LEX INSIDE - Cybersécurité : tendances et enjeux juridiques

B SMART

02/04/2025

Cybersécurité : tendances et enjeux juridiques avec Pierre-Xavier Chomiac de Sas, Avocat fondateur, PCS Avocats.

Catégorie

🗞

News

Transcription

Afficher la transcription complète de la vidéo

00:00On commence tout de suite ce Lex Inside. On va parler cybersécurité. Quelles sont les

00:15tendances et les enjeux juridiques avec mon invité Pierre-Xavier Chaumiac de SAS,

00:20avocat fondateur de PCS Avocat. Pierre-Xavier, bonjour. Bonjour. La cybersécurité est un enjeu

00:27majeur face aux cyberattaques croissantes que connaissent les entreprises. Pour commencer,

00:32quel est le cadre juridique de la cybersécurité ? Alors la notion de cybersécurité renvoie en

00:38réalité à plusieurs éléments qu'on pourrait scinder en deux catégories ou deux groupes. D'abord,

00:44l'aspect normatif qui comprend en fait l'ensemble des règles qui sont destinées à garantir la

00:48meilleure sécurité des outils numériques qui sont proposés ou qui sont utilisés par les

00:55entreprises et les citoyens. Et là-dedans, vous avez un corpus de règles particulièrement larges.

01:01Au niveau national, on peut en citer en vrac la loi pour la confiance dans l'économie numérique

01:05de 2004, les différentes lois de programmation militaire qui ont été faites à partir des années

01:112010, la loi pour une république numérique en 2016, plus récemment l'OPMI qui est la loi

01:20d'orientation et de programmation du ministère de l'Intérieur, etc. qui comprennent toutes

01:26des dispositions en matière de cybersécurité et de protection des outils numériques. Au niveau

01:32européen, évidemment, nous avons des directives qui ont été implémentées et qui visent à apporter

01:37et consolider ces éléments-là. Les plus récentes, naturellement, ce sont les directives NIS et NIS2,

01:43mais on peut évidemment en matière de cybersécurité parler également du fameux RGPD.

01:50En général, c'est la protection des données, qui lui couvre des aspects liés aux données

01:54personnelles des citoyens, des utilisateurs. Et après, ça c'était pour l'aspect normatif et de

02:01l'autre côté, vous avez un aspect qui est plutôt répressif, l'aspect pénal, avec un certain nombre

02:06d'infractions qui ont été créées à partir des années 70 pour commencer à sanctionner finalement

02:11les faits qui sont associés à l'intrusion, l'attaque, la modification, la suppression de

02:17données dans des systèmes automatisés. Et c'est là que vous avez les escroqueries en ligne, c'est

02:22là que vous avez toutes les attaques sous forme de virus informatique, de malware, de rançons

02:29jicielle. Jean Pas, c'est des meilleurs. Et puis les infractions qui vont toucher soit des biens,

02:35donc les arnaques en ligne, soit des atteintes contre les personnes avec les infractions sur

02:40les données personnelles, les attaques contre les institutions publiques. Et on l'a vu notamment

02:44avec les hôpitaux qui sont souvent les premières cibles de l'attaque informatique de masse. Et

02:49après, des infractions spécifiques à des réglementations, par exemple le RGPD comme

02:54je le mentionnais. On a vu qu'il y a un cadre juridique assez large. On va se pencher sur les

02:59obligations des entreprises. Quelles sont les obligations des entreprises en matière de

03:04cybersécurité ? On peut les structurer autour de trois axiomes. D'une part, l'audit et la

03:13connaissance des failles et des risques associés à leurs activités. Deuxièmement, le contrôle et

03:19la mise en place d'outils de protection de ces risques. Et troisièmement, un volet plus pédagogique

03:26qui va être destiné justement à former les effectifs de la société, à la fois les dirigeants,

03:33à la fois les responsables des différents secteurs, l'ensemble du personnel, l'ensemble

03:37des effectifs qui vont tourner les stagiaires, le personnel, on va dire, qui peut être

03:44porté à l'extérieur, les prestataires, les contractants, les fournisseurs. C'est un

03:51écosystème extrêmement dense. En matière d'audit, pour revenir sur ce point-là, évidemment ça

03:56suppose à la fois de connaître les activités de sa société. D'un point de vue technique,

04:02savoir tous les éléments et outils qui sont utilisés, qu'il s'agisse de logiciels, qu'il

04:07s'agisse de personnes, qu'il s'agisse de moyens et de ressources au sens large. Comprendre quels

04:12sont les risques qui y sont associés et après préparer, encadrer d'un point de vue contractuel,

04:18d'un point de vue technique et logiciel, la protection de ces éléments. Et plus généralement,

04:24et c'est l'aspect général des directives et des réglementations en matière de cybersécurité,

04:29documenter l'ensemble de ces éléments pour qu'en cas d'attaque ou en cas de contrôle,

04:34on puisse justifier des diligences qui ont été réalisées pour témoigner d'une bonne foi et

