Guide juridique cybersécurité - FG Avocat

Guide juridique cybersécurité

Les Guides du droit du numérique

Cybersécurité et cybercriminalité

Le guide juridique pour comprendre les obligations des organisations, prévenir les risques et gérer les incidents

Par Me Fatima Ghilassene — Avocate en droit du numérique

Sommaire

Sous-titre Guide pratique à destination des dirigeants, entreprises, collectivités, associations et professionnels.

Positionnement éditorial

Ce guide n’a pas vocation à apprendre :

  • comment configurer un pare-feu ;
  • comment administrer un réseau ;
  • comment installer un antivirus.

Il répond aux questions qu’un client pose naturellement à son avocat. Par exemple :

  • Quelles sont mes obligations légales ?
  • Suis-je responsable en cas de cyberattaque ?
  • Dois-je notifier la CNIL ?
  • Dois-je prévenir mes clients ?
  • Puis-je être poursuivi ?
  • Que faire dans les premières heures ?
  • Quelles preuves conserver ?
  • Comment déposer plainte ?
  • Comment gérer les conséquences contractuelles ?
  • Comment limiter ma responsabilité ?

C’est cette approche qui donnera toute sa valeur au guide. 1

Fil conducteur

Le véritable sujet n’est pas : « Comment fonctionne une cyberattaque ? » mais « Comment une organisation peut-elle satisfaire à ses obligations juridiques avant, pendant et après une cyberattaque ? » Nous restons ainsi totalement cohérents avec le concept de responsabilité numérique.

Nouvelle architecture PARTIE I Comprendre le risque cyber : un enjeu juridique avant d’être technique

Chapitre 1

Pourquoi la cybersécurité est devenue une obligation de gouvernance

  • explosion des cyberattaques
  • responsabilité des dirigeants
  • enjeux économiques
  • enjeux juridiques
  • perte de confiance

Chapitre 2

Les principaux risques juridiques d’une cyberattaque

  • interruption d’activité
  • violation de données
  • responsabilité civile

2

  • responsabilité contractuelle
  • responsabilité pénale
  • atteinte à la réputation

Chapitre 3

Comprendre les principales formes de cybercriminalité Sans entrer dans la technique :

  • rançongiciel
  • hameçonnage
  • fraude au président
  • usurpation d’identité
  • compromission de comptes
  • fuite de données
  • sabotage

Toujours sous l’angle : quels risques juridiques ?

PARTIE II Les obligations juridiques des organisations

Chapitre 4

Les obligations générales de sécurité

Chapitre 5

Cybersécurité et RGPD

  • article 32
  • violation de données
  • notification

3

  • sécurité

Chapitre 6

La directive NIS2 Qui est concerné ? Quelles obligations ? Quels dirigeants ?

Chapitre 7

Le Cyber Resilience Act

Chapitre 8

Les obligations contractuelles

  • fournisseurs
  • sous-traitants
  • cloud
  • SaaS
  • infogérance

Chapitre 9

Les responsabilités du dirigeant

PARTIE III Réagir juridiquement à une cyberattaque

C’est ici que le guide devient très différenciant.

Chapitre 10

4 Les premières heures Que faire ? Qui prévenir ? Qui décide ?

Chapitre 11

Constituer les preuves

  • journalisation
  • constats
  • conservation
  • expertise

Chapitre 12

Notifier les autorités CNIL ANSSI CERT-FR Police Gendarmerie Parquet Cybermalveillance

Chapitre 13

Déposer plainte Comment ? Quand ? Pourquoi ? 5

Chapitre 14

Informer les clients Les salariés Les partenaires Les assureurs Les actionnaires

Chapitre 15

Gérer les conséquences contractuelles

PARTIE IV Construire une gouvernance juridique de la cybersécurité

Chapitre 16

Cartographier les risques

Chapitre 17

Mettre en place une politique cybersécurité

Chapitre 18

Former les collaborateurs

Chapitre 19

Auditer régulièrement

Chapitre 20

6 La cybersécurité comme pilier de la responsabilité numérique Je suis tout à fait d’accord. C’est même ce qui différenciera le guide de Me Fatima Ghilassene des nombreux ouvrages déjà disponibles. Il ne faut pas écrire un guide de cybersécurité. Il faut écrire un guide juridique de la cybersécurité. Votre positionnement est celui d’un cabinet d’avocat en responsabilité numérique, pas celui d’un cabinet de conseil informatique ou d’un RSSI. Je modifierais donc complètement l’angle éditorial.

Guide pratique Cybersécurité et cybercriminalité

Le guide juridique pour comprendre les obligations des organisations, prévenir les risques et gérer les incidents

Sous-titre Guide pratique à destination des dirigeants, entreprises, collectivités, associations et professionnels.

Positionnement éditorial

Ce guide n’a pas vocation à apprendre :

  • comment configurer un pare-feu ;
  • comment administrer un réseau ;
  • comment installer un antivirus.

Il répond aux questions qu’un client pose naturellement à son avocat. Par exemple :

  • Quelles sont mes obligations légales ?
  • Suis-je responsable en cas de cyberattaque ?
  • Dois-je notifier la CNIL ?

7

  • Dois-je prévenir mes clients ?
  • Puis-je être poursuivi ?
  • Que faire dans les premières heures ?
  • Quelles preuves conserver ?
  • Comment déposer plainte ?
  • Comment gérer les conséquences contractuelles ?
  • Comment limiter ma responsabilité ?

C’est cette approche qui donnera toute sa valeur au guide.

Fil conducteur

Le véritable sujet n’est pas : « Comment fonctionne une cyberattaque ? » mais « Comment une organisation peut-elle satisfaire à ses obligations juridiques avant, pendant et après une cyberattaque ? » Nous restons ainsi totalement cohérents avec le concept de responsabilité numérique.

Nouvelle architecture PARTIE I Comprendre le risque cyber : un enjeu juridique avant d’être technique

Chapitre 1

Pourquoi la cybersécurité est devenue une obligation de gouvernance

  • explosion des cyberattaques
  • responsabilité des dirigeants
  • enjeux économiques

8

  • enjeux juridiques
  • perte de confiance

Chapitre 2

Les principaux risques juridiques d’une cyberattaque

  • interruption d’activité
  • violation de données
  • responsabilité civile
  • responsabilité contractuelle
  • responsabilité pénale
  • atteinte à la réputation

Chapitre 3

Comprendre les principales formes de cybercriminalité Sans entrer dans la technique :

  • rançongiciel
  • hameçonnage
  • fraude au président
  • usurpation d’identité
  • compromission de comptes
  • fuite de données
  • sabotage

Toujours sous l’angle : quels risques juridiques ?

PARTIE II Les obligations juridiques des organisations

9

Chapitre 4

Les obligations générales de sécurité

Chapitre 5

Cybersécurité et RGPD

  • article 32
  • violation de données
  • notification
  • sécurité

Chapitre 6

La directive NIS2 Qui est concerné ? Quelles obligations ? Quels dirigeants ?

Chapitre 7

Le Cyber Resilience Act

Chapitre 8

Les obligations contractuelles

  • fournisseurs
  • sous-traitants
  • cloud
  • SaaS
  • infogérance

Chapitre 9

10 Les responsabilités du dirigeant

PARTIE III Réagir juridiquement à une cyberattaque

C’est ici que le guide devient très différenciant.

Chapitre 10

Les premières heures Que faire ? Qui prévenir ? Qui décide ?

Chapitre 11

Constituer les preuves

  • journalisation
  • constats
  • conservation
  • expertise

Chapitre 12

Notifier les autorités CNIL ANSSI CERT-FR Police Gendarmerie Parquet 11 Cybermalveillance

Chapitre 13

Déposer plainte Comment ? Quand ? Pourquoi ?

Chapitre 14

Informer les clients Les salariés Les partenaires Les assureurs Les actionnaires

Chapitre 15

Gérer les conséquences contractuelles

PARTIE IV Construire une gouvernance juridique de la cybersécurité

Chapitre 16

Cartographier les risques

Chapitre 17

Mettre en place une politique cybersécurité 12

Chapitre 18

Former les collaborateurs

Chapitre 19

Auditer régulièrement

Chapitre 20

La cybersécurité comme pilier de la responsabilité numérique

GUIDE PRATIQUE Cybersécurité et cybercriminalité

Le guide juridique pour comprendre les obligations des organisations, prévenir les risques et gérer les incidents À destination des dirigeants, entreprises, collectivités, associations et professionnels

Introduction

La cybersécurité n’est plus un sujet réservé aux spécialistes de l’informatique. Elle est devenue une question de gouvernance, de conformité et de responsabilité. Chaque organisation, quelle que soit sa taille ou son secteur d’activité, dépend aujourd’hui de systèmes d’information, de données numériques et de services connectés. Les activités économiques, administratives et sociales reposent désormais sur des infrastructures numériques dont la disponibilité et la sécurité conditionnent la continuité de l’activité. Cette dépendance s’accompagne toutefois d’une augmentation constante des cybermenaces. Les attaques informatiques se multiplient, gagnent en sophistication et touchent désormais aussi bien les grandes entreprises que les PME, les collectivités territoriales, les établissements de santé, les associations ou les professions libérales. Pendant longtemps, la cybersécurité a été perçue comme une question essentiellement technique. 13 Elle relevait principalement des directions informatiques et consistait à déployer des solutions de protection : antivirus, pare-feu, sauvegardes, contrôle des accès ou outils de détection des intrusions. Cette approche demeure indispensable. Elle est toutefois devenue insuffisante. Une cyberattaque ne constitue plus seulement un incident informatique. Elle peut entraîner :

  • une interruption d’activité ;
  • une violation de données personnelles ;
  • une perte d’informations confidentielles ;
  • une rupture de relations contractuelles ;
  • une atteinte à la réputation ;
  • des conséquences financières importantes ;
  • des contentieux ;
  • des sanctions administratives.

Autrement dit, une cyberattaque produit aujourd’hui des effets juridiques majeurs. La question n’est donc plus uniquement de savoir comment empêcher une attaque. Elle consiste également à déterminer comment une organisation doit prévenir les risques, respecter ses obligations, réagir à un incident et organiser sa gouvernance. Le droit occupe désormais une place centrale dans cette évolution. Le RGPD impose aux responsables de traitement et à leurs sous-traitants de garantir un niveau de sécurité adapté aux risques. La directive NIS2 renforce considérablement les obligations pesant sur de nombreuses organisations publiques et privées. Le Cyber Resilience Act introduit de nouvelles exigences applicables aux produits comportant des éléments numériques. À ces textes s’ajoutent les règles issues du droit des contrats, de la responsabilité civile, du droit pénal, du droit des assurances, du droit du travail et du droit de la consommation. La cybersécurité est ainsi devenue une matière juridique transversale. Ce guide n’est pas un manuel technique. 14 Il n’a pas vocation à expliquer comment configurer un réseau informatique, administrer un système d’information ou déployer des outils de cybersécurité. Son ambition est différente. Il propose une lecture juridique de la cybersécurité. Il répond aux principales questions que les organisations se posent. Par exemple :

  • Quelles sont mes obligations légales ?
  • Quels textes s’appliquent à mon activité ?
  • Quelle est ma responsabilité en cas de cyberattaque ?
  • Quels sont les risques encourus ?
  • Dois-je notifier une violation de données ?
  • Quand faut-il saisir les autorités compétentes ?
  • Comment préserver les preuves ?
  • Comment limiter les conséquences juridiques d’un incident ?
  • Comment organiser une gouvernance efficace de la cybersécurité ?

La cybersécurité ne concerne plus uniquement les directions informatiques. Elle mobilise désormais :

  • les dirigeants ;
  • les directions juridiques ;
  • les responsables conformité ;
  • les délégués à la protection des données (DPO) ;
  • les responsables des systèmes d’information ;
  • les directions des ressources humaines ;
  • les directions des achats ;
  • les responsables de la gestion des risques ;
  • les collectivités publiques ;
  • les établissements de santé ;
  • les opérateurs économiques.

15 La sécurité numérique devient une responsabilité partagée. Au fil de ce guide, une idée guidera notre réflexion. La cybersécurité ne constitue pas seulement un ensemble de mesures techniques destinées à protéger un système d’information. Elle participe d’une démarche plus large de responsabilité numérique. Une organisation responsable ne cherche pas uniquement à empêcher les cyberattaques. Elle met en place une gouvernance permettant :

  • d’anticiper les risques ;
  • de protéger les personnes ;
  • de préserver les données ;
  • d’assurer la continuité de ses activités ;
  • de respecter ses obligations réglementaires ;
  • de renforcer la confiance de ses partenaires et de ses clients.

Cette approche constitue aujourd’hui l’un des fondements de la gouvernance des organisations. Les développements qui suivent ont été conçus pour accompagner les dirigeants, les juristes, les responsables conformité et l’ensemble des professionnels confrontés aux enjeux de la cybersécurité. Ils proposent une lecture pédagogique des principales obligations applicables, des risques juridiques liés aux cyberattaques et des bonnes pratiques permettant de développer une véritable gouvernance de la sécurité numérique. Car, au-delà des textes, la cybersécurité est désormais un enjeu de confiance. Et la confiance est devenue l’une des conditions essentielles du développement d’une économie numérique durable.

PARTIE I — Comprendre le risque cyber : un enjeu juridique avant d’être technique Chapitre 1 — Pourquoi la cybersécurité est devenue une obligation de gouvernance

16 Pendant longtemps, la cybersécurité a été considérée comme un sujet relevant exclusivement des spécialistes de l’informatique. La sécurité des systèmes d’information consistait essentiellement à protéger les infrastructures techniques contre les virus, les intrusions ou les défaillances matérielles. Les décisions étaient principalement prises par les directions informatiques, tandis que les autres services de l’organisation demeuraient relativement éloignés de ces questions. Cette vision est aujourd’hui dépassée. La transformation numérique des organisations a profondément modifié la nature du risque cyber. Les systèmes d’information ne constituent plus un simple support de l’activité. Ils en sont devenus l’une des conditions essentielles. Une entreprise ne peut plus produire, vendre, communiquer ou gérer ses relations contractuelles sans recourir à des outils numériques. Une collectivité territoriale ne peut plus assurer efficacement ses missions sans systèmes d’information sécurisés. Un cabinet d’avocat, un établissement de santé, une association ou une profession libérale dépendent également de leurs infrastructures numériques pour exercer leurs activités. Dans ce contexte, une cyberattaque n’affecte plus uniquement un serveur ou un logiciel. Elle peut paralyser l’ensemble de l’organisation. Elle peut interrompre l’activité, compromettre des données stratégiques, porter atteinte à la réputation, engager la responsabilité juridique de l’organisation et remettre en cause la confiance de ses partenaires. La cybersécurité cesse ainsi d’être un simple enjeu technique. Elle devient un enjeu de gouvernance. ➡ Chapitre suivant : Les principaux risques juridiques d’une cyberattaque : comprendre les conséquences avant de mettre en place une stratégie de prévention.

PARTIE I — Comprendre le risque cyber : un enjeu juridique avant d’être technique Chapitre 2 — Les principaux risques juridiques d’une cyberattaque : comprendre

17

les conséquences avant de mettre en place une stratégie de prévention

Lorsqu’une organisation est victime d’une cyberattaque, la première réaction consiste souvent à mobiliser les équipes informatiques afin de rétablir les systèmes et de limiter les conséquences opérationnelles. Cette réaction est indispensable. Elle demeure toutefois incomplète. Une cyberattaque ne constitue jamais un simple incident technique. Elle produit presque toujours des conséquences juridiques, parfois immédiates, parfois différées, qui peuvent engager durablement la responsabilité de l’organisation. Perte de données, interruption d’activité, violation d’obligations contractuelles, contentieux avec des clients, sanctions administratives, enquêtes pénales ou encore atteinte à la réputation : les conséquences dépassent largement la seule remise en état des systèmes informatiques. Comprendre ces risques constitue la première étape d’une stratégie de cybersécurité juridiquement efficace.

Le risque d’interruption d’activité

La plupart des cyberattaques poursuivent aujourd’hui un objectif simple : empêcher une organisation de fonctionner normalement. Lorsqu’un système d’information devient indisponible, les conséquences peuvent être immédiates. L’organisation peut ne plus être en mesure :

  • d’accéder à ses fichiers ;
  • de communiquer avec ses clients ;
  • d’assurer la production ;
  • de traiter les commandes ;
  • de facturer ses prestations ;
  • de répondre aux obligations réglementaires.

Dans certains secteurs, quelques heures d’interruption peuvent suffire à provoquer des pertes économiques considérables. Pour un établissement de santé, une collectivité territoriale ou une entreprise industrielle, les conséquences peuvent également affecter la sécurité des personnes. 18 L’interruption d’activité devient ainsi un risque juridique autant qu’un risque économique.

Le risque de violation de données personnelles

Une cyberattaque conduit fréquemment à la compromission de données personnelles. Les informations concernées peuvent être très diverses :

  • identité des clients ;
  • coordonnées ;
  • données bancaires ;
  • informations médicales ;
  • données des salariés ;
  • données de connexion ;
  • documents administratifs.

Lorsqu’une telle violation intervient, l’organisation doit immédiatement s’interroger sur ses obligations. Selon les circonstances, elle pourra notamment être tenue :

  • d’évaluer les risques pour les personnes concernées ;
  • de documenter l’incident ;
  • de notifier la violation à l’autorité compétente ;
  • d’informer les personnes concernées lorsque le risque est élevé.

Ces obligations résultent principalement du RGPD. Elles seront étudiées en détail dans un chapitre consacré aux violations de données.

Le risque de divulgation d’informations confidentielles

Toutes les données compromises ne relèvent pas de la protection des données personnelles. Une cyberattaque peut également entraîner la divulgation :

  • de secrets d’affaires ;
  • de stratégies commerciales ;

19

  • de contrats ;
  • de dossiers contentieux ;
  • de recherches et développements ;
  • d’informations financières ;
  • de projets d’acquisition.

Ces informations constituent souvent le patrimoine immatériel de l’organisation. Leur divulgation peut produire des conséquences économiques majeures. Elle peut également remettre en cause certaines obligations de confidentialité prévues par les contrats.

Le risque contractuel

Une cyberattaque n’affecte jamais uniquement la relation entre l’organisation et l’auteur de l’attaque. Elle peut également perturber les relations contractuelles avec :

  • les clients ;
  • les fournisseurs ;
  • les partenaires ;
  • les prestataires ;
  • les sous-traitants.

Une interruption prolongée d’activité peut empêcher l’exécution normale des contrats. Des retards de livraison, une indisponibilité des services ou la perte de certaines informations peuvent engager la responsabilité contractuelle de l’organisation. La cybersécurité devient ainsi un élément essentiel de la gestion des relations contractuelles.

Le risque de responsabilité civile

Une organisation peut être tenue responsable des dommages subis par des tiers lorsqu’il est établi qu’un manquement à ses obligations a contribué à la réalisation du dommage. Par exemple :

  • une insuffisance des mesures de sécurité ;
  • une absence de sauvegarde ;

20

  • un défaut de surveillance ;
  • une mauvaise gestion des accès ;
  • une réaction tardive à un incident.

Chaque situation devra naturellement être appréciée au regard des circonstances particulières. Il n’existe pas de responsabilité automatique. En revanche, la démonstration d’une gouvernance sérieuse constitue souvent un élément déterminant.

Le risque pénal

Certaines situations peuvent également relever du droit pénal. Les cyberattaques elles-mêmes constituent fréquemment des infractions. Selon les circonstances, peuvent notamment être concernés :

  • l’accès frauduleux à un système de traitement automatisé de données ;
  • l’entrave au fonctionnement d’un système ;
  • l’extraction frauduleuse de données ;
  • la fraude informatique ;
  • l’escroquerie ;
  • l’usurpation d’identité numérique ;
  • le blanchiment des produits issus de la cybercriminalité.

L’organisation victime devra alors préserver les éléments de preuve afin de faciliter les investigations.

Le risque réglementaire

Les organisations sont aujourd’hui soumises à un nombre croissant d’obligations en matière de sécurité numérique. Selon leur activité, elles peuvent être concernées notamment par :

  • le RGPD ;
  • la directive NIS2 ;
  • le règlement DORA ;

21

  • le Cyber Resilience Act ;
  • les réglementations sectorielles.

Le non-respect de ces obligations peut conduire à :

  • des mises en demeure ;
  • des injonctions de mise en conformité ;
  • des contrôles ;
  • des sanctions administratives.

La cybersécurité devient progressivement un véritable sujet de conformité.

Le risque assurantiel

Les cyberattaques soulèvent également des questions d’assurance. Certaines organisations disposent d’une assurance cyber. Encore faut-il vérifier :

  • les risques couverts ;
  • les exclusions prévues ;
  • les délais de déclaration ;
  • les obligations contractuelles de prévention.

Le non-respect de certaines mesures de sécurité peut parfois avoir une incidence sur les conditions d’indemnisation. Une bonne gouvernance facilite également les relations avec les assureurs.

Le risque réputationnel

Dans un environnement numérique, la confiance constitue un actif essentiel. Une cyberattaque médiatisée peut entraîner :

  • une perte de crédibilité ;
  • une diminution de la confiance des clients ;
  • des interrogations des partenaires ;
  • des difficultés de recrutement ;

22

  • une couverture médiatique défavorable.

Le préjudice d’image peut parfois dépasser les conséquences financières immédiates. La communication de crise devient alors un élément de la gestion juridique de l’incident.

Le risque pour les dirigeants

La cybersécurité n’engage pas uniquement la responsabilité de l’organisation. Les dirigeants sont de plus en plus attendus sur leur capacité à assurer une gouvernance adaptée des risques numériques. Ils doivent notamment veiller à :

  • intégrer le risque cyber dans la stratégie de l’organisation ;
  • mobiliser les ressources nécessaires ;
  • mettre en place des procédures adaptées ;
  • assurer un suivi régulier des risques.

La cybersécurité devient ainsi une composante de la gouvernance d’entreprise.

Un risque systémique

L’une des caractéristiques des cyberattaques contemporaines réside dans leur capacité à produire des effets en chaîne. Une attaque visant un prestataire informatique peut affecter plusieurs centaines d’organisations. Une compromission d’un fournisseur de services cloud peut perturber l’activité de nombreux clients. Les risques numériques dépassent donc les frontières de chaque organisation. Ils concernent désormais l’ensemble de l’écosystème économique. Cette dimension explique le développement de réglementations imposant une approche globale de la gestion des risques.

Une approche préventive

Face à ces différents risques, la meilleure stratégie consiste rarement à attendre qu’un incident survienne. 23 Les organisations les plus résilientes développent une démarche préventive reposant notamment sur :

  • une cartographie des risques ;
  • une politique de cybersécurité ;
  • une gouvernance claire ;
  • une formation des collaborateurs ;
  • une documentation des procédures ;
  • des audits réguliers.

Cette logique d’anticipation est aujourd’hui au cœur des principales réglementations européennes.

De la cybersécurité à la responsabilité numérique

Les risques liés aux cyberattaques montrent que la cybersécurité ne peut plus être réduite à un ensemble de mesures techniques. Elle participe désormais d’une gouvernance globale des technologies. Protéger les systèmes d’information, préserver les données, assurer la continuité des activités et respecter les obligations réglementaires répondent à une même exigence : maîtriser les impacts du numérique sur l’organisation et sur les personnes. Cette approche constitue l’un des fondements de la responsabilité numérique. La cybersécurité en est désormais l’un des piliers les plus essentiels.

À retenir

Une cyberattaque ne provoque jamais uniquement des conséquences informatiques. Elle peut engager la responsabilité civile, contractuelle, réglementaire et, dans certaines situations, pénale de l’organisation. Elle peut également affecter sa réputation, sa continuité d’activité et la confiance de ses partenaires. Comprendre ces risques permet d’adopter une approche plus globale de la cybersécurité, centrée non seulement sur la protection des systèmes d’information, mais aussi sur la gouvernance, la conformité et la responsabilité. 24 ➡ Chapitre suivant : Comprendre la cybercriminalité : qui sont les auteurs des cyberattaques, quelles sont leurs méthodes et pourquoi les organisations sont-elles toutes concernées ?

PARTIE I — Comprendre le risque cyber : un enjeu juridique avant d’être technique Chapitre 3 — Comprendre la cybercriminalité : qui sont les auteurs des cyberattaques, quelles sont leurs méthodes et pourquoi les organisations sont-elles toutes concernées ?

Lorsqu’une cyberattaque survient, une question revient presque systématiquement : Qui est à l’origine de l’attaque ? Contrairement à l’image véhiculée par certains films ou séries, la cybercriminalité ne se résume pas à l’action d’un pirate informatique isolé agissant depuis un ordinateur. Elle constitue aujourd’hui une véritable économie criminelle, structurée, organisée et souvent internationale. Les attaques sont préparées, financées et parfois réalisées par des groupes spécialisés dont les méthodes s’apparentent à celles d’entreprises. Leur objectif n’est généralement pas de démontrer une supériorité technique. Il est de tirer un profit financier, d’obtenir un avantage stratégique, de déstabiliser une organisation ou de compromettre des informations sensibles. Comprendre les mécanismes de la cybercriminalité est essentiel pour les dirigeants. Non pas afin de devenir des experts techniques, mais pour mieux apprécier les risques juridiques auxquels leur organisation est exposée.

Une criminalité en pleine mutation

La cybercriminalité connaît une croissance continue depuis plusieurs années. Cette évolution s’explique notamment par :

  • la généralisation du numérique ;
  • la multiplication des objets connectés ;

25

  • le développement du télétravail ;
  • l’utilisation croissante des services cloud ;
  • l’essor de l’intelligence artificielle.

Les cybercriminels disposent aujourd’hui d’outils puissants, accessibles et relativement peu coûteux. Certaines attaques peuvent même être achetées sous forme de services. On parle alors de Cybercrime-as-a-Service, c’est-à-dire d’une véritable offre criminelle permettant à des individus peu qualifiés de disposer d’outils sophistiqués. Cette industrialisation explique en partie l’augmentation du nombre d’attaques observées dans tous les secteurs d’activité.

Qui sont les auteurs des cyberattaques ?

La cybercriminalité regroupe des acteurs très différents. Leurs motivations ne sont pas toujours identiques.

Les groupes criminels organisés

Ils constituent aujourd’hui la principale menace pour les entreprises. Leur objectif est essentiellement financier. Ils recherchent notamment :

  • le versement d’une rançon ;
  • le vol de données revendables ;
  • la fraude bancaire ;
  • l’extorsion ;
  • la revente d’accès à des systèmes informatiques.

Ces groupes disposent souvent d’une organisation comparable à celle d’une entreprise. Ils répartissent les rôles entre développeurs, négociateurs, spécialistes des rançongiciels et intermédiaires financiers.

Les acteurs étatiques

Certains États utilisent également des capacités offensives dans le cyberespace. 26 Les objectifs peuvent être variés :

  • espionnage économique ;
  • collecte de renseignements ;
  • déstabilisation d’infrastructures critiques ;
  • influence géopolitique ;
  • sabotage.

Ces attaques ciblent principalement les administrations, les opérateurs essentiels et certains secteurs stratégiques.

Les groupes militants

Certains acteurs utilisent les cyberattaques comme moyen d’expression politique ou idéologique. Leurs actions peuvent viser :

  • des administrations ;
  • des entreprises ;
  • des médias ;
  • des organisations internationales.

Leur objectif est généralement de diffuser un message ou de perturber une activité.

Les menaces internes

Toutes les cyberattaques ne proviennent pas de l’extérieur. Certaines résultent du comportement de personnes ayant déjà accès au système d’information. Il peut s’agir :

  • d’un salarié ;
  • d’un ancien collaborateur ;
  • d’un prestataire ;
  • d’un sous-traitant.

