration au cœur du donjon est faible. Néanmoins et puisqu’il s’agit de risques, le nombre de forteresses ne doit en aucun cas avoir pour conséquence un relâchement de la surveillance du système d’information sécurisé.

Classiquement, la première forteresse est technique. Il s’agit des pares-feux, anti-virus, anti-malwares, VPN… Ces outils techniques constituent le socle de l’infrastructure de cybersécurité.

Cette forteresse est souvent le premier et unique rempart aux attaques numériques. Or, il est nécessaire de déployer une seconde forteresse constituée d’outils juridiques. Concrètement, il s’agira notamment de mettre en place une charte informatique et une politique de sécurité du système d’information (PSSI). Ces documents contiennent les indications, obligations et interdictions s’agissant de l’utilisation des outils informatiques. Ainsi, la charte informatique va, par exemple, modérer l’utilisation des outils numériques des employés, interdire la connexion à des réseaux publics ou imposer l’utilisation d’un VPN en cas de déplacement professionnel. La PSSI devra régler, quant à elle, l’accès aux serveurs et la possibilité ou non d’installer des logiciels.

Ces documents peuvent avoir une valeur contraignante et être annexés au règlement intérieur de la structure.

En complément, une troisième forteresse doit être construite, constituée par la pédagogie préventive et la formation du personnel. Il s’agit d’une forteresse indispensable pour que l’ensemble du système de protection fonctionne. En effet, dans la grande majorité des cas, le succès d’une attaque numérique réside dans l’erreur humaine : telle personne a ouvert une pièce jointe reçue par mail, telle autre a transféré des documents via une clé usb infectée, telle autre s’est connectée sur un réseau non sécurisé.

La prévention peut trouver un angle juridique et devenir obligatoire pour l’ensemble des utilisateurs du système d’information. Ainsi, la charte information peut prévoir des sessions de formation obligatoire en matière de cybersécurité mais aussi en matière de protection des données personnelles ou de respect des règles de confidentialité. Ces sessions peuvent être réalisées à distance et faire l’objet d’une notation, sous la forme d’un MOOC par exemple.

Aucune forteresse n’étant imprenable, il arrive parfois qu’une attaque numérique pénètre le système d’information visé. Dans ce cas et comme en matière de prévention, le juridique est une force complémentaire dans la résolution de la crise générée par l’attaque.

2       Le juridique en cas d’attaques, une force complémentaire

En cas de cyberattaque, le réflexe est souvent de faire appel à la technique pour tenter de résoudre les conséquences de l’attaque. Ce réflexe est une bonne chose puisqu’il est acquis que plus l’attaque est traitée rapidement et moins les conséquences sont importantes.

La résolution de la crise naissante doit néanmoins s’accompagner d’une prise en compte du juridique. En effet, à la complexité des attaques va se joindre la difficulté à établir les responsabilités. Naturellement, le juriste trouve sa place dans la résolution de la crise en se concentrant sur les responsabilités en cause mais aussi sur le lien entre la structure visée et les autorités. Ainsi, le juriste sera en charge de réaliser les notifications auprès des autorités compétentes le cas échéant (ANSSI et CNIL principalement) mais devra aussi statuer sur les clauses contractuelles applicables et sur les responsabilités en jeu.

Ce travail de fond permet un gain de temps important dans le cadre de la résolution de la crise. Sur de nombreux points, l’apport du juridique va permettre de rationaliser les décisions à prendre par les dirigeants et les techniciens spécialistes tout en évitant d’obscurcir le brouillard déjà épais devant la compréhension de la situation. La condition sine qua non de la réussite de la gestion de crise reste la présence d’un lien fort qui unit les équipes, chacun ne pouvant tirer la couverture à soi, faute de quoi, les décisions prises ne seraient pas les plus pertinentes.

 

Au sortir de la crise, le retour d’expérience permettra aux équipes de comprendre les points forts et les faiblesses qui ont conduit à l’attaque et à sa résolution. Là aussi, le juridique devra prendre en compte les retours d’expériences pour améliorer, préciser, modifier les documents juridiques afin de consolider la forteresse touchée par l’attaque.

L’épidémie de Covid-19 et les attaques informatiques semblent avoir de nombreux points en commun. Gageons que la prévention des risques et la bonne gestion de la crise fassent de ces deux virus des mauvais souvenirs du XXIème siècle.

 

 

1.L’auteur a volontairement utilisé le nom de virus, bien qu’inexact pour les spécialistes de la cybersécurité.