Bénéficiez de conseils juridiques délivrés par une équipe de juristes pluridisciplinaires, experts des problématiques de l'entrepreneuriat et du développement des TPE-PME.
Cybersécurité des entreprises : quelles sont les réglementations ?
INFOREG
Témoignage
Les outils informatiques sont aujourd'hui incontournables dans le quotidien des entreprises. En 2022, 43 % des entreprises et administrations ont été victimes d’au moins une cyberattaque. Les réglementations qui visent à renforcer la cybersécurité permettent, entre autres, aux entreprises de se protéger. Deux experts juridiques de la CCI Paris Ile-de-France, Oryt Tolomio et Vincent Bourrut, répondent aux questions que peuvent se poser les entreprises.
Quels sont les enjeux de la cybersécurité pour les entreprises, notamment les TPE/PME ?
En France, le marché de la cybersécurité connaît une croissance importante. Il a bondi de 10,1 % sur la période 2021-2022 . Parmi les entreprises visées par des cyberattaques, les PME sont les plus touchées : en 2022, sur 385.000 cyberattaques réussies en France, plus de 330.000 concernent ce type de structures. Moins informées sur les risques et les enjeux, leurs systèmes de sécurité sont souvent moins performants et les mesures pour prévenir les cybermenaces, inadéquates.
Pourtant, les conséquences d’une attaque informatique peuvent être dramatiques sur leur activité : indisponibilité ou destruction des données, immobilisation des machines informatiques ou industrielles, atteinte à la réputation de l’entreprise, etc.
Au-delà de ces impacts, les entreprises doivent également prendre conscience que leur système d’information est fragilisé après une cyberattaque. En effet, le risque de défaillance augmente considérablement, le risque étant 50% plus important dans les six mois suivant l’attaque . De surcroit, si la cyberattaque a impacté les activités de l’entreprise, la reprise et la réorganisation de ces activités nécessiteront du temps et des ressources financières importantes. Par ailleurs, si l’attaque a entrainé une fuite et un vol de données, la responsabilité de l’entreprise ou de son dirigeant peut être engagée.
Dans ce contexte, la sécurité informatique est cruciale pour toute entreprise : au même titre qu’il est important de mettre des verrous sur ses portes, il est essentiel de sécuriser ses systèmes d’information.
Aujourd’hui, la législation tend de plus en plus à vouloir responsabiliser les acteurs économiques. Désormais, il incombe aux entreprises de se mettre en conformité avec la loi, notamment lorsqu’elles ont une activité sensible pour leurs clients ou co-contractants.
Quel est l’état du droit en cybersécurité ? Et comment le cadre législatif permet aux entreprises de se protéger ?
Le cadre législatif afférent à la sécurité informatique est relativement récent et permet de poser un cadre et de donner une direction aux entreprises quant au niveau de sécurité des systèmes d’informations requis.
La sécurité des systèmes d’information prend naissance dans l’adoption le 6 juillet 2016 et la transposition en France le 26 février 2018 de la directive « Sécurité des Réseaux et Communication » dite directive NIS 1. Cette directive exige la mise en place d’un niveau élevé de sécurité des réseaux d’information commun à tous les pays de l’Union Européenne.
Une nouvelle directive NIS 2 déjà adoptée par l’Union Européenne, doit être transposée en France avant octobre 2024. Cette nouvelle directive devrait concerner plus de 10 000 entreprises françaises de toutes tailles, de la PME aux grandes entreprises. Ces structures devront alors se conformer à certaines mesures essentielles de sécurité informatique et ce, sur la totalité de leur système d’information.
La protection face aux cybermenaces ne s’arrête pas à ces textes, elle doit aussi s’exprimer dans les accords commerciaux de l’entreprise : contrats informatiques, d’assistance, de cloud, d’intégration… Notons enfin qu’il est recommandé pour une structure de prendre une assurance cybersécurité à la hauteur du risque qui plane sur celle-ci. Comme rappelé précédemment, une attaque peut être coûteuse et il est important d’avoir conscience du risque inhérent à l’activité pour négocier au mieux une police d’assurance.
Comment agir face aux menaces du cyberespace ?
De manière générale, il convient d’établir une culture de la sécurité au sein de la structure, c’est-à-dire penser et mettre en œuvre dans chaque processus un niveau de sécurité approprié et proportionnel à ses besoins. Pour ce faire, il conviendra d’analyser les risques juridiques et techniques qui pèsent sur l’entreprise. Cela doit se traduire notamment par l’évaluation de la maturité de la structure. Il est alors recommandé d’effectuer des audits techniques et organisationnels.
Par la suite, cela implique de mettre en place un système d’information imperméable : mise à disposition de sauvegardes, organisation des logs, création d’une cellule de crise, rédaction d’une charte ADMIN, ainsi que résilient : mise en place de plans de continuité et de plans de gestion de crise et de reprise des activités.
Cependant, la principale mesure à prendre pour se protéger reste la formation et la sensibilisation de tous les collaborateurs, mais aussi de la direction aux bonnes pratiques informatiques. Certains usages doivent être bannis : mots de passe trop peu complexes, clics sur des hyperliens dans des courriels dont on ne connaît pas l’expéditeur, téléchargements de dossiers non sécurisés, etc. Autant de pratiques qui constituent la source la plus importante de brèches dans les systèmes d’information. La cybersécurité est l’affaire de tous les membres d’une organisation.
Ces mesures ne sont, bien entendu, pas exhaustives. Il vous appartient de prendre en main la sécurité de votre entreprise en fonction de vos ressources et de vos besoins. N’hésitez pas à vous faire accompagner dans le choix d’une solution de cybersécurité, ainsi que par des professionnels juridiques ou techniques.
Les risques de cyberattaque représentent des impacts importants pour les entreprises : pertes financières, paralysie de l’activité, déclin de la réputation, … pouvant avoir des répercussions sur le long terme. Pour mieux comprendre l’urgence de se prémunir contre ces risques, voici un passage en revue des principales conséquences d’une cyberattaque pour une entreprise.
La cybersécurité est au cœur des enjeux de la numérisation des entreprises. Dans ce contexte, la loi du 3 mars 2022 n°2022-309 instaure l’obligation de réaliser un audit de cybersécurité pour les grandes plateformes numériques à compter du 1 er octobre 2023.