Comment réagir à une faille de sécurité informatique issue d’un incident ou d’une malveillance ?

/

raphael-rault-alter-via

Écrit par : Raphaël Rault
Avocat  chez Alter Via (département numérique)

Partager cette fiche :

Dans le domaine numérique, les prestataires et les clients ont à composer désormais avec un volet juridique de plus en plus important et stratégique.

Les projets impactés sont variés et rythment le quotidien d’une entreprise : implémentation de nouveaux outils logiciels, externalisation des moyens informatiques, lancement d’une activité de commerce électronique ou d’une application mobile, développement et édition d’un jeu vidéo, protection, valorisation et exploitation de bases de données et de fichiers de données à caractère personnel,… Les sanctions prononcées en France par la Commission Nationale Informatique & Libertés (CNIL) sur la base du Règlement Général sur la Protection des Données (RGPD), rappellent régulièrement la nécessité de déterminer entre partenaires des mesures de sécurité juridiques, organisationnelles et techniques adaptées au risque.

Comment réagir à une faille de sécurité informatique issue d’un incident ou d’une malveillance ?

  • En anticipant.

Dans les contrats avec les prestataires techniques, les engagements réciproques essentiels relatifs aux traitements de données personnelles sont notamment les suivants : licéité du traitement, respect des instructions, confidentialité, sécurité, coopération, réversibilité, audit et garanties relatives aux sous-traitants ultérieurs. Dans les contrats d’assurance « cyber », l’efficacité de la protection relative à la responsabilité civile, aux dommages et à l’accompagnement de la gestion de crise doit être évaluée. Des audits de sécurité et des tests d’intrusion doivent être menés régulièrement et encadrés contractuellement.

  • En signalant.

Il est important de déterminer un processus de signalement interne et externe et de déterminer les interlocuteurs pertinents. Des délais très contraignants peuvent être imposés par la réglementation. Par exemple, une violation de données personnelles doit être notifiée à la CNIL (et potentiellement aux personnes concernées) dans les 72 heures après en avoir pris connaissance.

  • En documentant.

L’incident doit être documenté afin de faciliter le travail d’enquête postérieur et de s’assurer de la constitution d’une preuve recevable permettant de prendre action. Cette documentation permettra de démontrer la diligence de l’attaqué et de qualifier juridiquement les faits, qui peuvent mener à des sanctions disciplinaires ou à des poursuites pénales.

Ces process juridiques, organisationnels et techniques de gestion de crise permettront également de limiter la responsabilité de l’entreprise et de maintenir son image de marque et sa réputation en cas de publication de l’incident.