{"id":280,"date":"2013-06-10T17:39:00","date_gmt":"2013-06-10T15:39:00","guid":{"rendered":"https:\/\/www.iteanu.law\/?p=280"},"modified":"2016-09-16T14:35:40","modified_gmt":"2016-09-16T12:35:40","slug":"cyberattaque-de-quelques-bonnes-pratiques-juridiques-pour-une-reunion-de-crise-efficace","status":"publish","type":"post","link":"https:\/\/www.iteanu.law\/en\/cyberattaque-de-quelques-bonnes-pratiques-juridiques-pour-une-reunion-de-crise-efficace\/","title":{"rendered":"Cyberattaque, de quelques bonnes pratiques juridiques pour une r\u00e9union de crise efficace"},"content":{"rendered":"

Sorry, this entry is only available in FR<\/a>. For the sake of viewer convenience, the content is shown below in the alternative language. You may click the link to switch the active language.<\/p>

<\/p>\n

\n

Les occasions sont malheureusement de plus en plus fr\u00e9quentes au fur et \u00e0 mesure que les organisations – entreprises, collectivit\u00e9s territoriales et administrations – s\u2019organisent sur et autour des r\u00e9seaux num\u00e9riques en m\u00eame temps que toute la soci\u00e9t\u00e9.<\/p>\n

Les cyberattaques en toutes leurs diversit\u00e9s, attaques par d\u00e9ni de service, tentatives d\u2019intrusion, attaques informationnelles sur les r\u00e9seaux sociaux, sont devenues monnaie courante.<\/p>\n

Face \u00e0 ces crises, toutes les \u00e9nergies au sein et parfois hors de l\u2019entreprise, sont n\u00e9cessaires pour faire face \u00e0 l\u2019enjeu. Car les cons\u00e9quences directement financi\u00e8res et d\u2019images, pouvant \u00e0 terme affecter le cr\u00e9dit de l\u2019entreprise, peuvent \u00eatre tout simplement vitales.<\/p>\n

C\u2019est au sein d\u2019une r\u00e9union dite de crise, organe coll\u00e9gial cr\u00e9\u00e9 pour l\u2019occasion, pr\u00e9sid\u00e9 par la direction g\u00e9n\u00e9rale, que les d\u00e9cisions vont se prendre pour \u00e9ventuellement faire cesser l\u2019attaque, plus souvent minimiser voire exclure le pr\u00e9judice cons\u00e9cutif \u00e0 la cyberattaque.<\/p>\n

On interroge souvent le consultant en organisation ou en technique sur les bonnes pratiques en la mati\u00e8re, plus rarement le juriste.<\/p>\n

C’est une erreur, le juriste a aussi des bonnes pratiques \u00e0 faire valoir.<\/p>\n

Voici donc quelques r\u00e9flexions de nature juridique \u00e0 int\u00e9grer pour rendre efficace, la r\u00e9union de crise.<\/p>\n<\/div>\n

\n

Int\u00e9grer une parole juridique pour ne jamais exclure a priori la riposte juridique<\/h2>\n

En premier lieu, il nous para\u00eet crucial qu\u2019autour de la table, les diff\u00e9rentes composantes de l\u2019entreprise soient repr\u00e9sent\u00e9es.<\/p>\n

Sous la direction du repr\u00e9sentant l\u00e9gal ou de l\u2019un de ses d\u00e9l\u00e9gataires les plus proches, on trouvera la DSI, \u00e9ventuellement le RSSI si la fonction existe, les affaires financi\u00e8res aussi, un repr\u00e9sentant du service communication, sans oublier un repr\u00e9sentant de la direction juridique.<\/p>\n

Bien \u00e9videmment, pour les entreprises n\u2019ayant pas internalis\u00e9 la fonction, le recours \u00e0 un conseil ext\u00e9rieur, un Avocat ayant une pratique en la mati\u00e8re, s\u2019impose.<\/p>\n

En effet, dans l\u2019\u00e9ventail des mesures possibles suite \u00e0 une attaque informatique, la riposte juridique est une option. Nous verrons qu\u2019il convient de manier la mati\u00e8re avec clairvoyance. Or, justement, la pr\u00e9sence d\u2019un praticien, en connaissance non seulement de la mati\u00e8re juridique mais aussi de la fa\u00e7on dont elle est pratiqu\u00e9e, permettra \u00e0 l\u2019organe coll\u00e9gial d\u2019int\u00e9grer le droit dans sa r\u00e9flexion.<\/p>\n

Il faut dire qu\u2019il est vrai que la riposte juridique n\u2019a pas la cote en entreprise, lorsqu\u2019il est question de cyberattaques. Jug\u00e9e longue, couteuse, al\u00e9atoire et peut \u00eatre surtout publique, on la boude souvent pr\u00e9f\u00e9rant jouer l\u2019opacit\u00e9.<\/p>\n

