[Evénement] Les entreprises face aux cyber-risques : état des lieux et perspectives - Compte rendu du colloque du 18 novembre 2014 organisé par l'ADIJ, le cercle Montesquieu et CA Technologies

CA Technologies a tenu, le 18 novembre 2014, un colloque qui avait pour thème "les entreprises face aux cyber-risques". A cette réunion, organisée en collaboration avec l'ADIJ et le cercle Montesquieu, sont intervenus Maître Christiane Féral-Schuhl, ancien Bâtonnier de Paris, co- Présidente de la commission parlementaire "droits et libertés à l'âge du numérique", Fabien Waechter, Président des éditions juridiques Lexbase, Laurence Neuer, journaliste au Point, Myriam Quemener, Avocat général près la cour d'appel de Versailles et membre de la commission parlementaire sur le numérique, Maître Laurent Caron, Avocat au Barreau de Paris, Farid Illikoud, responsable des risques et de la conformité au PMU, Olivier Perrin, responsable de l'activité conseil en monétique et moyens de paiement de Steria, Emmanuelle Bartoli, responsable du groupe protection des données d'Atos, Anne Souvira, commissaire divisionnaire, chef de la BEFTI de Paris, Marie-Benoite Chesnais, Directeur technique de comptes à CA Technologies, Didier Gras, responsable sécurité des systèmes d'information du Groupe BNP Paribas, et Laure Lavorel, vice-Président, Directeur juridique pour l'Europe du Sud de CA Technologies et administrateur du cercle Montesquieu. Présentes à cette occasion, les éditions juridiques Lexbase vous proposent de retrouver le compte-rendu de cette réunion. Comme le relève Madame le Bâtonnier Christiane Féral-Schuhl, dans ses propos introductifs, le sujet abordé par ce colloque est plus que jamais au coeur des réflexions et des stratégies à l'heure de la consommation numérique des entreprises. La cyber-sécurité est une réalité : elle représente plus de 400 milliards de dollars à travers le monde, c'est-à-dire 327 milliards d'euros. En France, il est ici question de 33 000 cyber-infractions, lesquelles sont en constante progression. En effet, il y a plus de 10 millions de personnes attaquées, une toute les trois secondes, et le coût de violation des entreprises françaises serait en hausse de plus de 10 %. Sur le plan européen, la Commission estime que 25 % des entreprises ont été victimes de vol d'information confidentielle en 2012.

Le débat portant sur le cyber-sécurité est en prise avec l'actualité. Aujourd'hui, l'essentiel du fond de l'entreprise est le fond informationnel ; la question de l'ouverture et de la fragilité du dispositif se pose donc avec une particulière acuité. Par exemple, la presse a pu parler du pillage important de données confidentielles qu'a connu Areva en 2011. Plus récemment, en janvier 2014, le groupe Target a été victime d'un vol géant de données bancaires : 110 millions de clients étaient concernés. Enfin, en avril 2014, Orange a connu une seconde affaire de détournement de données. De plus, les techniques se complexifient et se multiplient. On peut évoquer à cet égard le phishing, le carding, ou encore le skimming, qui a pour finalité de manipuler les automates et les terminaux de paiement. Ainsi, chaque entreprise est potentiellement la cible de cyber-attaques.

Madame le bâtonnier Christiane Féral-Schuhl rappelle ensuite le dispositif légal en la matière. Depuis la loi "Godfrain" du 5 janvier 1988 (loi n° 88-19, relative à la fraude informatique N° Lexbase : L2291HUE), la loi apporte beaucoup de réponses aux questions potentielles des entreprises. De nombreuses dispositions de cette loi visent les pénétrations dans le système d'information de l'entreprise et incrimine l'accès ou le maintien frauduleux dans un système de traitement automatisé de données, ainsi que le sabotage informatique. Le problème ne réside donc pas dans le caractère lacunaire de l'arsenal législatif. Le réel problème est que les nouvelles technologies ont amplifié l'importance de certaines infractions, telles que l'escroquerie ou l'abus de confiance. Il en résulte qu'il ne s'agit pas ici d'identifier l'infraction ; il s'agit, en revanche, de définir les contours de la responsabilité du chef d'entreprise. Ainsi, la réelle question est ici de savoir si la nécessité de protéger l'entreprise revêt le caractère d'obligation, y compris dans notre environnement numérique. Or, le chef d'entreprise est, à l'évidence, responsable, que ce soit dans ou hors ce monde virtuel. Il en découle donc que la prévention est au coeur du dispositif sécuritaire. Les participants sont donc réunis, lors de ce colloque, afin d'appréhender les risques auxquels l'entreprise est aujourd'hui confrontée dans notre société numérique. Afin d'appréhender ces risques, sont successivement abordés les risques économiques et humains liés aux menaces de sécurité.

