Cyberattaque : anticiper et connaître les bons réflexes juridiques
Cyberattaque : anticiper avec un plan de gestion de crise
A l’approche des fêtes de Noël, les entreprises fonctionnent souvent en effectifs réduits, avec des équipes en congés et une vigilance moindre. C’est dans ce contexte que les cyberattaques se multiplient : systèmes moins surveillés, délais de réaction allongés et pression accrue pour reprendre rapidement l’activité.
Disposer en amont d’un plan de gestion de crise cyber est donc essentiel. Lorsqu’une attaque survient pendant les fêtes, il n’y a pas de places pour l’improvisation : les rôles, les actions à mener et les bons réflexes doivent déjà être identifiés.
Anticiper, c’est permettre à l’entreprise de réagir vite et efficacement, même lorsque les équipes ne sont pas au complet.
Le plan de gestion de crise : contenu et objectifs
Le plan définit les processus nécessaires à la gestion d’un incident et comprend notamment :
- Les actions à entreprendre en cas de cyberattaque ;
- Les parties prenantes à la gestion de crise (internes et externes, cellules de crises stratégique et opérationnelle notamment) ainsi que leur périmètre d’action ;
- La temporalité et les modalités de mise en oeuvre de chaque action ;
- Les outils numériques dédiés à la cellule de crise.
Véritable outil d’anticipation, à l’aide de cette procédure, l’entreprise peut réagir avec plus de rapidité et d’efficacité face à l’attaque subie.
NB : Le plan de gestion de crise vient en complément du plan de continuité d’activité et du plan de reprise d’activité.
Cette procédure doit être stockée hors ligne afin d’être accessible en cas d’attaque.
Le dépôt de plainte en cas de cyberattaque
Par qui ?
- Le représentant légal de la personne morale ayant subi le cyberattaque
- Toute personne munie d’un pouvoir l’autorisant à représenter l’entreprise
Où et comment ?
Différentes modalités :
- Se rendre au commissariat de police ou à la brigade de gendarmerie dont dépend le siège social
- Adresser une plainte par courrier au Procureur de la République du tribunal judiciaire du lieu du siège social
A noter : la Brigade numérique de la Gendarmerie national peut également assister les entreprises en ligne 24h/24 pour effectuer ces démarches.
Dans quels délais ?
- Avec une couverture par une assurance cyber : dans les 72h suivant la connaissance de la cyberattaque (prérequis pour obtenir une indemnisation)
- Sans couverture cyber : le dépôt de plainte reste conseillé et doit être réalisé le plus tôt possible suivant l’attaque.
Cyberattaque à l'étranger pour une entreprise assurée en France
- Dépôt de plainte en France dans le 72h suivant l’attaque
- Ou dépôt de plainte dans le pays étranger si le pays reconnaît une telle infraction
Une fois la plainte déposée, la prochaine étape consiste à informer la CNIL afin de respecter les obligations légales en matière de protection des données personnelles.
La notification CNIL en cas de cyberattaque
La notification à la CNIL constitue l’étape suivante dans la gestion d’une cyberattaque, permettant d’informer l’autorité compétente et de sécuriser vos démarches.
Par qui ?
- Le représentant légal du responsable de traitement ;
- Eventuellement accompagné :
- du DPO / référent RGPD,
- du service IT / prestataire informatique.
Où et comment ?
La notification s’effectue en ligne, sur le site de la CNIL.
Afin de compléter le formulaire de notification, il est nécessaire d’avoir préalablement identifié :
- la nature de la violation (perte de confidentialité, d’intégrité ou de disponibilité) et l’origine de l’incident ;
- la date exacte ou approximative de l’incident ;
- la nature des données concernées par la violation
- les catégories de personnes concernées et le nombre approximatif ;
- les mesures de sécurité préalablement mises en oeuvre par l’entreprise ;
- les conséquences de la violation ;
- les mesures techniques et organisationnelles mises en oeuvre à la suite de l’incident.
Dans quels délais ?
- Dans un délai de 72h à la suite de la constatation de la violation de données à caractère personnel ;
- Si toutes les informations nécessaires pour procéder à la notification auprès de la CNIL ne sont pas connues par l’entreprise dans ce délai de 72h, une notification complémentaire pourra être effectuée dans un second temps.
- Si le délai de 72h est dépassé et qu’aucune notification, même incomplète, n’a été effectuée par l’entreprise, il conviendra de justifier des motifs du retard auprès de la CNIL.
Quand et comment alerter les victimes d'une violation de données ?
Si la violation des données à caractère personnel est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique, il y aura également lieu d’informer les personnes concernées de l’incident dans les meilleurs délais en respectant les exigences imposées par le RGPD.
Article rédigé par Céline Ferreira – Avocat en droit Commercial · Propriété intellectuelle · Numérique · Données personnelles