Entretien avec Valérie Lafarge-Sarkozy, avocate spécialisée en
cybersécurité
Avocate depuis 1985, Valérie Lafarge-Sarkozy s’est spécialisée il
y a dix ans dans le domaine de la cybersécurité. Elle a participé à la
rédaction du rapport « Assurer le risque cyber », publié par le Club des
juristes en 2018. La présentation en septembre dernier par le Conseil des
ministres du projet de loi sur la sécurité, abordant la thématique des
cyberattaques et ouvrant la voie à leur indemnisation, est une nouvelle étape
dans la prise en compte de ce risque.
Pour commencer, pouvez-vous revenir sur votre parcours et nous
présenter votre cabinet en quelques mots ?
J’ai fait mes études de droit à la faculté de Paris-II Assas. J’ai
prêté serment en 1985. J’ai ensuite été collaboratrice puis associée du cabinet
Rambaud Martel, puis associée au cabinet américain Proskauer, et associée du
cabinet Advant Altana depuis 2017.
C’est un cabinet d’avocats d’affaires, multi-domaines fondé en
2009. Il compte plus de 80 avocats et juristes dont 22 associés à Paris, et
plus de 600 avocats et juristes dont 140 associés en Europe continentale et
au-delà à travers Advant, association cocréée en 2021 comprenant 14 bureaux,
notamment l’allemand Advant Beiten et l’italien Advant Nctm.
Les équipes d’Advant Altana accompagnent des entreprises
françaises et étrangères, ainsi que leurs dirigeants, dans le traitement de
dossiers à forts enjeux techniques et/ou stratégiques, particulièrement dans
les secteurs d’activités les plus régulés : banque-assurance, construction,
énergies renouvelables, sciences de la vie, technologies, médias et
télécommunications.
Pourquoi et comment vous êtes-vous spécialisée dans les questions
de cybersécurité ?
Je fais du droit de la responsabilité depuis que j’exerce ce
métier. J’ai traité de nombreux dossiers de responsabilité bancaire, ainsi que
de responsabilité du fait des produits défectueux (notamment de produits de
santé) et de responsabilité de dirigeants. Je m’intéresse au risque en général,
et il y a dix ans, j’ai anticipé qu’il y aurait un sujet à venir important, le
risque cyber, et j’ai commencé à y travailler. Avec le Club des juristes, nous
avons créé une commission risque cyber et rédigé en 2018 un premier rapport
intitulé « Assurer le risque cyber ». Plus récemment, nous avons écrit «
Le droit pénal à l’épreuve des cyberattaques ».
Avec le risque climatique, le risque cyber est le plus important
des années à venir en termes financiers. Je pense que c’est le souci des
générations futures. C’est un risque contre lequel il faut lutter et qui
concerne les particuliers, les entreprises et les États. Il est multifonction,
grave et très dangereux, car une entreprise peut être totalement paralysée sur
un clic. Les grosses entreprises sont majoritairement très organisées, elles
sont généralement assurées, et ont mis en place une cybergouvernance. Elles ont
pris la mesure de ce risque. Pour les petites entreprises, cela coûte cher de
s’en prémunir. Elles pensent aussi qu’elles ne peuvent pas être visées, mais en
réalité, toutes les entreprises peuvent être victimes. Dans certains types
d’attaques, les hackers frappent sans savoir où ils vont, et rentrent là où ils
découvrent une faille. Ce sont des attaques « au chalut ».
« On doit se défendre contre
les attaques informatiques comme contre le virus du covid : avec des gestes
barrières. »
Le rapport « Assurer le risque cyber » détaille des
préconisations pour mieux assurer les risques de cyberattaques. Quelles sont
les principales précautions à prendre pour une entreprise ?
Il faut d’abord former ses salariés et créer une cybergouvernance
qui sera plus ou moins importante en fonction de la taille de l’entreprise. 90
% des attaques pourraient être évitées s’il n’y avait pas d’erreur ou de
volonté humaine. Uber a récemment été victime d’une attaque monumentale qui a
pour origine un salarié ayant donné ses codes à un hacker. Si ce salarié avait
été formé, cela n’aurait peut-être pas eu lieu. On doit se défendre contre les
attaques informatiques comme contre le virus du covid : avec des gestes
barrières. Il faut que les salariés apprennent à repérer les mails qui peuvent
être dangereux, à ne pas plugger une clé USB qui ne vient pas de l’entreprise
et qui n’a pas été nettoyée, à ne pas laisser leur ordinateur ouvert le soir, à
ne pas se connecter à des réseaux publics non sécurisés sur leur boîte mail
professionnelle, etc.