I - Les risques économiques liés aux menaces de sécurité

Comme le rappelle Laurence Neuer, modérateur de la première table ronde de ce colloque portant sur les risques économiques, l'objectif est ici de prendre la mesure de ces cyber-risques sous l'angle de leur impact économique, et de l'atteinte à l'image qui en résulte, mais également d'appréhender la manière dont les entreprises préviennent ces risques. L'intervenante évoque, afin d'illustrer lesdits risques, la rafale d'escroqueries des faux ordres de virement, dont ont été victimes plusieurs entreprises françaises, et même le célèbre cabinet d'avocats Baker & Mackenzie, ces dernières années. Or, plus les données sont sensibles et à forte valeur ajoutée, plus le risque est élevé pour les entreprises ; de même plus lesdites données sont dispersées, plus il est aisé pour les pirates de les appréhender. A cet égard, une étude récente, menée par l'entreprise Dell, démontre que seule une entreprise sur quatre a mis en place un système pour réagir face à ces risques. Dès lors, la question qui se pose est celle de savoir si les cyber-menaces sont, pour autant, un obstacle à l'évolution.

Myriam Quemener relève qu'il y a une grande demande des entreprises et des particuliers sur ce sujet à l'égard des institutions judiciaires. Selon l'intervenante, il est très important que les entreprises prennent contact avec des services spécialisés, tels la brigade d'enquête sur les fraudes aux technologies de l'information (BEFTI), afin d'être éclairées sur le point de savoir à quel moment il est opportun de déposer plainte, sur quelle base, et quelle qualification il convient de retenir. Elle relève qu'une fois la plainte déposée, ces dossiers sont signalés, suivis de très près, et un juge d'instruction est saisi. La réactivité est de mise ; elle constitue la problématique essentielle en matière de lutte contre la cybercriminalité, qui touche aussi bien les infractions dites "classiques" que les "attaques".

La première difficulté de ce type de contentieux est de remonter vers les auteurs, car ces attaques sont véritablement industrialisées. La seconde difficulté est constituée par le fait que les victimes ne s'aperçoivent pas immédiatement qu'elles sont victimes de cybercriminalité ; les entreprises découvrent le préjudice subi en décalé.

Selon Myriam Quemener, ces affaires sont souvent complexes, du fait de l'aspect technique qui les gouverne, mais également du fait des éléments d'extranéité qui les caractérise, avec un renforcement de la coopération internationale. L'arsenal législatif est extrêmement complet. Pour exemple, la "regulation data breach" (Règlement n° 611/2013 du 24 juin 2013 N° Lexbase : L2794IXR), impose notamment à certaines entreprises de signaler les vols de données personnelles à la CNIL. Malgré cet arsenal législatif, il apparaît nécessaire de définir une réelle politique pénale de lutte contre la cybercriminalité. C'est d'ailleurs ce que préconise le rapport interministériel intitulé "Protéger les internautes", présidé par Marc Robert et remis le 30 juin 2014. Cinquante-cinq propositions sont formulées, parmi lesquelles le renforcement de la coopération public/privé. L'intervenante corrobore cette préconisation et argue qu'il est tout à fait essentiel de travailler avec les prestataires techniques, car la preuve numérique, volatile, se doit pourtant d'être incontestable. A cet égard, la magistrate rappelle que le Conseil de l'Europe a créé un guide de la preuve électronique, lequel pourrait constituer une base de travail afin de créer une méthodologie de recueil de la preuve numérique.

Par ailleurs, afin d'appréhender les risques économiques liés aux menaces de sécurité, elle relève qu'il ne s'agit pas de créer de nouvelles infractions, face au renforcement des circonstances aggravantes, telles que celle de bande organisée, ou encore celle du recours aux réseaux numériques. Elle constate également qu'il y a une sous-utilisation des infractions pénales, et donne l'exemple de l'introduction par le législateur du vol d'électricité. Pourquoi ne pas l'introduire pour le vol immatériel ?

Il est ainsi fondamental de mettre en place une stratégie globale, avec l'ensemble des acteurs. Mais l'on constate que, face à la complexité de ces affaires, aux éléments d'extranéité, à la relativité de la preuve numérique, des réponses sont apportées, qu'elles soient liées à l'aggravation des peines ou aux partenariats public/privé. Encore faut-il que ce sujet soit suffisamment pris au sérieux par les acteurs concernés.