Si ces critiques sont en partie fond\u00e9es, il y a des cas o\u00f9 l\u2019action juridique est une option n\u00e9cessaire.<\/p>\n

Sans compter que la loi elle-m\u00eame entend remettre en cause la culture du silence.<\/p>\n

En effet, et en premier lieu, la cyberattaque doit dans certains cas \u00eatre rendue publique de par la loi, ou tout du moins, notifi\u00e9e \u00e0 la commission Nationale de l\u2019Informatique et des Libert\u00e9s (CNIL) voire \u00e0 ce que la Loi nomme \u00ab\u00a0les personnes concern\u00e9es \u00bb<\/em>.<\/p>\n

C\u2019est la notification de la faille de s\u00e9curit\u00e9. L\u2019article 226-17-1 du Code p\u00e9nal punit de 5 ans de prison et\/ou 300K\u20ac d\u2019amende, l\u2019organisation qui ne notifie pas l\u2019existence d\u2019une telle faille alors qu\u2019il en avait l\u2019obligation.<\/p>\n

Cette obligation de notification s\u2019est trouv\u00e9e transpos\u00e9e en droit fran\u00e7ais dans le cadre du second Paquet T\u00e9l\u00e9com de 2008 par l\u2019ordonnance du 24 Ao\u00fbt 2011.<\/p>\n

Alors qu\u2019elle existe aux Etats-Unis depuis 2002, c\u2019est la directive 2009\/136\/EC du 25 Novembre 2009 qui a introduit l\u2019obligation de notification de faille en cas de \u00ab\u00a0violation de donn\u00e9es \u00e0 caract\u00e8re personnel \u2026. dans le secteur des communications \u00e9lectroniques \u00bb<\/em> .<\/p>\n

Aussi, lorsque par exemple la cyberattaque a g\u00e9n\u00e9r\u00e9 la captation par un tiers, de donn\u00e9es \u00e0 caract\u00e8re personnel sous la garde de l\u2019entreprise, responsable de traitement, il n\u2019y a plus le choix, il y a obligation de notification.<\/p>\n

La question s\u2019est pos\u00e9e de savoir \u00e0 qui incombait cette obligation de notification, certains consid\u00e9rant qu\u2019elle s\u2019imposait aux seuls op\u00e9rateurs de communications \u00e9lectroniques (ex op\u00e9rateur de t\u00e9l\u00e9coms).<\/p>\n

Mais cette interpr\u00e9tation s\u2019heurte \u00e0 la lettre m\u00eame de l\u2019ordonnance qui ne cite pas le terme d\u2019op\u00e9rateur, alors que celui-ci est d\u00e9fini au Code des postes et des communications \u00e9lectroniques par ailleurs.<\/p>\n

La Cnil elle-m\u00eame connait des h\u00e9sitations qui, dans son communiqu\u00e9 de presse au sujet de la promulgation de cet article de Loi ins\u00e9r\u00e9 \u00e0 la Loi informatique et libert\u00e9s, pr\u00e9cisait que l\u2019obligation s\u2019imposait \u00ab\u00a0essentiellement \u00bb<\/em>aux op\u00e9rateurs, ce qui ne veut pas dire grand-chose.<\/p>\n

Non, \u00e0 notre sens, et c\u2019est le sens de l\u2019histoire, cette obligation s\u2019impose \u00e0 tout fournisseur de services de communications \u00e9lectroniques, interm\u00e9diaires techniques divers (op\u00e9rateurs, datacenter, h\u00e9bergeurs, bureau d\u2019enregistrement de noms de domaine etc. \u2026) et tous les \u00e9diteurs de services de communications \u00e9lectroniques.<\/p>\n

Dans d\u2019autres cas, la Loi n\u2019impose pas la riposte juridique, mais l\u2019entreprise n\u2019aura pas d\u2019autres choix que de l\u2019engager.<\/p>\n

C\u2019est par exemple le cas lorsque la cyberattaque a pris une tournure publique. Dans cette hypoth\u00e8se, la riposte juridique aura un tour bien plus d\u00e9fensif qu\u2019offensif.<\/p>\n

Il s\u2019agira pour l\u2019entreprise attaqu\u00e9e de se placer d\u2019office dans le camp des victimes, strat\u00e9gie ayant notamment pour objectif de parer \u00e0 titre pr\u00e9ventif une action juridique \u00e0 son encontre.<\/p>\n

Tel est le cas par exemple, en cas d\u2019attaque rebond, la victime en bout de ligne, pouvant \u00eatre tent\u00e9e de se retourner vers celui au travers duquel l\u2019attaque a \u00e9t\u00e9 men\u00e9e.<\/p>\n