Il faut effectuer des crash tests pour voir comment l’entreprise
et les salariés réagissent.
L’entreprise doit aussi connaître les potentielles failles de son
système d’information en faisant intervenir une société externe pour qu’elle
les identifie. Le directeur de l’Agence nationale de la sécurité des systèmes
d’informations (ANSSI) affirme que chaque entreprise doit dépenser 5?à 10 % de
son budget informatique pour lutter contre le cyber risque. Il faut évidemment
être en conformité avec le règlement général sur la protection des données
(RGPD). Dans le cas contraire, en plus d’un vol des données personnelles,
l’entreprise pourra être sanctionnée par la CNIL.
Veiller à tout cela forme un cercle vertueux. Quand on commence à
s’intéresser à ce risque et que l’on forme ses salariés et soi-même, on
réfléchit à un modèle de cybergouvernance. On en arrive à se poser des
questions importantes. En cas d’attaque, qui appeler ? Quel est l’huissier qui
va venir faire un constat de l’état du serveur de l’entreprise avant de
commencer à restaurer le système d’information ? Quelle entreprise choisir pour
restaurer son système d’information ? Comment déposer plainte ? Faut-il appeler
une société de gestion de crise ? Quel vocabulaire employer vis-à-vis des
salariés ? Comment travailler en mode dégradé ? Pour résumer : comment mon
entreprise survit-elle si l’attaque arrive ?
En se posant ces questions, on va généralement encore plus loin,
pour faire en sorte que le pire n’arrive pas. Malgré cela, le risque zéro
n’existe pas même en étant très bien protégé, car les hackers ont une longueur
d’avance sur nous. Il faudrait que chaque entreprise prenne conscience du
risque, et j’ai l’impression que les choses sont en train d’évoluer. Il y a eu
énormément d’attaques par rançongiciel pendant la crise sanitaire, et on en
parle beaucoup dans la presse. Enormément d’entreprises se sont retrouvées
coincées et 62 % d’entre elles ont payé la rançon. Moins de la moitié ont pu
récupérer leurs données, souvent chiffrées donc inutilisables. Il y a toute une
éducation et une pédagogie à faire.
On devrait déjà commencer par mettre en place ces gestes barrières
dans chacune des petites et moyennes entreprises, en plus des plus grosses, et
faire en sorte qu’elles s’assurent. Cela va aussi obliger une entreprise à
réfléchir aux données sensibles qu’elle veut protéger et comment les protéger.
Une entreprise de e-commerce ne protégera pas la même chose qu’une entreprise
de restauration, un banquier, ou un assureur. C’est une gymnastique
intellectuelle un peu lourde au début, et compliquée à mettre en place pour
certaines entreprises, car c’est beaucoup de travail. C’est toutefois un effort
nécessaire pour permettre de survivre en cas d’attaque et pour essayer de les
limiter.
Dans le contexte d’une cyberattaque en entreprise, quel est le
rôle de l’avocat ?
L’avocat peut intervenir dès le début. Dans notre cabinet, nous
avons une équipe spécialisée en données personnelles, une en droit pénal et en
risque cyber, et une en droit de la responsabilité civile. On travaille
toujours tous ensemble, c’est une matière transverse. Nous avons également un
réseau bien organisé. Quand une entreprise nous appelle, on déleste ses équipes
d’un certain nombre de choses : on appelle pour elle un huissier spécialisé que
l’on connaît bien pour prendre la photocopie des serveurs, on contacte une
entreprise pour les aider à restaurer leur système d’information, on lui
conseille d’appeler son assureur si elle est assurée, on appelle les enquêteurs
et on leur rédige la plainte, puis une déclaration à la CNIL si c’est
nécessaire. On intervient comme avocat au sens large, on aide l’entreprise en
continu jusqu’à ce que le système d’information soit restauré. On aide aussi
ceux qui n’en n’ont pas à mettre en place une cybergouvernance. 62 % des
entreprises attaquées sont à nouveau attaquées l’année d’après.
Le ministère de l’Économie a ouvert la voie à l’indemnisation par
les assurances des entreprises victimes de cyberattaque. Selon-vous, est-ce une
bonne chose ?