Pour Maître Laurent Caron, l'enjeu du sujet est celui du critère de la confiance dans le monde digital, sujet qu'il convient d'aborder en dehors de toute polémique. Selon l'avocat, il convient d'appréhender un tel sujet en amont du judiciaire, car il y a une réelle politique administrative menée par les autorités de contrôle. L'actualité déjà évoquée convainc que désormais, le nouveau sujet appelé "faille de sécurité" entre dans le tableau de bord des entreprises, et ce grâce à la mondialisation.

Le projet de Règlement européen en matière de protection des données à caractère personnel indique que demain, les violations devront de plus en plus faire l'objet de notifications aux autorités de contrôle, lesquelles s'insèrent dans une logique globale de renforcement de la sécurité des entreprises. L'intervenant relève que les articles 30 et 31 dudit projet s'assimilent à l'obligation d'effectuer des études d'impact, avec une obligation de documentation extrêmement renforcée, ainsi que l'émergence de codes de conduite. L'évolution est majeure, car elle va concerner à la fois les responsables de traitement et les sous-traitants. L'entier monde du cloud-computing va ainsi être impacté.

En amont du judiciaire, il faut aborder les exigences de qualité qui sont celles du dirigeant face aux acteurs techniques. L'intervenant fait ici référence aux procédures de conformité, ainsi qu'à la compliance appliquée à la sécurité des entreprises. Selon lui, il est nécessaire que le dirigeant soit capable de décrire la nature de la violation des données, puis de la communiquer, et enfin de recommander des mesures à prendre pour atténuer les éventuelles conséquences négatives de la violation. Il est également nécessaire de vérifier que la chaîne de contrats dans laquelle est engagée l'entreprise permette de respecter ces exigences. Enfin, il est nécessaire pour l'entreprise de conserver une trace documentaire de la violation de données.

D'ores et déjà, la CNIL prouve qu'elle est opérationnelle sur ce sujet. Par ailleurs, elle indique que ce n'est pas un débat nouveau, et qu'il s'agit d'un problème relevant du domaine de la gouvernance au sens de l'article 34 de la loi "Informatique et Libertés" du 6 janvier 1978. Au sens du projet de Règlement européen, il s'agit, en revanche, d'anticiper les violations de données. Comment fait-on ? L'intervenant suggère l'utilisation de tableaux Excel, permettant de modéliser. Au-delà, cette anticipation suscite encore de nombreuses interrogations.

En guise de conclusion, Maître Laurent Caron constate que l'on dispose de plus en plus d'outils pour évaluer le niveau de vulnérabilité des entreprises face aux risques de sécurité. En parallèle, il est important que les dirigeants connaissent l'arsenal juridique en la matière, afin d'être suffisamment vigilants, et prouver cette vigilance en aval, en cas de concrétisation des risques.

Farid Illikoud estime que le monde juridique et le monde de l'entreprise sont à la fois proches et éloignés. L'entreprise essaie de se protéger car aujourd'hui le modèle de sécurité est complètement ouvert. En effet, la frontière entre le monde professionnel et le monde personnel est abattue. Pour exemple, il paraît difficile d'interdire à un salarié d'apporter son smartphone sur son lieu de travail. De plus, il faut également que l'entreprise prenne en compte un élément d'extranéité. Ainsi, à l'annonce de la contractualisation de l'entreprise avec un acteur américain, des questions se posent nécessairement quant à l'insécurité. Afin de faire face à cette dernière, l'intervenant indique que la priorité reste la prévention, car le contexte des menaces évolue, et l'absence de risque n'existe pas. Selon lui, les directeurs généraux des entreprises commencent à en prendre conscience.

La première suggestion de Farid Illikoud est celle de l'insertion de clauses de sécurité dans l'ensemble des contrats que l'entreprise passe avec ses fournisseurs. Il est également nécessaire d'ajouter des clauses d'audit et de s'interroger quant au point de réversibilité. Ainsi, il convient de se poser la question de savoir quels sont les moyens mis à la disposition de l'entreprise pour récupérer ses données. Sa seconde suggestion est celle d'une bonne connaissance de l'environnement de l'entreprise, mais également de la constitution de la cartographie des données.

