Lecture: 15 min
N2579B3W
Citer l'article
Créer un lien vers ce contenu
le 01 Juillet 2025
Mots clés : cybersécurité • entreprises • menaces numériques • digitalisation • confidentialité
La cybersécurité s’impose aujourd’hui comme un enjeu majeur de viabilité des entreprises, que ce soit au niveau de leur fonctionnement quotidien pour éviter les risques de paralysie ou de leur possibilité de protéger leurs données pour contrecarrer les tentatives d’espionnage ou de dévoilement de leurs secrets industriels. Pour savoir comment les réglementations française et européenne ont organisé la riposte de ces actions menées par des groupes criminels voire des entités étatiques, Lexbase a interrogé Laurie-Anne Ancenys, avocate associée, A&O Shearman*.
Lexbase : Pouvez-vous nous rappeler en quoi la cybersécurité est un enjeu majeur pour les entreprises ?
Laurie-Anne Ancenys : La cybersécurité s’est imposée comme un enjeu central pour toutes les entreprises, indépendamment de leur taille ou de leur secteur d’activité. L’actualité récente, marquée par des attaques d’ampleur contre des acteurs majeurs tels que Free [1], Auchan [2], Harvest [3] ou encore Marks & Spencer [4] au Royaume-Uni a mis en lumière la gravité des risques encourus : fuites massives de données, paralysie des systèmes d’information, pertes financières et atteintes durables à la réputation. Aujourd’hui, le risque cyber est considéré comme un risque opérationnel majeur, susceptible d’avoir des conséquences plus dévastatrices qu’une catastrophe naturelle.
Les impacts d’une cyberattaque sont multiples et souvent irréversibles. Outre les coûts directs liés à la gestion de crise (recours à des experts, pertes de production, remédiation technique), la perte de données – qu’elles soient personnelles, stratégiques ou commerciales – constitue un préjudice irréparable : une fois diffusées sur le dark web, ces informations ne peuvent plus être récupérées. L’atteinte à l’image et à la réputation de l’entreprise peut également entraîner une défiance durable de la part des clients, partenaires et investisseurs, voire une chute du cours de bourse pour les sociétés cotées. Enfin, la multiplication des obligations réglementaires expose les entreprises à des sanctions financières significatives en cas de manquement.
La cybersécurité est ainsi devenue un enjeu de souveraineté et de compétitivité, au cœur des préoccupations des conseils d’administration et des comités stratégiques. Elle conditionne la pérennité de l’entreprise, sa valorisation et sa capacité à se développer dans un environnement numérique de plus en plus complexe et hostile.
Lexbase : Quels sont les textes majeurs encadrant ce domaine ?
Laurie-Anne Ancenys : Ces dernières années, le cadre réglementaire de la cybersécurité s’est considérablement étoffé, sous l’impulsion de l’Union européenne qui a multiplié les initiatives pour répondre à l’ampleur croissante des menaces numériques. Cette évolution se traduit par l’adoption de textes majeurs, qui structurent désormais l’action des entreprises et des États membres en matière de sécurité numérique.
Au premier rang de ces textes figure la Directive de l’Union européenne « NIS 2 » [5], adoptée en 2022. La directive marque une étape majeure dans le renforcement de la cybersécurité au sein de l’Union européenne. Son objectif principal est d’accroître la résilience des infrastructures critiques et des systèmes numériques, en harmonisant les mesures de cybersécurité et en garantissant une réponse coordonnée aux incidents à l’échelle européenne. Cette directive répond à la nécessité croissante de protéger non seulement les grandes entreprises, mais aussi les PME et autres entités, souvent ciblées par les cyberattaques. Alors que la première directive NIS (NIS 1) ne couvrait que les opérateurs de services essentiels (OSE) – tels que les acteurs de l’énergie, des transports, de la santé, de l’eau et des services financiers – ainsi que les fournisseurs de services numériques (FSN), NIS 2 élargit considérablement son champ d’application. Désormais, dix-huit secteurs sont concernés, incluant à la fois des secteurs hautement critiques et de nouveaux domaines jugés stratégiques. Enfin, il est important de noter que la transposition de NIS 2 en droit français n’est pas encore effective. L’État français doit d’ici octobre 2025 adopter la loi de transposition [6], qui viendra préciser les modalités d’application de cette directive sur le territoire national. NIS 2 s’impose ainsi comme un pilier central de la stratégie européenne de cybersécurité, en adaptant la réglementation à l’évolution rapide des menaces et à la diversité des acteurs concernés.