Il faut aussi parfois, anticip\u00e9e l\u2019avenir.<\/p>\n

Tel salari\u00e9 destinataire d\u2019un spam renvoyant par lien sur un contenu p\u00e9dophile, signale \u00e0 sa direction du courriel ind\u00e9sirable.<\/p>\n

La direction n\u2019aura d\u2019autres choix que de porter plainte aupr\u00e8s du Parquet territorialement comp\u00e9tent car le courriel incrimin\u00e9, n\u2019est peut-\u00eatre pas d\u00fb au hasard, l\u2019adresse ip de l\u2019entreprise est peut \u00eatre stock\u00e9e sur un serveur associ\u00e9 \u00e0 un service p\u00e9dophile et, demain, une autorit\u00e9 police pourrait remonter jusqu\u2019\u00e0 l\u2019entreprise.<\/p>\n

Dans ce cas, ayant \u00e9t\u00e9 officiellement averti, l\u2019entreprise aura tout int\u00e9r\u00eat \u00e0 porter plainte au p\u00e9nal. Une telle plainte se pr\u00e9pare, se documente, s\u2019\u00e9crit avant d\u2019\u00eatre rapport\u00e9e soit par \u00e9crit au Parquet, soit \u00e0 l\u2019oral devant un Officier de police judiciaire, \u00e9ventuellement appartenant \u00e0 un service sp\u00e9cialis\u00e9.<\/p>\n

Renforcer la parole de l\u2019entreprise<\/h2>\n

Mais la pr\u00e9sence juridique a un tout autre int\u00e9r\u00eat, celle de renforcer la parole de l\u2019entreprise.<\/p>\n

En effet, cette parole doit \u00eatre renforc\u00e9e toujours \u00e0 titre d\u00e9fensif.<\/p>\n

De victime aujourd\u2019hui, elle peut \u00eatre demain en accusation pour n\u2019avoir pas pris les pr\u00e9cautions utiles, les mesures conformes aux r\u00e8gles de l\u2019art pour prot\u00e9ger les donn\u00e9es \u00e0 caract\u00e8re personnel de ses salari\u00e9s, de ses prospects, de ses clients ou des contenus non nominatifs qui ne lui appartenaient pas tels que des plans, des documents confidentiels.<\/p>\n

Or, la crise \u00ab\u00a0technique\u00a0\u00bb cons\u00e9cutive \u00e0 l\u2019attaque pass\u00e9e, cette crise peut resurgir demain, dans plusieurs semaines ou mois, sous une autre forme, plus juridique.<\/p>\n

Dans cette seconde phase qui peut surgir \u00e0 tout moment, cons\u00e9cutive \u00e0 une enqu\u00eate polici\u00e8re, une plainte instruite par un juge ou simplement une instance judiciaire, l\u2019entreprise va devoir s\u2019expliquer, d\u00e9montrer, \u00e9ventuellement documenter.<\/p>\n

A d\u00e9faut d\u2019explications satisfaisantes ou prouv\u00e9es, elle peut passer du stade de victime \u00e0 celui de responsable.<\/p>\n

Car tel est en effet, le sens de la jurisprudence actuelle. On peut \u00eatre victime et pour autant responsable.<\/p>\n

Le dossier doit donc \u00e0 titre pr\u00e9ventif, se pr\u00e9parer de suite alors que la cyberattaque est encore chaude.<\/p>\n

Le recours \u00e0 un Huissier de justice qui va dresser un proc\u00e8s-verbal de constat pour fixer une situation, est fr\u00e9quent. Ce constat se pr\u00e9pare avec l\u2019Huissier.<\/p>\n

En premier lieu, cette pr\u00e9paration est rendue n\u00e9cessaire par le tr\u00e8s important contentieux existant sur la validit\u00e9 des proc\u00e8s-verbaux de constat dress\u00e9s par Huissier.<\/p>\n

De nombreux constats sont attaqu\u00e9s en justice, et il est demand\u00e9 au Tribunal soit de les annuler, soit de les rejeter .<\/p>\n

Il faudra donc s\u2019attacher \u00e0 se conformer \u00e0 la derni\u00e8re jurisprudence.<\/p>\n

En second lieu, le proc\u00e8s-verbal doit \u00eatre pertinent en ce sens que seul le client a la vision juridique utile \u00e0 l\u2019\u00e9tablissement d\u2019un constat pertinent, l\u2019Huissier n\u2019ayant pas le plus souvent la vue d\u2019ensemble du dossier.<\/p>\n

Enfin, le proc\u00e8s-verbal dress\u00e9 fera figurer en pr\u00e9ambule une d\u00e9claration faite \u00e0 l\u2019Huissier qui plante le contexte du constat.<\/p>\n

Cette d\u00e9claration peut aussi avoir son importance en cas de litige ult\u00e9rieur. L\u00e0 encore, la vision juridique peut compter.<\/p>\n