À titre personnel, je ne suis pas favorable au principe
d’indemnisation de la rançon parce qu'on sait qu’en payant les rançons, on
finance les cybers attaquants, mais aussi souvent le terrorisme, le trafic de
drogue ou d’armes, etc. Toutefois, déjà avant cette décision, rien n’empêchait
les assureurs d’indemniser cette rançon, sauf s’ils savaient que cet argent
servirait à financer le terrorisme, ce qui n’est généralement pas précisé.
Seules 3 % des entreprises françaises sont assurées contre ces attaques. Le
fait d’inscrire dans le marbre que la rançon est indemnisable par les assureurs
peut inciter les entreprises à s’assurer. Or, on sait qu’une entreprise assurée
va être beaucoup plus précautionneuse vis-à-vis de ce risque, ne serait-ce que
parce que son assureur va lui demander de l’être et va lui demander comment
elle est protégée. Cela va aussi permettre à un certain nombre d’entreprises
d’éviter un dépôt de bilan à cause d’une rançon.
Dans les préconisations du gouvernement, il est clairement indiqué
que l’entreprise ne peut être indemnisée que si elle dépose plainte. Cependant,
beaucoup d’entreprises ne veulent pas déposer plainte pour plusieurs raisons.
La plus fréquente d’entre elles est la crainte que le fait qu’elles aient fait
l’objet d’un ransomware ou d’une cyberattaque ne s’ébruite. Il faut savoir que
ce n’est pas en déposant plainte qu’une telle information va circuler. Le dépôt
de plainte est complètement confidentiel. Certaines pensent aussi que c’est
inutile puisqu’elles ont peu de chances de récupérer leurs données ou l’argent
de la rançon, et c’est vrai que l’on n’a jamais l’assurance en la matière. Il faut
tout de même les pousser pour qu’elles déposent plainte, c’est un geste
civique. Cela permet de se défendre et de défendre son entreprise. On donne des
informations aux enquêteurs qui peuvent, en croisant ces données, remonter
jusqu’aux cyberdélinquants et aux gangs responsables de l’attaque, et les
démanteler ensuite. Il sera peut-être aussi possible de récupérer en même temps
les données et les rançons, souvent payées en cryptomonnaie. Il faut une
solidarité pour lutter contre ce risque, c’est extrêmement important.
Il y a aussi une très bonne coopération internationale. En France,
les enquêteurs sont exceptionnels. On a l’un des meilleurs niveaux d’Europe en
ce qui concerne les services d’enquête cyber français.
Dans ce que propose le Gouvernement, il y a une forme de sagesse :
« l’entreprise va s’assurer et donc se protéger ». Elle est
contrebalancée par le fait que les entreprises peuvent avoir envie de payer
systématiquement la rançon, mais la proposition de l’exécutif reste assez
pragmatique. La plupart des assureurs connaissent bien le risque cyber, savent
comment conseiller les entreprises pour qu’elles puissent avoir une sécurité
informatique efficace. L’assurance est d’ailleurs conditionnée à un certain
nombre de points, comme il peut y en avoir quand on assure un logement par
exemple. C’est aussi une question d’éducation : il faut apprendre à résister au
paiement de la rançon. Ce n’est pas parce qu’elle est indemnisable qu’il faut
forcément payer. Si tous les coûts concernant le piratage, comme la
restauration du système d’information ou la perte d’exploitation, sont bien
indemnisées, alors les entreprises peuvent réfléchir à ne pas payer la rançon.
Le nombre de cyberattaques continue d’augmenter. Néanmoins, par
l’amélioration de la sécurité et une meilleure sensibilisation des entreprises
à risque, la situation peut-elle s’améliorer ?
C’est l’objectif. Il y a beaucoup d’efforts qui sont faits ainsi qu’une
grande coopération au niveau international pour essayer de faire adhérer le
plus de pays à la Convention de Budapest sur la cybercriminalité, pour éviter
que les cyberdélinquants ne soient logés dans des pays qui n’y ont pas adhéré.
Plutôt que de légiférer, il faut maintenant éduquer au risque cyber et la façon
dont on peut s’en protéger. Il pourrait s’apprendre dans les écoles, de la même
manière que l’on apprend le risque climatique tout petit, ou le tri des
déchets. L’objectif en éduquant sur ce risque est d’arriver à inverser la
tendance.
Propos recueillis par Alexis Duvauchelle