Dans la continuité de cette démarche, l’Union européenne a également adopté en 2024 le Cyber Resilience Act [7]. Ce règlement, d’application directe, est une initiative législative visant à renforcer la sécurité des produits numériques tout au long de leur cycle de vie. Le Cyber Resilience Act impose pour la première fois des exigences de cybersécurité harmonisées à l’échelle européenne pour l’ensemble des produits comportant des éléments numériques, qu’il s’agisse de logiciels ou de matériels connectés. L’objectif est de garantir que ces produits, dès leur conception et jusqu’à leur retrait du marché, intègrent des mesures de sécurité robustes afin de limiter les vulnérabilités exploitables par des cyberattaquants. Le Cyber Resilience Act s’applique à un large éventail de produits, des objets connectés aux logiciels professionnels, en passant par les équipements industriels, et vise à instaurer un niveau de confiance élevé pour les utilisateurs et les entreprises. Concrètement, le Cyber Resilience Act impose aux fabricants, importateurs et distributeurs de respecter des obligations strictes en matière de gestion des risques, de notification des vulnérabilités et de transparence sur la sécurité de leurs produits. Les opérateurs économiques devront notamment effectuer des analyses de risques, mettre en place des processus de correction rapide des failles, et fournir aux utilisateurs des informations claires sur la sécurité et la maintenance des produits. Le Cyber Resilience Act s’inscrit ainsi dans la continuité des efforts européens pour bâtir un marché numérique plus sûr et résilient, en responsabilisant l’ensemble de la chaîne de valeur et en anticipant les défis posés par la multiplication des objets et services connectés.
Parallèlement à ces textes à portée générale, certaines réglementations européennes adoptent une approche sectorielle pour répondre aux spécificités de certains domaines particulièrement exposés. C’est le cas du Digital Operational Resilience Act [8] (DORA) qui cible spécifiquement le secteur financier. Ce règlement impose ainsi un cadre harmonisé à l’ensemble des acteurs financiers – banques, compagnies d’assurance, sociétés de gestion, prestataires de services de paiement, mais aussi fournisseurs de services informatiques critiques – afin de garantir leur capacité à prévenir, résister, réagir et se remettre d’incidents informatiques majeurs. L’objectif est de protéger la stabilité du système financier européen et la confiance des utilisateurs, en assurant la continuité des services essentiels même en cas de cyberattaque ou de défaillance technologique. Concrètement, le règlement DORA introduit des obligations strictes en matière de gestion des risques liés aux technologies de l’information et de la communication (TIC). Les entités concernées doivent notamment mettre en place des politiques robustes de gestion des risques informatiques, réaliser des tests réguliers de résilience, notifier rapidement les incidents majeurs aux autorités compétentes, et encadrer rigoureusement les relations avec les prestataires de services TIC. DORA prévoit également une supervision renforcée des fournisseurs de services critiques, afin de limiter les risques de concentration et d’interdépendance. Ce règlement marque ainsi une étape clé dans la construction d’un secteur financier européen plus sûr, capable de faire face aux défis numériques actuels et futurs.
En France, ce mouvement d’encadrement ne se limite pas à l’imposition d’obligations aux entreprises elles-mêmes : il s’étend également à la responsabilité des dirigeants. Des réglementations sectorielles précisent les devoirs des dirigeants en matière de cybersécurité, à l’image du secteur bancaire où un décret [9] impose aux dirigeants effectifs et à l'organe de surveillance de veiller à ce que des ressources adéquates soient allouées à la gestion des opérations informatiques, à la sécurité des systèmes d'information et à la continuité des activités.
Cette responsabilisation des dirigeants s’accompagne d’un risque accru en matière de responsabilité civile. En effet, les dirigeants (membres du conseil d'administration et du directoire des sociétés anonymes, président et dirigeants d'une société par action simplifiée) peuvent être tenus responsables en cas de violation des dispositions législatives ou réglementaires (par exemple, NIS 2 et DORA), de violation des statuts ou de fautes de gestion (faute de gestion). Le manque de diligence dans le domaine de la cybersécurité pourrait être analysé comme une faute de gestion et engager la responsabilité personnelle du dirigeant envers la société [10]. Les tiers peuvent également invoquer la responsabilité civile des dirigeants sur le même fondement juridique, mais dans ce cas, la jurisprudence exige également la preuve d'une « faute distincte de la fonction » (c'est-à-dire une faute intentionnelle d'une gravité particulière incompatible avec l'exercice normal des fonctions sociales).