Par ailleurs, le recours \u00e0 des experts, le plus souvent agr\u00e9\u00e9s par une Cour d\u2019appel ou la Cour de cassation, a \u00e9galement son int\u00e9r\u00eat.<\/p>\n

L\u2019entreprise a un v\u00e9cu, son Conseil, l\u2019Avocat, le reproduit certes, mais le faire endosser par un tiers, par ailleurs reconnu expert, est un plus dont il faut parfois ne pas se priver.<\/p>\n

Dans le cas de l\u2019obligation de notification d\u2019une faille de s\u00e9curit\u00e9, nous avons vu que celle-ci s\u2019applique d\u00e8s lors qu\u2019il y a \u00ab\u00a0violation de donn\u00e9es \u00e0 caract\u00e8re personnel \u00bb.<\/p>\n

L\u2019entreprise peut avoir int\u00e9r\u00eat \u00e0 faire constater qu\u2019\u00e0 date de l\u2019\u00e9v\u00e8nement litigieux, elle ne per\u00e7oit pas une telle violation ou n\u2019est pas en mesure de l\u2019appr\u00e9hender.<\/p>\n

Par exemple, l\u2019entreprise intervient comme sous-traitant d\u2019un donneur d\u2019ordre qui, lui, serait en position de savoir s\u2019il y a eu ou pas violation de donn\u00e9es \u00e0 caract\u00e8re personnel.<\/p>\n

Ce d\u00e9bat, un tant soit peu technique, \u00e9chappera au commun des juges demain saisi. Celui-ci ne sera pas \u00e9tonn\u00e9 que l\u2019entreprise voire son Avocat plaide son cas, et il n\u2019en tirera peut \u00eatre pas toutes les cons\u00e9quences juridiques s\u2019il n\u2019est pas convaincu.<\/p>\n

En revanche, lui produire, \u00e0 date de l\u2019\u00e9v\u00e8nement en litige ou dans les dates de celui-ci, une note technique d\u2019un expert reconnu qui endosse de mani\u00e8re document\u00e9e et argument\u00e9e, la d\u00e9fense de l\u2019entreprise, est une pi\u00e8ce qu\u2019il lui sera difficile de franchir.<\/p>\n

Or, une telle note technique, l\u00e0 encore, se pr\u00e9pare avec un juriste averti.<\/p>\n

Elle est \u00e9tablie en vue de pr\u00e9venir et de parer une situation hautement juridique et doit donc par anticipation refl\u00e9ter la crise juridique envisag\u00e9e.<\/p>\n

L\u00e0 encore, en l\u2019absence d\u2019une comp\u00e9tence juridique au sein de la cellule de crise, l\u2019entreprise a toutes les chances de passer \u00e0 c\u00f4t\u00e9 d\u2019une telle mesure salvatrice.<\/p>\n

En conclusion<\/strong>, oui, notre monde est de plus en plus connect\u00e9, de plus en plus d\u00e9localis\u00e9 ou sans localisation affirm\u00e9e, de plus en plus d\u00e9mat\u00e9rialis\u00e9, le cloud \u00e9tant une forme particuli\u00e8re d\u2019organisation informatique qui pr\u00e9sente plus ou moins, toutes ces caract\u00e9ristiques.<\/p>\n

Paradoxalement, cette absence de structuration, appelle plus le droit et les r\u00e8gles juridiques. Ouvrons donc les portes des cellules de crise aux juristes.<\/p>\n<\/div>\n

<\/p>","protected":false},"excerpt":{"rendered":"

Sorry, this entry is only available in FR<\/a>. For the sake of viewer convenience, the content is shown below in the alternative language. You may click the link to switch the active language.<\/p>\n

Les occasions sont malheureusement de plus en plus fr\u00e9quentes au fur et \u00e0 mesure que les organisations – entreprises,<\/p>\n","protected":false},"author":3,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[],"class_list":["post-280","post","type-post","status-publish","format-standard","hentry","category-blog"],"acf":[],"_links":{"self":[{"href":"https:\/\/www.iteanu.law\/en\/wp-json\/wp\/v2\/posts\/280","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.iteanu.law\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.iteanu.law\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.iteanu.law\/en\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/www.iteanu.law\/en\/wp-json\/wp\/v2\/comments?post=280"}],"version-history":[{"count":1,"href":"https:\/\/www.iteanu.law\/en\/wp-json\/wp\/v2\/posts\/280\/revisions"}],"predecessor-version":[{"id":281,"href":"https:\/\/www.iteanu.law\/en\/wp-json\/wp\/v2\/posts\/280\/revisions\/281"}],"wp:attachment":[{"href":"https:\/\/www.iteanu.law\/en\/wp-json\/wp\/v2\/media?parent=280"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.iteanu.law\/en\/wp-json\/wp\/v2\/categories?post=280"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.iteanu.law\/en\/wp-json\/wp\/v2\/tags?post=280"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}