Passer au player
Passer au contenu principal
Passer au pied de page
Rechercher
Se connecter
Regarder en plein écran
Like
Commentaires
Favori
Partager
Ajouter à la playlist
Signaler
LEX INSIDE - Cybersécurité : tendances et enjeux juridiques
B SMART
Suivre
02/04/2025
Cybersécurité : tendances et enjeux juridiques avec Pierre-Xavier Chomiac de Sas, Avocat fondateur, PCS Avocats.
Catégorie
🗞
News
Transcription
Afficher la transcription complète de la vidéo
00:00
On commence tout de suite ce Lex Inside. On va parler cybersécurité. Quelles sont les
00:15
tendances et les enjeux juridiques avec mon invité Pierre-Xavier Chaumiac de SAS,
00:20
avocat fondateur de PCS Avocat. Pierre-Xavier, bonjour. Bonjour. La cybersécurité est un enjeu
00:27
majeur face aux cyberattaques croissantes que connaissent les entreprises. Pour commencer,
00:32
quel est le cadre juridique de la cybersécurité ? Alors la notion de cybersécurité renvoie en
00:38
réalité à plusieurs éléments qu'on pourrait scinder en deux catégories ou deux groupes. D'abord,
00:44
l'aspect normatif qui comprend en fait l'ensemble des règles qui sont destinées à garantir la
00:48
meilleure sécurité des outils numériques qui sont proposés ou qui sont utilisés par les
00:55
entreprises et les citoyens. Et là-dedans, vous avez un corpus de règles particulièrement larges.
01:01
Au niveau national, on peut en citer en vrac la loi pour la confiance dans l'économie numérique
01:05
de 2004, les différentes lois de programmation militaire qui ont été faites à partir des années
01:11
2010, la loi pour une république numérique en 2016, plus récemment l'OPMI qui est la loi
01:20
d'orientation et de programmation du ministère de l'Intérieur, etc. qui comprennent toutes
01:26
des dispositions en matière de cybersécurité et de protection des outils numériques. Au niveau
01:32
européen, évidemment, nous avons des directives qui ont été implémentées et qui visent à apporter
01:37
et consolider ces éléments-là. Les plus récentes, naturellement, ce sont les directives NIS et NIS2,
01:43
mais on peut évidemment en matière de cybersécurité parler également du fameux RGPD.
01:50
En général, c'est la protection des données, qui lui couvre des aspects liés aux données
01:54
personnelles des citoyens, des utilisateurs. Et après, ça c'était pour l'aspect normatif et de
02:01
l'autre côté, vous avez un aspect qui est plutôt répressif, l'aspect pénal, avec un certain nombre
02:06
d'infractions qui ont été créées à partir des années 70 pour commencer à sanctionner finalement
02:11
les faits qui sont associés à l'intrusion, l'attaque, la modification, la suppression de
02:17
données dans des systèmes automatisés. Et c'est là que vous avez les escroqueries en ligne, c'est
02:22
là que vous avez toutes les attaques sous forme de virus informatique, de malware, de rançons
02:29
jicielle. Jean Pas, c'est des meilleurs. Et puis les infractions qui vont toucher soit des biens,
02:35
donc les arnaques en ligne, soit des atteintes contre les personnes avec les infractions sur
02:40
les données personnelles, les attaques contre les institutions publiques. Et on l'a vu notamment
02:44
avec les hôpitaux qui sont souvent les premières cibles de l'attaque informatique de masse. Et
02:49
après, des infractions spécifiques à des réglementations, par exemple le RGPD comme
02:54
je le mentionnais. On a vu qu'il y a un cadre juridique assez large. On va se pencher sur les
02:59
obligations des entreprises. Quelles sont les obligations des entreprises en matière de
03:04
cybersécurité ? On peut les structurer autour de trois axiomes. D'une part, l'audit et la
03:13
connaissance des failles et des risques associés à leurs activités. Deuxièmement, le contrôle et
03:19
la mise en place d'outils de protection de ces risques. Et troisièmement, un volet plus pédagogique
03:26
qui va être destiné justement à former les effectifs de la société, à la fois les dirigeants,
03:33
à la fois les responsables des différents secteurs, l'ensemble du personnel, l'ensemble
03:37
des effectifs qui vont tourner les stagiaires, le personnel, on va dire, qui peut être
03:44
porté à l'extérieur, les prestataires, les contractants, les fournisseurs. C'est un
03:51
