ACTUALITÉ

« Avec le risque climatique, le risque cyber est le plus important des années à venir en termes financiers »
« Avec le risque climatique, le risque cyber est le plus important des années à venir en termes financiers »
Publié le 19/12/2022 à 15:32

Entretien avec Valérie Lafarge-Sarkozy, avocate spécialisée en cybersécurité

 

Avocate depuis 1985, Valérie Lafarge-Sarkozy s’est spécialisée il y a dix ans dans le domaine de la cybersécurité. Elle a participé à la rédaction du rapport « Assurer le risque cyber », publié par le Club des juristes en 2018. La présentation en septembre dernier par le Conseil des ministres du projet de loi sur la sécurité, abordant la thématique des cyberattaques et ouvrant la voie à leur indemnisation, est une nouvelle étape dans la prise en compte de ce risque.

 

Pour commencer, pouvez-vous revenir sur votre parcours et nous présenter votre cabinet en quelques mots ?

J’ai fait mes études de droit à la faculté de Paris-II Assas. J’ai prêté serment en 1985. J’ai ensuite été collaboratrice puis associée du cabinet Rambaud Martel, puis associée au cabinet américain Proskauer, et associée du cabinet Advant Altana depuis 2017.

C’est un cabinet d’avocats d’affaires, multi-domaines fondé en 2009. Il compte plus de 80 avocats et juristes dont 22 associés à Paris, et plus de 600 avocats et juristes dont 140 associés en Europe continentale et au-delà à travers Advant, association cocréée en 2021 comprenant 14 bureaux, notamment l’allemand Advant Beiten et l’italien Advant Nctm.

Les équipes d’Advant Altana accompagnent des entreprises françaises et étrangères, ainsi que leurs dirigeants, dans le traitement de dossiers à forts enjeux techniques et/ou stratégiques, particulièrement dans les secteurs d’activités les plus régulés : banque-assurance, construction, énergies renouvelables, sciences de la vie, technologies, médias et télécommunications.

 

Pourquoi et comment vous êtes-vous spécialisée dans les questions de cybersécurité ?

Je fais du droit de la responsabilité depuis que j’exerce ce métier. J’ai traité de nombreux dossiers de responsabilité bancaire, ainsi que de responsabilité du fait des produits défectueux (notamment de produits de santé) et de responsabilité de dirigeants. Je m’intéresse au risque en général, et il y a dix ans, j’ai anticipé qu’il y aurait un sujet à venir important, le risque cyber, et j’ai commencé à y travailler. Avec le Club des juristes, nous avons créé une commission risque cyber et rédigé en 2018 un premier rapport intitulé « Assurer le risque cyber ». Plus récemment, nous avons écrit « Le droit pénal à l’épreuve des cyberattaques ».

Avec le risque climatique, le risque cyber est le plus important des années à venir en termes financiers. Je pense que c’est le souci des générations futures. C’est un risque contre lequel il faut lutter et qui concerne les particuliers, les entreprises et les États. Il est multifonction, grave et très dangereux, car une entreprise peut être totalement paralysée sur un clic. Les grosses entreprises sont majoritairement très organisées, elles sont généralement assurées, et ont mis en place une cybergouvernance. Elles ont pris la mesure de ce risque. Pour les petites entreprises, cela coûte cher de s’en prémunir. Elles pensent aussi qu’elles ne peuvent pas être visées, mais en réalité, toutes les entreprises peuvent être victimes. Dans certains types d’attaques, les hackers frappent sans savoir où ils vont, et rentrent là où ils découvrent une faille. Ce sont des attaques « au chalut ».


« On doit se défendre contre les attaques informatiques comme contre le virus du covid : avec des gestes barrières. »

 

Le rapport « Assurer le risque cyber » détaille des préconisations pour mieux assurer les risques de cyberattaques. Quelles sont les principales précautions à prendre pour une entreprise ?

Il faut d’abord former ses salariés et créer une cybergouvernance qui sera plus ou moins importante en fonction de la taille de l’entreprise. 90 % des attaques pourraient être évitées s’il n’y avait pas d’erreur ou de volonté humaine. Uber a récemment été victime d’une attaque monumentale qui a pour origine un salarié ayant donné ses codes à un hacker. Si ce salarié avait été formé, cela n’aurait peut-être pas eu lieu. On doit se défendre contre les attaques informatiques comme contre le virus du covid : avec des gestes barrières. Il faut que les salariés apprennent à repérer les mails qui peuvent être dangereux, à ne pas plugger une clé USB qui ne vient pas de l’entreprise et qui n’a pas été nettoyée, à ne pas laisser leur ordinateur ouvert le soir, à ne pas se connecter à des réseaux publics non sécurisés sur leur boîte mail professionnelle, etc.

