PME et crise cyber : quels risques ? quelle stratégie ?

PME et risques cyber : quels risques ? quelle stratégie ?

par Florian Perretin, avocat à la Cour, chef de pôle Cyber / Droit du travail numérique chez Haas avocats

Les PME sont les principales cibles des cyberattaques, en raison de leurs moyens souvent limités pour sécuriser leurs systèmes d’information, alors que la menace cyber ne cesse de croître. 

En 2021 et 2022, les TPE/PME/ETI représentaient 34 % des attaques par rançongiciel traitées par l’ANSSI [1]. Lorsqu’elles ne sont pas les victimes directes, les PME servent souvent de relais lors d’attaques par rebond ou sont intégrées dans des réseaux d’anonymisation pour masquer les traces des cybercriminels [2].

En réponse à cette menace, l’opération « ImpactCyber » a été lancée en octobre 2024, en collaboration avec Cybermalveillance.gouv.fr, le Club EBIOS, la CPME, le MEDEF et l’U2P. Cette initiative nous donne l’occasion de résumer la stratégie de gestion de crise pour une TPE/PME confrontée à une crise cyber.

Face à l’absence de couverture assurantielle efficace, les dirigeants de PME doivent souvent adopter une approche pragmatique et rationnelle de la crise. Cependant, le cadre juridique se densifie, augmentant la pression réglementaire sur les épaules de la PME (RGPD, DORA, NIS 2 et autres réglementations sectorielles). Les cybercriminels le savent et n’hésitent plus à menacer de « dénoncer » leurs victimes aux autorités si elles ne coopèrent pas [3].

L’adoption d’une approche « par les risques » est primordiale pour identifier les priorités. Bien qu’une approche au cas par cas soit nécessaire lors d’une attaque, voici cinq points clés pour gérer le risque juridique d’une crise cyber :

1. Le risque « déclaratif »: la PME évoluant le plus souvent dans un environnement régulé, voire multi-régulé, doit procéder à des actions déclaratives auprès d’autorités de régulation. Par exemple, lors d’une violation de données à caractère personnel, la PME devra vraisemblablement procéder à une notification auprès des services de la CNIL dans les 72 heures à compter de la découverte de l’incident [4]. Si le risque est « élevé » pour les personnes physiques concernées, elle devra également les en informer.

La régulation sectorielle directe ou indirecte [5] de la PME peut impliquer la réalisation de déclarations complémentaires auprès d’autres autorités (ANSSI, l’ARS, l’ACPR, la Banque de France, etc) [6]. L’absence de déclaration expose la PME à des sanctions significatives [7].

2. Le risque « pénal » : le droit pénal français sanctionne la PME négligente dans l’anticipation et la gestion d’une crise impliquant des données à caractère personnel. Le défaut de sécurisation (Art. 226-17 CP) ou de défaut de notification auprès de la CNIL (Art. 226-17-1 CP) est puni de cinq ans d’emprisonnement et de 300 000 euros d’amende.
3. Le risque « assurantiel » : sans dépôt de plainte dans les 72 heures suivant une attaque sur ses systèmes, la PME se verra refuser une prise en charge assurantielle de son sinistre [8].
4. Le risque « client » : la PME incapable de fournir ses produits/services à la suite d’une crise cyber peut voir sa responsabilité contractuelle / civile engagée. Le régime classique de la « force majeure » [9] / du « cas fortuit » sera difficilement invocable devant le juge [10], la PME ayant la « main » sur la sécurité de ses systèmes.
5. Le risque « préjudiciel » : outre les clients, les autres personnes concernées par la crise (salariés, prospects, utilisateurs…) peuvent engager la responsabilité civile de la PME en cas de faute démontrée, de préjudice [11] et de lien de causalité. Une action de groupe peut être exercée une juridiction civile en cas de manquement au RGPD (tel qu’un défaut de sécurisation)[12].

Lorsque la PME se trouve confrontée au risque « cyber », voici 5 réflexes clés qu’elle devra adopter :

1. Déposer plainte: ce dépôt permet à la PME de ne pas fermer la porte à la prise en charge assurantielle et d’acter le statut de victime, stratégique pour la communication de crise.
2. Analyser ses engagements contractuels : une bonne connaissance des engagements contractuels de la PME assure la bonne appréhension du risque client, le respect des processus de communication et l’activation des mécanismes contractuels adéquats.
3. Déclarer « intelligemment » l’incident : chaque déclaration auprès des autorités engage la PME. Déclarer un incident au fil de l’eau, selon son niveau de connaissance, sera préférable aux déclarations minimisantes ou inutilement alarmistes.
4. Adopter une stratégie de communication réfléchie : la PME devra déployer plusieurs axes de communication, en interne et externe, pour apporter à chaque interlocuteur le niveau d’information nécessaire, tout en affichant un ton grave, professionnel et rassurant.
5. Se faire accompagner : une gestion de crise réussie nécessite une expertise technique et juridique, afin de disposer d’une vision complète du niveau d’exposition de la PME.

Mais plus que tout, la gestion d’une crise cyber doit être anticipée par la PME, car le risque « zéro » n’existe pas. Elle doit identifier les ressources clés, se protéger techniquement selon ses moyens et documenter ses efforts.

Si vis pacem, para bellum [13]…

[1] ANSSI – Panorama de la cybermenace 2022, p.16. Voir aussi le Guide publié par l’ANSSI et la DGE en octobre 2022 face à ce constat : La Cybersécurité pour les TPE/PME en 13 questions

[2] ANSSI – Panorama de la cybermenace 2023, p.19 : « L’ANSSI constate depuis plusieurs années que des routeurs de particuliers, de petites et moyennes entreprises (PME) et de collectivités territoriales sont compromis, puis intégrés à ces réseaux d’anonymisation »

[3] Technique notamment déployée par le groupe « BlackCat »

[4] Art. 33 du RGPD.

[5] Lorsque les clients de la PME sont régulés, et imposent en conséquence des contraintes contractuelles équivalentes à la PME.

[6] Art. 23 de la Directive NIS 2 ; Art. L1332-6-2 du code de la défense ; Art. D1111-16-2 et s. du code de la santé publique ; Art. D98-5 du code des postes et des communications électroniques ; Art. L521-10 du code monétaire et financier…

[7] A titre d’exemple, le RGPD prévoit une sanction théorique maximale de 10 millions d’euros, ou 2% du C.A. annuel mondial (Art. 83 du RGPD)

[8] Art. L12-10-1 du code des assurances

[9] Art. 1218 du code civil

[10] Cour d’appel de Paris, Pôle 5 – chambre 11, 7 février 2020, n° 18/03616 ;

[11] Le préjudice doit être direct, réel et certain. Le simple préjudice moral qui serait insuffisant étayé se verra écarté (v. en ce sens CJUE, VB contre Natsionalna agentsia za prihodite, 14/12/2023, C-340/21)

[12] Art. 37 de la loi Informatique et Libertés modifiée n°78-17

[13] « Si tu veux la paix, prépare la guerre »

Paru dans #MagCAPIDF