Les motivations peuvent être diverses :

  • négligence ;

27

  • erreur ;
  • conflit professionnel ;
  • volonté de nuire ;
  • recherche d’un avantage personnel.

Cette catégorie de risque est souvent sous-estimée.

Toutes les organisations peuvent être concernées

Une idée reçue consiste à penser que seules les grandes entreprises intéressent les cybercriminels. La réalité est différente. Les victimes sont extrêmement variées. Les attaques concernent notamment :

  • les PME ;
  • les collectivités territoriales ;
  • les établissements de santé ;
  • les associations ;
  • les professions libérales ;
  • les cabinets d’avocats ;
  • les études notariales ;
  • les établissements scolaires ;
  • les entreprises industrielles.

Pour les cybercriminels, la taille de l’organisation importe parfois moins que le niveau de protection de ses systèmes. Une petite structure insuffisamment sécurisée peut représenter une cible particulièrement attractive.

Les principales formes de cybercriminalité

La cybercriminalité recouvre une grande diversité d’infractions. 28 Sans entrer dans des considérations techniques, il est utile d’en connaître les principales manifestations.

Les rançongiciels (ransomware)

Les rançongiciels constituent aujourd’hui l’une des menaces les plus médiatisées. Ils consistent à rendre les données d’une organisation inaccessibles, généralement par chiffrement, puis à exiger le paiement d’une rançon en échange de leur restitution ou de la promesse de ne pas les divulguer. Au-delà de l’interruption d’activité, ces attaques soulèvent de nombreuses questions juridiques :

  • faut-il déposer plainte ?
  • faut-il informer les autorités ?
  • quelles sont les conséquences contractuelles ?
  • quelles obligations vis-à-vis des personnes concernées ?

Le phishing (hameçonnage)

L’hameçonnage consiste à tromper un utilisateur afin d’obtenir :

  • des identifiants ;
  • des mots de passe ;
  • des informations bancaires ;
  • ou d’autres données sensibles.

Le cybercriminel se fait généralement passer pour un interlocuteur de confiance. L’objectif est d’inciter la victime à divulguer volontairement certaines informations. Cette technique demeure l’une des principales portes d’entrée des cyberattaques.

La fraude au président

Cette fraude repose davantage sur la manipulation psychologique que sur la technique. Un salarié reçoit un message semblant provenir d’un dirigeant ou d’un partenaire important. Il lui est demandé d’effectuer un virement urgent ou de transmettre des informations confidentielles. Les conséquences financières peuvent être considérables. 29 Cette fraude rappelle que la cybersécurité relève également de l’organisation interne et des procédures de validation.

L’usurpation d’identité numérique

Les cybercriminels peuvent utiliser l’identité d’une organisation ou d’une personne afin :

  • de tromper des clients ;
  • de détourner des paiements ;
  • de diffuser de faux messages ;
  • de compromettre des relations commerciales.

Au-delà du préjudice financier, ces pratiques peuvent gravement porter atteinte à la réputation.

Le vol de données

Les données représentent aujourd’hui une valeur économique majeure. Leur vol peut poursuivre différents objectifs :

  • revente ;
  • espionnage industriel ;
  • extorsion ;
  • fraude.

Les données personnelles, les secrets d’affaires et les informations stratégiques constituent des cibles privilégiées.

L’intelligence artificielle au service de la cybercriminalité

Les outils d’intelligence artificielle transforment également les méthodes des cybercriminels. Ils permettent notamment :

  • de produire des courriels d’hameçonnage particulièrement crédibles ;
  • de générer de faux documents ;
  • de créer des contenus audiovisuels trompeurs ;
  • d’automatiser certaines attaques ;

30

  • d’améliorer les techniques d’ingénierie sociale.

L’intelligence artificielle n’est donc pas seulement un outil de protection. Elle devient également un instrument utilisé par les auteurs d’infractions. Cette évolution renforce la nécessité d’une vigilance permanente.

Pourquoi le droit s’intéresse-t-il à la cybercriminalité ?

La cybercriminalité ne relève pas uniquement du droit pénal. Ses conséquences concernent également :

  • le droit des contrats ;
  • le droit de la responsabilité ;
  • le droit de la consommation ;
  • le droit des assurances ;
  • le droit du travail ;
  • la protection des données personnelles.

Une cyberattaque peut ainsi déclencher simultanément plusieurs obligations juridiques. Les organisations doivent donc adopter une approche globale.

Une responsabilité qui dépasse la technique

Il serait erroné de considérer qu’une cyberattaque engage automatiquement la responsabilité de la victime. Le droit apprécie chaque situation au regard des circonstances particulières. En revanche, une organisation doit être en mesure de démontrer qu’elle a pris des mesures raisonnables pour prévenir les risques. Cette démonstration repose notamment sur :

  • une politique de cybersécurité ;
  • une gouvernance adaptée ;
  • des procédures internes ;

31

  • une sensibilisation des collaborateurs ;
  • une documentation des actions entreprises.

La prévention devient ainsi un élément essentiel de la stratégie juridique.

Une approche fondée sur la résilience

L’expérience montre qu’aucune organisation ne peut garantir une sécurité absolue. L’objectif réaliste consiste donc à développer une capacité de résistance et de réaction. Cette approche est aujourd’hui au cœur des politiques publiques de cybersécurité. Elle repose sur plusieurs principes :

  • anticiper les menaces ;
  • détecter rapidement les incidents ;
  • limiter leurs conséquences ;
  • rétablir l’activité dans les meilleurs délais ;
  • tirer les enseignements des événements.

Cette capacité d’adaptation constitue la résilience numérique.

De la cybercriminalité à la responsabilité numérique

L’évolution de la cybercriminalité rappelle que les organisations ne peuvent plus considérer la cybersécurité comme un simple sujet technique. Elle constitue désormais un enjeu de gouvernance, de conformité et de responsabilité. La lutte contre les cybermenaces ne repose pas uniquement sur des outils informatiques performants. Elle suppose également une organisation adaptée, des procédures claires, une formation continue des collaborateurs et une capacité à démontrer le respect des obligations juridiques. Cette approche globale s’inscrit pleinement dans la logique de la responsabilité numérique, qui vise à concilier innovation, sécurité, protection des personnes et confiance dans les technologies.

À retenir

32 La cybercriminalité est aujourd’hui une criminalité organisée, internationale et en constante évolution. Toutes les organisations peuvent être ciblées, quelle que soit leur taille. Au-delà des aspects techniques, les cyberattaques soulèvent des questions juridiques majeures relatives à la responsabilité, à la protection des données, aux obligations contractuelles et à la gouvernance. Comprendre les mécanismes de la cybercriminalité constitue donc une étape indispensable pour construire une stratégie de cybersécurité juridiquement solide et durable. ➡ Chapitre suivant : Les obligations générales de cybersécurité : quelles responsabilités juridiques pèsent aujourd’hui sur les organisations ?

PARTIE II — Les obligations juridiques des organisations Chapitre 4 — Les obligations générales de cybersécurité : quelles responsabilités juridiques pèsent aujourd’hui sur les organisations ?

Pendant de nombreuses années, la cybersécurité a été perçue comme une bonne pratique de gestion. Les organisations étaient encouragées à protéger leurs systèmes d’information, sans que cette protection ne soit toujours présentée comme une véritable obligation juridique. Cette approche appartient désormais au passé. Aujourd’hui, la sécurité numérique constitue une exigence légale qui résulte de nombreux textes nationaux et européens. Les organisations ne sont plus seulement invitées à mettre en œuvre des mesures de sécurité ; elles sont juridiquement tenues d’adopter un niveau de protection adapté aux risques auxquels elles sont exposées. Cette évolution traduit une transformation profonde du droit. La cybersécurité n’est plus uniquement une question technique. Elle devient une obligation de gouvernance. 33

Une obligation de sécurité qui dépasse le seul secteur informatique

La sécurité numérique ne concerne plus exclusivement les directions des systèmes d’information. Elle implique désormais :

  • les dirigeants ;
  • les directions juridiques ;
  • les responsables conformité ;
  • les responsables des ressources humaines ;
  • les directions des achats ;
  • les responsables métiers ;
  • les prestataires externes.

Cette transversalité s’explique par la nature même des risques. Une cyberattaque peut affecter :

  • les données personnelles ;
  • les contrats ;
  • les actifs stratégiques ;
  • les relations commerciales ;
  • la continuité d’activité ;
  • la réputation de l’organisation.

La sécurité devient ainsi une responsabilité collective.

Une obligation fondée sur la maîtrise des risques

Contrairement à une idée reçue, le droit n’impose pas aux organisations de garantir une sécurité absolue. Une telle exigence serait irréaliste. Aucun système informatique ne peut être considéré comme totalement invulnérable. 34 En revanche, les organisations doivent être capables de démontrer qu’elles ont mis en œuvre des mesures appropriées au regard :

  • de leur activité ;
  • de leur taille ;
  • des données traitées ;
  • des technologies utilisées ;
  • des risques identifiés.

Le droit exige donc une démarche de prévention et non une obligation de résultat. Cette logique irrigue aujourd’hui l’ensemble des réglementations européennes relatives au numérique.

Une obligation qui repose sur plusieurs sources juridiques

La cybersécurité ne fait pas l’objet d’un code unique. Les obligations applicables résultent de plusieurs textes qui se complètent. Parmi les principaux figurent notamment :

  • le RGPD ;
  • la directive NIS2 ;
  • le règlement DORA pour le secteur financier ;
  • le Cyber Resilience Act ;
  • le Code pénal ;
  • le Code civil ;
  • le Code de la consommation ;
  • les obligations contractuelles librement convenues entre les parties.

Cette pluralité de sources explique pourquoi la cybersécurité relève aujourd’hui pleinement du droit du numérique.

L’obligation de protéger les systèmes d’information

35 Les organisations doivent adopter des mesures destinées à préserver :

  • la confidentialité des informations ;
  • l’intégrité des données ;
  • la disponibilité des systèmes.

Ces trois objectifs constituent les fondements de la sécurité de l’information. Ils impliquent notamment :

  • une gestion des accès ;
  • une politique de sauvegarde ;
  • une protection contre les logiciels malveillants ;
  • une surveillance des systèmes ;
  • une capacité de restauration des activités.

Le choix des mesures appartient à chaque organisation, sous réserve qu’elles soient adaptées aux risques encourus.

L’obligation d’anticiper les risques

Les principales réglementations européennes privilégient désormais une approche préventive. Les organisations doivent identifier les risques avant qu’un incident ne survienne. Cette démarche suppose notamment :

  • d’identifier les actifs numériques essentiels ;
  • de recenser les menaces ;
  • d’évaluer les vulnérabilités ;
  • de mesurer les conséquences potentielles d’une attaque.

Cette cartographie constitue le point de départ de toute politique de cybersécurité.

L’obligation d’organiser la gouvernance

La sécurité numérique ne peut plus reposer uniquement sur des outils techniques. Elle suppose une organisation adaptée. Une gouvernance efficace permet notamment : 36

  • de répartir les responsabilités ;
  • de définir les processus de décision ;
  • d’assurer le suivi des risques ;
  • de coordonner les actions des différents services.

Les dirigeants jouent un rôle essentiel dans cette organisation. Ils doivent veiller à ce que la cybersécurité soit intégrée à la stratégie globale de l’organisation.

L’obligation de former les collaborateurs

La majorité des incidents de cybersécurité comportent un facteur humain. Une erreur de manipulation, un courriel frauduleux ou l’utilisation d’un mot de passe insuffisamment sécurisé peuvent suffire à compromettre un système. Les organisations ont donc intérêt à développer une véritable culture de la cybersécurité. Cette démarche passe notamment par :

  • des actions de sensibilisation ;
  • des formations régulières ;
  • des exercices pratiques ;
  • des rappels des procédures internes.

La formation devient une mesure de sécurité à part entière.

L’obligation de contrôler les prestataires

La sécurité d’une organisation dépend également de celle de ses partenaires. Les prestataires informatiques, les hébergeurs, les fournisseurs de services cloud ou les sous- traitants peuvent accéder à des informations particulièrement sensibles. L’organisation doit donc s’assurer que ces partenaires présentent des garanties suffisantes. Cette vigilance peut notamment se traduire par :

  • une sélection rigoureuse des prestataires ;
  • des audits ;
  • des clauses contractuelles adaptées ;

37

  • des contrôles réguliers.

La gestion des risques liés à la chaîne d’approvisionnement constitue aujourd’hui un enjeu majeur.

L’obligation de préparer la gestion des incidents

La prévention demeure essentielle. Elle ne permet toutefois pas d’exclure totalement le risque. Les organisations doivent donc anticiper la survenance d’un incident. Cette préparation peut comprendre :

  • une procédure de gestion de crise ;
  • une organisation des responsabilités ;
  • une liste des interlocuteurs à mobiliser ;
  • des modalités de conservation des preuves ;
  • un plan de communication.

Une réaction rapide permet souvent de limiter les conséquences juridiques et opérationnelles d’une cyberattaque.

L’obligation de démontrer la conformité

Comme en matière de protection des données personnelles, les organisations doivent être en mesure de démontrer les actions entreprises. Cette démonstration peut notamment reposer sur :

  • une politique de cybersécurité ;
  • une cartographie des risques ;
  • des comptes rendus d’audit ;
  • des registres d’incidents ;
  • des plans d’action ;
  • des attestations de formation.

Cette documentation constitue un élément déterminant en cas de contrôle ou de contentieux. 38

Une obligation qui évolue avec les risques

Les mesures de sécurité ne peuvent rester figées. Les cybermenaces évoluent constamment. Les organisations doivent donc adapter régulièrement leurs dispositifs. Cette amélioration continue implique notamment :

  • une veille technique ;
  • une veille juridique ;
  • des audits périodiques ;
  • une révision des procédures internes.

La cybersécurité devient ainsi un processus permanent.

La responsabilité des dirigeants

Les dirigeants occupent désormais une place centrale dans la gouvernance de la cybersécurité. Il leur appartient notamment :

  • d’intégrer le risque cyber dans la stratégie de l’organisation ;
  • d’allouer les moyens nécessaires ;
  • de suivre les principaux indicateurs de sécurité ;
  • de veiller au respect des obligations réglementaires.

Cette implication ne signifie pas qu’ils doivent posséder une expertise technique approfondie. Elle implique en revanche qu’ils soient en mesure de piloter la gestion des risques numériques.

Une approche fondée sur la responsabilité numérique

Les différentes obligations applicables en matière de cybersécurité poursuivent un objectif commun. Il ne s’agit pas uniquement de protéger des équipements informatiques. Il s’agit de protéger les personnes, les activités économiques, les données et la confiance dans l’environnement numérique. 39 Cette vision dépasse les exigences techniques. Elle conduit progressivement les organisations à intégrer la cybersécurité dans une démarche plus large de responsabilité numérique. La sécurité devient ainsi un élément essentiel de la gouvernance, au même titre que la protection des données personnelles, la conformité réglementaire ou la gouvernance de l’intelligence artificielle.

À retenir

La cybersécurité constitue aujourd’hui une véritable obligation juridique. Les organisations doivent mettre en œuvre des mesures de sécurité adaptées aux risques, organiser une gouvernance efficace, former leurs collaborateurs, contrôler leurs prestataires et préparer la gestion des incidents. Au-delà du respect des textes, ces obligations participent au développement d’une gouvernance responsable du numérique, fondée sur l’anticipation, la transparence et la maîtrise des risques. Chapitre suivant : Cybersécurité et RGPD : quelles obligations en matière de protection ➡ des données personnelles et comment articuler sécurité informatique et conformité juridique ?

PARTIE II — Les obligations juridiques des organisations Chapitre 5 — Cybersécurité et RGPD :

sécuriser les données personnelles, une obligation juridique permanente

Le Règlement général sur la protection des données (RGPD) est souvent présenté comme un texte consacré à la protection de la vie privée. Cette présentation est exacte, mais incomplète. Le RGPD est également un texte majeur de cybersécurité. En imposant aux organisations de protéger les données personnelles contre les accès non autorisés, les pertes, les destructions ou les divulgations accidentelles, le législateur européen a fait de la sécurité des systèmes d’information l’un des fondements de la conformité. 40 Il ne suffit donc pas de collecter les données de manière licite. Encore faut-il être capable de les protéger tout au long de leur cycle de vie. La cybersécurité constitue ainsi l’une des conditions essentielles du respect du RGPD.

La sécurité : un principe fondamental du RGPD

Le RGPD repose sur plusieurs principes directeurs. Parmi eux figure l’obligation de garantir une sécurité appropriée des données personnelles. Cette exigence ne constitue pas une obligation accessoire. Elle participe directement à la protection des droits et libertés des personnes. Lorsqu’une organisation traite des données personnelles, elle doit veiller à préserver :

  • leur confidentialité ;
  • leur intégrité ;
  • leur disponibilité.

Ces trois objectifs constituent le socle commun de la sécurité de l’information. Ils irriguent l’ensemble des obligations prévues par le règlement.

Une obligation fondée sur les risques

Comme l’AI Act ou la directive NIS2, le RGPD adopte une approche fondée sur les risques. Le règlement n’impose pas une liste exhaustive de mesures techniques. Chaque organisation doit déterminer les dispositifs adaptés à sa situation. Cette appréciation dépend notamment :

  • de la nature des données traitées ;
  • du volume des traitements ;
  • des finalités poursuivies ;
  • des risques pour les personnes ;
  • des technologies utilisées ;

41

  • de l’état des connaissances techniques.

La sécurité doit donc être proportionnée. Une petite association n’aura pas les mêmes obligations qu’un établissement hospitalier ou qu’un opérateur financier.

L’article 32 du RGPD : le cœur des obligations de sécurité

L’article 32 du RGPD constitue la principale disposition consacrée à la cybersécurité. Il impose aux responsables de traitement et aux sous-traitants de mettre en œuvre des mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque. Le texte ne fixe pas une liste fermée de mesures. Il évoque notamment :

  • le chiffrement ;
  • la pseudonymisation ;
  • la capacité à garantir la confidentialité, l’intégrité et la disponibilité des systèmes ;
  • la restauration rapide des données après un incident ;
  • les procédures de test et d’évaluation régulière des mesures de sécurité.

L’important n’est pas de mettre en œuvre toutes les mesures existantes. Il s’agit de démontrer que les mesures retenues sont adaptées aux risques identifiés.

Une obligation qui concerne tous les responsables de traitement

Le RGPD s’applique à toute organisation qui traite des données personnelles. Cela concerne notamment :

  • les entreprises ;
  • les collectivités territoriales ;
  • les associations ;
  • les établissements publics ;

42

  • les professions libérales ;
  • les établissements de santé ;
  • les cabinets d’avocats.

La taille de la structure n’exonère pas de l’obligation de sécurité. En revanche, les moyens mis en œuvre pourront naturellement être adaptés à son activité et aux risques réellement encourus.

Les mesures organisationnelles sont aussi importantes que les mesures techniques

La cybersécurité ne repose pas uniquement sur des outils informatiques. Les mesures organisationnelles jouent un rôle tout aussi déterminant. Par exemple :

  • définir une politique de gestion des mots de passe ;
  • contrôler les habilitations ;
  • organiser les sauvegardes ;
  • former les collaborateurs ;
  • prévoir une procédure de gestion des incidents ;
  • documenter les mesures de sécurité.

Dans de nombreux cas, une organisation bien structurée sera mieux protégée qu’une organisation disposant d’outils performants mais dépourvue de gouvernance.

La violation de données personnelles

Malgré toutes les précautions, aucun système n’est totalement à l’abri. Le RGPD prévoit donc un régime spécifique applicable aux violations de données personnelles. Une violation peut résulter notamment :

  • d’un accès non autorisé ;
  • d’une perte de données ;
  • d’une destruction accidentelle ;

43

  • d’une divulgation d’informations ;
  • d’un rançongiciel ;
  • d’une erreur humaine.

Toutes les violations ne produisent pas les mêmes conséquences. L’organisation doit procéder à une analyse de la situation afin d’évaluer les risques pour les personnes concernées.

L’obligation de notifier certaines violations

Lorsque la violation est susceptible d’engendrer un risque pour les droits et libertés des personnes, le responsable de traitement doit, en principe, notifier l’incident à la CNIL dans les délais prévus par le RGPD. Dans certaines situations, lorsque le risque est élevé, les personnes concernées devront également être informées. Cette double obligation poursuit un objectif simple : permettre aux personnes de prendre les mesures nécessaires pour limiter les conséquences de l’incident. La notification ne constitue pas une sanction. Elle participe à une logique de transparence et de protection.

Le registre des violations

Le RGPD impose également de documenter les violations de données. Même lorsqu’une notification n’est pas nécessaire, l’organisation doit conserver les informations permettant de démontrer :

  • la nature de l’incident ;
  • les données concernées ;
  • les conséquences identifiées ;
  • les mesures correctrices mises en œuvre ;
  • les raisons ayant conduit à notifier ou non l’autorité de contrôle.

Cette documentation sera particulièrement utile en cas de contrôle. 44

Le rôle du DPO

Lorsqu’un délégué à la protection des données (DPO) a été désigné, celui-ci joue un rôle essentiel dans la gestion des incidents. Il peut notamment :

  • participer à l’analyse juridique de la situation ;
  • conseiller le responsable de traitement ;
  • accompagner la notification à la CNIL ;
  • contribuer à la documentation de l’incident ;
  • participer aux actions correctrices.

Le DPO ne remplace pas les équipes techniques. Il assure un rôle de conseil et de coordination.

La cybersécurité comme démonstration de conformité

En matière de protection des données, il ne suffit pas d’affirmer que les informations sont sécurisées. L’organisation doit pouvoir le démontrer. Cette démonstration repose notamment sur :

  • une politique de sécurité ;
  • une cartographie des traitements ;
  • une analyse des risques ;
  • des procédures internes ;
  • des audits ;
  • des formations ;
  • une documentation des incidents.

Cette logique de preuve constitue l’une des principales évolutions introduites par le RGPD.

Les erreurs les plus fréquentes

45 Les contrôles réalisés par les autorités montrent que certaines difficultés reviennent régulièrement. Par exemple :

  • considérer que la sécurité relève exclusivement du service informatique ;
  • conserver des données sans limitation de durée ;
  • accorder des accès trop larges ;
  • négliger les sauvegardes ;
  • ne pas documenter les incidents ;
  • retarder l’analyse d’une violation de données.

Ces situations peuvent fragiliser la conformité de l’organisation.

L’articulation entre le RGPD et les autres réglementations

Le RGPD ne constitue plus le seul texte applicable à la cybersécurité. Il doit désormais être articulé avec :

  • la directive NIS2 ;
  • le règlement DORA ;
  • le Cyber Resilience Act ;
  • l’AI Act lorsque les systèmes d’intelligence artificielle traitent des données personnelles.

Ces réglementations poursuivent un objectif commun. Elles renforcent progressivement les exigences de gouvernance des organisations. Le RGPD demeure toutefois le texte de référence dès lors que des données personnelles sont concernées.

La cybersécurité au service de la confiance

L’obligation de sécurité prévue par le RGPD dépasse largement la seule protection des systèmes informatiques. Elle participe à une démarche de confiance. Les personnes confient leurs données aux organisations avec l’attente légitime qu’elles seront protégées. 46 Cette confiance constitue aujourd’hui un actif stratégique. Une organisation qui investit dans la sécurité protège non seulement ses systèmes d’information, mais également sa réputation, ses relations contractuelles et la crédibilité de son action. Cette vision rejoint pleinement la logique de la responsabilité numérique, qui place la protection des personnes au cœur de la gouvernance des technologies.

À retenir

Le RGPD fait de la sécurité des données personnelles une obligation juridique permanente. Les organisations doivent mettre en œuvre des mesures techniques et organisationnelles adaptées aux risques, documenter leurs choix, gérer les incidents et notifier certaines violations de données. Au-delà du respect de la réglementation, cette démarche contribue à renforcer la confiance des personnes concernées et à développer une gouvernance responsable de la cybersécurité. ➡ Chapitre suivant : La directive NIS2 : quelles nouvelles obligations de cybersécurité pour les entreprises, les collectivités et les opérateurs essentiels ?

PARTIE II — Les obligations juridiques des organisations Chapitre 6 — La directive NIS2 : un changement de paradigme dans la gouvernance de la cybersécurité

La cybersécurité n’est plus uniquement une question de protection des systèmes d’information. Elle est devenue un enjeu stratégique pour les États, les entreprises et l’ensemble des organisations dont les activités contribuent au fonctionnement de la société. Les attaques informatiques qui ont touché des hôpitaux, des collectivités territoriales, des entreprises industrielles, des fournisseurs d’énergie ou encore des opérateurs de télécommunications ont démontré qu’une cyberattaque pouvait désormais produire des conséquences économiques, sociales et parfois même humaines particulièrement importantes. Face à cette évolution, l’Union européenne a adopté la directive NIS2. Cette directive marque une rupture. 47 Elle ne vise plus uniquement les opérateurs les plus critiques. Elle étend les obligations de cybersécurité à un nombre beaucoup plus important d’organisations et renforce considérablement les responsabilités des dirigeants. La cybersécurité devient ainsi une véritable obligation de gouvernance.

Pourquoi une nouvelle directive ?

En 2016, l’Union européenne avait adopté la première directive NIS (Network and Information Security). Ce texte constituait une première étape importante. Toutefois, plusieurs limites sont rapidement apparues. Le nombre d’organisations concernées était relativement restreint. Les pratiques variaient fortement d’un État membre à l’autre. Les obligations demeuraient parfois imprécises. Enfin, les cybermenaces ont connu une évolution extrêmement rapide. Les attaques sont devenues plus nombreuses, plus sophistiquées et plus coûteuses. La directive NIS2 répond à cette nouvelle réalité. Elle harmonise davantage les exigences européennes et renforce la résilience numérique des organisations.

Une approche fondée sur la résilience

La directive NIS2 poursuit un objectif clair. Elle ne cherche pas à empêcher toutes les cyberattaques. Une telle ambition serait irréaliste. Elle vise à permettre aux organisations :

  • d’anticiper les risques ;
  • de réduire leur exposition ;
  • de détecter rapidement les incidents ;
  • de réagir efficacement ;
  • de restaurer leurs activités dans les meilleurs délais.

48 Autrement dit, NIS2 développe une véritable culture de la résilience. Cette philosophie rejoint les évolutions observées dans le RGPD et dans l’AI Act.

Quelles organisations sont concernées ?

L’une des principales innovations de NIS2 réside dans l’élargissement considérable de son champ d’application. Alors que la première directive concernait essentiellement certains opérateurs critiques, NIS2 vise désormais un nombre beaucoup plus important d’acteurs. Selon leur taille, leur activité et leur importance économique ou sociétale, peuvent notamment être concernés :

  • les entreprises du secteur de l’énergie ;
  • les transports ;
  • les établissements de santé ;
  • les infrastructures numériques ;
  • les fournisseurs de services cloud ;
  • les opérateurs de télécommunications ;
  • les administrations publiques ;
  • les services postaux ;
  • la gestion des déchets ;
  • certains acteurs industriels ;
  • les fournisseurs de services numériques ;
  • les centres de données ;
  • les entreprises du secteur alimentaire ;
  • les organismes de recherche.

De nombreuses PME et ETI peuvent également entrer dans le champ d’application du texte lorsqu’elles exercent une activité considérée comme essentielle ou importante.

Les entités essentielles et les entités importantes

49 La directive distingue deux grandes catégories d’organisations.

Les entités essentielles

Il s’agit des organisations dont l’activité est particulièrement stratégique pour le fonctionnement de la société ou de l’économie. Elles sont soumises au niveau d’exigence le plus élevé.