Il faut effectuer des crash tests pour voir comment l’entreprise et les salariés réagissent.

L’entreprise doit aussi connaître les potentielles failles de son système d’information en faisant intervenir une société externe pour qu’elle les identifie. Le directeur de l’Agence nationale de la sécurité des systèmes d’informations (ANSSI) affirme que chaque entreprise doit dépenser 5?à 10 % de son budget informatique pour lutter contre le cyber risque. Il faut évidemment être en conformité avec le règlement général sur la protection des données (RGPD). Dans le cas contraire, en plus d’un vol des données personnelles, l’entreprise pourra être sanctionnée par la CNIL.

Veiller à tout cela forme un cercle vertueux. Quand on commence à s’intéresser à ce risque et que l’on forme ses salariés et soi-même, on réfléchit à un modèle de cybergouvernance. On en arrive à se poser des questions importantes. En cas d’attaque, qui appeler ? Quel est l’huissier qui va venir faire un constat de l’état du serveur de l’entreprise avant de commencer à restaurer le système d’information ? Quelle entreprise choisir pour restaurer son système d’information ? Comment déposer plainte ? Faut-il appeler une société de gestion de crise ? Quel vocabulaire employer vis-à-vis des salariés ? Comment travailler en mode dégradé ? Pour résumer : comment mon entreprise survit-elle si l’attaque arrive ?

En se posant ces questions, on va généralement encore plus loin, pour faire en sorte que le pire n’arrive pas. Malgré cela, le risque zéro n’existe pas même en étant très bien protégé, car les hackers ont une longueur d’avance sur nous. Il faudrait que chaque entreprise prenne conscience du risque, et j’ai l’impression que les choses sont en train d’évoluer. Il y a eu énormément d’attaques par rançongiciel pendant la crise sanitaire, et on en parle beaucoup dans la presse. Enormément d’entreprises se sont retrouvées coincées et 62 % d’entre elles ont payé la rançon. Moins de la moitié ont pu récupérer leurs données, souvent chiffrées donc inutilisables. Il y a toute une éducation et une pédagogie à faire.

On devrait déjà commencer par mettre en place ces gestes barrières dans chacune des petites et moyennes entreprises, en plus des plus grosses, et faire en sorte qu’elles s’assurent. Cela va aussi obliger une entreprise à réfléchir aux données sensibles qu’elle veut protéger et comment les protéger. Une entreprise de e-commerce ne protégera pas la même chose qu’une entreprise de restauration, un banquier, ou un assureur. C’est une gymnastique intellectuelle un peu lourde au début, et compliquée à mettre en place pour certaines entreprises, car c’est beaucoup de travail. C’est toutefois un effort nécessaire pour permettre de survivre en cas d’attaque et pour essayer de les limiter.

 

Dans le contexte d’une cyberattaque en entreprise, quel est le rôle de l’avocat ?

L’avocat peut intervenir dès le début. Dans notre cabinet, nous avons une équipe spécialisée en données personnelles, une en droit pénal et en risque cyber, et une en droit de la responsabilité civile. On travaille toujours tous ensemble, c’est une matière transverse. Nous avons également un réseau bien organisé. Quand une entreprise nous appelle, on déleste ses équipes d’un certain nombre de choses : on appelle pour elle un huissier spécialisé que l’on connaît bien pour prendre la photocopie des serveurs, on contacte une entreprise pour les aider à restaurer leur système d’information, on lui conseille d’appeler son assureur si elle est assurée, on appelle les enquêteurs et on leur rédige la plainte, puis une déclaration à la CNIL si c’est nécessaire. On intervient comme avocat au sens large, on aide l’entreprise en continu jusqu’à ce que le système d’information soit restauré. On aide aussi ceux qui n’en n’ont pas à mettre en place une cybergouvernance. 62 % des entreprises attaquées sont à nouveau attaquées l’année d’après.

 

Le ministère de l’Économie a ouvert la voie à l’indemnisation par les assurances des entreprises victimes de cyberattaque. Selon-vous, est-ce une bonne chose ?