Enfin, la dimension pénale n’est pas à négliger. Les administrateurs ne sont pas exempts de responsabilité pénale. En effet, la responsabilité pénale des personnes morales n'exclut pas celle des personnes physiques auteurs ou complices des mêmes faits [11]. Dans le domaine de la cybersécurité, on peut par exemple souligner que, selon l'article 226-17 du Code pénal [LXBL4524LNU], le fait de traiter des données à caractère personnel ou de faire traiter des données à caractère personnel sans mettre en œuvre les mesures requises par le RGPD, en particulier les mesures de sécurité requises par l'article 32 du RGPD (Règlement (UE) n° 2016/679 du 27 avril 2016, relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données N° Lexbase : L0189K8I), est puni de cinq ans d'emprisonnement et de 300 000 euros d'amende.
Lexbase : La digitalisation toujours plus avancée des usages génère-t-elle des risques accrus ?
Laurie-Anne Ancenys : La transformation numérique des entreprises, accélérée par l’adoption massive de solutions cloud, SaaS, IaaS et la décentralisation des environnements informatiques, a profondément modifié le paysage de la cybersécurité. Si la digitalisation offre des gains d’efficacité et d’agilité, elle génère également une augmentation considérable de la surface d’attaque.
La multiplication des points d’accès, la gestion d’environnements hybrides et la dépendance à des prestataires externes complexifient la sécurisation des systèmes d’information. L’entreprise n’est plus protégée par une « tour » unique : elle doit désormais défendre une multitude de « tours » interconnectées, souvent hors de son périmètre direct. Cette évolution expose les organisations à des vulnérabilités nouvelles, parfois méconnues ou mal maîtrisées, et rend plus difficile l’inventaire et la surveillance de l’ensemble des actifs numériques.
La digitalisation, si elle n’est pas accompagnée d’une politique de cybersécurité adaptée, accroît donc significativement les risques pour l’entreprise. Il devient essentiel de disposer d’une cartographie précise des actifs, d’une connaissance actualisée des vulnérabilités et d’une capacité de réaction rapide en cas d’incident. Cette politique de cybersécurité se traduit notamment par la mise en place de clauses contractuelles de cybersécurité robustes avec les prestataires externes comprenant notamment un droit d’audit du prestataire.
Lexbase : Quels sont les incidents les plus fréquents ? Comment y faire face ?
Laurie-Anne Ancenys : Les fuites de données figurent parmi les incidents les plus redoutés. Qu’il s’agisse d’informations sensibles, personnelles ou stratégiques, leur exfiltration vise souvent la revente sur le marché noir ou le chantage.
Les ransomwares, quant à eux, paralysent les systèmes d’information en échange d’une rançon, n’hésitant pas à détruire ou à publier les données si les exigences ne sont pas satisfaites.
Le phishing et la compromission de comptes reposent sur l’ingénierie sociale et l’usurpation d’identité pour obtenir un accès frauduleux aux systèmes internes.
Enfin, les intrusions silencieuses, souvent motivées par l’espionnage industriel, permettent à des attaquants de s’installer discrètement et durablement au sein des infrastructures critiques, compromettant la confidentialité et l’intégrité des ressources.
Lexbase : Quelles sont les principales menaces que devront affronter les entreprises à l'avenir ?
Laurie-Anne Ancenys : À l’ère de la transformation numérique, les entreprises sont confrontées à des menaces de plus en plus sophistiquées, portées par l’évolution rapide des technologies. L’intelligence artificielle, le calcul quantique et la multiplication des attaques à motivation politique redéfinissent les contours de la cybersécurité et imposent une vigilance accrue à tous les niveaux de l’organisation.
L’essor de l’intelligence artificielle générative bouleverse le paysage des menaces. Désormais, les attaquants peuvent concevoir des campagnes de phishing multilingues, créer des deepfakes indétectables (notamment pour les arnaques au président) et automatiser la recherche de vulnérabilités à une échelle inédite. Cette technologie permet de personnaliser les attaques, les rendant plus crédibles et plus difficiles à contrer pour les entreprises.
La lutte entre défenseurs et attaquants s’intensifie, chacun disposant d’outils de scan de vulnérabilités toujours plus performants. Cette situation transforme la remédiation des failles en une véritable course contre la montre, où la rapidité d’intervention devient un facteur clé de succès.
L’arrivée imminente du calcul quantique représente une menace majeure pour les systèmes de chiffrement actuels. Face à ce risque, la cryptographie post-quantique s’impose comme un enjeu stratégique. Certains gouvernements anticipent déjà cette révolution [12], conscients de l’impact potentiel sur la sécurité des données sensibles.