Les entités importantes

Ces organisations exercent également des activités sensibles. Leurs obligations sont proches de celles des entités essentielles, même si les modalités de contrôle peuvent varier. Cette distinction permet d’adapter les dispositifs de surveillance à la nature des risques.

Une responsabilité renforcée des dirigeants

L’une des évolutions majeures introduites par NIS2 concerne la gouvernance. La cybersécurité n’est plus considérée comme une question exclusivement technique. Les dirigeants sont désormais directement impliqués. Ils doivent notamment :

  • approuver les politiques de gestion des risques ;
  • superviser leur mise en œuvre ;
  • s’assurer que les ressources nécessaires sont mobilisées ;
  • développer une véritable culture de cybersécurité.

Cette évolution traduit une transformation profonde. Le risque cyber devient un risque stratégique. Il relève désormais pleinement des organes de direction.

Les principales obligations prévues par NIS2

La directive impose aux organisations concernées de mettre en œuvre des mesures de gestion des risques adaptées. 50 Sans prétendre à l’exhaustivité, ces mesures portent notamment sur :

  • la gouvernance de la cybersécurité ;
  • la gestion des incidents ;
  • la continuité d’activité ;
  • la gestion de crise ;
  • les sauvegardes ;
  • la sécurité de la chaîne d’approvisionnement ;
  • la sécurité des systèmes d’information ;
  • la gestion des vulnérabilités ;
  • la formation des collaborateurs ;
  • l’utilisation de solutions de chiffrement lorsque cela est approprié.

L’approche demeure fondée sur les risques. Les mesures doivent être adaptées à la nature de l’activité.

La sécurité de la chaîne d’approvisionnement

Les cyberattaques récentes ont démontré que les organisations pouvaient être fragilisées par les vulnérabilités de leurs prestataires. NIS2 accorde donc une importance particulière à la chaîne d’approvisionnement. Les organisations doivent désormais intégrer dans leur analyse :

  • leurs fournisseurs informatiques ;
  • leurs prestataires cloud ;
  • leurs éditeurs de logiciels ;
  • leurs sous-traitants ;
  • leurs partenaires critiques.

Cette approche traduit une évolution importante. La cybersécurité ne s’arrête plus aux frontières de l’organisation. Elle concerne l’ensemble de son écosystème. 51

La gestion des incidents

La directive impose également une organisation permettant de détecter, d’analyser et de traiter rapidement les incidents. Cette préparation suppose notamment :

  • une procédure de gestion de crise ;
  • des responsabilités clairement définies ;
  • une organisation des remontées d’information ;
  • une documentation des incidents ;
  • des mécanismes de retour d’expérience.

La qualité de la réaction devient aussi importante que les mesures de prévention.

Les obligations de notification

Certaines cyberattaques devront faire l’objet d’une notification auprès des autorités compétentes. Cette notification poursuit plusieurs objectifs :

  • permettre une réaction coordonnée ;
  • limiter la propagation des incidents ;
  • améliorer la connaissance des menaces ;
  • renforcer la résilience collective.

Les modalités précises de notification dépendront notamment de la nature de l’incident et des textes nationaux de transposition. Il est donc essentiel que les organisations disposent de procédures internes permettant d’identifier rapidement les situations nécessitant une déclaration.

Les contrôles et les sanctions

Comme les autres grandes réglementations européennes du numérique, NIS2 prévoit des mécanismes de contrôle. Les autorités compétentes pourront notamment :

  • demander des informations ;
  • réaliser des inspections ;

52

  • contrôler les dispositifs de sécurité ;
  • imposer des mesures correctrices.

Le texte prévoit également des sanctions administratives en cas de manquements. L’objectif n’est pas de sanctionner systématiquement les organisations victimes d’une cyberattaque. Il s’agit de garantir que les obligations de prévention et de gouvernance soient effectivement respectées.

L’articulation avec le RGPD

Dans de nombreuses situations, une cyberattaque produira simultanément des conséquences au regard :

  • du RGPD ;
  • de NIS2 ;
  • des obligations contractuelles ;
  • des règles sectorielles.

Une violation de données personnelles pourra ainsi nécessiter :

  • une notification à la CNIL au titre du RGPD ;
  • une notification aux autorités compétentes prévues par NIS2 lorsque les conditions sont réunies ;
  • une information des partenaires contractuels ;
  • une communication interne et externe adaptée.

Les organisations doivent donc adopter une vision globale de la gestion des incidents.

Une opportunité de renforcer la gouvernance

NIS2 ne doit pas être perçue comme une contrainte supplémentaire. Elle offre aux organisations l’occasion de structurer durablement leur gouvernance. Les démarches engagées pour satisfaire aux exigences de la directive permettent également :

  • d’améliorer la maîtrise des risques ;
  • de renforcer la continuité d’activité ;
  • de sécuriser les relations contractuelles ;

53

  • de développer la confiance des partenaires ;
  • de valoriser les bonnes pratiques auprès des clients et des autorités.

La conformité devient ainsi un levier de performance.

Une étape vers la responsabilité numérique

La directive NIS2 dépasse le seul champ de la cybersécurité. Elle traduit une évolution profonde du droit européen. Les organisations ne sont plus uniquement responsables de leurs activités économiques. Elles doivent également démontrer leur capacité à protéger les infrastructures numériques dont dépend leur activité. Cette évolution participe à l’émergence d’une véritable responsabilité numérique, dans laquelle la cybersécurité, la protection des données, l’intelligence artificielle et la gouvernance des technologies constituent désormais un ensemble cohérent. La sécurité n’est plus un sujet informatique. Elle devient un sujet de gouvernance.

À retenir

La directive NIS2 marque une évolution majeure du droit européen de la cybersécurité. Elle élargit considérablement le nombre d’organisations concernées, renforce les obligations de gestion des risques et place les dirigeants au cœur de la gouvernance de la cybersécurité. Pour les organisations, l’enjeu dépasse la simple conformité réglementaire. Il s’agit de développer une capacité durable à anticiper les risques, à gérer les incidents et à renforcer la résilience numérique. ➡ Chapitre suivant : Le Cyber Resilience Act : comment l’Union européenne renforce la cybersécurité des produits numériques et quelles conséquences pour les fabricants, les éditeurs et les organisations utilisatrices ?

PARTIE II — Les obligations juridiques des organisations

54

Chapitre 7 — Le Cyber Resilience Act :

renforcer la sécurité des produits numériques tout au long de leur cycle de vie

Pendant de nombreuses années, la cybersécurité a principalement reposé sur les organisations utilisatrices. Les entreprises, les administrations et les collectivités devaient protéger leurs systèmes d’information, sécuriser leurs réseaux et mettre en place des procédures adaptées afin de limiter les risques de cyberattaque. Cette approche présentait toutefois une limite importante. Une organisation peut déployer les meilleures mesures de sécurité possibles sans pouvoir corriger les vulnérabilités présentes dans les logiciels, les équipements ou les objets connectés qu’elle utilise. Or, une part significative des cyberattaques exploite précisément des failles présentes dans les produits numériques eux-mêmes. Face à ce constat, l’Union européenne a adopté le Cyber Resilience Act (CRA). Son objectif est simple : intégrer la cybersécurité dès la conception des produits numériques et garantir un niveau minimal de sécurité pendant toute leur durée de vie. Le règlement marque ainsi une évolution importante du droit européen. La sécurité ne relève plus uniquement des utilisateurs. Elle devient également une responsabilité des fabricants, des éditeurs de logiciels et des fournisseurs de produits numériques.

Pourquoi un Cyber Resilience Act ?

Les organisations utilisent aujourd’hui une multitude de produits connectés. Il peut s’agir :

  • d’ordinateurs ;
  • de serveurs ;
  • d’applications professionnelles ;
  • de logiciels métiers ;
  • d’objets connectés ;
  • d’équipements industriels ;

55

  • de dispositifs médicaux ;
  • de matériels de télécommunication.

Tous ces produits peuvent contenir des vulnérabilités. Lorsqu’elles ne sont pas corrigées, elles deviennent autant de portes d’entrée pour les cybercriminels. Le Cyber Resilience Act répond à cette difficulté. Il impose que la sécurité soit intégrée dès la conception des produits et qu’elle soit maintenue pendant toute leur période de commercialisation.

Une approche fondée sur le cycle de vie du produit

Le Cyber Resilience Act rompt avec une logique consistant à considérer que la sécurité relève uniquement de l’utilisateur. Le règlement adopte une approche beaucoup plus globale. Il s’intéresse à l’ensemble du cycle de vie du produit. Cette approche couvre notamment :

  • la conception ;
  • le développement ;
  • la commercialisation ;
  • la maintenance ;
  • les mises à jour de sécurité ;
  • le traitement des vulnérabilités.

La cybersécurité devient ainsi une caractéristique intrinsèque du produit.

Quels produits sont concernés ?

Le champ d’application du règlement est particulièrement large. Il vise la plupart des produits comportant des éléments numériques mis sur le marché européen. Peuvent notamment être concernés :

  • les logiciels ;

56

  • les systèmes d’exploitation ;
  • les équipements réseau ;
  • les objets connectés ;
  • les routeurs ;
  • les caméras connectées ;
  • les équipements domotiques ;
  • les applications professionnelles ;
  • les dispositifs industriels connectés.

L’objectif est de garantir un niveau minimal de cybersécurité pour l’ensemble des produits numériques utilisés en Europe.

Une responsabilité renforcée des fabricants

Le Cyber Resilience Act place les fabricants au premier rang des acteurs responsables. Ils doivent notamment :

  • intégrer la cybersécurité dès la conception du produit ;
  • réaliser une évaluation des risques ;
  • documenter les caractéristiques de sécurité ;
  • traiter les vulnérabilités identifiées ;
  • diffuser les correctifs nécessaires ;
  • assurer un suivi pendant toute la durée prévue du support.

Cette évolution est majeure. La sécurité n’est plus un service optionnel. Elle devient une obligation réglementaire.

La sécurité dès la conception

Le règlement consacre un principe déjà connu en matière de protection des données : celui de la sécurité dès la conception (security by design). Concrètement, cela signifie que les exigences de cybersécurité doivent être prises en compte dès les premières phases du développement. 57 La sécurité ne doit plus être ajoutée après la commercialisation du produit. Elle constitue un critère de conception au même titre que les performances ou l’ergonomie. Cette approche réduit considérablement les risques de vulnérabilités structurelles.

La sécurité par défaut

Le Cyber Resilience Act encourage également une logique de security by default. Les produits doivent être configurés, dès leur première utilisation, de manière à offrir un niveau de sécurité approprié. Cette exigence vise notamment à éviter que des équipements soient livrés avec :

  • des mots de passe par défaut facilement identifiables ;
  • des fonctionnalités inutiles activées ;
  • des paramètres insuffisamment sécurisés.

Le règlement cherche ainsi à limiter les erreurs de configuration susceptibles d’être exploitées par des cybercriminels.

La gestion des vulnérabilités

Aucun produit numérique n’est totalement exempt de vulnérabilités. Le véritable enjeu réside dans la capacité du fabricant à les traiter rapidement. Le Cyber Resilience Act impose donc une véritable politique de gestion des vulnérabilités. Les fabricants doivent notamment :

  • surveiller les vulnérabilités découvertes ;
  • évaluer leur niveau de gravité ;
  • développer des correctifs ;
  • diffuser les mises à jour de sécurité ;
  • informer les utilisateurs lorsque cela est nécessaire.

Cette obligation se poursuit après la mise sur le marché du produit.

Les obligations d’information

58 Le règlement renforce également la transparence. Les utilisateurs doivent disposer d’informations leur permettant de comprendre :

  • les caractéristiques de sécurité du produit ;
  • les conditions de mise à jour ;
  • la durée du support ;
  • les modalités de signalement des vulnérabilités ;
  • les recommandations d’utilisation.

Cette transparence facilite une utilisation plus responsable des produits numériques.

Les obligations des importateurs et des distributeurs

Le Cyber Resilience Act ne concerne pas uniquement les fabricants. Les importateurs et les distributeurs jouent également un rôle. Ils doivent notamment veiller à ce que les produits mis à disposition sur le marché européen respectent les exigences applicables. Cette logique rappelle celle déjà retenue pour de nombreuses réglementations européennes relatives à la sécurité des produits. Chaque acteur de la chaîne de commercialisation assume une part de responsabilité.

Quelles conséquences pour les organisations utilisatrices ?

Les entreprises, les collectivités et les administrations ne deviennent pas directement responsables des obligations pesant sur les fabricants. En revanche, le Cyber Resilience Act modifie leurs pratiques d’achat. Le choix d’un logiciel ou d’un équipement numérique ne peut plus reposer uniquement sur des critères de coût ou de performance. Les organisations ont désormais intérêt à évaluer également :

  • les garanties de sécurité offertes ;
  • la politique de mise à jour ;

59

  • la gestion des vulnérabilités ;
  • la durée du support ;
  • les engagements contractuels du fournisseur.

La cybersécurité devient ainsi un critère de sélection des prestataires.

Une articulation avec NIS2

Le Cyber Resilience Act et la directive NIS2 poursuivent des objectifs complémentaires. Le Cyber Resilience Act agit en amont. Il améliore la sécurité des produits numériques eux-mêmes. NIS2 agit en aval. Elle impose aux organisations de mettre en place une gouvernance de la cybersécurité adaptée. Autrement dit :

  • le Cyber Resilience Act sécurise les produits ;
  • NIS2 sécurise les organisations.

Les deux textes contribuent à renforcer la résilience numérique européenne.

Une articulation avec le RGPD

Le Cyber Resilience Act entretient également des liens étroits avec le RGPD. Des produits numériques mieux sécurisés contribuent naturellement à une meilleure protection des données personnelles. Les organisations pourront ainsi plus facilement satisfaire à leurs obligations en matière de sécurité des traitements. La protection des données et la cybersécurité apparaissent ainsi comme deux dimensions complémentaires d’une même politique de gouvernance.

Les erreurs les plus fréquentes

Les organisations commettent encore régulièrement certaines erreurs. Par exemple :

  • choisir un logiciel sans analyser son niveau de sécurité ;

60

  • conserver des produits qui ne bénéficient plus de mises à jour ;
  • ignorer les avis de sécurité publiés par les éditeurs ;
  • différer l’installation des correctifs ;
  • ne pas intégrer la cybersécurité dans les procédures d’achat.

Ces pratiques augmentent sensiblement le niveau de risque.

Une nouvelle culture de la sécurité numérique

Le Cyber Resilience Act traduit une évolution importante. La cybersécurité n’est plus seulement une obligation pesant sur les utilisateurs. Elle devient une responsabilité partagée entre :

  • les fabricants ;
  • les éditeurs ;
  • les distributeurs ;
  • les importateurs ;
  • les organisations utilisatrices.

Cette approche globale permet de renforcer la sécurité de l’ensemble de l’écosystème numérique. Elle accompagne également l’émergence d’un véritable marché européen des produits numériques de confiance.

Le Cyber Resilience Act au service de la responsabilité numérique

Le Cyber Resilience Act dépasse la seule sécurité des logiciels ou des équipements. Il participe à une transformation plus profonde de la gouvernance numérique. Les organisations sont désormais invitées à intégrer les critères de cybersécurité dans leurs choix stratégiques, leurs achats, leurs relations avec leurs fournisseurs et leur gestion des risques. Cette évolution illustre parfaitement la notion de responsabilité numérique. Être responsable ne consiste plus uniquement à réagir lorsqu’un incident survient. 61 Cela implique également de sélectionner des technologies fiables, d’exiger des garanties de sécurité auprès des fournisseurs et d’intégrer la cybersécurité dans l’ensemble du cycle de vie des projets numériques.

À retenir

Le Cyber Resilience Act introduit une nouvelle approche européenne de la cybersécurité en imposant des exigences de sécurité dès la conception des produits numériques et tout au long de leur cycle de vie. Les fabricants, éditeurs, importateurs et distributeurs voient leurs responsabilités renforcées, tandis que les organisations utilisatrices sont incitées à intégrer la cybersécurité parmi les critères essentiels de sélection de leurs solutions numériques. Au-delà de la conformité réglementaire, ce règlement contribue à bâtir un environnement numérique plus sûr, plus résilient et plus digne de confiance, en parfaite cohérence avec les principes de la responsabilité numérique. Chapitre suivant : Les autorités françaises de la cybersécurité : quelles institutions ➡ peuvent accompagner, contrôler ou intervenir avant, pendant et après une cyberattaque ?

PARTIE II — Les obligations juridiques des organisations Chapitre 8 — Les autorités françaises de la cybersécurité : qui fait quoi et à qui s’adresser ?

Lorsqu’une cyberattaque survient, de nombreuses organisations se retrouvent confrontées à une difficulté inattendue. Elles savent qu’elles doivent réagir rapidement. En revanche, elles ignorent souvent quelles autorités doivent être informées, lesquelles peuvent les accompagner et quelles institutions sont compétentes selon la nature de l’incident. Cette confusion est compréhensible. La cybersécurité ne relève pas d’une autorité unique. Elle mobilise plusieurs administrations, autorités administratives indépendantes, services d’enquête et organismes spécialisés dont les missions sont complémentaires. 62 Comprendre cette répartition permet de gagner un temps précieux en cas d’incident et d’organiser plus efficacement sa gouvernance.

Une gouvernance publique fondée sur la complémentarité

La France a fait le choix de répartir les compétences entre plusieurs autorités spécialisées. Cette organisation présente plusieurs avantages. Elle permet de mobiliser des expertises différentes selon que l’incident concerne :

  • la protection des données personnelles ;
  • les infrastructures critiques ;
  • la lutte contre la cybercriminalité ;
  • la protection des consommateurs ;
  • la sécurité nationale ;
  • la résilience des opérateurs essentiels.

Une même cyberattaque peut ainsi conduire une organisation à échanger avec plusieurs autorités. Cette pluralité d’interlocuteurs reflète la diversité des enjeux juridiques liés à la cybersécurité.

L’ANSSI : l’autorité nationale de la cybersécurité

L’Agence nationale de la sécurité des systèmes d’information (ANSSI) est l’acteur central de la politique française de cybersécurité. Placée auprès du Premier ministre, elle est chargée de renforcer la sécurité des systèmes d’information de l’État, des opérateurs d’importance vitale, des entités essentielles et, plus largement, de contribuer à la résilience numérique nationale. Ses missions sont nombreuses. Elle intervient notamment pour :

  • élaborer la doctrine nationale de cybersécurité ;
  • publier des recommandations techniques et organisationnelles ;
  • accompagner les organisations dans la prévention des risques ;

63

  • coordonner certaines réponses aux incidents majeurs ;
  • participer à la mise en œuvre des réglementations européennes, notamment NIS2.

L’ANSSI ne remplace pas les équipes informatiques des organisations. Elle joue un rôle d’expertise, d’accompagnement et de coordination.

Le CERT-FR : la réponse opérationnelle aux incidents

Le CERT-FR (Computer Emergency Response Team France) constitue le centre gouvernemental de réponse aux incidents informatiques. Il est intégré à l’ANSSI. Son rôle est principalement opérationnel. Il assure notamment :

  • la veille sur les cybermenaces ;
  • la diffusion d’alertes de sécurité ;
  • l’analyse de certaines attaques ;
  • l’assistance aux organisations concernées ;
  • la publication de bulletins techniques.

Les entreprises peuvent consulter ses alertes afin d’anticiper certaines vulnérabilités ou mieux comprendre les campagnes d’attaques en cours.

Cybermalveillance.gouv.fr : accompagner les victimes

Toutes les organisations ne disposent pas d’une équipe spécialisée en cybersécurité. Afin d’accompagner les victimes, les pouvoirs publics ont créé Cybermalveillance.gouv.fr. Cette plateforme poursuit plusieurs objectifs :

  • informer le public ;
  • orienter les victimes vers des professionnels qualifiés ;
  • diffuser des conseils pratiques ;

64

  • proposer des outils de sensibilisation ;
  • faciliter les premiers réflexes en cas d’incident.

Pour les PME, les collectivités, les associations ou les professions libérales, cette plateforme constitue souvent le premier point d’entrée en cas de cyberattaque.

La CNIL : protéger les données personnelles

Lorsque l’incident concerne des données personnelles, la Commission nationale de l’informatique et des libertés (CNIL) devient un interlocuteur essentiel. Son rôle ne consiste pas à gérer l’attaque informatique elle-même. Elle intervient au titre de la protection des données. La CNIL peut notamment être concernée lorsqu’une cyberattaque entraîne :

  • une violation de données personnelles ;
  • un accès non autorisé à des informations nominatives ;
  • une perte de données ;
  • une divulgation d’informations concernant des personnes physiques.

Selon les circonstances, l’organisation devra apprécier si une notification est requise au titre du RGPD. La CNIL joue également un rôle important d’accompagnement par la publication de recommandations et de guides pratiques.

Les services d’enquête spécialisés

La cybercriminalité constitue une infraction pénale. Les victimes peuvent donc déposer plainte. En France, plusieurs services spécialisés interviennent dans la lutte contre les infractions numériques. Selon la nature des faits, les investigations peuvent être conduites notamment par :

  • les services spécialisés de la Police nationale ;
  • les unités compétentes de la Gendarmerie nationale ;
  • les enquêteurs spécialisés dans la criminalité numérique.

65 Ces services disposent de compétences techniques permettant d’identifier les auteurs lorsque cela est possible. Le dépôt de plainte contribue également à améliorer la connaissance des phénomènes criminels.

Le ministère public

Les cyberinfractions donnent lieu à des poursuites sous l’autorité du ministère public. Afin de renforcer la lutte contre cette criminalité, des juridictions spécialisées ont progressivement développé une expertise particulière en matière de criminalité numérique. Les infractions les plus complexes peuvent ainsi être traitées par des magistrats disposant d’une compétence spécifique. Cette spécialisation répond à la technicité croissante des dossiers.

Les autorités sectorielles

Certaines organisations relèvent également d’autorités spécialisées. Par exemple :

Secteur financier

Les établissements financiers peuvent être contrôlés notamment par :

  • l’Autorité de contrôle prudentiel et de résolution (ACPR) ;
  • l’Autorité des marchés financiers (AMF).

Ces autorités veillent notamment au respect des exigences applicables en matière de gestion des risques numériques et de résilience opérationnelle.

Secteur de la santé

Les établissements de santé sont soumis à des exigences particulières. Ils peuvent être accompagnés ou contrôlés par les autorités compétentes dans le domaine sanitaire, en articulation avec l’ANSSI lorsque les incidents présentent une dimension importante.

Collectivités territoriales et services publics

66 Les administrations et collectivités travaillent en étroite coordination avec les autorités nationales compétentes lorsqu’elles sont confrontées à des incidents susceptibles d’affecter la continuité du service public.

Les autorités européennes

La gouvernance de la cybersécurité ne s’arrête pas aux frontières nationales. Les autorités françaises coopèrent avec de nombreuses institutions européennes. Cette coopération vise notamment à :

  • partager les informations relatives aux menaces ;
  • coordonner certaines réponses ;
  • harmoniser les pratiques ;
  • renforcer la résilience de l’Union européenne.

Les réglementations telles que le RGPD, NIS2, le Cyber Resilience Act ou DORA renforcent progressivement cette coopération.

Comment choisir le bon interlocuteur ?

En pratique, tout dépend de la nature de l’incident. Quelques exemples permettent de mieux comprendre.

Une violation de données personnelles

L’organisation devra analyser les obligations prévues par le RGPD et, le cas échéant, effectuer une notification à la CNIL.

Une cyberattaque majeure

L’ANSSI pourra constituer un interlocuteur privilégié, notamment pour les organisations entrant dans son champ de compétence.

Une infraction pénale

Un dépôt de plainte pourra être effectué auprès des services compétents de police ou de gendarmerie.

Une recherche d’assistance

67 Cybermalveillance.gouv.fr permettra d’orienter rapidement l’organisation vers les ressources adaptées.

Une coordination indispensable

Dans la pratique, plusieurs autorités peuvent intervenir simultanément. Prenons l’exemple d’un rançongiciel ayant entraîné :

  • une interruption d’activité ;
  • une fuite de données personnelles ;
  • une demande de rançon ;
  • une compromission des systèmes d’information.

Une telle situation pourra conduire l’organisation à :

  • mobiliser ses équipes internes ;
  • solliciter un prestataire spécialisé ;
  • déposer plainte ;
  • notifier la CNIL si nécessaire ;
  • échanger avec l’ANSSI selon son statut ;
  • informer ses partenaires contractuels ;
  • déclarer le sinistre à son assureur.

La gestion juridique d’une cyberattaque suppose donc une coordination rigoureuse.

Le rôle de l’avocat

Face à cette multiplicité d’interlocuteurs, l’avocat occupe une position particulière. Il n’intervient pas en remplacement des experts techniques. Il assure la coordination juridique de la réponse à l’incident. Son accompagnement peut notamment porter sur :

  • l’analyse des obligations réglementaires ;
  • l’évaluation des responsabilités ;
  • la qualification juridique des faits ;

68

  • la stratégie de notification ;
  • la préservation des preuves ;
  • les relations avec les autorités ;
  • la gestion des contentieux ;
  • les conséquences contractuelles ;
  • la communication de crise sous l’angle juridique.

Cette approche transversale permet d’assurer une réponse cohérente, respectueuse des obligations légales et adaptée aux enjeux de l’organisation.

Les erreurs les plus fréquentes

Les premières heures suivant une cyberattaque sont souvent décisives. Certaines erreurs reviennent régulièrement :

  • attendre plusieurs jours avant de solliciter une assistance ;
  • effacer des éléments de preuve lors des premières manipulations ;
  • communiquer publiquement avant d’avoir évalué la situation ;
  • confondre les obligations issues du RGPD avec celles de NIS2 ;
  • négliger les obligations contractuelles ou assurantielles.

Une préparation en amont permet de limiter ces difficultés.

Une gouvernance coordonnée au service de la responsabilité numérique

La diversité des autorités françaises peut paraître complexe. Elle répond pourtant à une logique cohérente. La cybersécurité touche simultanément :

  • les données personnelles ;
  • les infrastructures numériques ;
  • les activités économiques ;
  • la sécurité nationale ;

69

  • les droits fondamentaux ;
  • la confiance dans l’économie numérique.

Aucune institution ne pourrait, à elle seule, couvrir l’ensemble de ces enjeux. Cette organisation traduit l’émergence d’une gouvernance publique intégrée de la sécurité numérique. Pour les organisations, elle rappelle une réalité essentielle : la cybersécurité ne se résume pas à une problématique informatique. Elle constitue un sujet juridique, stratégique et organisationnel, pleinement inscrit dans la responsabilité numérique.

À retenir

La France dispose d’un écosystème d’autorités complémentaires en matière de cybersécurité. L’ANSSI pilote la stratégie nationale et accompagne les organisations sur les enjeux de sécurité des systèmes d’information. Le CERT-FR assure une mission opérationnelle de veille et de réponse aux incidents. La CNIL intervient lorsque des données personnelles sont concernées. Les services de police et de gendarmerie luttent contre les infractions pénales, tandis que les autorités sectorielles exercent leurs compétences propres. Pour les organisations, identifier les bons interlocuteurs avant qu’un incident ne survienne constitue un élément essentiel d’une gouvernance efficace de la cybersécurité. ➡ Chapitre suivant : Les responsabilités des dirigeants : pourquoi la cybersécurité est devenue une obligation de gouvernance et quelles sont les attentes du droit à l’égard des organes de direction ?

PARTIE II — Les obligations juridiques des organisations Chapitre 8 — Les autorités françaises de la cybersécurité : qui fait quoi et à qui s’adresser ?

