Sécurité des sites web : Anticiper la preuve des dommages
Les investissements des entreprises consacrés à la sécurité de leur site web ont beau progresser rapidement, nul expert en sécurité ne parvient à trouver les obstacles infaillibles permettant de garantir un risque zéro à l’entreprise désireuse de communiquer sur le web ou, ce qui apparaît actuellement encore plus risqué, du point de vue de la sécurité comme d’un point de vue financier, à y faire du commerce.
Hackers, crackers et fraudeurs, imaginatifs et curieux, suivent en effet de très près les progrès technologiques en matière de sécurité électronique. Ils en sont souvent eux-mêmes directement à l’origine et, paradoxalement les spécialistes de la sécurité doivent se résoudre à adapter leurs outils aux avancées technologiques de leurs rivaux, où à se procurer directement leurs compétences en recourant à leurs services.
En outre, nul n’est jamais à l’abri d’un sinistre « classique », tel un incendie ou un dégât des eaux, qui peuvent paralyser les serveurs pendant une longue période si les mesures préventives de sécurité n’ont pas été prises. Or, ces sinistres peuvent engendrer des coûts de remise en état extrêmement élevés.
Lorsqu’un tiers à l’entreprise est à l’origine des sinistres, il est généralement nécessaire d’attendre l’issue d’une procédure judiciaire pour obtenir une indemnisation .
Dans ces conditions, la sécurité juridique et informatique étant avant tout une question de prévention et d’organisation, mieux vaut envisager le pire dès l’ouverture du site, et même en amont, dès le lancement du projet, d’une part pour s ’efforcer de l’éviter, mais également pour être en mesure de l’affronter dans des conditions acceptables le moment venu. Cela ne saurait être interprété comme une preuve de défaitisme, il s’agit d’une mesure de prudence et de bon sens, dont le surcoût constitue un investissement pour l’avenir.
En effet, le cauchemar du Directeur des systèmes d’information se limite généralement à imaginer l’attaque virale ou le sinistre qui neutralise toutes ses machines et lui fait perdre ses données. Il se rassure en procédant à des investissements de sécurité. Mais il néglige généralement d’envisager les mois d’expertise et de procédure judiciaire qu’il serait susceptible d’affronter, et parfois l’indemnisation minime qui en résulterait, faute d’avoir su prouver l’existence et l’étendue des dégâts occasionnés.
Ainsi, les tribunaux ayant à juger de litiges relatifs à internet peuvent être amenés à accorder aux victimes des dommages et intérêts très faibles compte tenu des enjeux réels. En effet, ils sont souvent contraints d’évaluer forfaitairement les dommages, faute de preuves suffisantes de leur étendue, voire faute d’une demande sérieusement motivée. Cela est notamment le cas lorsque le sinistre a généré des pertes de chiffre d’affaires, celles-ci étant toujours difficilement démontrables.
En effet, les juges, de même que les assureurs, en vertu des principes de la responsabilité civile, exigent des victimes qu’ils rapportent la preuve de leurs préjudices.
En matière civile et commerciale, la preuve des faits et de leurs conséquences peut être rapportée par tout moyen. Cependant, l’écrit établi par celui qui est à l’origine du dommage et qui tend à prouver les faits générateurs de celui-ci, a toujours la force probante la plus élevée.
Les documents établis par des tiers, ou par la victime elle-même, ont une moindre force probante, mais ils peuvent permettre de convaincre un tribunal en tant que « commencement » de preuve, sous certaines conditions. Celui-ci appréciera, notamment, tous les indices permettant de montrer qu’ils ont été établis de manière sincère et rigoureuse : écrits communiqués à des tiers au moment de leur rédaction, cohérence des informations fournies par plusieurs documents ou plusieurs sources, rigueur de la forme (niveau de détail des informations, indication de la source, de la date…).
Pour éviter d’être pris au dépourvu lorsque des faits générateurs de dommages surviennent, ce qui est alors irrémédiable, trois types de précautions s’imposent.
