Cyberattaque : les parades légales des entreprises
Cyberattaque – Didier Gazagne expose, pour IT-expert magazine, le cadre juridique applicable au cyberespace en montrant la portée, mais aussi les limites et les incohérences du droit du cyberespace. Il précise les postures, ainsi que les tactiques et stratégies de cybersécurité et cyberdéfense pouvant être mises en œuvre par l’entreprise face à une cyberattaque.
Si aucun pays n’est aujourd’hui à l’abri du phénomène, il en est de même de l’entreprise qui, quel que soit son domaine d’activité, est une cible très convoitée dans le cyberespace. Face à la facilité de déclenchement et de réalisation d’une cyberattaque, l’entreprise qui n’est pas une victime consentante, choisit souvent de se taire pour préserver son image et sa réputation.
Selon le Forum Economique Mondial, la cybercriminalité pourrait engendrer une perte pour l’économie mondiale de 2 200 milliards d’euros d’ici 2020 (soit l’équivalent du PIB de la France en 2012). Trouver l’origine d’une attaque, utilisant des milliers ou des millions de machines réparties dans des dizaines de pays dans le monde, conduit souvent l’entité qui a été attaquée à renoncer à engager une action en justice. Pourtant, dans le même temps, en l’absence d’action en justice de l’entreprise, c’est la confiance des utilisateurs d’Internet qui est fortement atteinte et fragilisée surtout dans l’hypothèse d’une augmentation et d’une aggravation des cyberattaques.
Pour l’ANSSI, la majeure partie des attaques informatiques sur lesquelles elle est intervenue auraient pu être évitées si des règles d’hygiène en matière informatique avaient été appliquées par les entreprises. Il est donc en premier lieu de la responsabilité des équipes dirigeantes dans l’entreprise d’être sensibilisées aux risques que représentent les cybermenaces et aux conséquences extrêmement lourdes que pourraient avoir l’absence d’adoption d’une politique de sécurité pertinente et adaptée au système d’information de l’entreprise.
Le plus grand défi pour l’entreprise reste encore l’insuffisance de sensibilisation de l’ensemble des personnels face à l’ingéniosité des cyber-délinquants et au caractère protéiforme d’une cyberattaque. Notre principale recommandation à l’attention des DSI et des RSSI est de s’assurer qu’ils disposent bien d’une politique de sécurité connue de tous et dont l’application doit être régulièrement contrôlée et auditée.
Il est également recommandé aux DSI et aux RSSI de s’assurer qu’ils ont bien mis en œuvre les « 40 règles d’hygiène informatique » disponible sur le site de l’ANSSI. Il y est également mis à la disposition des DSI et RSSI un ensemble d’autres guides et recommandations qui sont très accessibles y compris aux TPE permettant de sécuriser les postes de travail et les serveurs, mais également la messagerie ou encore les liaisons sans fil dans l’entreprise.
Didier Gazagne, IT-expert magazine, «L’entreprise victime d’une cyberattaque : quelles réponses juridiques ?» 12 juin 2014