Lorsqu’une cyberattaque survient, de nombreuses organisations se retrouvent confrontées à une difficulté inattendue. 70 Elles savent qu’elles doivent réagir rapidement. En revanche, elles ignorent souvent quelles autorités doivent être informées, lesquelles peuvent les accompagner et quelles institutions sont compétentes selon la nature de l’incident. Cette confusion est compréhensible. La cybersécurité ne relève pas d’une autorité unique. Elle mobilise plusieurs administrations, autorités administratives indépendantes, services d’enquête et organismes spécialisés dont les missions sont complémentaires. Comprendre cette répartition permet de gagner un temps précieux en cas d’incident et d’organiser plus efficacement sa gouvernance.

Une gouvernance publique fondée sur la complémentarité

La France a fait le choix de répartir les compétences entre plusieurs autorités spécialisées. Cette organisation présente plusieurs avantages. Elle permet de mobiliser des expertises différentes selon que l’incident concerne :

  • la protection des données personnelles ;
  • les infrastructures critiques ;
  • la lutte contre la cybercriminalité ;
  • la protection des consommateurs ;
  • la sécurité nationale ;
  • la résilience des opérateurs essentiels.

Une même cyberattaque peut ainsi conduire une organisation à échanger avec plusieurs autorités. Cette pluralité d’interlocuteurs reflète la diversité des enjeux juridiques liés à la cybersécurité.

L’ANSSI : l’autorité nationale de la cybersécurité

L’Agence nationale de la sécurité des systèmes d’information (ANSSI) est l’acteur central de la politique française de cybersécurité. 71 Placée auprès du Premier ministre, elle est chargée de renforcer la sécurité des systèmes d’information de l’État, des opérateurs d’importance vitale, des entités essentielles et, plus largement, de contribuer à la résilience numérique nationale. Ses missions sont nombreuses. Elle intervient notamment pour :

  • élaborer la doctrine nationale de cybersécurité ;
  • publier des recommandations techniques et organisationnelles ;
  • accompagner les organisations dans la prévention des risques ;
  • coordonner certaines réponses aux incidents majeurs ;
  • participer à la mise en œuvre des réglementations européennes, notamment NIS2.

L’ANSSI ne remplace pas les équipes informatiques des organisations. Elle joue un rôle d’expertise, d’accompagnement et de coordination.

Le CERT-FR : la réponse opérationnelle aux incidents

Le CERT-FR (Computer Emergency Response Team France) constitue le centre gouvernemental de réponse aux incidents informatiques. Il est intégré à l’ANSSI. Son rôle est principalement opérationnel. Il assure notamment :

  • la veille sur les cybermenaces ;
  • la diffusion d’alertes de sécurité ;
  • l’analyse de certaines attaques ;
  • l’assistance aux organisations concernées ;
  • la publication de bulletins techniques.

Les entreprises peuvent consulter ses alertes afin d’anticiper certaines vulnérabilités ou mieux comprendre les campagnes d’attaques en cours. 72

Cybermalveillance.gouv.fr : accompagner les victimes

Toutes les organisations ne disposent pas d’une équipe spécialisée en cybersécurité. Afin d’accompagner les victimes, les pouvoirs publics ont créé Cybermalveillance.gouv.fr. Cette plateforme poursuit plusieurs objectifs :

  • informer le public ;
  • orienter les victimes vers des professionnels qualifiés ;
  • diffuser des conseils pratiques ;
  • proposer des outils de sensibilisation ;
  • faciliter les premiers réflexes en cas d’incident.

Pour les PME, les collectivités, les associations ou les professions libérales, cette plateforme constitue souvent le premier point d’entrée en cas de cyberattaque.

La CNIL : protéger les données personnelles

Lorsque l’incident concerne des données personnelles, la Commission nationale de l’informatique et des libertés (CNIL) devient un interlocuteur essentiel. Son rôle ne consiste pas à gérer l’attaque informatique elle-même. Elle intervient au titre de la protection des données. La CNIL peut notamment être concernée lorsqu’une cyberattaque entraîne :

  • une violation de données personnelles ;
  • un accès non autorisé à des informations nominatives ;
  • une perte de données ;
  • une divulgation d’informations concernant des personnes physiques.

Selon les circonstances, l’organisation devra apprécier si une notification est requise au titre du RGPD. La CNIL joue également un rôle important d’accompagnement par la publication de recommandations et de guides pratiques.

Les services d’enquête spécialisés

73 La cybercriminalité constitue une infraction pénale. Les victimes peuvent donc déposer plainte. En France, plusieurs services spécialisés interviennent dans la lutte contre les infractions numériques. Selon la nature des faits, les investigations peuvent être conduites notamment par :

  • les services spécialisés de la Police nationale ;
  • les unités compétentes de la Gendarmerie nationale ;
  • les enquêteurs spécialisés dans la criminalité numérique.

Ces services disposent de compétences techniques permettant d’identifier les auteurs lorsque cela est possible. Le dépôt de plainte contribue également à améliorer la connaissance des phénomènes criminels.

Le ministère public

Les cyberinfractions donnent lieu à des poursuites sous l’autorité du ministère public. Afin de renforcer la lutte contre cette criminalité, des juridictions spécialisées ont progressivement développé une expertise particulière en matière de criminalité numérique. Les infractions les plus complexes peuvent ainsi être traitées par des magistrats disposant d’une compétence spécifique. Cette spécialisation répond à la technicité croissante des dossiers.

Les autorités sectorielles

Certaines organisations relèvent également d’autorités spécialisées. Par exemple :

Secteur financier

Les établissements financiers peuvent être contrôlés notamment par :

  • l’Autorité de contrôle prudentiel et de résolution (ACPR) ;
  • l’Autorité des marchés financiers (AMF).

Ces autorités veillent notamment au respect des exigences applicables en matière de gestion des risques numériques et de résilience opérationnelle. 74

Secteur de la santé

Les établissements de santé sont soumis à des exigences particulières. Ils peuvent être accompagnés ou contrôlés par les autorités compétentes dans le domaine sanitaire, en articulation avec l’ANSSI lorsque les incidents présentent une dimension importante.

Collectivités territoriales et services publics

Les administrations et collectivités travaillent en étroite coordination avec les autorités nationales compétentes lorsqu’elles sont confrontées à des incidents susceptibles d’affecter la continuité du service public.

Les autorités européennes

La gouvernance de la cybersécurité ne s’arrête pas aux frontières nationales. Les autorités françaises coopèrent avec de nombreuses institutions européennes. Cette coopération vise notamment à :

  • partager les informations relatives aux menaces ;
  • coordonner certaines réponses ;
  • harmoniser les pratiques ;
  • renforcer la résilience de l’Union européenne.

Les réglementations telles que le RGPD, NIS2, le Cyber Resilience Act ou DORA renforcent progressivement cette coopération.

Comment choisir le bon interlocuteur ?

En pratique, tout dépend de la nature de l’incident. Quelques exemples permettent de mieux comprendre.

Une violation de données personnelles

L’organisation devra analyser les obligations prévues par le RGPD et, le cas échéant, effectuer une notification à la CNIL.

Une cyberattaque majeure

75 L’ANSSI pourra constituer un interlocuteur privilégié, notamment pour les organisations entrant dans son champ de compétence.

Une infraction pénale

Un dépôt de plainte pourra être effectué auprès des services compétents de police ou de gendarmerie.

Une recherche d’assistance

Cybermalveillance.gouv.fr permettra d’orienter rapidement l’organisation vers les ressources adaptées.

Une coordination indispensable

Dans la pratique, plusieurs autorités peuvent intervenir simultanément. Prenons l’exemple d’un rançongiciel ayant entraîné :

  • une interruption d’activité ;
  • une fuite de données personnelles ;
  • une demande de rançon ;
  • une compromission des systèmes d’information.

Une telle situation pourra conduire l’organisation à :

  • mobiliser ses équipes internes ;
  • solliciter un prestataire spécialisé ;
  • déposer plainte ;
  • notifier la CNIL si nécessaire ;
  • échanger avec l’ANSSI selon son statut ;
  • informer ses partenaires contractuels ;
  • déclarer le sinistre à son assureur.

La gestion juridique d’une cyberattaque suppose donc une coordination rigoureuse.

Le rôle de l’avocat

76 Face à cette multiplicité d’interlocuteurs, l’avocat occupe une position particulière. Il n’intervient pas en remplacement des experts techniques. Il assure la coordination juridique de la réponse à l’incident. Son accompagnement peut notamment porter sur :

  • l’analyse des obligations réglementaires ;
  • l’évaluation des responsabilités ;
  • la qualification juridique des faits ;
  • la stratégie de notification ;
  • la préservation des preuves ;
  • les relations avec les autorités ;
  • la gestion des contentieux ;
  • les conséquences contractuelles ;
  • la communication de crise sous l’angle juridique.

Cette approche transversale permet d’assurer une réponse cohérente, respectueuse des obligations légales et adaptée aux enjeux de l’organisation.

Les erreurs les plus fréquentes

Les premières heures suivant une cyberattaque sont souvent décisives. Certaines erreurs reviennent régulièrement :

  • attendre plusieurs jours avant de solliciter une assistance ;
  • effacer des éléments de preuve lors des premières manipulations ;
  • communiquer publiquement avant d’avoir évalué la situation ;
  • confondre les obligations issues du RGPD avec celles de NIS2 ;
  • négliger les obligations contractuelles ou assurantielles.

Une préparation en amont permet de limiter ces difficultés.

Une gouvernance coordonnée au service de la responsabilité numérique

77 La diversité des autorités françaises peut paraître complexe. Elle répond pourtant à une logique cohérente. La cybersécurité touche simultanément :

  • les données personnelles ;
  • les infrastructures numériques ;
  • les activités économiques ;
  • la sécurité nationale ;
  • les droits fondamentaux ;
  • la confiance dans l’économie numérique.

Aucune institution ne pourrait, à elle seule, couvrir l’ensemble de ces enjeux. Cette organisation traduit l’émergence d’une gouvernance publique intégrée de la sécurité numérique. Pour les organisations, elle rappelle une réalité essentielle : la cybersécurité ne se résume pas à une problématique informatique. Elle constitue un sujet juridique, stratégique et organisationnel, pleinement inscrit dans la responsabilité numérique.

À retenir

La France dispose d’un écosystème d’autorités complémentaires en matière de cybersécurité. L’ANSSI pilote la stratégie nationale et accompagne les organisations sur les enjeux de sécurité des systèmes d’information. Le CERT-FR assure une mission opérationnelle de veille et de réponse aux incidents. La CNIL intervient lorsque des données personnelles sont concernées. Les services de police et de gendarmerie luttent contre les infractions pénales, tandis que les autorités sectorielles exercent leurs compétences propres. Pour les organisations, identifier les bons interlocuteurs avant qu’un incident ne survienne constitue un élément essentiel d’une gouvernance efficace de la cybersécurité. Chapitre suivant : Les responsabilités des dirigeants : pourquoi la cybersécurité est ➡ devenue une obligation de gouvernance et quelles sont les attentes du droit à l’égard des organes de direction ?

PARTIE II — Les obligations juridiques des organisations

78

Chapitre 9 — Les responsabilités des dirigeants : pourquoi la cybersécurité est devenue une obligation de gouvernance

Pendant longtemps, la cybersécurité relevait essentiellement des directions informatiques. Les décisions relatives à la sécurité des systèmes d’information étaient souvent considérées comme des choix techniques, laissés à l’appréciation des responsables informatiques ou des prestataires spécialisés. Cette conception appartient désormais au passé. Les textes européens les plus récents, notamment la directive NIS2, le règlement DORA et, plus largement, l’ensemble des réglementations relatives à la gouvernance du numérique, placent désormais les dirigeants au cœur de la stratégie de cybersécurité. Cette évolution est profonde. Elle signifie que la cybersécurité n’est plus seulement une question d’infrastructures informatiques. Elle devient une question de gouvernance d’entreprise.

Une responsabilité qui relève de la direction

Les cyberattaques peuvent aujourd’hui compromettre l’ensemble des activités d’une organisation. Elles peuvent entraîner :

  • une interruption de la production ;
  • une perte de données stratégiques ;
  • des sanctions réglementaires ;
  • des contentieux ;
  • une atteinte durable à la réputation ;
  • une perte de confiance des partenaires.

Ces conséquences dépassent largement le cadre technique. Elles affectent directement la stratégie de l’organisation. Il est donc logique que leur prévention relève également des organes de direction. 79

Le dirigeant n’a pas à devenir un expert en cybersécurité

L’évolution des textes ne signifie pas que les dirigeants doivent posséder des compétences techniques comparables à celles d’un responsable de la sécurité des systèmes d’information. Leur rôle est différent. Ils doivent être en mesure :

  • de comprendre les principaux risques numériques ;
  • d’intégrer ces risques dans la stratégie de l’organisation ;
  • de s’assurer que des moyens suffisants sont consacrés à la cybersécurité ;
  • de contrôler l’efficacité des dispositifs mis en place ;
  • de veiller au respect des obligations réglementaires.

Le dirigeant demeure un décideur. Il n’est pas attendu qu’il configure un pare-feu ou qu’il réalise un audit technique. En revanche, il doit pouvoir démontrer que la cybersécurité fait l’objet d’un véritable pilotage.

Une obligation de gouvernance

La gouvernance suppose une organisation. Les dirigeants doivent notamment veiller à :

  • définir une politique de cybersécurité ;
  • répartir les responsabilités ;
  • désigner les interlocuteurs compétents ;
  • organiser les circuits de décision ;
  • prévoir les modalités de gestion des incidents ;
  • assurer un suivi régulier des risques.

La cybersécurité devient ainsi un sujet inscrit à l’ordre du jour des instances de direction. Elle ne peut plus être traitée uniquement lors de la survenance d’un incident. 80

Intégrer le risque cyber dans la stratégie de l’organisation

Comme les risques financiers, juridiques ou opérationnels, le risque cyber doit être identifié, évalué et suivi. Cette démarche suppose notamment :

  • une cartographie des risques ;
  • une identification des actifs numériques essentiels ;
  • une hiérarchisation des vulnérabilités ;
  • une évaluation des conséquences potentielles.

Le risque cyber devient un risque stratégique. À ce titre, il doit être intégré dans les dispositifs globaux de gestion des risques.

Allouer les ressources nécessaires

Une politique de cybersécurité ne peut être efficace sans moyens adaptés. Les dirigeants doivent s’assurer que l’organisation dispose notamment :

  • de ressources humaines compétentes ;
  • d’outils de protection appropriés ;
  • de procédures documentées ;
  • de capacités de sauvegarde ;
  • de plans de continuité d’activité ;
  • de programmes de sensibilisation.

L’investissement en cybersécurité ne constitue plus une dépense accessoire. Il participe directement à la protection de la valeur de l’organisation.

Développer une culture de la cybersécurité

La meilleure technologie ne peut empêcher toutes les erreurs humaines. Les dirigeants ont donc un rôle essentiel dans le développement d’une culture de sécurité. 81 Cette culture repose notamment sur :

  • la sensibilisation des collaborateurs ;
  • la formation régulière ;
  • la diffusion de bonnes pratiques ;
  • la remontée des incidents sans crainte de sanction injustifiée ;
  • l’amélioration continue.

La cybersécurité devient ainsi une responsabilité partagée.

Contrôler les prestataires stratégiques

Les organisations externalisent aujourd’hui une partie importante de leurs activités numériques. Services cloud, hébergement, maintenance, logiciels métiers ou infogérance représentent autant de dépendances. Les dirigeants doivent donc s’assurer que les prestataires offrent des garanties suffisantes. Cette vigilance peut porter notamment sur :

  • les engagements contractuels ;
  • les certifications éventuelles ;
  • les modalités de gestion des incidents ;
  • les garanties de confidentialité ;
  • les conditions de réversibilité.

La maîtrise des risques passe également par la maîtrise de la chaîne de sous-traitance.

Préparer la gestion de crise

La qualité de la réponse apportée dans les premières heures suivant une cyberattaque dépend largement de la préparation réalisée en amont. Les dirigeants doivent veiller à ce que l’organisation dispose :

  • d’une cellule de crise ;
  • d’un plan de réponse à incident ;
  • d’une procédure de communication ;

82

  • d’une répartition claire des responsabilités ;
  • d’une procédure de conservation des preuves.

Cette préparation contribue à limiter les conséquences juridiques, financières et réputationnelles d’un incident.

Le devoir de vigilance du dirigeant

Sans créer une obligation de résultat, les textes européens renforcent progressivement les attentes à l’égard des dirigeants. Ceux-ci doivent être en mesure de démontrer qu’ils ont exercé une vigilance raisonnable. Cette démonstration repose notamment sur :

  • les décisions prises ;
  • les ressources mobilisées ;
  • les audits réalisés ;
  • les formations organisées ;
  • les actions correctrices mises en œuvre.

En cas de contrôle ou de contentieux, cette documentation pourra constituer un élément essentiel.

Une responsabilité qui dépasse le seul cadre réglementaire

Les attentes des partenaires économiques évoluent également. Les investisseurs, les banques, les assureurs, les clients et les donneurs d’ordre s’intéressent de plus en plus à la maturité des organisations en matière de cybersécurité. Une gouvernance insuffisante peut désormais avoir des conséquences sur :

  • l’accès à certains marchés ;
  • les conditions d’assurance ;
  • les opérations de financement ;
  • les relations contractuelles ;
  • les appels d’offres.

La cybersécurité devient ainsi un critère d’évaluation de la qualité de la gouvernance. 83

Les erreurs les plus fréquentes des organes de direction

L’expérience montre que certaines difficultés reviennent régulièrement. Par exemple :

  • considérer la cybersécurité comme une question exclusivement informatique ;
  • ne traiter le sujet qu’après une attaque ;
  • ne jamais présenter les risques cyber au conseil d’administration ou aux organes de direction ;
  • sous-estimer les risques liés aux prestataires ;
  • limiter les investissements à la seule acquisition d’outils techniques ;
  • négliger la formation des collaborateurs.

Ces approches ne correspondent plus aux exigences actuelles de gouvernance.

La cybersécurité : un enjeu de gouvernance au même titre que la conformité

Les organisations les plus résilientes ne sont pas nécessairement celles qui disposent des technologies les plus sophistiquées. Ce sont souvent celles qui ont intégré la cybersécurité dans leur gouvernance. Cette intégration suppose :

  • un engagement visible de la direction ;
  • une implication des fonctions juridiques, conformité et risques ;
  • une coopération avec les équipes informatiques ;
  • un dialogue régulier avec les organes de gouvernance.

La cybersécurité cesse ainsi d’être une fonction isolée. Elle devient un élément structurant de la stratégie de l’organisation. 84

Vers une gouvernance de la responsabilité numérique

L’évolution des réglementations européennes révèle une tendance de fond. Le rôle des dirigeants ne se limite plus à assurer la performance économique de leur organisation. Ils sont également attendus sur leur capacité à maîtriser les impacts du numérique. Cette responsabilité concerne désormais :

  • la cybersécurité ;
  • la protection des données personnelles ;
  • l’intelligence artificielle ;
  • la continuité numérique ;
  • la gestion des risques technologiques.

Ces domaines convergent progressivement vers une même exigence : organiser une gouvernance responsable des technologies. C’est précisément cette vision que recouvre la notion de responsabilité numérique. Elle invite les dirigeants à dépasser une logique de conformité ponctuelle pour inscrire durablement la maîtrise des risques numériques au cœur de leur stratégie.

À retenir

La cybersécurité est devenue un sujet de gouvernance. Les dirigeants ne sont pas appelés à devenir des experts techniques, mais ils doivent être en mesure de piloter les risques numériques, de mobiliser les ressources nécessaires et de démontrer que leur organisation dispose d’une gouvernance adaptée. Au-delà des exigences réglementaires, cette implication constitue un facteur de confiance, de résilience et de performance durable. Elle s’inscrit pleinement dans la construction d’une véritable politique de responsabilité numérique. ➡ Chapitre suivant : Les obligations contractuelles en matière de cybersécurité : comment sécuriser les relations avec les fournisseurs, les prestataires et les sous-traitants ? 85

PARTIE II — Les obligations juridiques des organisations Chapitre 10 — Les obligations contractuelles en matière de cybersécurité : sécuriser les relations avec les fournisseurs, les prestataires et les sous-traitants

La cybersécurité ne dépend plus uniquement des mesures mises en œuvre par une organisation au sein de ses propres systèmes d’information. La transformation numérique s’accompagne d’une externalisation croissante des services. Les entreprises et les administrations utilisent quotidiennement des solutions cloud, des logiciels en mode SaaS, des prestataires d’infogérance, des hébergeurs, des fournisseurs d’accès, des éditeurs de logiciels, des intégrateurs ou encore des sociétés spécialisées dans la maintenance informatique. Cette évolution présente de nombreux avantages. Elle crée également une nouvelle forme de dépendance. La sécurité d’une organisation dépend désormais, en partie, du niveau de sécurité de ses partenaires. La cybersécurité devient ainsi un enjeu contractuel. Les contrats ne servent plus uniquement à définir les prestations attendues. Ils constituent un outil essentiel de prévention des risques numériques.

Les prestataires : un maillon essentiel de la cybersécurité

Les cyberattaques récentes ont démontré qu’il n’était plus nécessaire de cibler directement une organisation pour compromettre ses systèmes. Les cybercriminels exploitent fréquemment les vulnérabilités présentes chez :

  • un prestataire informatique ;
  • un éditeur de logiciels ;
  • un fournisseur cloud ;
  • un sous-traitant ;

86

  • un partenaire technique.

Une seule faille peut permettre d’accéder à plusieurs centaines d’organisations. Cette réalité explique pourquoi les réglementations européennes accordent une importance croissante à la sécurité de la chaîne d’approvisionnement.

La cybersécurité comme obligation contractuelle

Pendant longtemps, les contrats informatiques traitaient principalement :

  • des fonctionnalités ;
  • des délais ;
  • des prix ;
  • de la maintenance.

La cybersécurité occupait une place secondaire. Cette approche n’est plus adaptée. Aujourd’hui, les contrats doivent également organiser :

  • les exigences de sécurité ;
  • les obligations de confidentialité ;
  • les modalités de gestion des incidents ;
  • les responsabilités des parties ;
  • les conditions de coopération.

Le contrat devient un véritable instrument de gouvernance des risques numériques.

Choisir un prestataire : une décision juridique autant que technique

Le choix d’un prestataire ne peut plus reposer uniquement sur des critères économiques. Avant de confier des données ou des fonctions critiques à un partenaire, une organisation devrait s’interroger sur plusieurs points. Par exemple : 87

  • quelles garanties de cybersécurité offre le prestataire ?
  • dispose-t-il d’une politique de sécurité documentée ?
  • comment gère-t-il les incidents ?
  • quelles certifications possède-t-il ?
  • quelles sont les modalités de sauvegarde ?
  • comment protège-t-il les données confiées ?

Cette analyse participe directement à l’obligation de diligence de l’organisation.

Les clauses essentielles en matière de cybersécurité

Les contrats devraient prévoir un certain nombre de dispositions destinées à réduire les risques. Sans prétendre à l’exhaustivité, il est généralement recommandé d’aborder les points suivants.

Les obligations de sécurité

Le contrat peut préciser :

  • le niveau de sécurité attendu ;
  • les mesures techniques mises en œuvre ;
  • les procédures de contrôle des accès ;
  • les modalités de chiffrement ;
  • les exigences relatives aux sauvegardes.

Ces engagements permettent de clarifier les responsabilités.

Les obligations de confidentialité

Les prestataires ont souvent accès à des informations particulièrement sensibles. Les clauses de confidentialité doivent donc définir :

  • les informations protégées ;
  • les personnes autorisées à y accéder ;
  • les conditions de conservation ;

88

  • les modalités de restitution ou de destruction.

Ces obligations complètent les exigences issues du secret des affaires et, le cas échéant, du RGPD.

La gestion des incidents

Le contrat devrait préciser :

  • comment un incident est signalé ;
  • dans quels délais ;
  • quels interlocuteurs sont mobilisés ;
  • quelles informations sont communiquées ;
  • quelles mesures doivent être prises.

Une procédure claire permet de limiter les pertes de temps au moment où la rapidité d’action est essentielle.

Les audits

Certaines organisations prévoient un droit d’audit. Cette faculté permet de vérifier que les engagements contractuels sont effectivement respectés. Selon les situations, cet audit peut porter notamment sur :

  • les procédures internes ;
  • les mesures de sécurité ;
  • la gestion des accès ;
  • la documentation.

L’exercice de ce droit doit naturellement respecter les contraintes de confidentialité du prestataire.

La sous-traitance

De nombreux prestataires recourent eux-mêmes à d’autres sous-traitants. Cette situation peut accroître les risques. Le contrat peut donc prévoir :

  • les conditions de recours à la sous-traitance ;

89

  • l’information préalable du client ;
  • les garanties exigées des sous-traitants ;
  • les responsabilités respectives.

La maîtrise de la chaîne contractuelle devient un enjeu essentiel.

Le rôle particulier du RGPD

Lorsque le prestataire traite des données personnelles pour le compte de son client, le RGPD impose des obligations spécifiques. Le contrat de sous-traitance doit notamment préciser :

  • l’objet du traitement ;
  • sa durée ;
  • la nature des données ;
  • les catégories de personnes concernées ;
  • les obligations du sous-traitant ;
  • les mesures de sécurité mises en œuvre.

Ces clauses ne relèvent pas d’une simple bonne pratique. Elles constituent une exigence réglementaire.

Les contrats cloud

Le recours aux services cloud soulève des questions particulières. Les organisations doivent notamment s’interroger sur :

  • la localisation des données ;
  • les transferts internationaux ;
  • la réversibilité ;
  • la disponibilité des services ;
  • les engagements de sécurité ;
  • les modalités de récupération des données à la fin du contrat.

Le contrat doit permettre d’anticiper ces situations avant qu’elles ne deviennent problématiques. 90

Les clauses de responsabilité

La cybersécurité conduit souvent à négocier les clauses relatives à la responsabilité. Les parties peuvent notamment prévoir :

  • les modalités d’indemnisation ;
  • les plafonds de responsabilité ;
  • les exclusions éventuelles ;
  • les obligations d’assurance ;
  • les procédures de règlement des différends.

Ces clauses doivent être rédigées avec une attention particulière. Une limitation de responsabilité trop large pourrait se révéler inadaptée au regard des risques encourus.

Les obligations de coopération

Une cyberattaque nécessite rarement l’intervention d’un seul acteur. Le contrat peut utilement organiser la coopération entre les parties. Par exemple :

  • échanges d’informations ;
  • accès aux journaux d’événements ;
  • coordination des équipes ;
  • participation aux investigations ;
  • communication commune.

Cette coopération facilite la gestion des incidents.

Les erreurs les plus fréquentes

L’analyse des contentieux montre que certaines difficultés reviennent régulièrement. Par exemple :

  • signer un contrat sans examiner les clauses de cybersécurité ;

91

  • ne pas vérifier les garanties offertes par le prestataire ;
  • ignorer les conditions de réversibilité ;
  • ne prévoir aucune procédure de gestion des incidents ;
  • négliger les obligations imposées par le RGPD ;
  • oublier de mettre à jour les contrats lors de l’évolution des services.

Ces omissions peuvent fragiliser la position juridique de l’organisation.

Les contrats comme outil de gouvernance

Les contrats ne servent plus uniquement à organiser les relations commerciales. Ils participent désormais pleinement à la gouvernance de la cybersécurité. Ils permettent :

  • de répartir les responsabilités ;
  • de définir les niveaux de sécurité attendus ;
  • d’organiser la coopération ;
  • d’encadrer la gestion des incidents ;
  • de protéger les données et les actifs numériques.

Cette approche préventive limite les incertitudes en cas de crise.