La première consiste à identifier et classer les risques technico-juridiques auxquels le nouveau site où les nouveaux développements opérés vont être potentiellement exposés, selon leur architecture technique et les services proposés : attaque par saturation, fraude au paiement électronique, introduction de hackers dans le système, panne des serveurs, sont les risques auxquels on pense le plus souvent. On pense moins fréquemment aux risques relatifs à la contrefaçon, à l’usurpation de noms de domaine, aux campagnes de dénigrement ou de désinformation, à l’inexécution des obligations des fournisseurs ou de l’hébergeur, au vol de fichiers de données, aux atteintes aux droits individuels, par exemple.
Dans un second temps, lorsque les risques sont recensés, il est possible d’anticiper la plupart de leur conséquences éventuelles : dommages matériels (destruction ou altération du matériel informatique, arrêt de la production, pertes au niveau des stocks…), dépenses nécessaires pour rétablir la situation antérieure, frais financiers, pertes de chiffre d’affaires, conséquences d’une atteinte à l’image de marque de l’entreprise, sanctions pour violation des obligations de sécurité, sans oublier le surcoût en termes d’heures ou de journées de travail, lorsque le personnel est privé temporairement d’activité ou chargé de réparer les dégâts.
Enfin, en reliant chaque risque à ses conséquences potentielles, selon l’activité électronique potentiellement touchée (pages institutionnelles, site de commerce électronique, gestion de données nominatives, intranet…), il s’agit de préparer, pour chaque catégorie identifiée, une gestion de la preuve optimisée. Celle-ci passe par la conservation de tous les documents, électroniques ou non, susceptibles de justifier les évènements survenus autour du site et des services concernés de l’entreprise : factures (émises par les fournisseurs et à l’attention des clients), correspondances, notes internes, statistiques de fréquentation, comptabilité générale et analytique la plus précise possible, relevés d’activité du personnel.
Certaines preuves sont constituées en amont, avant la survenance des dommages. Il s’agit notamment des études de marché, des « business plan » établissant clairement les objectifs chiffrés des projets mis en œuvre sur le web, de la certification de certains documents clés (statistiques de fréquentation, documents comptables…), de la sauvegarde régulière des fichiers de données, et de la conservation de ceux-ci.
Pour les entreprises ayant une certaine notoriété, il peut être utile de mettre en place des procédures de veille pour repérer tous les articles de presse ou de webzines concernant la société et son marché, puis de les conserver. En cas de sinistre, ils permettront d’une part, dans certains cas, d’apporter des preuves supplémentaires des faits survenus, ou de prouver une atteinte à l’image de la société si les difficultés rencontrées par celle-ci sont rendues publiques et d’autre part, d’aider à l’évaluation des dommages subis en comparant la situation et l’image de l’entreprise avant et après les faits, à partir des informations publiées.
Au cas où les faits tant redoutés se produisent, il est également indispensable de pouvoir disposer d’un huissier ayant des connaissances techniques relatives à l’internet, pour faire constater les difficultés le plus rapidement possible.
Dans un deuxième temps, il est généralement nécessaire de recourir aux services d’un spécialiste de l’évaluation judiciaire des dommages relatifs à l’internet. Les juridictions civiles ont en effet pour rôle d’indemniser les victimes afin de les replacer dans la situation dans laquelle elles se seraient trouvées si les faits générateurs des dommages ne s’étaient pas produits.
Encore faut-il être en mesure d’analyser, de chiffrer et surtout de justifier parfaitement le différentiel existant entre cette situation, abstraite, puisque elle ne s’est pas produite, et la situation réelle de l’entreprise ayant subi des dommages bien souvent invisibles en comptabilité, dont le caractère non virtuel doit être démontré, ce qui est paradoxal et loin d’être évident s’agissant d’activités réalisées sur le web.
« Bertrand Thoré »
Economiste-Directeur du département Economie juridique
Bertrand-THORE@alain-Bensoussan.com