04:39d'un sérieux dans la protection des outils numériques. Alors vous évoquez les cyberattaques,

04:46quelles sont les conséquences juridiques des cyberattaques ? Elle varie profondément selon

04:52d'abord la forme de l'attaque, un rançongiciel qui va geler tous les dossiers d'une structure ou

04:58tous les fichiers d'une structure, les vols de données confidentielles qui pourraient être après

05:02revendues ou exploitées par des tiers. Donc d'une part la forme de l'attaque, l'ampleur de l'attaque

05:08et évidemment la préparation de l'entreprise par rapport à une attaque ou l'une de ces types

05:15d'attaques. En matière de risque juridique, évidemment le premier point à prendre en

05:20considération, c'est les conséquences de la désorganisation de la société qui va se manifester

05:26par un risque de manquement contractuel très fort avec les prestataires, avec les clients, avec

05:30les fournisseurs. Et pour citer un exemple, aujourd'hui les virus informatiques ou une attaque

05:37par virus informatique n'est pas considérée systématiquement comme un cas de force majeure

05:42qui permettrait d'exonérer la responsabilité de la société. Pourquoi ? Parce que ça s'applique au

05:48cas par cas, parce que justement fort d'obligations en matière de cybersécurité, on peut considérer

05:53qu'un stagiaire qui ouvrirait un fichier, mais évidemment dangereux, incombe finalement un

06:00un manquement de la société d'avoir formé ses effectifs, d'avoir vérifié ou d'avoir utilisé

06:05des logiciels ou des outils. Il y a une négligence quelque part de la société. Exactement, c'est tout

06:09cet équilibre à trouver entre obligations en matière de cybersécurité et deuxièmement

06:14protection en matière d'attaque. Donc désorganisation de la société, le deuxième c'est les sanctions

06:20civiles, pénales, voire administratives, si on constate des négligences, si l'on constate des

06:26manquements, si l'on constate des fautes de la part de l'entreprise dans la mise en place de ces

06:32différentes obligations et responsabilités. Et le troisième, parfois négligé, c'est la réapparation

06:38des préjudices des victimes collatérales. Un exemple, lorsqu'un fonds d'investissement se fait

06:45pirater et que des clients de ce fonds se font escroquer de l'argent par des personnes qui se

06:51seraient fait passer pour ce fonds, évidemment les clients seraient en droit de demander des

06:56comptes au fonds visé en matière de sécurité, en matière de diligence qui aurait été faite pour

07:02limiter ce genre de risque. Évidemment, le fonds peut engager sa responsabilité et on peut étendre

07:06cet axiome à l'ensemble des sociétés. Évidemment, le dernier, c'est les conséquences d'un préjudice

07:14économique du fait du gel de la société et un préjudice d'image en matière de sécurisation

07:20et de crédibilité vis-à-vis du monde des affaires. Pour éviter ces désagréments,

07:29qu'est-ce qu'on peut faire de manière préventive ? Évidemment, sortir la tête du sable et auditer.

07:37Considérer que c'est un enjeu qui est essentiel et qu'il ne s'agit pas juste de normes

07:43pénibles à respecter. Donc, procéder à un audit à la fois technique et à la fois juridique fait

07:50soit en interne si vous disposez des ressources, soit par des prestataires spécialisés qui peuvent

07:56permettre d'identifier les risques, les dangers ou les manquements à un certain nombre de normes.

08:03Ensuite, à nouveau, envisager les solutions qu'on peut mettre en place à court, moyen et long terme

08:09pour pérenniser ces éléments-là. Documenter, je l'avais dit, l'ensemble de ces éléments. Et un

08:15aspect qui est souvent négligé mais qui peut être extrêmement important et utile, c'est préparer des

08:22procédures en cas d'attaque. Simuler, tenter, faire des exercices sur différents types d'attaques

08:29pour que le jour J, lorsque ça se produit, vous ne soyez plus dans une situation de gestion de

08:35crise non préparée mais que vous connaissiez les procédures à suivre, les autorités à contacter,

08:42que ce soit l'ANSI, que ce soit l'AMF, que ce soit le RGPD. Vous avez notamment des obligations avec

08:50des délais très courts, notamment 72 heures, pour signaler sans constater un manquement vis-à-vis

08:57d'un certain nombre d'autorités. Et on sait que de manière générale, il faut aller vite dans ces

09:00cas-là. Et il faut aller évidemment vite et donc préparer le mieux les différents interlocuteurs

09:05qui seront nécessaires, les personnes à contacter, la procédure à suivre, un petit peu comme en

09:11matière d'incendie, c'est toujours mieux lorsque les effectifs ont été préparés et formés. On va

09:15conclure là-dessus. Merci beaucoup Pierre-Xavier Chaumiac de SASS d'être venu sur notre plateau.

09:21Je rappelle que vous êtes avocat fondateur de PCS Avocat. Merci, très bonne journée. Tout de suite,

09:26l'émission continue. On va parler du rôle du notaire en matière de diagnostic immobilier.

Recommandations