La contractualisation au cœur de la responsabilité numérique

L’évolution du droit européen montre que la responsabilité ne s’arrête plus aux frontières de l’organisation. Les risques numériques circulent avec les données, les logiciels et les services. Les organisations doivent donc exercer une vigilance particulière à l’égard de leurs partenaires. Cette vigilance ne relève pas uniquement de la technique. Elle repose également sur des contrats adaptés, régulièrement réévalués et intégrés dans une stratégie globale de gouvernance. La contractualisation devient ainsi l’un des instruments de la responsabilité numérique. 92 Elle permet de transformer les exigences juridiques en engagements opérationnels partagés par l’ensemble des acteurs de l’écosystème numérique.

À retenir

La cybersécurité est désormais un enjeu contractuel majeur. Les organisations doivent intégrer les exigences de sécurité dans leurs relations avec les fournisseurs, les prestataires et les sous-traitants, notamment lorsque ces derniers accèdent à des systèmes d’information ou traitent des données sensibles. Des contrats bien rédigés permettent d’anticiper les incidents, de clarifier les responsabilités et de renforcer la résilience de l’organisation. Au-delà de leur fonction juridique, ils constituent un véritable outil de gouvernance des risques numériques et un pilier de la responsabilité numérique. ➡ Chapitre suivant : Réagir juridiquement à une cyberattaque : les premières heures décisives, les preuves à préserver et les obligations à respecter.

PARTIE III — Réagir juridiquement à une cyberattaque Chapitre 11 — Les obligations juridiques en cas de cyberattaque

Aucune organisation n’est aujourd’hui totalement à l’abri d’une cyberattaque. Même lorsqu’une politique de cybersécurité est solide, qu’une gouvernance adaptée est en place et que les collaborateurs sont sensibilisés, le risque zéro n’existe pas. La question n’est donc plus uniquement de savoir comment prévenir une attaque. Elle consiste également à déterminer comment réagir lorsqu’un incident survient. Les premières heures sont souvent décisives. Les décisions prises dans l’urgence peuvent avoir des conséquences importantes sur la continuité de l’activité, la responsabilité de l’organisation, les relations contractuelles, les obligations réglementaires et les éventuelles procédures judiciaires. Une cyberattaque constitue avant tout une crise juridique autant qu’une crise informatique. 93 La réponse apportée doit donc être organisée, documentée et coordonnée.

La première obligation : qualifier juridiquement l’incident

Toutes les cyberattaques ne produisent pas les mêmes conséquences juridiques. Avant toute décision, il est indispensable d’identifier précisément la nature de l’incident. Plusieurs situations peuvent notamment être distinguées :

  • une tentative d’intrusion sans conséquence ;
  • un accès frauduleux au système d’information ;
  • une compromission de comptes utilisateurs ;
  • un rançongiciel ;
  • une fuite de données personnelles ;
  • un vol de secrets d’affaires ;
  • une indisponibilité des systèmes ;
  • une fraude financière.

Cette qualification permettra de déterminer les obligations applicables.

Activer immédiatement la cellule de gestion de crise

Une cyberattaque ne peut être gérée par le seul service informatique. Elle nécessite une coordination entre plusieurs fonctions de l’organisation. Selon les situations, la cellule de crise peut réunir :

  • la direction générale ;
  • la direction juridique ;
  • le responsable cybersécurité ;
  • le responsable informatique ;
  • le DPO ;

94

  • le responsable communication ;
  • les ressources humaines ;
  • les responsables métiers concernés.

Cette gouvernance permet d’assurer une prise de décision rapide et cohérente.

Sécuriser les systèmes sans détruire les preuves

L’une des premières difficultés consiste à contenir l’attaque tout en préservant les éléments susceptibles d’être utiles aux investigations. Certaines actions réalisées dans la précipitation peuvent compromettre les recherches ultérieures. Il convient notamment d’éviter :

  • d’effacer les journaux d’événements ;
  • de réinstaller immédiatement les systèmes compromis ;
  • de supprimer des comptes sans analyse préalable ;
  • de modifier les configurations sans traçabilité.

La conservation des preuves constitue une étape essentielle. Elle facilitera les investigations techniques, les procédures judiciaires et les démarches d’assurance.

Évaluer les conséquences juridiques

Une fois l’incident stabilisé, l’organisation doit procéder à une première analyse juridique. Plusieurs questions doivent être examinées. Par exemple :

  • Des données personnelles ont-elles été compromises ?
  • Des secrets d’affaires ont-ils été exposés ?
  • Les obligations contractuelles peuvent-elles encore être exécutées ?
  • Des obligations réglementaires de notification existent-elles ?
  • L’activité est-elle interrompue ?
  • Des tiers sont-ils susceptibles de subir un préjudice ?

Cette évaluation oriente l’ensemble de la stratégie de gestion de crise. 95

Déterminer les obligations de notification

Toutes les cyberattaques n’imposent pas une notification. En revanche, certaines situations entraînent des obligations légales précises. Selon les circonstances, l’organisation pourra être amenée à informer :

  • la CNIL lorsqu’une violation de données personnelles répond aux critères du RGPD ;
  • les autorités compétentes prévues par la directive NIS2 ;
  • certaines autorités sectorielles ;
  • les partenaires contractuels ;
  • les assureurs.

La rapidité de cette analyse est essentielle. Les délais prévus par certains textes sont particulièrement courts.

Informer les personnes concernées lorsque la loi l’impose

Lorsqu’une cyberattaque expose les personnes à un risque élevé, le RGPD peut imposer une information directe des personnes concernées. Cette communication poursuit plusieurs objectifs. Elle permet notamment :

  • d’informer les personnes de la nature de l’incident ;
  • d’expliquer les risques encourus ;
  • de présenter les mesures prises ;
  • de recommander certaines précautions.

La transparence participe à la protection des droits des personnes et contribue au maintien de la confiance.

Déposer plainte : une décision stratégique

Une cyberattaque constitue généralement une infraction pénale. 96 Le dépôt de plainte présente plusieurs intérêts. Il permet :

  • de déclencher une enquête ;
  • de favoriser l’identification des auteurs ;
  • de préserver certains droits ;
  • de répondre aux exigences de certains contrats d’assurance ;
  • de documenter officiellement les faits.

Le dépôt de plainte doit intervenir sur la base d’éléments suffisamment documentés. La conservation des preuves revêt ici toute son importance.

Respecter les obligations contractuelles

Une cyberattaque peut empêcher l’exécution normale de certaines prestations. Les contrats conclus avec :

  • les clients ;
  • les fournisseurs ;
  • les sous-traitants ;
  • les partenaires, peuvent prévoir des obligations particulières.

Par exemple :

  • informer rapidement le cocontractant ;
  • coopérer dans la gestion de l’incident ;
  • limiter les conséquences du dommage ;
  • mettre en œuvre un plan de continuité.

Une analyse contractuelle rapide permet d’éviter des difficultés supplémentaires.

Déclarer le sinistre à l’assureur

Lorsque l’organisation bénéficie d’une assurance cyber, le contrat prévoit généralement des modalités précises de déclaration. 97 Il convient notamment de vérifier :

  • les délais applicables ;
  • les justificatifs attendus ;
  • les mesures conservatoires exigées ;
  • les prestataires éventuellement imposés par l’assureur.

Le non-respect de ces obligations peut avoir des conséquences sur la prise en charge du sinistre.

Maîtriser la communication de crise

Une cyberattaque soulève rapidement des questions de communication. Les salariés, les clients, les partenaires et parfois les médias sollicitent des informations. Cette communication doit être organisée. Elle doit être :

  • exacte ;
  • proportionnée ;
  • cohérente ;
  • juridiquement sécurisée.

Une communication précipitée peut compromettre les investigations, engager la responsabilité de l’organisation ou créer une inquiétude injustifiée. La coordination entre les équipes juridiques, la direction et les responsables de la communication est donc essentielle.

Documenter toutes les décisions

L’une des erreurs les plus fréquentes consiste à gérer la crise sans conserver de trace des décisions prises. Or, cette documentation pourra être déterminante. Il est recommandé de conserver notamment :

  • la chronologie des événements ;
  • les décisions prises ;
  • les personnes mobilisées ;

98

  • les analyses réalisées ;
  • les notifications effectuées ;
  • les mesures correctrices adoptées.

Cette documentation facilitera les contrôles ultérieurs et permettra de démontrer la diligence de l’organisation.

Préparer le retour à la normale

La gestion juridique ne s’arrête pas à la reprise de l’activité. Une fois les systèmes rétablis, l’organisation doit analyser les causes de l’incident. Cette démarche peut conduire à :

  • renforcer certaines procédures ;
  • modifier les politiques internes ;
  • mettre à jour les contrats ;
  • améliorer les formations ;
  • réviser la cartographie des risques.

Chaque incident doit devenir une source d’amélioration.

Les erreurs les plus fréquentes

L’expérience montre que les difficultés résultent souvent moins de l’attaque elle-même que des décisions prises dans les heures qui suivent. Parmi les erreurs les plus fréquentes figurent :

  • attendre avant d’organiser la cellule de crise ;
  • privilégier exclusivement la réponse technique ;
  • supprimer des preuves ;
  • oublier les obligations réglementaires de notification ;
  • négliger les conséquences contractuelles ;
  • communiquer sans validation juridique ;
  • ne conserver aucune documentation des décisions.

99 Une organisation préparée limitera beaucoup plus efficacement les conséquences d’un incident.

Le rôle de l’avocat dans la gestion d’une cyberattaque

L’intervention de l’avocat ne consiste pas à conduire les investigations techniques. Son rôle est de sécuriser juridiquement la gestion de la crise. Il accompagne notamment l’organisation pour :

  • qualifier juridiquement les faits ;
  • identifier les obligations applicables ;
  • coordonner les notifications ;
  • préserver les éléments de preuve ;
  • analyser les responsabilités ;
  • sécuriser la communication de crise ;
  • gérer les relations avec les autorités ;
  • préparer les éventuels contentieux.

Cette approche permet de traiter simultanément les dimensions techniques, organisationnelles et juridiques de l’incident.

Une approche conforme à la responsabilité numérique

La manière dont une organisation réagit à une cyberattaque révèle sa maturité en matière de gouvernance. Une réponse improvisée augmente souvent les conséquences juridiques de l’incident. À l’inverse, une organisation préparée est capable de :

  • protéger les personnes concernées ;
  • respecter ses obligations réglementaires ;
  • préserver les preuves ;
  • assurer la continuité de son activité ;

100

  • maintenir la confiance de ses partenaires.

Cette capacité d’anticipation et de réaction constitue l’une des expressions les plus concrètes de la responsabilité numérique. Elle démontre que la cybersécurité ne relève pas uniquement de la technique, mais d’une gouvernance responsable des technologies et des risques.

À retenir

Une cyberattaque déclenche de nombreuses obligations juridiques qui dépassent largement la gestion technique de l’incident. L’organisation doit rapidement qualifier les faits, activer sa gouvernance de crise, préserver les preuves, évaluer ses obligations réglementaires, contractuelles et assurantielles, puis documenter l’ensemble des décisions prises. La qualité de cette réponse conditionne non seulement la limitation des dommages, mais également la capacité de l’organisation à démontrer sa conformité et sa responsabilité. Chapitre suivant : Préserver les preuves et conduire les investigations : quelles ➡ précautions prendre pour préparer une éventuelle procédure judiciaire ou un contrôle des autorités ?

PARTIE III — Réagir juridiquement à une cyberattaque Chapitre 12 — Préserver les preuves et conduire les investigations : préparer une éventuelle procédure judiciaire

Lorsqu’une cyberattaque survient, la priorité est naturellement de limiter ses conséquences et de rétablir le fonctionnement des systèmes d’information. Cette réaction est indispensable. Elle ne doit toutefois pas conduire à négliger un aspect fondamental de la gestion de crise : la conservation des preuves. Une cyberattaque est rarement un simple incident technique. Elle constitue le plus souvent une infraction pénale. 101 Elle peut également donner lieu à des contentieux civils, commerciaux, contractuels ou administratifs. Dans tous ces cas, la capacité à démontrer les faits devient essentielle. Les premières heures sont souvent déterminantes. Certaines manipulations réalisées dans l’urgence peuvent rendre impossible toute reconstitution des événements. Préserver les preuves constitue donc une obligation stratégique autant que juridique.

Pourquoi conserver les preuves ?

Les preuves poursuivent plusieurs objectifs. Elles permettent notamment :

  • d’identifier les circonstances de l’attaque ;
  • de comprendre les vulnérabilités exploitées ;
  • d’évaluer les responsabilités ;
  • de déposer plainte ;
  • de coopérer avec les autorités ;
  • de répondre aux demandes des assureurs ;
  • de justifier les décisions prises ;
  • de préparer une éventuelle procédure judiciaire.

Sans éléments de preuve fiables, il devient beaucoup plus difficile d’établir les faits.

Une obligation de prudence

L’une des erreurs les plus fréquentes consiste à vouloir remettre les systèmes en fonctionnement le plus rapidement possible. Cette réaction est compréhensible. Elle peut cependant entraîner la disparition d’informations essentielles. Par exemple :

  • suppression des journaux d’événements ;
  • réinstallation complète d’un serveur ;

102

  • effacement de fichiers temporaires ;
  • remplacement d’équipements sans analyse préalable.

Ces opérations peuvent compromettre les investigations ultérieures. La restauration des activités doit donc être conciliée avec la préservation des éléments de preuve.

Quels éléments doivent être conservés ?

Chaque incident présente des particularités. Toutefois, certains éléments méritent une attention particulière. Il peut notamment s’agir :

  • des journaux de connexion ;
  • des journaux systèmes ;
  • des traces réseau ;
  • des captures d’écran ;
  • des courriels frauduleux ;
  • des demandes de rançon ;
  • des messages échangés avec les attaquants ;
  • des sauvegardes disponibles ;
  • des rapports techniques ;
  • des relevés d’accès.

Ces informations permettront de reconstituer le déroulement des faits.

Établir une chronologie des événements

Au-delà des éléments techniques, il est recommandé de documenter précisément le déroulement de la crise. Cette chronologie peut notamment mentionner :

  • la date de découverte de l’incident ;
  • les premières mesures prises ;
  • les décisions de la cellule de crise ;

103

  • les personnes mobilisées ;
  • les notifications effectuées ;
  • les communications adressées aux partenaires ;
  • les actions de restauration.

Cette documentation facilitera la compréhension des événements plusieurs mois, voire plusieurs années après les faits.

Garantir l’intégrité des preuves

Une preuve n’a de valeur que si son authenticité peut être démontrée. Les organisations doivent donc éviter toute modification susceptible d’altérer les éléments recueillis. Cela suppose notamment :

  • de limiter les manipulations ;
  • de conserver les fichiers dans leur état d’origine ;
  • de documenter les opérations réalisées ;
  • d’identifier les personnes ayant eu accès aux preuves.

Cette traçabilité contribue à renforcer la crédibilité des investigations.

L’enquête interne

Après la stabilisation de l’incident, une enquête interne permet généralement de répondre à plusieurs questions. Par exemple :

  • comment l’attaque a-t-elle commencé ?
  • quelles vulnérabilités ont été exploitées ?
  • quelles données ont été compromises ?
  • quels systèmes ont été affectés ?
  • quelles mesures ont fonctionné ?
  • quelles faiblesses doivent être corrigées ?

L’objectif n’est pas uniquement d’identifier les responsabilités. 104 Il s’agit également d’améliorer durablement le niveau de sécurité de l’organisation.

Le recours à des experts spécialisés

Les investigations techniques nécessitent souvent des compétences particulières. Les organisations peuvent faire appel à des spécialistes en informatique légale (digital forensics). Ces experts interviennent notamment pour :

  • préserver les preuves numériques ;
  • analyser les systèmes compromis ;
  • identifier les modes opératoires ;
  • établir des rapports techniques ;
  • assister les autorités judiciaires.

Leur intervention doit être organisée dès les premières phases de la gestion de crise lorsque la gravité de l’incident le justifie.

Les investigations et le secret professionnel

Certaines organisations manipulent quotidiennement des informations particulièrement sensibles. C’est notamment le cas :

  • des cabinets d’avocats ;
  • des professions de santé ;
  • des études notariales ;
  • des établissements financiers.

Les investigations doivent alors être conduites dans le respect :

  • du secret professionnel ;
  • des obligations de confidentialité ;
  • des règles relatives aux données personnelles ;
  • des secrets d’affaires.

La recherche de preuves ne peut justifier une atteinte disproportionnée à ces obligations. 105

Les investigations et le RGPD

Les investigations menées après une cyberattaque conduisent souvent à traiter de nouvelles données personnelles. Ces traitements demeurent soumis au RGPD. Les organisations doivent notamment veiller :

  • à limiter les données analysées au strict nécessaire ;
  • à sécuriser les éléments recueillis ;
  • à encadrer les accès ;
  • à respecter les durées de conservation.

La gestion de crise ne suspend pas les exigences de protection des données.

Les relations avec les autorités

Selon la nature de l’incident, les éléments recueillis pourront être transmis :

  • aux services d’enquête ;
  • à la CNIL ;
  • aux autorités compétentes prévues par NIS2 ;
  • aux autorités sectorielles.

Une documentation rigoureuse facilite ces échanges. Elle démontre également le sérieux de la gestion de crise.

Les relations avec les assureurs

Les contrats d’assurance cyber prévoient fréquemment des obligations particulières en matière de preuve. L’assureur peut notamment demander :

  • les rapports d’expertise ;
  • les journaux techniques ;
  • les justificatifs des dépenses engagées ;
  • les mesures correctrices mises en œuvre.

106 Une documentation insuffisante peut compliquer l’instruction du dossier.

Le retour d’expérience

Les investigations ne doivent pas se limiter à rechercher les causes immédiates de l’incident. Elles doivent également permettre d’améliorer les pratiques de l’organisation. Ce retour d’expérience peut conduire à :

  • revoir la politique de cybersécurité ;
  • renforcer certains contrôles ;
  • adapter les formations ;
  • modifier les contrats ;
  • améliorer la gouvernance.

Chaque cyberattaque constitue une source d’enseignement.

Les erreurs les plus fréquentes

L’expérience montre que certaines erreurs reviennent régulièrement. Par exemple :

  • réinstaller immédiatement les systèmes compromis ;
  • supprimer les journaux techniques ;
  • ne conserver aucune chronologie des événements ;
  • confondre restauration des activités et clôture des investigations ;
  • laisser plusieurs intervenants manipuler les mêmes preuves sans traçabilité ;
  • négliger les exigences du RGPD pendant les investigations.

Ces pratiques compliquent les procédures ultérieures et fragilisent la position juridique de l’organisation.

Le rôle de l’avocat dans les investigations

L’avocat intervient en complément des experts techniques. Son rôle consiste notamment à : 107

  • qualifier juridiquement les faits ;
  • organiser la stratégie probatoire ;
  • sécuriser les investigations internes ;
  • préserver les droits de l’organisation ;
  • coordonner les relations avec les autorités ;
  • préparer les éventuels contentieux ;
  • protéger les intérêts de l’organisation tout au long de la procédure.

Cette approche permet d’articuler efficacement les dimensions techniques et juridiques de l’enquête.

Préserver les preuves : un enjeu de responsabilité numérique

La manière dont une organisation gère les preuves révèle sa maturité en matière de gouvernance. Une organisation responsable ne cherche pas uniquement à reprendre son activité. Elle veille également à comprendre les causes de l’incident, à documenter les événements, à coopérer avec les autorités et à tirer les enseignements nécessaires. Cette capacité d’analyse participe pleinement de la responsabilité numérique. Elle traduit une volonté de transparence, de maîtrise des risques et d’amélioration continue.

À retenir

La préservation des preuves constitue l’un des premiers réflexes à adopter après une cyberattaque. Les éléments techniques, la chronologie des événements et les décisions prises doivent être conservés avec rigueur afin de faciliter les investigations, les procédures judiciaires, les relations avec les autorités et les démarches d’assurance. Au-delà de leur utilité contentieuse, les investigations permettent également de renforcer durablement la gouvernance de la cybersécurité et la résilience de l’organisation. ➡ Chapitre suivant : Notifier une cyberattaque : quelles obligations d’information envers la CNIL, les autorités compétentes, les partenaires, les clients et les assureurs ? 108

PARTIE III — Réagir juridiquement à une cyberattaque Chapitre 13 — Notifier une cyberattaque :

quelles obligations d’information envers les autorités, les personnes concernées et les partenaires ?

La découverte d’une cyberattaque soulève rapidement une question essentielle : Qui faut-il informer ? La réponse n’est jamais automatique. Toutes les cyberattaques n’imposent pas une notification. Inversement, certaines situations créent plusieurs obligations d’information simultanées, relevant de textes différents et impliquant des destinataires distincts. Une organisation peut ainsi être amenée à informer :

  • une autorité administrative ;
  • une autorité sectorielle ;
  • les personnes concernées ;
  • ses partenaires contractuels ;
  • son assureur ;
  • voire le grand public.

La difficulté réside dans l’articulation de ces différentes obligations. Une notification tardive, incomplète ou adressée au mauvais interlocuteur peut aggraver les conséquences juridiques de l’incident. La notification constitue donc un exercice de gouvernance autant qu’une obligation réglementaire.

Toutes les cyberattaques n’entraînent pas une obligation de notification

Il est important de distinguer deux situations. 109 Une organisation peut être victime :

  • d’une tentative d’intrusion sans conséquence ;
  • d’une attaque bloquée avant toute compromission ;
  • d’un incident purement technique.

Dans ces hypothèses, aucune obligation légale de notification ne s’impose nécessairement. En revanche, lorsqu’un incident affecte les données personnelles, la continuité d’activité ou la sécurité d’infrastructures critiques, plusieurs textes peuvent imposer des démarches spécifiques. La première étape consiste donc à qualifier juridiquement l’incident.

La notification à la CNIL

Lorsque la cyberattaque entraîne une violation de données personnelles, le RGPD peut imposer une notification à la Commission nationale de l’informatique et des libertés (CNIL). Une violation de données personnelles peut résulter notamment :

  • d’un accès non autorisé ;
  • d’une perte de données ;
  • d’une destruction accidentelle ;
  • d’une divulgation d’informations ;
  • d’un rançongiciel ;
  • d’une compromission de comptes utilisateurs.

La notification n’est toutefois pas systématique. Elle dépend de l’évaluation des risques pour les droits et libertés des personnes concernées.

Le délai de notification prévu par le RGPD

Lorsqu’une notification est requise, le RGPD prévoit qu’elle doit intervenir dans les meilleurs délais et, si possible, dans les 72 heures après que le responsable du traitement en a eu connaissance. Ce délai ne signifie pas que toutes les investigations doivent être terminées. Il impose à l’organisation de réagir rapidement et de communiquer les informations dont elle dispose au moment de la notification. Si certains éléments demeurent inconnus, ils pourront être complétés ultérieurement. 110 L’important est de démontrer une réaction diligente.

Informer les personnes concernées

Le RGPD prévoit également une obligation d’information des personnes concernées lorsque la violation est susceptible d’engendrer un risque élevé pour leurs droits et libertés. Cette information doit être rédigée dans un langage clair. Elle doit notamment permettre aux personnes de comprendre :

  • la nature de l’incident ;
  • les conséquences possibles ;
  • les mesures déjà prises ;
  • les précautions qu’elles peuvent adopter.

Cette communication poursuit un objectif de protection. Elle permet notamment aux personnes concernées de modifier leurs mots de passe, de surveiller leurs comptes ou de se prémunir contre d’éventuelles tentatives de fraude.

Les obligations de notification prévues par NIS2

Pour les organisations entrant dans le champ d’application de la directive NIS2, les obligations dépassent la seule protection des données personnelles. Les incidents significatifs doivent être signalés selon les modalités prévues par les textes applicables. Ces notifications poursuivent plusieurs objectifs :

  • permettre une réaction coordonnée des autorités ;
  • améliorer la connaissance des menaces ;
  • limiter les effets de propagation ;
  • renforcer la résilience collective.

Les procédures précises dépendent du cadre national de mise en œuvre de la directive. Les organisations concernées ont donc intérêt à préparer ces démarches avant qu’un incident ne survienne. 111

Les obligations contractuelles d’information

Les obligations de notification ne résultent pas uniquement des textes législatifs. Les contrats conclus avec :

  • les clients ;
  • les fournisseurs ;
  • les partenaires ;
  • les sous-traitants, prévoient fréquemment des obligations d’information en cas d’incident.

Ces clauses peuvent notamment imposer :

  • un délai maximal de notification ;
  • un contenu minimal de l’information transmise ;
  • des modalités particulières de coopération ;
  • la transmission de certains rapports.

L’analyse des contrats fait donc partie intégrante de la gestion juridique d’une cyberattaque.

Informer l’assureur

Les contrats d’assurance cyber imposent généralement une déclaration rapide du sinistre. Cette déclaration permet notamment :

  • d’ouvrir le dossier d’indemnisation ;
  • de mobiliser les experts de l’assureur ;
  • d’obtenir une assistance technique ou juridique ;
  • de préserver les droits de l’assuré.

Le contrat peut prévoir des délais précis. Il est donc recommandé de consulter rapidement les conditions d’assurance.

La communication avec les salariés

Une cyberattaque affecte souvent les conditions de travail. 112 Les collaborateurs doivent être informés de manière adaptée. Cette communication peut porter notamment sur :

  • les mesures de sécurité à respecter ;
  • les consignes temporaires ;
  • les outils indisponibles ;
  • les interlocuteurs à contacter.

Une information claire contribue à limiter les erreurs et à maintenir la continuité des activités.

La communication avec les clients et partenaires

Les clients et partenaires attendent aujourd’hui de la transparence. Pour autant, toute communication doit être préparée. Elle doit permettre :

  • d’expliquer la situation ;
  • de présenter les mesures prises ;
  • de préciser les conséquences éventuelles ;
  • de rassurer sans minimiser les risques.

Une communication imprécise ou contradictoire peut fragiliser la relation de confiance. L’intervention de la direction juridique est souvent essentielle.

La communication publique

Certaines cyberattaques font rapidement l’objet d’une médiatisation. L’organisation peut alors être conduite à communiquer publiquement. Cette communication doit respecter plusieurs principes. Elle doit être :

  • exacte ;
  • vérifiable ;

113

  • proportionnée ;
  • cohérente avec les investigations en cours.

Il convient notamment d’éviter :

  • les affirmations non vérifiées ;
  • l’identification prématurée des auteurs ;
  • les annonces contradictoires ;
  • la divulgation d’informations susceptibles de compromettre les investigations.

Une coordination indispensable

La multiplication des obligations de notification impose une coordination rigoureuse. Une même cyberattaque peut conduire l’organisation à informer simultanément :

  • la CNIL ;
  • les autorités compétentes au titre de NIS2 ;
  • les services d’enquête ;
  • l’assureur ;
  • les partenaires contractuels ;
  • les personnes concernées ;
  • les salariés.

Ces démarches doivent être cohérentes. Des informations contradictoires peuvent fragiliser la position de l’organisation.

Documenter les notifications

Chaque notification doit être conservée. L’organisation devrait notamment archiver :

  • la date d’envoi ;
  • le destinataire ;
  • le contenu transmis ;

114

  • les justificatifs d’envoi ;
  • les échanges ultérieurs.

Cette documentation permettra de démontrer le respect des obligations réglementaires. Elle facilitera également les contrôles éventuels.

Les erreurs les plus fréquentes

La pratique révèle plusieurs difficultés récurrentes. Par exemple :

  • attendre la fin complète des investigations avant de notifier ;
  • notifier sans avoir procédé à une première qualification juridique ;
  • oublier les obligations contractuelles ;
  • communiquer différemment selon les destinataires ;
  • sous-estimer les conséquences réputationnelles de la communication.

Ces erreurs peuvent être évitées grâce à une préparation en amont.