écosystème extrêmement dense. En matière d'audit, pour revenir sur ce point-là, évidemment ça
03:56
suppose à la fois de connaître les activités de sa société. D'un point de vue technique,
04:02
savoir tous les éléments et outils qui sont utilisés, qu'il s'agisse de logiciels, qu'il
04:07
s'agisse de personnes, qu'il s'agisse de moyens et de ressources au sens large. Comprendre quels
04:12
sont les risques qui y sont associés et après préparer, encadrer d'un point de vue contractuel,
04:18
d'un point de vue technique et logiciel, la protection de ces éléments. Et plus généralement,
04:24
et c'est l'aspect général des directives et des réglementations en matière de cybersécurité,
04:29
documenter l'ensemble de ces éléments pour qu'en cas d'attaque ou en cas de contrôle,
04:34
on puisse justifier des diligences qui ont été réalisées pour témoigner d'une bonne foi et
04:39
d'un sérieux dans la protection des outils numériques. Alors vous évoquez les cyberattaques,
04:46
quelles sont les conséquences juridiques des cyberattaques ? Elle varie profondément selon
04:52
d'abord la forme de l'attaque, un rançongiciel qui va geler tous les dossiers d'une structure ou
04:58
tous les fichiers d'une structure, les vols de données confidentielles qui pourraient être après
05:02
revendues ou exploitées par des tiers. Donc d'une part la forme de l'attaque, l'ampleur de l'attaque
05:08
et évidemment la préparation de l'entreprise par rapport à une attaque ou l'une de ces types
05:15
d'attaques. En matière de risque juridique, évidemment le premier point à prendre en
05:20
considération, c'est les conséquences de la désorganisation de la société qui va se manifester
05:26
par un risque de manquement contractuel très fort avec les prestataires, avec les clients, avec
05:30
les fournisseurs. Et pour citer un exemple, aujourd'hui les virus informatiques ou une attaque
05:37
par virus informatique n'est pas considérée systématiquement comme un cas de force majeure
05:42
qui permettrait d'exonérer la responsabilité de la société. Pourquoi ? Parce que ça s'applique au
05:48
cas par cas, parce que justement fort d'obligations en matière de cybersécurité, on peut considérer
05:53
qu'un stagiaire qui ouvrirait un fichier, mais évidemment dangereux, incombe finalement un
06:00
un manquement de la société d'avoir formé ses effectifs, d'avoir vérifié ou d'avoir utilisé
06:05
des logiciels ou des outils. Il y a une négligence quelque part de la société. Exactement, c'est tout
06:09
cet équilibre à trouver entre obligations en matière de cybersécurité et deuxièmement
06:14
protection en matière d'attaque. Donc désorganisation de la société, le deuxième c'est les sanctions
06:20
civiles, pénales, voire administratives, si on constate des négligences, si l'on constate des
06:26
manquements, si l'on constate des fautes de la part de l'entreprise dans la mise en place de ces
06:32
différentes obligations et responsabilités. Et le troisième, parfois négligé, c'est la réapparation
06:38
des préjudices des victimes collatérales. Un exemple, lorsqu'un fonds d'investissement se fait
06:45
pirater et que des clients de ce fonds se font escroquer de l'argent par des personnes qui se
06:51
seraient fait passer pour ce fonds, évidemment les clients seraient en droit de demander des
06:56
comptes au fonds visé en matière de sécurité, en matière de diligence qui aurait été faite pour
07:02
limiter ce genre de risque. Évidemment, le fonds peut engager sa responsabilité et on peut étendre
07:06
cet axiome à l'ensemble des sociétés. Évidemment, le dernier, c'est les conséquences d'un préjudice
07:14
économique du fait du gel de la société et un préjudice d'image en matière de sécurisation
07:20
et de crédibilité vis-à-vis du monde des affaires. Pour éviter ces désagréments,
07:29
qu'est-ce qu'on peut faire de manière préventive ? Évidemment, sortir la tête du sable et auditer.
07:37
Considérer que c'est un enjeu qui est essentiel et qu'il ne s'agit pas juste de normes
07:43
pénibles à respecter. Donc, procéder à un audit à la fois technique et à la fois juridique fait
07:50
soit en interne si vous disposez des ressources, soit par des prestataires spécialisés qui peuvent
07:56
permettre d'identifier les risques, les dangers ou les manquements à un certain nombre de normes.