La cybersécurité s’affirme désormais comme un enjeu de souveraineté nationale. Les attaques à motivation politique ou étatique visent non seulement les entreprises, mais aussi la stabilité des États et l’intégrité des processus démocratiques. Nous avons notamment vu cela lors des Jeux Olympiques et Paralympiques de Paris 2024 où l’ANSSI a recensé près de 548 événements de cybersécurité affectant des entités en lien avec l’organisation des Jeux Olympiques et Paralympiques [13]. Cette évolution impose une mobilisation collective et une coopération renforcée entre acteurs publics et privés.
Face à ces défis, il est impératif pour les entreprises de renforcer leur gouvernance et d’ancrer une véritable culture cyber à tous les niveaux, du terrain au département juridique jusqu’au conseil d’administration. La mise en place d’une politique contractuelle de cybersécurité adaptée est nécessaire pour toutes les entreprises afin de maîtriser au moins les risques de cybersécurité externes. L’investissement dans la cybersécurité doit être proportionné à la criticité des activités : il est généralement admis que 5 à 10 % du chiffre d’affaires devrait être consacré à la sécurité et à la résilience des systèmes d’information.
*Propos recueillis par Yann Le Foll, Rédacteur en chef de Lexbase Public
[1] En novembre 2024, Free a subi une cyberattaque qui a entraîné l'exfiltration des données personnelles de 19 millions de clients, dont 5 millions d'adresses IBAN.
[2] En novembre 2024, Auchan a annoncé avoir été victime d'une cyberattaque qui a permis l'accès non autorisé à certaines données personnelles des comptes fidélité de plus de 500 000 clients, notamment leurs coordonnées, leur date de naissance et leur numéro de carte fidélité.
[3] En février 2025, Harvest, éditeur français de logiciels de gestion de patrimoine a été victime d'une cyberattaque paralysant 80 % des conseillers en gestion de patrimoine, family offices et banques privées de France. Les gestionnaires n’ont plus eu accès aux portefeuilles de leurs clients et ont été dans l’impossibilité de passer des ordres en ligne pendant plus de dix jours.
[4] En avril 2025, Marks & Spencer a été victime d'une cyberattaque paralysant son système de commande en ligne, ses systèmes de paiement et faisant fuiter des données personnelles de ses clients. Le coût de l'attaque pour l'entreprise est évalué à 356 millions d'euros.
[5] Directive (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022, concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, modifiant le Règlement (UE) n° 910/2014 et la directive (UE) 2018/1972, et abrogeant la Directive (UE) 2016/1148 (Directive « SRI 2 ») N° Lexbase : L3158MG3.
[6] Projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité.
[7] Règlement (UE) n° 2024/2847 du Parlement européen et du Conseil du 23 octobre 2024, concernant des exigences de cybersécurité horizontales pour les produits comportant des éléments numériques et modifiant les Règlements (UE) n°s 168/2013 et 2019/1020 et la Directive (UE) n° 2020/1828 N° Lexbase : L5831MRE (Règlement sur la cyberrésilience).
[8] Règlement (UE) n° 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier et modifiant les règlements (CE) n°1060/2009, (UE) n° 648/2012, (UE) n° 600/2014, (UE) n° 909/2014 et (UE) n° 2016/1011 N° Lexbase : L2960MGQ.
[9] Arrêté du 3 novembre 2014, relatif au contrôle interne des entreprises du secteur de la banque, des services de paiement et des services d'investissement soumises au contrôle de l'Autorité de contrôle prudentiel et de résolution N° Lexbase : L6929M4E, art. 270-1.
[10] C. com., art. L. 225-251 N° Lexbase : L6122AIL à L. 225-256 et L. 227-8 N° Lexbase : L6163AI4.
[11] C. pén., art. 121-2 N° Lexbase : L3167HPY.
© Reproduction interdite, sauf autorisation écrite préalable
newsid:492579
Parcours utilisateur
Lexbase, via la solution Salesforce, utilisée uniquement pour des besoins internes, peut être amené à suivre une partie du parcours utilisateur afin d’améliorer l’expérience utilisateur et l’éventuelle relation commerciale. Il s’agit d’information uniquement dédiée à l’usage de Lexbase et elles ne sont communiquées à aucun tiers, autre que Salesforce qui s’est engagée à ne pas utiliser lesdites données.
Données analytiques
Nous attachons la plus grande importance au confort d'utilisation de notre site. Des informations essentielles fournies par Google Tag Manager comme le temps de lecture d'une revue, la facilité d'accès aux textes de loi ou encore la robustesse de nos readers nous permettent d'améliorer quotidiennement votre expérience utilisateur. Ces données sont exclusivement à usage interne.