Le rôle de l’avocat dans les notifications

L’avocat joue un rôle essentiel dans la sécurisation des obligations d’information. Il accompagne notamment l’organisation pour :

  • déterminer si une notification est juridiquement requise ;
  • identifier les autorités compétentes ;
  • rédiger les notifications ;
  • coordonner les différentes communications ;
  • limiter les risques de responsabilité ;
  • préserver les intérêts de l’organisation dans les échanges avec les autorités.

Cette coordination est particulièrement utile lorsque plusieurs réglementations sont simultanément applicables. 115

Une notification responsable au service de la confiance

Notifier une cyberattaque ne doit pas être perçu comme un aveu de faiblesse. Il s’agit au contraire d’une démarche de responsabilité. Une organisation qui informe rapidement les autorités, les personnes concernées et ses partenaires démontre qu’elle assume ses obligations et qu’elle place la protection des personnes au cœur de sa gouvernance. Cette transparence contribue à renforcer la confiance. Elle constitue aujourd’hui l’un des principes fondamentaux de la responsabilité numérique.

À retenir

Les obligations de notification constituent l’une des dimensions les plus sensibles de la gestion juridique d’une cyberattaque. Selon les circonstances, une organisation peut devoir informer la CNIL, les autorités compétentes prévues par NIS2, ses partenaires contractuels, son assureur, les personnes concernées ou encore ses collaborateurs. La réussite de cette démarche repose sur une qualification juridique rapide de l’incident, une coordination efficace des acteurs et une documentation rigoureuse des décisions prises. Chapitre suivant : Les responsabilités civiles, pénales et contractuelles : qui répond des ➡ conséquences d’une cyberattaque et dans quelles conditions la responsabilité de l’organisation peut-elle être engagée ?

PARTIE III — Réagir juridiquement à une cyberattaque Chapitre 14 — Les responsabilités civiles, pénales et contractuelles : qui répond des conséquences d’une cyberattaque ?

Lorsqu’une cyberattaque survient, une interrogation revient systématiquement : Qui est responsable ? 116 La réponse est rarement simple. Une cyberattaque résulte souvent de l’intervention de plusieurs acteurs : l’auteur de l’infraction, l’organisation victime, ses prestataires, ses sous-traitants, ses fournisseurs de solutions numériques ou encore certains utilisateurs. Le fait d’être victime d’une cyberattaque ne signifie pas automatiquement que l’organisation engage sa responsabilité. À l’inverse, le statut de victime n’exclut pas non plus toute responsabilité. Le droit procède à une analyse circonstanciée des faits. Il recherche notamment si l’organisation a respecté les obligations qui lui incombaient avant, pendant et après l’incident. L’enjeu n’est donc pas uniquement de déterminer si une attaque a eu lieu. Il consiste à apprécier si les mesures de prévention, de gouvernance et de réaction étaient adaptées aux risques connus.

Être victime n’exclut pas toute responsabilité

Il est important de rappeler un principe essentiel. La responsabilité d’une organisation ne résulte pas de la seule existence d’une cyberattaque. Aucune entreprise ne peut garantir une sécurité absolue. Le droit ne sanctionne pas le fait d’avoir été attaqué. Il apprécie la manière dont l’organisation avait préparé cette éventualité. Plusieurs questions pourront notamment être examinées. Par exemple :

  • une politique de cybersécurité existait-elle ?
  • les risques avaient-ils été identifiés ?
  • les collaborateurs étaient-ils formés ?
  • les systèmes faisaient-ils l’objet de mises à jour ?
  • les sauvegardes étaient-elles opérationnelles ?
  • les incidents étaient-ils correctement gérés ?

L’analyse porte donc sur la diligence de l’organisation. 117

La responsabilité civile

La responsabilité civile a pour objet de réparer un dommage. Lorsqu’une cyberattaque provoque un préjudice, plusieurs catégories de personnes peuvent rechercher la responsabilité d’une organisation. Par exemple :

  • un client ;
  • un fournisseur ;
  • un partenaire commercial ;
  • un salarié ;
  • une personne concernée par une violation de données.

Pour que cette responsabilité soit engagée, plusieurs éléments devront généralement être établis. Il conviendra notamment de démontrer :

  • l’existence d’un dommage ;
  • un manquement imputable à l’organisation ;
  • un lien entre ce manquement et le préjudice subi.

Chaque situation doit naturellement être appréciée au regard de ses circonstances particulières.

La responsabilité contractuelle

Les cyberattaques produisent fréquemment des conséquences sur l’exécution des contrats. Une indisponibilité des systèmes peut empêcher une organisation :

  • de livrer un produit ;
  • d’assurer une prestation ;
  • de respecter un délai ;
  • de maintenir un service numérique.

Les partenaires contractuels peuvent alors invoquer :

  • un retard d’exécution ;
  • une inexécution contractuelle ;

118

  • un manquement aux obligations de sécurité ;
  • une violation des engagements de confidentialité.

L’analyse dépendra notamment :

  • des clauses du contrat ;
  • des obligations de chaque partie ;
  • des mesures effectivement mises en œuvre ;
  • des causes de l’incident.

La qualité de la rédaction des contrats devient ici déterminante.

La responsabilité des prestataires

Les prestataires informatiques occupent une place centrale dans l’écosystème numérique. Selon les situations, leur responsabilité pourra être recherchée lorsque l’incident résulte notamment :

  • d’une défaillance de maintenance ;
  • d’une erreur de configuration ;
  • d’un défaut de sécurité ;
  • d’une absence de correctif ;
  • d’un manquement aux engagements contractuels.

Toutefois, leur responsabilité ne peut être présumée. Elle devra être appréciée au regard des obligations effectivement mises à leur charge. Cette analyse souligne l’importance des clauses de cybersécurité étudiées dans le chapitre précédent.

La responsabilité du fournisseur de logiciels

Les logiciels et équipements numériques peuvent également présenter des vulnérabilités. Les évolutions du droit européen, notamment avec le Cyber Resilience Act, renforcent progressivement les responsabilités des fabricants et des éditeurs. Ils sont désormais invités à intégrer la cybersécurité dès la conception des produits et à assurer un suivi des vulnérabilités pendant leur durée de vie. Cette évolution contribue à une meilleure répartition des responsabilités entre les différents acteurs de la chaîne numérique. 119

La responsabilité liée aux données personnelles

Lorsqu’une cyberattaque entraîne une violation de données personnelles, plusieurs responsabilités peuvent se cumuler. Au-delà des obligations de notification prévues par le RGPD, les personnes concernées peuvent demander réparation lorsqu’elles estiment avoir subi un préjudice. Le responsable du traitement devra alors être en mesure de démontrer :

  • les mesures de sécurité mises en œuvre ;
  • les analyses réalisées ;
  • les décisions prises pendant la crise ;
  • les actions correctrices engagées.

La documentation constitue ici un élément essentiel de la défense.

La responsabilité pénale

Les cyberattaques sont avant tout des infractions pénales. Les auteurs peuvent être poursuivis pour diverses infractions prévues notamment par le Code pénal. Parmi les principales figurent :

  • l’accès frauduleux à un système de traitement automatisé de données ;
  • le maintien frauduleux dans un système ;
  • l’entrave au fonctionnement d’un système ;
  • l’introduction, la suppression ou la modification frauduleuse de données ;
  • l’escroquerie ;
  • le chantage ;
  • l’extorsion.

Ces infractions peuvent donner lieu à des enquêtes particulièrement complexes, notamment lorsque les auteurs agissent depuis l’étranger.

La responsabilité pénale des dirigeants

La responsabilité pénale du dirigeant ne résulte pas automatiquement d’une cyberattaque. 120 Elle suppose l’existence d’un fondement juridique précis. En pratique, les poursuites demeurent exceptionnelles. Elles peuvent toutefois être envisagées lorsque sont caractérisés :

  • un manquement délibéré à certaines obligations légales ;
  • une négligence particulièrement grave ;
  • une infraction distincte révélée par l’incident.

La simple survenance d’une cyberattaque ne suffit donc pas à engager la responsabilité pénale des dirigeants. Cette précision est essentielle pour éviter toute confusion.

La responsabilité des salariés

Les collaborateurs jouent un rôle essentiel dans la sécurité numérique. Une erreur humaine peut favoriser une cyberattaque. Toutefois, toutes les erreurs ne constituent pas une faute juridique. Il convient de distinguer :

  • la simple maladresse ;
  • la négligence ;
  • le non-respect des procédures internes ;
  • le comportement intentionnel.

L’organisation demeure généralement responsable des actes accomplis par ses salariés dans le cadre de leurs fonctions. Les situations doivent néanmoins être appréciées au cas par cas.

La force majeure peut-elle être invoquée ?

Certaines organisations s’interrogent sur la possibilité d’invoquer la force majeure après une cyberattaque. La réponse dépend des circonstances. Toutes les cyberattaques ne constituent pas un cas de force majeure. Les juridictions apprécient notamment : 121

  • le caractère imprévisible de l’événement ;
  • son caractère irrésistible ;
  • son extériorité.

Cette analyse demeure très factuelle. Il est donc difficile de raisonner de manière générale.

L’importance de démontrer sa diligence

Dans la plupart des contentieux, la question essentielle devient la suivante : L’organisation avait-elle adopté des mesures raisonnables de prévention ? Pour répondre à cette interrogation, plusieurs éléments peuvent être produits. Par exemple :

  • une politique de cybersécurité ;
  • une cartographie des risques ;
  • des audits réguliers ;
  • des formations ;
  • des procédures documentées ;
  • un plan de réponse à incident ;
  • des comptes rendus de gouvernance.

Cette documentation permet de démontrer que la cybersécurité était effectivement intégrée dans la gestion de l’organisation.

Le rôle de l’assurance

L’assurance cyber ne fait pas disparaître les responsabilités. Elle permet principalement de limiter certaines conséquences financières. Selon les contrats, elle peut couvrir notamment :

  • les frais d’expertise ;
  • les frais de restauration ;
  • certaines pertes d’exploitation ;

122

  • les frais de communication de crise ;
  • les frais de défense.

Les conditions de garantie varient toutefois d’un contrat à l’autre. Une lecture attentive des clauses demeure indispensable.

Les enseignements des contentieux

L’analyse des affaires portées devant les juridictions montre une évolution constante. Les débats portent de moins en moins sur l’existence de l’attaque. Ils portent davantage sur :

  • la qualité de la gouvernance ;
  • la préparation de l’organisation ;
  • la gestion des risques ;
  • la documentation ;
  • les décisions prises pendant la crise.

Cette évolution traduit une maturité croissante du droit de la cybersécurité.

Une responsabilité qui s’inscrit dans une gouvernance globale

Les responsabilités liées à une cyberattaque ne peuvent plus être analysées isolément. Elles s’articulent désormais avec :

  • la protection des données personnelles ;
  • la conformité réglementaire ;
  • la gestion des risques ;
  • la gouvernance contractuelle ;
  • la continuité d’activité ;
  • la cybersécurité.

Ces différents domaines participent d’une même logique. 123 Le droit ne cherche plus uniquement à sanctionner les manquements. Il encourage les organisations à construire une gouvernance capable d’anticiper les risques et de protéger durablement les personnes.

La responsabilité numérique comme principe directeur

Les évolutions récentes du droit européen montrent une convergence remarquable. Le RGPD, la directive NIS2, le Cyber Resilience Act, DORA ou encore l’AI Act poursuivent un objectif commun. Ils renforcent progressivement la responsabilité des acteurs du numérique. Cette responsabilité ne consiste pas uniquement à réparer les dommages. Elle implique :

  • d’anticiper les risques ;
  • de documenter les décisions ;
  • de démontrer la conformité ;
  • d’assurer une gouvernance efficace ;
  • de protéger les droits fondamentaux.

Cette approche constitue le socle de la responsabilité numérique. Elle dépasse largement la seule gestion des cyberattaques. Elle propose une nouvelle manière de gouverner les technologies au sein des organisations.

À retenir

La responsabilité en matière de cyberattaque ne résulte jamais automatiquement de la survenance d’un incident. Elle dépend de l’analyse des circonstances, des obligations applicables et des mesures effectivement mises en œuvre par l’organisation. Une gouvernance structurée, une documentation rigoureuse et une gestion anticipée des risques constituent les meilleurs moyens de limiter les conséquences juridiques d’une cyberattaque et de démontrer une démarche conforme aux exigences de la responsabilité numérique. 124 ➡ Chapitre suivant : Déposer plainte et coopérer avec les autorités : comment engager les démarches judiciaires et accompagner efficacement les investigations après une cyberattaque ?

PARTIE III — Réagir juridiquement à une cyberattaque Chapitre 15 — Déposer plainte et coopérer avec les autorités : organiser la réponse judiciaire après une cyberattaque

Une cyberattaque constitue bien plus qu’un incident informatique. Dans la majorité des cas, elle résulte de la commission d’une ou plusieurs infractions pénales. Accès frauduleux à un système d’information, extorsion, escroquerie, usurpation d’identité numérique, atteinte aux données ou encore chantage constituent autant de qualifications susceptibles d’être retenues selon les circonstances. Pour les organisations victimes, une question se pose rapidement : Faut-il déposer plainte ? La réponse est, dans la plupart des situations, positive. Le dépôt de plainte ne constitue pas seulement une démarche destinée à identifier les auteurs. Il participe également à la protection des intérêts de l’organisation, à la conservation des preuves et au respect de certaines obligations contractuelles ou assurantielles. Il s’inscrit plus largement dans une stratégie juridique de gestion de crise.

Pourquoi déposer plainte ?

Certaines organisations hésitent à saisir les autorités. Elles craignent notamment :

  • une atteinte à leur réputation ;
  • une médiatisation de l’incident ;
  • une procédure longue ;
  • une faible probabilité d’identifier les auteurs.

125 Ces préoccupations sont compréhensibles. Elles ne doivent toutefois pas conduire à renoncer systématiquement au dépôt de plainte. Celui-ci présente plusieurs intérêts. Il permet notamment :

  • d’engager officiellement une enquête ;
  • de préserver certains éléments de preuve ;
  • de documenter les faits ;
  • de faciliter les relations avec les assureurs ;
  • de démontrer la diligence de l’organisation ;
  • de contribuer à la lutte contre la cybercriminalité.

Le dépôt de plainte participe ainsi à une démarche de responsabilité.

Quelles infractions peuvent être retenues ?

Le droit pénal français réprime de nombreuses infractions informatiques. Sans prétendre à l’exhaustivité, les cyberattaques peuvent notamment relever :

  • de l’accès frauduleux à un système de traitement automatisé de données ;
  • du maintien frauduleux dans un système ;
  • de l’entrave au fonctionnement d’un système ;
  • de l’introduction, de la suppression ou de la modification frauduleuse de données ;
  • de l’escroquerie ;
  • de l’extorsion ;
  • du chantage ;
  • de l’usurpation d’identité numérique ;
  • du blanchiment des produits issus de la cybercriminalité.

La qualification juridique dépendra naturellement des circonstances propres à chaque affaire.

Quand déposer plainte ?

126 Il est généralement recommandé d’agir rapidement. Toutefois, rapidité ne signifie pas précipitation. Avant toute démarche, l’organisation doit :

  • stabiliser la situation ;
  • préserver les preuves ;
  • identifier les premiers éléments de fait ;
  • réunir les documents utiles.

Un dépôt de plainte fondé sur des informations incomplètes demeure possible. Il pourra être complété au fur et à mesure de l’avancement des investigations. L’essentiel est d’éviter toute perte d’information.

Qui peut déposer plainte ?

Le dépôt de plainte est généralement effectué par le représentant légal de l’organisation ou par une personne dûment habilitée. Dans la pratique, cette démarche est souvent préparée avec :

  • la direction juridique ;
  • les responsables de la cybersécurité ;
  • les équipes informatiques ;
  • l’avocat de l’organisation.

Cette coordination garantit la cohérence des informations transmises.

Quels éléments joindre à la plainte ?

Une plainte efficace repose sur une documentation solide. Sans rechercher une exhaustivité immédiate, il est utile de réunir notamment :

  • une chronologie des événements ;
  • les journaux techniques disponibles ;
  • les captures d’écran ;
  • les courriels frauduleux ;

127

  • les demandes de rançon ;
  • les rapports d’expertise ;
  • les constats techniques ;
  • les premières évaluations des conséquences.

Ces éléments faciliteront le travail des enquêteurs.

Les services compétents

Selon la nature de l’incident, la plainte pourra être déposée auprès :

  • des services de police ;
  • des unités spécialisées de la gendarmerie ;
  • des services compétents en matière de criminalité numérique.

Les dossiers les plus complexes peuvent ensuite être confiés à des services spécialisés disposant des compétences techniques nécessaires. Cette spécialisation est devenue indispensable compte tenu du caractère international de nombreuses cyberattaques.

Coopérer avec les enquêteurs

Le dépôt de plainte constitue le point de départ de la procédure. Il est ensuite essentiel de maintenir une coopération active avec les autorités. Cette coopération peut notamment consister à :

  • transmettre des informations complémentaires ;
  • fournir les éléments techniques demandés ;
  • expliquer l’architecture du système d’information ;
  • répondre aux demandes des enquêteurs ;
  • signaler toute évolution de la situation.

Cette coopération favorise l’efficacité des investigations. 128

Préserver le secret professionnel et les informations confidentielles

Certaines organisations détiennent des informations particulièrement sensibles. Il peut s’agir :

  • de données couvertes par le secret professionnel ;
  • de secrets d’affaires ;
  • d’informations stratégiques ;
  • de données médicales ;
  • d’informations relevant de la défense nationale.

La coopération avec les autorités doit naturellement respecter les règles applicables à ces informations. L’avocat joue ici un rôle essentiel afin de concilier les exigences de l’enquête avec la protection des intérêts de l’organisation.

Les relations avec les autorités administratives

Le dépôt de plainte ne remplace pas les autres obligations juridiques. Selon les circonstances, l’organisation devra également :

  • notifier la CNIL lorsqu’une violation de données personnelles le justifie ;
  • satisfaire aux obligations prévues par la directive NIS2 ;
  • informer certaines autorités sectorielles ;
  • respecter ses engagements contractuels.

Ces démarches sont complémentaires. Elles poursuivent des finalités différentes.

Les relations avec l’assureur

Les contrats d’assurance cyber prévoient souvent des obligations particulières. Certains assureurs demandent notamment :

  • une copie du dépôt de plainte ;

129

  • les premiers rapports d’expertise ;
  • les justificatifs des investigations réalisées.

Une bonne coordination entre les démarches judiciaires et les obligations d’assurance facilite la gestion du sinistre.

La coopération internationale

Les cyberattaques dépassent fréquemment les frontières nationales. Les auteurs peuvent agir depuis plusieurs pays. Les infrastructures utilisées sont souvent réparties dans différents États. Les enquêtes mobilisent donc régulièrement des mécanismes de coopération internationale. Cette dimension explique la complexité de certaines procédures. Elle ne doit toutefois pas décourager les victimes de signaler les faits. Chaque plainte contribue à améliorer la connaissance des modes opératoires des groupes criminels.

Le rôle de l’avocat

L’avocat accompagne l’organisation tout au long de la procédure. Son intervention ne se limite pas au dépôt de plainte. Il peut notamment :

  • analyser les qualifications juridiques ;
  • préparer les éléments de preuve ;
  • rédiger ou relire la plainte ;
  • coordonner les échanges avec les enquêteurs ;
  • protéger les intérêts de l’organisation ;
  • anticiper les contentieux civils ou contractuels ;
  • assister l’organisation en cas d’audition.

Il constitue également un interlocuteur privilégié entre les équipes techniques et les autorités judiciaires. 130

Les erreurs les plus fréquentes

L’expérience montre que plusieurs erreurs fragilisent les démarches judiciaires. Par exemple :

  • attendre plusieurs semaines avant de déposer plainte ;
  • déposer une plainte sans conserver les preuves ;
  • modifier les systèmes avant toute analyse ;
  • communiquer publiquement sur l’identité supposée des auteurs ;
  • transmettre des informations inexactes ou incomplètes ;
  • négliger la coordination entre les différents intervenants.

Une organisation préparée limite considérablement ces risques.

La coopération avec les autorités : un acte de gouvernance

Déposer plainte ne constitue pas uniquement une réaction à une infraction. Il s’agit également d’une démarche de gouvernance. Une organisation qui coopère avec les autorités démontre qu’elle :

  • assume ses responsabilités ;
  • participe à la lutte contre la cybercriminalité ;
  • protège ses partenaires ;
  • contribue à l’amélioration de la sécurité collective.

Cette coopération dépasse les intérêts immédiats de la victime. Elle participe au renforcement de la confiance dans l’environnement numérique.

Une démarche conforme à la responsabilité numérique

La responsabilité numérique ne se limite pas à prévenir les cyberattaques. 131 Elle implique également d’adopter un comportement responsable lorsqu’un incident survient. Préserver les preuves, coopérer avec les autorités, respecter les procédures judiciaires et contribuer à l’identification des auteurs participent d’une même logique. La gouvernance numérique ne s’arrête donc pas à la mise en conformité. Elle se poursuit dans la manière dont l’organisation assume ses responsabilités face aux risques.

À retenir

Le dépôt de plainte constitue une étape importante de la gestion juridique d’une cyberattaque. Il facilite les investigations, contribue à la préservation des preuves et permet à l’organisation de défendre ses intérêts dans un cadre judiciaire. Associé à une coopération rigoureuse avec les autorités compétentes, il participe à une gouvernance responsable de la cybersécurité et s’inscrit pleinement dans une démarche de responsabilité numérique. ➡ Chapitre suivant : Le coût juridique, économique et réputationnel d’une cyberattaque : pourquoi investir dans la prévention est devenu un choix stratégique.

PARTIE III — Réagir juridiquement à une cyberattaque Chapitre 16 — Le coût juridique, économique et réputationnel d’une cyberattaque : pourquoi investir dans la prévention est devenu un choix stratégique

Pendant longtemps, la cybersécurité a été perçue comme un centre de coûts. Les investissements consacrés à la protection des systèmes d’information étaient souvent considérés comme des dépenses difficiles à rentabiliser, dans la mesure où ils visaient à prévenir un risque dont la réalisation demeurait incertaine. Cette perception évolue rapidement. Les cyberattaques démontrent désormais qu’une absence de préparation peut engendrer des conséquences dont le coût dépasse très largement celui des mesures de prévention. Ces conséquences ne sont pas uniquement financières. 132 Elles affectent également la continuité de l’activité, les relations contractuelles, la conformité réglementaire, la réputation de l’organisation et la confiance de ses partenaires. La véritable question n’est donc plus de savoir combien coûte la cybersécurité. Elle est de mesurer combien peut coûter son insuffisance.

Le coût immédiat de la gestion de crise

Une cyberattaque mobilise immédiatement des ressources importantes. Les premières dépenses concernent généralement :

  • les investigations techniques ;
  • les experts en cybersécurité ;
  • la restauration des systèmes ;
  • les prestations d’informatique légale ;
  • les conseils juridiques ;
  • les frais de communication de crise.

À ces coûts s’ajoutent les moyens humains mobilisés pendant plusieurs jours, voire plusieurs semaines. La direction générale, les équipes informatiques, les juristes, les responsables conformité et les services métiers doivent souvent interrompre leurs activités habituelles pour gérer la crise. Cette désorganisation représente un coût rarement anticipé.

Le coût de l’interruption d’activité

Pour de nombreuses organisations, l’interruption de l’activité constitue la conséquence la plus lourde. Une cyberattaque peut empêcher :

  • l’accès aux applications métiers ;
  • la production industrielle ;
  • la gestion logistique ;
  • la facturation ;
  • le traitement des commandes ;

133

  • la relation avec les clients.

Même lorsqu’aucune donnée n’est détruite, l’indisponibilité temporaire des systèmes peut provoquer :

  • une perte de chiffre d’affaires ;
  • des retards contractuels ;
  • des pénalités ;
  • une désorganisation interne durable.

Plus l’organisation dépend du numérique, plus ce risque devient important.

Le coût de la remise en conformité

Après une cyberattaque, les organisations doivent souvent engager des actions correctrices importantes. Il peut notamment être nécessaire :

  • de renforcer les mesures de sécurité ;
  • de revoir les procédures internes ;
  • de modifier les contrats ;
  • de mettre à jour les logiciels ;
  • de réaliser de nouveaux audits ;
  • de former les collaborateurs.

Ces investissements, qui auraient pu être planifiés de manière progressive, deviennent souvent urgents. Ils interviennent dans un contexte déjà fragilisé par les conséquences de l’incident.

Le coût des obligations réglementaires

Une cyberattaque entraîne fréquemment des obligations prévues par plusieurs réglementations. L’organisation peut notamment devoir :

  • réaliser une analyse juridique de l’incident ;
  • notifier une violation de données personnelles ;
  • documenter les investigations ;

134

  • répondre aux demandes des autorités ;
  • mettre en œuvre des mesures correctrices.

Ces démarches mobilisent des compétences spécialisées et nécessitent une coordination importante entre les différents services.

Le coût des contentieux

Les conséquences d’une cyberattaque ne s’arrêtent pas toujours avec le rétablissement des systèmes. Des litiges peuvent apparaître plusieurs mois après les faits. Ils peuvent opposer l’organisation :

  • à ses clients ;
  • à ses fournisseurs ;
  • à ses sous-traitants ;
  • à ses partenaires ;
  • à certaines personnes concernées.

Ces contentieux peuvent porter notamment sur :

  • l’exécution des contrats ;
  • les retards de livraison ;
  • les violations de confidentialité ;
  • les dommages subis ;
  • les obligations de sécurité.

Le coût des procédures judiciaires vient alors s’ajouter aux dépenses déjà engagées.

Le coût réputationnel

La confiance constitue aujourd’hui l’un des principaux actifs d’une organisation. Une cyberattaque médiatisée peut durablement affecter :

  • l’image de marque ;
  • la relation avec les clients ;
  • la confiance des partenaires ;

135

  • l’attractivité auprès des talents ;
  • la crédibilité auprès des investisseurs.

Le préjudice réputationnel est souvent difficile à mesurer. Ses effets peuvent toutefois perdurer bien après la résolution de l’incident. Dans certains secteurs, la perte de confiance peut produire des conséquences économiques plus importantes que l’attaque elle-même.

Le coût humain

Les conséquences d’une cyberattaque ne sont pas uniquement techniques ou financières. Les équipes sont souvent confrontées à une forte pression. Les collaborateurs peuvent être amenés à :

  • travailler dans l’urgence ;
  • gérer des situations de crise ;
  • répondre aux inquiétudes des clients ;
  • participer aux investigations.

Cette mobilisation exceptionnelle peut générer :

  • une fatigue importante ;
  • une perte de motivation ;
  • des tensions internes ;
  • un risque accru d’erreurs.

La dimension humaine de la cybersécurité demeure encore trop souvent sous-estimée.

Le coût stratégique

Certaines cyberattaques affectent directement la stratégie de l’organisation. Par exemple :

  • un projet d’innovation peut être retardé ;
  • une opération de croissance externe peut être différée ;
  • un appel d’offres peut être perdu ;

136

  • un partenariat peut être remis en question.

La cybersécurité devient ainsi un facteur de compétitivité. Les organisations capables de démontrer leur maturité numérique renforcent la confiance de leurs partenaires économiques.

Le coût pour les dirigeants

Les dirigeants sont désormais directement impliqués dans la gouvernance de la cybersécurité. Une cyberattaque majeure peut conduire à :

  • une mobilisation durable des organes de direction ;
  • des échanges avec les autorités ;
  • des réunions extraordinaires de gouvernance ;
  • des décisions stratégiques urgentes.