08:03
Ensuite, à nouveau, envisager les solutions qu'on peut mettre en place à court, moyen et long terme
08:09
pour pérenniser ces éléments-là. Documenter, je l'avais dit, l'ensemble de ces éléments. Et un
08:15
aspect qui est souvent négligé mais qui peut être extrêmement important et utile, c'est préparer des
08:22
procédures en cas d'attaque. Simuler, tenter, faire des exercices sur différents types d'attaques
08:29
pour que le jour J, lorsque ça se produit, vous ne soyez plus dans une situation de gestion de
08:35
crise non préparée mais que vous connaissiez les procédures à suivre, les autorités à contacter,
08:42
que ce soit l'ANSI, que ce soit l'AMF, que ce soit le RGPD. Vous avez notamment des obligations avec
08:50
des délais très courts, notamment 72 heures, pour signaler sans constater un manquement vis-à-vis
08:57
d'un certain nombre d'autorités. Et on sait que de manière générale, il faut aller vite dans ces
09:00
cas-là. Et il faut aller évidemment vite et donc préparer le mieux les différents interlocuteurs
09:05
qui seront nécessaires, les personnes à contacter, la procédure à suivre, un petit peu comme en
09:11
matière d'incendie, c'est toujours mieux lorsque les effectifs ont été préparés et formés. On va
09:15
conclure là-dessus. Merci beaucoup Pierre-Xavier Chaumiac de SASS d'être venu sur notre plateau.
09:21
Je rappelle que vous êtes avocat fondateur de PCS Avocat. Merci, très bonne journée. Tout de suite,
09:26
l'émission continue. On va parler du rôle du notaire en matière de diagnostic immobilier.
Recommandations
8:39
|
À suivre
LEX INSIDE - Encadrement juridique du sponsoring de l'esport
B SMART
22/01/2025
2:44:55
Cybersécurité : rencontre-débat avec Sébastien Larinier et Paul Rascagnères
Universcience
29/03/2024
8:05
LEX INSIDE - Les tendances de la justice environnementale
B SMART
28/02/2025
8:36
LEX INSIDE - Perquisition chez le justiciable et l'avocat
B SMART
11/04/2025
5:17
Cybersécurité : sobriété numérique et management [Walter Peretti]
Xerfi Canal
14/06/2022
8:47
LEX INSIDE - Fiscalité et développement à l'international
B SMART
24/01/2025
9:19
LEX INSIDE - Actualité jurisprudentielle du bail commercial
B SMART
12/12/2024
28:24
LEX INSIDE - Emission du mercredi 22 janvier
B SMART
22/01/2025
8:44
LEX INSIDE - Droit des marques et cryptoactifs
B SMART
11/06/2025
29:16
LEX INSIDE - Emission du mercredi 2 avril
B SMART
02/04/2025
9:19
LEX INSIDE - Salaires des cadres : information et recours
B SMART
21/03/2025
1:29:11
Allons plus loin (23/11/2020)
Public Sénat
23/11/2020
3:59
SMART LEX - L'interview de Jérémy Bensoussan (Lexing Alain Bensoussan avocats) par Florence Duprat
B SMART
28/05/2021
7:56
LEX INSIDE - Zoom sur les juristes de la French Tech
B SMART
07/02/2025
13:57
LEX INSIDE - Fraude sociale : enjeux pour l'employeur
B SMART
04/10/2024
7:39
LEX INSIDE - Baux commerciaux : droit de préemption loi Pinel
B SMART
08/01/2025
7:40
SMART LEX - L'interview de Mallory Labarière (Nexa avocats) et Anne-Lise CHAGNEAU (Nexa avocats) par Florence Duprat
B SMART
03/11/2021
15:27
[GouvTech] Solution de cybersécurité : témoignage CH de Tourcoing x Cyberwatch
DINUM
25/07/2022
8:42
Cybersécurité : les Grands témoins de franceinfo
franceinfo
23/08/2022
12:30
[GouvTech] Solution de cybersécurité : témoignage ministère des Armées x Pradeo
DINUM
25/07/2022
4:50
Allemagne: au moins trois morts et plusieurs blessés dans le déraillement d'un train
BFMTV
hier
10:19
Droits de douane : accord entre États-Unis et UE - 27/07
BFMTV
hier
2:17
Un Boeing 737 de Southwest Airlines décroche pour éviter une collision avec un avion de chasse dans le ciel de Los Angeles
BFMTV
hier
4:12
Paul Kauffman (MagIA diagnostics): MagIA, dépister, un enjeu de santé publique – 25/07
BFM Business
il y a 3 jours
4:05
Pierre Tardieu (WindEurope) : WindEurope, les acteurs de l'éolien en Europe - 25/07
BFM Business
il y a 3 jours