À titre personnel, je ne suis pas favorable au principe d’indemnisation de la rançon parce qu'on sait qu’en payant les rançons, on finance les cybers attaquants, mais aussi souvent le terrorisme, le trafic de drogue ou d’armes, etc. Toutefois, déjà avant cette décision, rien n’empêchait les assureurs d’indemniser cette rançon, sauf s’ils savaient que cet argent servirait à financer le terrorisme, ce qui n’est généralement pas précisé. Seules 3 % des entreprises françaises sont assurées contre ces attaques. Le fait d’inscrire dans le marbre que la rançon est indemnisable par les assureurs peut inciter les entreprises à s’assurer. Or, on sait qu’une entreprise assurée va être beaucoup plus précautionneuse vis-à-vis de ce risque, ne serait-ce que parce que son assureur va lui demander de l’être et va lui demander comment elle est protégée. Cela va aussi permettre à un certain nombre d’entreprises d’éviter un dépôt de bilan à cause d’une rançon.

Dans les préconisations du gouvernement, il est clairement indiqué que l’entreprise ne peut être indemnisée que si elle dépose plainte. Cependant, beaucoup d’entreprises ne veulent pas déposer plainte pour plusieurs raisons. La plus fréquente d’entre elles est la crainte que le fait qu’elles aient fait l’objet d’un ransomware ou d’une cyberattaque ne s’ébruite. Il faut savoir que ce n’est pas en déposant plainte qu’une telle information va circuler. Le dépôt de plainte est complètement confidentiel. Certaines pensent aussi que c’est inutile puisqu’elles ont peu de chances de récupérer leurs données ou l’argent de la rançon, et c’est vrai que l’on n’a jamais l’assurance en la matière. Il faut tout de même les pousser pour qu’elles déposent plainte, c’est un geste civique. Cela permet de se défendre et de défendre son entreprise. On donne des informations aux enquêteurs qui peuvent, en croisant ces données, remonter jusqu’aux cyberdélinquants et aux gangs responsables de l’attaque, et les démanteler ensuite. Il sera peut-être aussi possible de récupérer en même temps les données et les rançons, souvent payées en cryptomonnaie. Il faut une solidarité pour lutter contre ce risque, c’est extrêmement important.

Il y a aussi une très bonne coopération internationale. En France, les enquêteurs sont exceptionnels. On a l’un des meilleurs niveaux d’Europe en ce qui concerne les services d’enquête cyber français.

Dans ce que propose le Gouvernement, il y a une forme de sagesse : « l’entreprise va s’assurer et donc se protéger ». Elle est contrebalancée par le fait que les entreprises peuvent avoir envie de payer systématiquement la rançon, mais la proposition de l’exécutif reste assez pragmatique. La plupart des assureurs connaissent bien le risque cyber, savent comment conseiller les entreprises pour qu’elles puissent avoir une sécurité informatique efficace. L’assurance est d’ailleurs conditionnée à un certain nombre de points, comme il peut y en avoir quand on assure un logement par exemple. C’est aussi une question d’éducation : il faut apprendre à résister au paiement de la rançon. Ce n’est pas parce qu’elle est indemnisable qu’il faut forcément payer. Si tous les coûts concernant le piratage, comme la restauration du système d’information ou la perte d’exploitation, sont bien indemnisées, alors les entreprises peuvent réfléchir à ne pas payer la rançon.

 

Le nombre de cyberattaques continue d’augmenter. Néanmoins, par l’amélioration de la sécurité et une meilleure sensibilisation des entreprises à risque, la situation peut-elle s’améliorer ?

C’est l’objectif. Il y a beaucoup d’efforts qui sont faits ainsi qu’une grande coopération au niveau international pour essayer de faire adhérer le plus de pays à la Convention de Budapest sur la cybercriminalité, pour éviter que les cyberdélinquants ne soient logés dans des pays qui n’y ont pas adhéré. Plutôt que de légiférer, il faut maintenant éduquer au risque cyber et la façon dont on peut s’en protéger. Il pourrait s’apprendre dans les écoles, de la même manière que l’on apprend le risque climatique tout petit, ou le tri des déchets. L’objectif en éduquant sur ce risque est d’arriver à inverser la tendance.

 

Propos recueillis par Alexis Duvauchelle


 
0 commentaire
Poster
ITW

Nos derniers articles