La gestion de la crise mobilise des ressources qui ne peuvent plus être consacrées au développement de l’organisation. Le coût d’opportunité est souvent considérable.

La prévention : un investissement et non une dépense

Face à ces différents coûts, la prévention apparaît sous un jour nouveau. Investir dans la cybersécurité ne consiste pas uniquement à acquérir des solutions techniques. Il s’agit également :

  • d’organiser la gouvernance ;
  • de cartographier les risques ;
  • de former les collaborateurs ;
  • de sécuriser les contrats ;
  • de préparer la gestion de crise ;
  • de documenter les procédures.

Ces investissements contribuent à réduire les conséquences potentielles d’un incident. 137 Ils renforcent également la résilience globale de l’organisation.

Une approche globale de la création de valeur

Les organisations les plus avancées ne considèrent plus la cybersécurité comme une contrainte réglementaire. Elles l’intègrent dans leur stratégie de création de valeur. Une gouvernance robuste permet notamment :

  • de rassurer les partenaires ;
  • de faciliter certaines certifications ;
  • de répondre aux exigences des donneurs d’ordre ;
  • de renforcer la confiance des investisseurs ;
  • de améliorer la continuité d’activité.

La cybersécurité devient ainsi un avantage concurrentiel.

La cybersécurité comme investissement de confiance

Dans une économie largement numérisée, la confiance est devenue un facteur de différenciation. Les clients attendent que leurs données soient protégées. Les partenaires souhaitent travailler avec des organisations capables d’assurer la continuité de leurs services. Les investisseurs recherchent des entreprises capables de maîtriser leurs risques. La cybersécurité participe directement à cette relation de confiance. Elle constitue désormais un élément de la réputation de l’organisation.

De la gestion des coûts à la responsabilité numérique

L’analyse économique d’une cyberattaque conduit à une conclusion simple. Les coûts les plus importants ne résultent pas uniquement de l’incident lui-même. 138 Ils proviennent souvent d’une préparation insuffisante. Les organisations qui développent une véritable gouvernance des risques numériques limitent généralement :

  • les conséquences opérationnelles ;
  • les contentieux ;
  • les interruptions d’activité ;
  • les atteintes à leur réputation.

Cette capacité d’anticipation constitue l’un des fondements de la responsabilité numérique. Être responsable ne consiste pas uniquement à réagir lorsqu’une crise survient. Cela implique d’investir durablement dans la prévention, la gouvernance, la conformité et la résilience afin de protéger les personnes, les activités et les actifs numériques.

À retenir

Le coût d’une cyberattaque dépasse largement les seules dépenses informatiques. Il englobe les pertes d’exploitation, les obligations réglementaires, les contentieux, les atteintes à la réputation, la mobilisation des équipes et les conséquences stratégiques pour l’organisation. À l’inverse, les investissements réalisés en matière de gouvernance, de prévention et de conformité doivent être considérés comme des investissements dans la confiance et la résilience. Ils constituent un levier de performance durable et l’une des expressions les plus concrètes de la responsabilité numérique.

Évaluation éditoriale

Ce chapitre clôt de manière cohérente la Partie III, mais je recommanderais une légère évolution de votre plan initial. Plutôt que d’enchaîner directement avec la gouvernance (Partie IV), il serait pertinent d’ajouter un dernier chapitre de transition : Chapitre 17 – Les enseignements d’une cyberattaque : transformer un incident en levier d’amélioration continue Ce chapitre ferait naturellement le lien entre la gestion de crise (Partie III) et la gouvernance (Partie IV), en abordant :

  • le retour d’expérience (lessons learned) ;
  • la mise à jour de la cartographie des risques ;

139

  • la révision des politiques de cybersécurité ;
  • l’amélioration des procédures internes ;
  • les exercices de crise ;
  • les audits post-incident ;
  • la montée en maturité de l’organisation.

Ce serait une excellente transition vers la dernière partie consacrée à la gouvernance, tout en restant fidèle au fil conducteur de l’ensemble de vos guides : comprendre → prévenir → réagir → améliorer → gouverner. Cette progression pédagogique renforcera la cohérence éditoriale de la collection et votre positionnement autour de la responsabilité numérique.

PARTIE III — Réagir juridiquement à une cyberattaque Chapitre 17 — Les enseignements d’une cyberattaque : transformer un incident en levier d’amélioration continue

La fin d’une cyberattaque ne marque pas la fin des obligations de l’organisation. Une fois les systèmes restaurés, les notifications réalisées et les premières conséquences maîtrisées, une nouvelle phase s’ouvre. Cette étape est souvent négligée. Elle est pourtant déterminante. Une organisation qui se contente de remettre en service son système d’information sans analyser les causes de l’incident s’expose à reproduire les mêmes erreurs. À l’inverse, une organisation qui transforme chaque incident en retour d’expérience renforce progressivement sa résilience. Cette logique d’amélioration continue constitue aujourd’hui l’un des principes fondamentaux des réglementations européennes relatives à la cybersécurité. Le RGPD, la directive NIS2, le règlement DORA ou encore le Cyber Resilience Act reposent tous sur une même idée : la sécurité n’est jamais acquise. Elle doit évoluer en permanence.

Ne pas refermer trop vite la crise

140 Le retour à la normale constitue naturellement une priorité. Les activités reprennent. Les équipes retrouvent leurs missions habituelles. La pression diminue. C’est précisément à ce moment que certaines organisations commettent une erreur. Elles considèrent que la crise est terminée. En réalité, l’incident doit devenir un objet d’analyse. Il convient notamment de se demander :

  • comment l’attaque est-elle devenue possible ?
  • quelles mesures ont permis d’en limiter les conséquences ?
  • quelles difficultés ont été rencontrées ?
  • quelles décisions auraient pu être prises plus rapidement ?

Cette analyse conditionne la capacité de l’organisation à progresser.

Organiser un retour d’expérience

Le retour d’expérience, souvent désigné sous l’expression lessons learned, consiste à analyser collectivement la gestion de l’incident. Cette démarche ne poursuit pas un objectif disciplinaire. Il ne s’agit pas de rechercher un responsable. L’objectif est de comprendre. Le retour d’expérience peut notamment porter sur :

  • la détection de l’incident ;
  • l’organisation de la cellule de crise ;
  • la circulation de l’information ;
  • les décisions prises ;
  • la coordination entre les équipes ;
  • les relations avec les autorités ;
  • les relations avec les prestataires ;

141

  • la communication interne et externe.

Cette analyse doit être menée dans un climat de confiance afin de favoriser un retour d’information sincère.

Réévaluer la cartographie des risques

Toute cyberattaque révèle des vulnérabilités. Certaines étaient connues. D’autres ne l’étaient pas. La cartographie des risques doit donc être actualisée. Cette mise à jour peut conduire à :

  • identifier de nouveaux risques ;
  • revoir leur niveau de criticité ;
  • intégrer de nouveaux scénarios ;
  • réévaluer certaines dépendances.

Une cartographie figée perd rapidement sa pertinence. Elle doit évoluer avec les technologies et les menaces.

Revoir les politiques internes

L’analyse de l’incident conduit souvent à identifier des procédures insuffisamment adaptées. Il peut être nécessaire de revoir notamment :

  • la politique de cybersécurité ;
  • la politique de gestion des accès ;
  • les procédures de sauvegarde ;
  • la gestion des habilitations ;
  • les modalités de gestion des incidents ;
  • les procédures de notification.

L’objectif n’est pas de multiplier les règles. Il est de les rendre plus efficaces. 142

Adapter les mesures techniques

Les enseignements tirés des investigations permettent également d’améliorer les dispositifs techniques. Par exemple :

  • renforcer la supervision ;
  • améliorer la journalisation ;
  • segmenter davantage les réseaux ;
  • accélérer les mises à jour ;
  • renforcer l’authentification.

Ces évolutions doivent toutefois être intégrées dans une réflexion plus globale. La technologie ne constitue qu’un élément de la cybersécurité.

Renforcer la formation des collaborateurs

De nombreuses cyberattaques comportent une dimension humaine. Le retour d’expérience peut mettre en évidence :

  • une méconnaissance des procédures ;
  • des difficultés d’identification des tentatives d’hameçonnage ;
  • une mauvaise circulation des alertes ;
  • des comportements à risque.

Ces constats permettent d’adapter les actions de sensibilisation. Les formations gagnent alors en efficacité car elles reposent sur des situations concrètes.

Réexaminer les relations avec les prestataires

Une cyberattaque conduit parfois à réévaluer les relations contractuelles. L’organisation peut notamment s’interroger sur :

  • la qualité des prestations ;
  • les délais d’intervention ;

143

  • les engagements de sécurité ;
  • les obligations de coopération ;
  • les garanties contractuelles.

Cette analyse peut conduire à :

  • modifier certains contrats ;
  • renforcer les clauses de cybersécurité ;
  • revoir les procédures d’audit ;
  • sélectionner de nouveaux partenaires.

Tester les nouveaux dispositifs

Une procédure n’est réellement efficace que lorsqu’elle est opérationnelle. Après une cyberattaque, il est recommandé d’organiser :

  • des exercices de crise ;
  • des simulations de cyberattaque ;
  • des tests de restauration ;
  • des exercices de communication.

Ces entraînements permettent de vérifier que les améliorations décidées sont effectivement applicables. Ils contribuent également à développer une culture commune de la gestion des risques.

Documenter les améliorations

Les actions engagées après l’incident doivent être formalisées. Cette documentation peut comprendre :

  • les conclusions du retour d’expérience ;
  • les décisions prises ;
  • les mesures correctrices ;
  • les responsables désignés ;
  • le calendrier de mise en œuvre.

144 Cette traçabilité présente plusieurs avantages. Elle facilite :

  • le suivi des actions ;
  • les audits ;
  • les contrôles réglementaires ;
  • la démonstration de la conformité.

Informer les organes de gouvernance

Les enseignements d’une cyberattaque intéressent directement les dirigeants. Ils doivent être présentés aux organes de gouvernance. Cette présentation peut notamment porter sur :

  • les causes de l’incident ;
  • les conséquences observées ;
  • les enseignements retenus ;
  • les investissements nécessaires ;
  • les évolutions proposées.

La cybersécurité devient ainsi un sujet de pilotage stratégique.

Développer une culture d’amélioration continue

La maturité d’une organisation ne se mesure pas uniquement à sa capacité à éviter les cyberattaques. Elle se mesure également à sa capacité à apprendre. Cette culture repose sur plusieurs principes :

  • accepter le retour d’expérience ;
  • partager les enseignements ;
  • remettre régulièrement les procédures en question ;
  • adapter les dispositifs aux nouvelles menaces ;

145

  • inscrire la cybersécurité dans une dynamique permanente de progrès.

Cette démarche correspond pleinement aux attentes des principales réglementations européennes.

Les erreurs les plus fréquentes

Certaines organisations reproduisent les mêmes difficultés après chaque incident. Par exemple :

  • ne réaliser aucun retour d’expérience ;
  • considérer la crise comme définitivement terminée dès la reprise de l’activité ;
  • ne modifier aucune procédure ;
  • ne former ni les équipes ni les dirigeants ;
  • ne suivre aucune mesure corrective.

Ces pratiques empêchent l’organisation de progresser.

Une opportunité de renforcer la gouvernance

Une cyberattaque constitue toujours une épreuve. Elle peut également devenir une opportunité. Elle permet :

  • d’identifier les vulnérabilités réelles ;
  • de renforcer les procédures ;
  • d’améliorer la coordination interne ;
  • de consolider les relations avec les partenaires ;
  • de développer une gouvernance plus mature.

Les organisations qui adoptent cette approche renforcent progressivement leur résilience.

De la gestion de crise à la responsabilité numérique

L’amélioration continue constitue l’une des caractéristiques essentielles d’une gouvernance responsable. 146 Une organisation responsable ne cherche pas uniquement à respecter les textes. Elle développe une capacité permanente d’apprentissage. Chaque incident devient une source d’information permettant d’améliorer :

  • la gouvernance ;
  • la conformité ;
  • la sécurité ;
  • la protection des personnes ;
  • la continuité d’activité.

Cette logique est au cœur de la responsabilité numérique. Elle traduit une évolution majeure du droit contemporain : la conformité ne se réduit plus au respect ponctuel d’obligations réglementaires. Elle devient une démarche vivante, évolutive et stratégique, tournée vers l’amélioration continue et la maîtrise durable des risques numériques.

À retenir

La fin d’une cyberattaque ne marque pas la fin de la gouvernance. Le retour d’expérience, la mise à jour des procédures, le renforcement des mesures de sécurité, la formation des équipes et l’information des dirigeants constituent des étapes essentielles pour transformer un incident en levier de progrès. Les organisations les plus résilientes ne sont pas celles qui ne subissent jamais d’attaque. Ce sont celles qui savent apprendre de chaque événement et intégrer ces enseignements dans une stratégie durable de gouvernance et de responsabilité numérique. ➡ Partie suivante : PARTIE IV — Construire une gouvernance juridique de la cybersécurité : intégrer durablement la sécurité numérique dans la stratégie, la conformité et la gouvernance des organisations.

PARTIE IV — Construire une gouvernance juridique de la cybersécurité

147

Chapitre 18 — Construire une gouvernance de la cybersécurité : faire de la sécurité numérique un pilier de la stratégie de l’organisation

La cybersécurité ne peut plus être appréhendée comme une succession de mesures techniques destinées à protéger un système d’information. Elle constitue désormais une composante essentielle de la gouvernance des organisations. Cette évolution résulte d’une transformation profonde du cadre juridique. Le RGPD, la directive NIS2, le règlement DORA, le Cyber Resilience Act ou encore les exigences contractuelles des partenaires économiques poursuivent une même logique : la sécurité numérique doit être pensée, organisée, pilotée et évaluée au plus haut niveau de l’organisation. La gouvernance de la cybersécurité ne consiste donc pas uniquement à répondre aux incidents. Elle vise à créer les conditions permettant d’anticiper les risques, de protéger les actifs stratégiques, de respecter les obligations juridiques et de renforcer durablement la confiance.

Gouverner plutôt que subir

Une organisation mature n’attend pas qu’une cyberattaque survienne pour s’intéresser à la sécurité numérique. Elle adopte une démarche structurée. Cette démarche repose sur plusieurs principes :

  • identifier les risques ;
  • définir les responsabilités ;
  • organiser les processus de décision ;
  • allouer les ressources nécessaires ;
  • mesurer régulièrement l’efficacité des dispositifs.

La gouvernance transforme ainsi la cybersécurité en une politique permanente plutôt qu’en une réaction ponctuelle.

Faire de la cybersécurité un sujet stratégique

148 La cybersécurité doit être intégrée dans les décisions stratégiques de l’organisation. Elle ne peut plus être limitée aux projets informatiques. Elle concerne également :

  • les investissements ;
  • les acquisitions ;
  • les projets numériques ;
  • les partenariats ;
  • les relations avec les fournisseurs ;
  • les opérations de croissance externe ;
  • la transformation digitale.

Chaque décision importante doit désormais intégrer une réflexion sur les risques numériques.

Le rôle des organes de gouvernance

Le conseil d’administration, le comité exécutif ou l’organe dirigeant jouent un rôle central. Ils doivent notamment :

  • définir les orientations stratégiques ;
  • fixer le niveau de risque acceptable ;
  • suivre les indicateurs de cybersécurité ;
  • contrôler la mise en œuvre des politiques internes ;
  • arbitrer les investissements.

La cybersécurité devient ainsi un sujet récurrent de gouvernance. Elle ne doit plus être abordée uniquement lors d’un incident.

Définir clairement les responsabilités

Une gouvernance efficace repose sur une répartition claire des missions. Selon la taille de l’organisation, plusieurs acteurs peuvent intervenir. Par exemple : 149

  • la direction générale ;
  • la direction juridique ;
  • le responsable de la sécurité des systèmes d’information (RSSI) ;
  • le délégué à la protection des données (DPO) ;
  • la direction des risques ;
  • la direction de la conformité ;
  • les directions métiers ;
  • les ressources humaines.

Chaque acteur doit connaître précisément son rôle. Cette clarification évite les incertitudes en période de crise.

Une gouvernance fondée sur les risques

Le droit européen privilégie désormais une approche fondée sur le risque. La gouvernance doit donc commencer par une connaissance précise des vulnérabilités de l’organisation. Cette analyse peut notamment porter sur :

  • les systèmes critiques ;
  • les données stratégiques ;
  • les dépendances technologiques ;
  • les fournisseurs essentiels ;
  • les risques humains ;
  • les obligations réglementaires.

Cette cartographie constitue le socle de l’ensemble de la politique de cybersécurité.

Définir une politique de cybersécurité

La politique de cybersécurité formalise les orientations retenues par l’organisation. Elle précise notamment :

  • les objectifs poursuivis ;

150

  • les principes de sécurité ;
  • les responsabilités ;
  • les procédures internes ;
  • les modalités de contrôle ;
  • les mécanismes d’amélioration continue.

Ce document constitue une référence commune pour l’ensemble des collaborateurs.

Développer une gouvernance documentaire

Une gouvernance efficace repose également sur une documentation adaptée. Il est recommandé de formaliser notamment :

  • les politiques internes ;
  • les procédures de gestion des incidents ;
  • les plans de continuité ;
  • les plans de reprise d’activité ;
  • les procédures de notification ;
  • les registres des incidents ;
  • les comptes rendus d’audit.

Cette documentation facilite les contrôles, les certifications et la démonstration de la conformité.

Mettre en place des indicateurs de pilotage

Une politique de cybersécurité doit pouvoir être évaluée. Les organisations ont donc intérêt à suivre régulièrement certains indicateurs. Par exemple :

  • nombre d’incidents déclarés ;
  • délais de traitement ;
  • niveau de réalisation des formations ;
  • taux de mise à jour des systèmes ;

151

  • résultats des audits ;
  • suivi des plans d’action.

Ces indicateurs permettent aux dirigeants de disposer d’une vision objective du niveau de maturité de l’organisation.

Intégrer la cybersécurité dans les décisions d’investissement

La gouvernance suppose également d’intégrer la cybersécurité dans les décisions économiques. Chaque nouveau projet numérique devrait être analysé au regard de plusieurs questions. Par exemple :

  • quels nouveaux risques sont créés ?
  • quelles données seront traitées ?
  • quelles garanties offrent les fournisseurs ?
  • quelles obligations réglementaires seront applicables ?
  • quels investissements complémentaires seront nécessaires ?

Cette approche permet d’éviter que la sécurité ne soit traitée uniquement après la mise en œuvre du projet.

Associer les fonctions juridiques et conformité

La cybersécurité ne peut plus être pilotée exclusivement par les équipes informatiques. Les juristes et les responsables conformité apportent une expertise indispensable. Ils contribuent notamment à :

  • interpréter les obligations réglementaires ;
  • sécuriser les contrats ;
  • préparer les notifications ;
  • accompagner les contrôles ;
  • anticiper les contentieux.

Cette approche interdisciplinaire constitue aujourd’hui un facteur de réussite. 152

Développer une culture de gouvernance

Une gouvernance efficace ne repose pas uniquement sur des procédures. Elle suppose également une culture commune. Cette culture se construit progressivement grâce :

  • à la formation ;
  • à la sensibilisation ;
  • aux exercices de crise ;
  • au dialogue entre les métiers ;
  • au soutien visible de la direction.

Lorsque la cybersécurité devient une valeur partagée, les dispositifs gagnent considérablement en efficacité.

Une gouvernance évolutive

Les risques numériques évoluent rapidement. Les politiques de cybersécurité ne peuvent donc rester figées. La gouvernance doit prévoir :

  • une révision régulière des politiques ;
  • des audits périodiques ;
  • une veille juridique ;
  • une veille technologique ;
  • une mise à jour de la cartographie des risques.

Cette dynamique garantit l’adaptation permanente de l’organisation.

Une gouvernance au service de la confiance

L’objectif ultime de la gouvernance n’est pas uniquement de prévenir les cyberattaques. Il est de créer un environnement de confiance. Une organisation capable de démontrer la qualité de sa gouvernance inspire davantage confiance : 153

  • à ses clients ;
  • à ses partenaires ;
  • à ses collaborateurs ;
  • aux autorités ;
  • aux investisseurs.

La cybersécurité devient ainsi un facteur de crédibilité.

La gouvernance comme expression de la responsabilité numérique

La gouvernance de la cybersécurité dépasse désormais le respect des exigences réglementaires. Elle traduit une vision plus large de la place du numérique dans l’organisation. Être responsable signifie :

  • anticiper les risques plutôt que les subir ;
  • protéger les personnes autant que les systèmes ;
  • intégrer la conformité dans la stratégie ;
  • documenter les décisions ;
  • améliorer continuellement les pratiques.

Cette démarche constitue l’une des expressions les plus abouties de la responsabilité numérique. Elle fait de la cybersécurité non plus une contrainte technique, mais un véritable levier de gouvernance, de confiance et de création de valeur.

À retenir

La gouvernance de la cybersécurité repose sur une approche stratégique, transversale et évolutive. Elle implique les dirigeants, les juristes, les responsables conformité, les équipes informatiques et l’ensemble des métiers. En intégrant durablement la cybersécurité dans les décisions, les processus et la culture de l’organisation, celle-ci renforce sa résilience, sa conformité et la confiance de l’ensemble de ses parties prenantes. 154 ➡ Chapitre suivant : Élaborer une politique de cybersécurité : les documents, procédures et outils indispensables pour structurer une gouvernance efficace.

PARTIE IV — Construire une gouvernance juridique de la cybersécurité Chapitre 18 — Construire une gouvernance de la cybersécurité : faire de la sécurité numérique un pilier de la stratégie de l’organisation

La cybersécurité ne peut plus être appréhendée comme une succession de mesures techniques destinées à protéger un système d’information. Elle constitue désormais une composante essentielle de la gouvernance des organisations. Cette évolution résulte d’une transformation profonde du cadre juridique. Le RGPD, la directive NIS2, le règlement DORA, le Cyber Resilience Act ou encore les exigences contractuelles des partenaires économiques poursuivent une même logique : la sécurité numérique doit être pensée, organisée, pilotée et évaluée au plus haut niveau de l’organisation. La gouvernance de la cybersécurité ne consiste donc pas uniquement à répondre aux incidents. Elle vise à créer les conditions permettant d’anticiper les risques, de protéger les actifs stratégiques, de respecter les obligations juridiques et de renforcer durablement la confiance.

Gouverner plutôt que subir

Une organisation mature n’attend pas qu’une cyberattaque survienne pour s’intéresser à la sécurité numérique. Elle adopte une démarche structurée. Cette démarche repose sur plusieurs principes :

  • identifier les risques ;
  • définir les responsabilités ;
  • organiser les processus de décision ;
  • allouer les ressources nécessaires ;

155

  • mesurer régulièrement l’efficacité des dispositifs.

La gouvernance transforme ainsi la cybersécurité en une politique permanente plutôt qu’en une réaction ponctuelle.

Faire de la cybersécurité un sujet stratégique

La cybersécurité doit être intégrée dans les décisions stratégiques de l’organisation. Elle ne peut plus être limitée aux projets informatiques. Elle concerne également :

  • les investissements ;
  • les acquisitions ;
  • les projets numériques ;
  • les partenariats ;
  • les relations avec les fournisseurs ;
  • les opérations de croissance externe ;
  • la transformation digitale.

Chaque décision importante doit désormais intégrer une réflexion sur les risques numériques.

Le rôle des organes de gouvernance

Le conseil d’administration, le comité exécutif ou l’organe dirigeant jouent un rôle central. Ils doivent notamment :

  • définir les orientations stratégiques ;
  • fixer le niveau de risque acceptable ;
  • suivre les indicateurs de cybersécurité ;
  • contrôler la mise en œuvre des politiques internes ;
  • arbitrer les investissements.

La cybersécurité devient ainsi un sujet récurrent de gouvernance. Elle ne doit plus être abordée uniquement lors d’un incident. 156

Définir clairement les responsabilités

Une gouvernance efficace repose sur une répartition claire des missions. Selon la taille de l’organisation, plusieurs acteurs peuvent intervenir. Par exemple :

  • la direction générale ;
  • la direction juridique ;
  • le responsable de la sécurité des systèmes d’information (RSSI) ;
  • le délégué à la protection des données (DPO) ;
  • la direction des risques ;
  • la direction de la conformité ;
  • les directions métiers ;
  • les ressources humaines.

Chaque acteur doit connaître précisément son rôle. Cette clarification évite les incertitudes en période de crise.

Une gouvernance fondée sur les risques

Le droit européen privilégie désormais une approche fondée sur le risque. La gouvernance doit donc commencer par une connaissance précise des vulnérabilités de l’organisation. Cette analyse peut notamment porter sur :

  • les systèmes critiques ;
  • les données stratégiques ;
  • les dépendances technologiques ;
  • les fournisseurs essentiels ;
  • les risques humains ;
  • les obligations réglementaires.

Cette cartographie constitue le socle de l’ensemble de la politique de cybersécurité. 157

Définir une politique de cybersécurité

La politique de cybersécurité formalise les orientations retenues par l’organisation. Elle précise notamment :

  • les objectifs poursuivis ;
  • les principes de sécurité ;
  • les responsabilités ;
  • les procédures internes ;
  • les modalités de contrôle ;
  • les mécanismes d’amélioration continue.

Ce document constitue une référence commune pour l’ensemble des collaborateurs.

Développer une gouvernance documentaire

Une gouvernance efficace repose également sur une documentation adaptée. Il est recommandé de formaliser notamment :

  • les politiques internes ;
  • les procédures de gestion des incidents ;
  • les plans de continuité ;
  • les plans de reprise d’activité ;
  • les procédures de notification ;
  • les registres des incidents ;
  • les comptes rendus d’audit.

Cette documentation facilite les contrôles, les certifications et la démonstration de la conformité.

Mettre en place des indicateurs de pilotage

Une politique de cybersécurité doit pouvoir être évaluée. Les organisations ont donc intérêt à suivre régulièrement certains indicateurs. 158 Par exemple :

  • nombre d’incidents déclarés ;
  • délais de traitement ;
  • niveau de réalisation des formations ;
  • taux de mise à jour des systèmes ;
  • résultats des audits ;
  • suivi des plans d’action.

Ces indicateurs permettent aux dirigeants de disposer d’une vision objective du niveau de maturité de l’organisation.

Intégrer la cybersécurité dans les décisions d’investissement

La gouvernance suppose également d’intégrer la cybersécurité dans les décisions économiques. Chaque nouveau projet numérique devrait être analysé au regard de plusieurs questions. Par exemple :

  • quels nouveaux risques sont créés ?
  • quelles données seront traitées ?
  • quelles garanties offrent les fournisseurs ?
  • quelles obligations réglementaires seront applicables ?
  • quels investissements complémentaires seront nécessaires ?

Cette approche permet d’éviter que la sécurité ne soit traitée uniquement après la mise en œuvre du projet.

Associer les fonctions juridiques et conformité

La cybersécurité ne peut plus être pilotée exclusivement par les équipes informatiques. Les juristes et les responsables conformité apportent une expertise indispensable. Ils contribuent notamment à :

  • interpréter les obligations réglementaires ;

159

  • sécuriser les contrats ;
  • préparer les notifications ;
  • accompagner les contrôles ;
  • anticiper les contentieux.

Cette approche interdisciplinaire constitue aujourd’hui un facteur de réussite.

Développer une culture de gouvernance

Une gouvernance efficace ne repose pas uniquement sur des procédures. Elle suppose également une culture commune. Cette culture se construit progressivement grâce :

  • à la formation ;
  • à la sensibilisation ;
  • aux exercices de crise ;
  • au dialogue entre les métiers ;
  • au soutien visible de la direction.

Lorsque la cybersécurité devient une valeur partagée, les dispositifs gagnent considérablement en efficacité.

Une gouvernance évolutive

Les risques numériques évoluent rapidement. Les politiques de cybersécurité ne peuvent donc rester figées. La gouvernance doit prévoir :

  • une révision régulière des politiques ;
  • des audits périodiques ;
  • une veille juridique ;
  • une veille technologique ;
  • une mise à jour de la cartographie des risques.

Cette dynamique garantit l’adaptation permanente de l’organisation. 160

Une gouvernance au service de la confiance

L’objectif ultime de la gouvernance n’est pas uniquement de prévenir les cyberattaques. Il est de créer un environnement de confiance. Une organisation capable de démontrer la qualité de sa gouvernance inspire davantage confiance :

  • à ses clients ;
  • à ses partenaires ;
  • à ses collaborateurs ;
  • aux autorités ;
  • aux investisseurs.

La cybersécurité devient ainsi un facteur de crédibilité.

La gouvernance comme expression de la responsabilité numérique

La gouvernance de la cybersécurité dépasse désormais le respect des exigences réglementaires. Elle traduit une vision plus large de la place du numérique dans l’organisation. Être responsable signifie :

  • anticiper les risques plutôt que les subir ;
  • protéger les personnes autant que les systèmes ;
  • intégrer la conformité dans la stratégie ;
  • documenter les décisions ;
  • améliorer continuellement les pratiques.

Cette démarche constitue l’une des expressions les plus abouties de la responsabilité numérique. Elle fait de la cybersécurité non plus une contrainte technique, mais un véritable levier de gouvernance, de confiance et de création de valeur.

À retenir

La gouvernance de la cybersécurité repose sur une approche stratégique, transversale et évolutive. 161 Elle implique les dirigeants, les juristes, les responsables conformité, les équipes informatiques et l’ensemble des métiers. En intégrant durablement la cybersécurité dans les décisions, les processus et la culture de l’organisation, celle-ci renforce sa résilience, sa conformité et la confiance de l’ensemble de ses parties prenantes. ➡ Chapitre suivant : Élaborer une politique de cybersécurité : les documents, procédures et outils indispensables pour structurer une gouvernance efficace.

PARTIE IV — Construire une gouvernance juridique de la cybersécurité Chapitre 18 — Construire une gouvernance de la cybersécurité : faire de la sécurité numérique un pilier de la stratégie de l’organisation

La cybersécurité ne peut plus être appréhendée comme une succession de mesures techniques destinées à protéger un système d’information. Elle constitue désormais une composante essentielle de la gouvernance des organisations. Cette évolution résulte d’une transformation profonde du cadre juridique. Le RGPD, la directive NIS2, le règlement DORA, le Cyber Resilience Act ou encore les exigences contractuelles des partenaires économiques poursuivent une même logique : la sécurité numérique doit être pensée, organisée, pilotée et évaluée au plus haut niveau de l’organisation. La gouvernance de la cybersécurité ne consiste donc pas uniquement à répondre aux incidents. Elle vise à créer les conditions permettant d’anticiper les risques, de protéger les actifs stratégiques, de respecter les obligations juridiques et de renforcer durablement la confiance.

Gouverner plutôt que subir

Une organisation mature n’attend pas qu’une cyberattaque survienne pour s’intéresser à la sécurité numérique. Elle adopte une démarche structurée. 162 Cette démarche repose sur plusieurs principes :

  • identifier les risques ;
  • définir les responsabilités ;
  • organiser les processus de décision ;
  • allouer les ressources nécessaires ;
  • mesurer régulièrement l’efficacité des dispositifs.

La gouvernance transforme ainsi la cybersécurité en une politique permanente plutôt qu’en une réaction ponctuelle.

Faire de la cybersécurité un sujet stratégique

La cybersécurité doit être intégrée dans les décisions stratégiques de l’organisation. Elle ne peut plus être limitée aux projets informatiques. Elle concerne également :

  • les investissements ;
  • les acquisitions ;
  • les projets numériques ;
  • les partenariats ;
  • les relations avec les fournisseurs ;
  • les opérations de croissance externe ;
  • la transformation digitale.

Chaque décision importante doit désormais intégrer une réflexion sur les risques numériques.

Le rôle des organes de gouvernance

Le conseil d’administration, le comité exécutif ou l’organe dirigeant jouent un rôle central. Ils doivent notamment :

  • définir les orientations stratégiques ;
  • fixer le niveau de risque acceptable ;
  • suivre les indicateurs de cybersécurité ;

163

  • contrôler la mise en œuvre des politiques internes ;
  • arbitrer les investissements.

La cybersécurité devient ainsi un sujet récurrent de gouvernance. Elle ne doit plus être abordée uniquement lors d’un incident.

Définir clairement les responsabilités

Une gouvernance efficace repose sur une répartition claire des missions. Selon la taille de l’organisation, plusieurs acteurs peuvent intervenir. Par exemple :

  • la direction générale ;
  • la direction juridique ;
  • le responsable de la sécurité des systèmes d’information (RSSI) ;
  • le délégué à la protection des données (DPO) ;
  • la direction des risques ;
  • la direction de la conformité ;
  • les directions métiers ;
  • les ressources humaines.

Chaque acteur doit connaître précisément son rôle. Cette clarification évite les incertitudes en période de crise.

Une gouvernance fondée sur les risques

Le droit européen privilégie désormais une approche fondée sur le risque. La gouvernance doit donc commencer par une connaissance précise des vulnérabilités de l’organisation. Cette analyse peut notamment porter sur :

  • les systèmes critiques ;
  • les données stratégiques ;
  • les dépendances technologiques ;

164

  • les fournisseurs essentiels ;
  • les risques humains ;
  • les obligations réglementaires.

Cette cartographie constitue le socle de l’ensemble de la politique de cybersécurité.

Définir une politique de cybersécurité

La politique de cybersécurité formalise les orientations retenues par l’organisation. Elle précise notamment :

  • les objectifs poursuivis ;
  • les principes de sécurité ;
  • les responsabilités ;
  • les procédures internes ;
  • les modalités de contrôle ;
  • les mécanismes d’amélioration continue.

Ce document constitue une référence commune pour l’ensemble des collaborateurs.

Développer une gouvernance documentaire

Une gouvernance efficace repose également sur une documentation adaptée. Il est recommandé de formaliser notamment :

  • les politiques internes ;
  • les procédures de gestion des incidents ;
  • les plans de continuité ;
  • les plans de reprise d’activité ;
  • les procédures de notification ;
  • les registres des incidents ;
  • les comptes rendus d’audit.

Cette documentation facilite les contrôles, les certifications et la démonstration de la conformité. 165

Mettre en place des indicateurs de pilotage

Une politique de cybersécurité doit pouvoir être évaluée. Les organisations ont donc intérêt à suivre régulièrement certains indicateurs. Par exemple :

  • nombre d’incidents déclarés ;
  • délais de traitement ;
  • niveau de réalisation des formations ;
  • taux de mise à jour des systèmes ;
  • résultats des audits ;
  • suivi des plans d’action.

Ces indicateurs permettent aux dirigeants de disposer d’une vision objective du niveau de maturité de l’organisation.

Intégrer la cybersécurité dans les décisions d’investissement

La gouvernance suppose également d’intégrer la cybersécurité dans les décisions économiques. Chaque nouveau projet numérique devrait être analysé au regard de plusieurs questions. Par exemple :

  • quels nouveaux risques sont créés ?
  • quelles données seront traitées ?
  • quelles garanties offrent les fournisseurs ?
  • quelles obligations réglementaires seront applicables ?
  • quels investissements complémentaires seront nécessaires ?

Cette approche permet d’éviter que la sécurité ne soit traitée uniquement après la mise en œuvre du projet.

Associer les fonctions juridiques et conformité

166 La cybersécurité ne peut plus être pilotée exclusivement par les équipes informatiques. Les juristes et les responsables conformité apportent une expertise indispensable. Ils contribuent notamment à :

  • interpréter les obligations réglementaires ;
  • sécuriser les contrats ;
  • préparer les notifications ;
  • accompagner les contrôles ;
  • anticiper les contentieux.

Cette approche interdisciplinaire constitue aujourd’hui un facteur de réussite.

Développer une culture de gouvernance

Une gouvernance efficace ne repose pas uniquement sur des procédures. Elle suppose également une culture commune. Cette culture se construit progressivement grâce :

  • à la formation ;
  • à la sensibilisation ;
  • aux exercices de crise ;
  • au dialogue entre les métiers ;
  • au soutien visible de la direction.

Lorsque la cybersécurité devient une valeur partagée, les dispositifs gagnent considérablement en efficacité.

Une gouvernance évolutive

Les risques numériques évoluent rapidement. Les politiques de cybersécurité ne peuvent donc rester figées. La gouvernance doit prévoir :

  • une révision régulière des politiques ;
  • des audits périodiques ;

167

  • une veille juridique ;
  • une veille technologique ;
  • une mise à jour de la cartographie des risques.

Cette dynamique garantit l’adaptation permanente de l’organisation.

Une gouvernance au service de la confiance

L’objectif ultime de la gouvernance n’est pas uniquement de prévenir les cyberattaques. Il est de créer un environnement de confiance. Une organisation capable de démontrer la qualité de sa gouvernance inspire davantage confiance :

  • à ses clients ;
  • à ses partenaires ;
  • à ses collaborateurs ;
  • aux autorités ;
  • aux investisseurs.

La cybersécurité devient ainsi un facteur de crédibilité.

La gouvernance comme expression de la responsabilité numérique

La gouvernance de la cybersécurité dépasse désormais le respect des exigences réglementaires. Elle traduit une vision plus large de la place du numérique dans l’organisation. Être responsable signifie :

  • anticiper les risques plutôt que les subir ;
  • protéger les personnes autant que les systèmes ;
  • intégrer la conformité dans la stratégie ;
  • documenter les décisions ;
  • améliorer continuellement les pratiques.

Cette démarche constitue l’une des expressions les plus abouties de la responsabilité numérique. 168 Elle fait de la cybersécurité non plus une contrainte technique, mais un véritable levier de gouvernance, de confiance et de création de valeur.

À retenir

La gouvernance de la cybersécurité repose sur une approche stratégique, transversale et évolutive. Elle implique les dirigeants, les juristes, les responsables conformité, les équipes informatiques et l’ensemble des métiers. En intégrant durablement la cybersécurité dans les décisions, les processus et la culture de l’organisation, celle-ci renforce sa résilience, sa conformité et la confiance de l’ensemble de ses parties prenantes. ➡ Chapitre suivant : Élaborer une politique de cybersécurité : les documents, procédures et outils indispensables pour structurer une gouvernance efficace.

PARTIE IV — Construire une gouvernance juridique de la cybersécurité Chapitre 21 — Anticiper les évolutions du droit de la cybersécurité : vers une gouvernance européenne de la responsabilité numérique

Le droit de la cybersécurité connaît une évolution sans précédent. Pendant de nombreuses années, les organisations devaient principalement respecter des obligations éparses, souvent sectorielles et parfois limitées aux aspects techniques de la sécurité des systèmes d’information. Cette époque est révolue. L’Union européenne construit progressivement un véritable corpus juridique de la confiance numérique, dans lequel la cybersécurité constitue désormais un élément indissociable de la gouvernance des organisations. Le RGPD, la directive NIS2, le règlement DORA, le Cyber Resilience Act, le règlement sur l’intelligence artificielle (AI Act) ou encore les futures réglementations européennes ne doivent pas être analysés isolément. 169 Ils participent d’une même ambition. Créer un espace numérique européen fondé sur la confiance, la sécurité, la résilience et la responsabilité. Cette évolution marque un changement profond de paradigme. Les organisations ne sont plus uniquement responsables de leurs activités. Elles deviennent progressivement responsables de la manière dont elles conçoivent, utilisent, sécurisent et gouvernent les technologies numériques.

D’une logique de conformité à une logique de gouvernance

Pendant longtemps, la conformité consistait essentiellement à respecter un texte déterminé. Les organisations se demandaient :

  • quelles obligations leur étaient applicables ;
  • quels documents produire ;
  • quelles procédures mettre en place.

Cette approche demeure nécessaire. Elle devient cependant insuffisante. Les nouveaux textes européens imposent désormais une réflexion globale sur la gouvernance. Ils invitent les organisations à démontrer qu’elles maîtrisent durablement leurs risques numériques. La conformité cesse ainsi d’être un exercice ponctuel. Elle devient un processus permanent.

Le RGPD : protéger les personnes

Le RGPD a profondément renouvelé la protection des données personnelles. Au-delà des obligations juridiques classiques, il a introduit plusieurs principes structurants :

  • l’approche fondée sur les risques ;
  • l’accountability ;
  • la protection des données dès la conception ;

170

  • la documentation de la conformité ;
  • l’amélioration continue.

Ces principes dépassent aujourd’hui le seul champ des données personnelles. Ils irriguent l’ensemble du droit européen du numérique.

NIS2 : protéger les organisations essentielles

La directive NIS2 poursuit une logique complémentaire. Elle ne protège plus uniquement les données. Elle vise également :

  • les infrastructures ;
  • les services essentiels ;
  • les chaînes d’approvisionnement ;
  • la continuité des activités.

Elle consacre définitivement la cybersécurité comme une responsabilité des dirigeants. La sécurité numérique devient une composante de la gouvernance d’entreprise.

Le Cyber Resilience Act : sécuriser les technologies

Le Cyber Resilience Act déplace une partie de la responsabilité vers les fabricants et les éditeurs. La cybersécurité n’est plus uniquement une obligation des utilisateurs. Elle devient également une exigence de conception. Les produits numériques devront être pensés pour être sécurisés tout au long de leur cycle de vie. Cette évolution transforme progressivement l’ensemble du marché numérique européen.

DORA : garantir la résilience du secteur financier

Le règlement DORA constitue une illustration particulièrement aboutie de cette nouvelle approche. 171 Il impose aux acteurs financiers :

  • une gouvernance des risques numériques ;
  • des tests réguliers ;
  • une gestion des prestataires critiques ;
  • des procédures de continuité d’activité ;
  • une supervision permanente.

Même lorsqu’il ne s’applique pas directement, DORA constitue une source d’inspiration pour de nombreuses organisations. Il illustre la montée en puissance du concept de résilience opérationnelle.

L’AI Act : la cybersécurité au service de l’intelligence artificielle

Le règlement européen sur l’intelligence artificielle confirme cette convergence. Les systèmes d’IA à haut risque devront notamment présenter :

  • un niveau de sécurité approprié ;
  • une gouvernance documentaire ;
  • une gestion des risques ;
  • une surveillance humaine ;
  • une traçabilité.

La cybersécurité devient ainsi une condition du développement d’une intelligence artificielle digne de confiance. Les frontières entre les différentes réglementations s’estompent progressivement.

Une convergence des réglementations européennes

L’analyse de ces textes révèle une remarquable cohérence. Tous reposent sur des principes communs :

  • gouvernance ;

172

  • responsabilité ;
  • transparence ;
  • documentation ;
  • amélioration continue ;
  • gestion des risques ;
  • protection des personnes.

Cette convergence facilite progressivement l’émergence d’un véritable droit européen de la gouvernance numérique.

Les organisations doivent sortir d’une approche par silos

De nombreuses organisations continuent d’aborder séparément :

  • le RGPD ;
  • la cybersécurité ;
  • l’intelligence artificielle ;
  • la conformité ;
  • les achats numériques ;
  • la gestion des risques.

Cette organisation devient de moins en moins pertinente. Les nouveaux textes montrent au contraire que ces domaines sont profondément interdépendants. Une gouvernance moderne suppose une approche transversale.

La montée en puissance des dirigeants

Toutes les réglementations récentes renforcent progressivement les attentes à l’égard des organes de direction. Les dirigeants ne sont plus uniquement responsables :

  • des résultats économiques ;
  • de la stratégie commerciale ;

173

  • de la gestion financière.

Ils sont désormais attendus sur leur capacité à gouverner les technologies utilisées par leur organisation. Cette évolution constitue probablement l’une des transformations majeures du droit des entreprises au cours de cette décennie.

Une nouvelle culture de la preuve

Les textes européens présentent une autre caractéristique commune. Ils exigent de plus en plus que les organisations puissent démontrer leurs démarches. Il ne suffit plus d’affirmer que la cybersécurité est prise en compte. Il faut pouvoir produire :

  • les politiques internes ;
  • les cartographies des risques ;
  • les analyses réalisées ;
  • les audits ;
  • les formations ;
  • les décisions de gouvernance ;
  • les plans d’amélioration.

La documentation devient un véritable outil juridique.

Les prochaines évolutions

Le mouvement engagé par l’Union européenne est loin d’être achevé. Plusieurs tendances se dessinent déjà. On peut notamment anticiper :

  • un renforcement des obligations de gouvernance ;
  • une meilleure articulation entre les réglementations ;
  • une responsabilité accrue des fournisseurs de technologies ;
  • une harmonisation progressive des contrôles ;

174

  • une coopération renforcée entre autorités nationales et européennes.

Les organisations devront intégrer cette évolution permanente dans leur stratégie.

Anticiper plutôt que subir

Face à ces évolutions, deux approches sont possibles. La première consiste à attendre chaque nouveau texte afin de procéder aux ajustements nécessaires. Cette approche présente un inconvénient majeur. Elle place constamment l’organisation en situation de réaction. La seconde consiste à construire une gouvernance suffisamment robuste pour absorber les évolutions réglementaires. Cette approche offre une plus grande stabilité. Elle repose sur des principes durables plutôt que sur la seule conformité à un texte particulier.

La responsabilité numérique : un nouveau modèle de gouvernance

L’ensemble des réglementations européennes convergent progressivement vers une idée commune. La maîtrise des risques numériques ne peut plus être fragmentée. Elle suppose une gouvernance globale. Cette gouvernance réunit désormais :

  • la cybersécurité ;
  • la protection des données personnelles ;
  • l’intelligence artificielle ;
  • la conformité numérique ;
  • la gouvernance des données ;
  • la gestion des risques technologiques ;
  • la protection des droits fondamentaux.

Cette convergence correspond précisément à ce que nous désignons par la responsabilité numérique. 175 La responsabilité numérique ne constitue pas une nouvelle réglementation. Elle représente un modèle de gouvernance permettant d’organiser de manière cohérente l’ensemble des obligations numériques de l’organisation. Elle offre aux dirigeants une vision stratégique dépassant les approches sectorielles.

Vers une organisation durablement résiliente

Les organisations qui réussiront demain ne seront probablement pas celles qui appliqueront le plus rapidement chaque nouvelle réglementation. Ce seront celles qui auront développé une culture durable de gouvernance. Une telle organisation sera capable :

  • d’anticiper les évolutions du droit ;
  • d’intégrer les nouvelles technologies de manière responsable ;
  • d’assurer la sécurité de ses systèmes ;
  • de protéger les personnes ;
  • de démontrer sa conformité ;
  • d’adapter continuellement ses pratiques.

Cette capacité d’adaptation constitue aujourd’hui le véritable avantage concurrentiel des organisations les plus matures.

À retenir

Le droit européen de la cybersécurité évolue vers une approche intégrée de la gouvernance numérique. Le RGPD, NIS2, DORA, le Cyber Resilience Act et l’AI Act poursuivent un objectif commun : renforcer la sécurité, la confiance et la résilience des organisations. Plutôt que d’aborder ces réglementations séparément, les organisations ont intérêt à construire une gouvernance transversale fondée sur la gestion des risques, la documentation, la transparence et l’amélioration continue. Cette évolution annonce l’émergence d’un nouveau modèle de pilotage des organisations : la responsabilité numérique. ➡ Chapitre suivant : Conclusion générale — La cybersécurité, pilier d’une gouvernance responsable du numérique. 176

Conclusion générale La cybersécurité : un pilier de la responsabilité numérique

La cybersécurité a profondément changé de nature. Longtemps perçue comme un domaine réservé aux spécialistes des systèmes d’information, elle est devenue un enjeu majeur de gouvernance, de conformité et de responsabilité. Les cyberattaques qui touchent aujourd’hui les entreprises, les administrations, les collectivités, les établissements de santé ou les professions libérales démontrent que le numérique est désormais au cœur de toutes les activités. Cette dépendance crée de nouvelles opportunités. Elle génère également de nouveaux risques. Ces risques ne sont plus uniquement techniques. Ils concernent les personnes, les organisations, les contrats, les données, les infrastructures critiques, les droits fondamentaux et, plus largement, la confiance dans l’économie numérique.

Une évolution profonde du droit

L’analyse des réglementations européennes met en évidence une évolution remarquable. Le RGPD, la directive NIS2, le règlement DORA, le Cyber Resilience Act et l’AI Act ne poursuivent pas des objectifs distincts. Ils participent d’un même mouvement. Celui de la construction d’une gouvernance européenne du numérique. Cette gouvernance repose sur plusieurs principes désormais communs :

  • l’anticipation des risques ;
  • la responsabilité des organisations ;
  • l’implication des dirigeants ;
  • la documentation des décisions ;
  • l’amélioration continue ;
  • la protection des personnes ;
  • la transparence ;

177

  • la résilience.

La cybersécurité devient ainsi un élément structurant du droit contemporain.

Dépasser la logique de conformité

Pendant longtemps, les organisations ont abordé le numérique selon une logique de conformité. Chaque nouvelle réglementation donnait lieu à un projet spécifique. Le RGPD était traité séparément. La cybersécurité relevait de la direction informatique. L’intelligence artificielle devenait un sujet d’innovation. Les achats numériques relevaient des services opérationnels. Cette organisation par silos montre aujourd’hui ses limites. Les risques numériques sont désormais interdépendants. Une cyberattaque peut affecter les données personnelles, les contrats, les systèmes d’intelligence artificielle, la continuité d’activité, les obligations réglementaires et la réputation de l’organisation. La gouvernance doit donc devenir globale.

Une responsabilité qui concerne toute l’organisation

La cybersécurité ne relève plus d’un seul métier. Elle mobilise désormais :

  • les dirigeants ;
  • les juristes ;
  • les responsables conformité ;
  • les responsables de la sécurité des systèmes d’information ;
  • les délégués à la protection des données ;
  • les directions des ressources humaines ;
  • les directions achats ;
  • les directions métiers ;
  • les collaborateurs.

178 Chacun participe, à son niveau, à la protection de l’organisation. Cette responsabilité collective constitue l’une des évolutions majeures de ces dernières années.

Les dirigeants au cœur de la gouvernance

Les textes européens confient désormais un rôle central aux organes de direction. Les dirigeants ne sont plus uniquement responsables du développement économique de leur organisation. Ils sont également attendus sur leur capacité à :

  • comprendre les risques numériques ;
  • définir une stratégie adaptée ;
  • allouer les ressources nécessaires ;
  • superviser la gestion des risques ;
  • développer une culture de sécurité.

Cette évolution rapproche la cybersécurité des autres enjeux majeurs de gouvernance.

Une nouvelle manière de penser les risques

Les cyberattaques ne doivent plus être considérées comme des événements exceptionnels. Elles constituent désormais un risque structurel. Comme les risques financiers, environnementaux ou sociaux, elles doivent être intégrées dans la stratégie de l’organisation. Cette approche suppose :

  • une cartographie régulière des risques ;
  • une gouvernance documentée ;
  • une politique de cybersécurité ;
  • des audits ;
  • des formations ;
  • des exercices de crise ;
  • une amélioration continue.

La résilience devient ainsi un objectif permanent. 179

La confiance comme avantage stratégique

Dans une économie largement numérisée, la confiance constitue un facteur essentiel de compétitivité. Les clients souhaitent que leurs données soient protégées. Les partenaires recherchent des organisations fiables. Les investisseurs accordent une importance croissante à la maîtrise des risques numériques. Les autorités attendent une gouvernance responsable. La cybersécurité devient donc un facteur de différenciation. Elle contribue directement à la création de valeur.

La responsabilité numérique : une vision intégrée de la gouvernance

Au fil de ce guide, une idée directrice s’est progressivement imposée. Les enjeux numériques ne peuvent plus être abordés séparément. La cybersécurité, la protection des données personnelles, l’intelligence artificielle, la gouvernance des données, la conformité réglementaire et la gestion des risques participent désormais d’une même réalité. Cette réalité peut être résumée par une notion simple : la responsabilité numérique. La responsabilité numérique ne constitue pas une nouvelle obligation juridique. Elle représente une manière d’organiser durablement la gouvernance des technologies. Elle invite les organisations à dépasser la logique de conformité pour construire une véritable stratégie de maîtrise des risques numériques. Cette approche repose sur plusieurs convictions. Une organisation responsable est une organisation qui :

  • anticipe plutôt que subir ;
  • documente plutôt qu’improviser ;
  • gouverne plutôt que réagir ;

180

  • protège les personnes autant que les systèmes ;
  • considère la conformité comme un levier de confiance plutôt qu’une contrainte.

Cette vision constitue probablement l’une des évolutions majeures du droit du numérique.

Le rôle de l’avocat dans cette transformation

Face à cette complexité croissante, le rôle de l’avocat évolue également. Il ne se limite plus à intervenir lors d’un contentieux ou d’une crise. Il accompagne les organisations dans la construction de leur gouvernance. Son intervention peut porter notamment sur :

  • l’analyse des risques juridiques ;
  • la conformité réglementaire ;
  • la gouvernance de la cybersécurité ;
  • la rédaction des politiques internes ;
  • la sécurisation des contrats ;
  • la gestion des incidents ;
  • les relations avec les autorités ;
  • les audits de conformité ;
  • la stratégie de responsabilité numérique.

L’avocat devient ainsi un partenaire de la gouvernance des organisations.

Un enjeu de confiance durable

La cybersécurité ne consiste pas uniquement à empêcher une cyberattaque. Elle participe à une ambition plus large. Construire un environnement numérique digne de confiance. Cette confiance ne repose pas exclusivement sur la technologie. Elle se construit grâce :

  • à la qualité de la gouvernance ;

181

  • à la transparence ;
  • au respect des droits fondamentaux ;
  • à la maîtrise des risques ;
  • à la responsabilité des acteurs.

Ces principes dessinent progressivement les contours d’une économie numérique plus résiliente, plus éthique et plus durable.

Mot de l’auteur

La transformation numérique est souvent présentée comme une révolution technologique. Elle est aussi une transformation juridique, organisationnelle et humaine. Les organisations qui réussiront demain ne seront pas seulement celles qui investiront dans les meilleures technologies. Ce seront celles qui auront su développer une gouvernance responsable, capable de concilier innovation, sécurité, conformité et protection des personnes. La cybersécurité occupe une place centrale dans cette évolution. Elle n’est plus un sujet réservé aux informaticiens. Elle est devenue un enjeu de direction, un enjeu de gouvernance et un enjeu de confiance. C’est dans cette perspective que s’inscrit la notion de responsabilité numérique. Plus qu’un concept, elle constitue une méthode de gouvernance permettant aux organisations d’appréhender de manière cohérente l’ensemble des défis du numérique. C’est également la conviction qui guide l’accompagnement proposé par Me Fatima Ghilassene : aider les organisations à transformer leurs obligations juridiques en une gouvernance durable, protectrice des personnes et créatrice de confiance.

Fin du guide

Cybersécurité et cybercriminalité – Le guide juridique pour comprendre les obligations des organisations, prévenir les risques et gérer les incidents

Évaluation éditoriale

Ce guide est désormais structuré comme les précédents, mais il présente un atout supplémentaire : il ne traite pas seulement de la cybersécurité. Il développe progressivement un véritable cadre de gouvernance juridique du risque numérique, cohérent avec le positionnement stratégique de votre cabinet. 182 183

Échangeons sur vos enjeux

Ce guide présente le cadre général. Chaque situation appelle une analyse adaptée : le cabinet vous accompagne dans vos projets comme dans vos contentieux.