Il est nécessaire de proposer un service de sécurité minimum, afin que ladite sécurité ne soit pas un frein au développement de l'entreprise, mais un "facilitateur de business", dans la mesure où la sécurité est un vecteur de confiance. Au-delà de ces mesures dites "traditionnelles", il est fondamental, à la fois, de se tenir en éveil sur l'ensemble des menaces, mais également de tenir compte du fait que la malveillance peut émaner de l'entreprise elle-même. Il en va ainsi, par exemple, des CDD ou à des contrats de prestation arrivent à leur terme. Il convient de faire preuve d'une particulière vigilance face à la possibilité pour les anciens salariés de s'infiltrer dans le système d'information de l'entreprise !

Selon l'intervenant, le big data est, in fine, une vraie valeur du point de vue de la sécurité. L'analyse du comportement frauduleux doit se faire dans un cadre juridique, mais l'anonymisation des données est indispensable. Il est nécessaire que les opérationnels travaillent de plus en plus avec les directions juridiques et que les contrats passent par le service juridique et par le RSSI !

Olivier Perrin pose la question de savoir en quoi la confiance dans les moyens de paiement est l'une des clés de l'entière économie à l'heure de la digitalisation. L'intervenant rappelle, à cet égard, que si une entreprise ne peut plus encaisser la borne de service, son activité s'arrête. Le premier risque est donc financier, mais impacte également l'image de l'entreprise. Pour exemple, il convient de rappeler qu'en 2011, 12 millions de données-cartes ont été volées à l'entreprise Sony. La conséquence immédiate a été une chute des ventes de Playstation network, mais l'an d'après, il a été constaté une baisse des ventes de 25 % ! Cet exemple démontre que la perte de confiance dans les moyens de paiement a non seulement un impact financier, mais également un impact en termes d'image pour l'entreprise.

Olivier Perrin s'interroge également sur le point de savoir comment protéger ses données contre le vol, et comment éviter le risque de l'usurpation d'identité. Il indique que la fraude sur le vol de données de moyens de paiement équivaut à la fraude sur l'usurpation d'identité. Or, la meilleure défense contre ce type d'attaques est la prévention, la protection de ses données en amont.

Selon Olivier Perrin, il existe deux solutions. L'une d'entre elles est déjà en train d'être déployée. Il s'agit de la protection des données par l'anonymisation des données. Plus précisément, l'intervenant suggère de remplacer le numéro de carte bancaire pendant la transaction, lequel est placé dans un coffre. L'autre solution vise à accroître le travail effectué sur l'authentification, ainsi que sur la dématérialisation des relations entre les consommateurs et l'entreprise. Aujourd'hui, il existe des solutions d'authentification, telles que l'axe du point de vue de la biométrie, difficilement falsifiable, ou le principe de la signature électronique, qui permettrait aux salariés d'une entreprise de valider des transactions constamment validées par son président.

L'intervenant termine par un constat : on dispose, aujourd'hui, de toutes les technologies afin de prévenir les cyber-attaques, et d'un cadre juridique sur lequel s'appuyer. Encore une fois, une coordination des acteurs permettrait de faciliter la vie des entreprises et de leur garantir la confiance.

II - Les risques humains liés aux menaces de sécurité

Concernant les risques humains, Anne Souvira rappelle, en premier lieu, que les services de police traitent aujourd'hui de beaucoup de dossiers d'extorsion des entreprises. Ces dernières se voient obligées de payer un certain nombre de bitcoins. Si elles refusent, leur base de données se retrouve alors sur internet. De plus, l'intervenante rappelle également l'importance des escroqueries aux opérateurs téléphoniques, des faux ordres de virement. Selon elle, ces différents évènements sont à 80 % dus à des facteurs internes à l'entreprise. Afin de limiter ces risques humains, et plus particulièrement la violation du secret professionnel, des affaires et des correspondances, il est crucial que chaque salarié, au sein de l'entreprise, n'outrepasse pas son positionnement.

Didier Gras soutient, quant à lui, qu'il est important de prendre conscience que notre société fonctionne beaucoup par sensationnalisme, par rapport au problème qui nous occupe. Pour exemple, la BNP est attaquée à chaque seconde, du fait de sa position internationale ! En outre, les risques se concrétisent également car les cyber-citoyens ont mal configuré leur accès à internet, accès à partir duquel l'on peut attaquer les entreprises. Selon l'intervenant, la réelle difficulté est le déficit de pédagogie. Ainsi, il est nécessaire d'auditer la sécurité des acteurs et de baliser le chemin. Il n'est pas suffisant d'intégrer des clauses de confidentialité dans les contrats !

Marie-Benoîte Chesnais estime qu'il est nécessaire d'informer l'utilisateur. L'évolution liée aux nouveaux usages apporte une meilleure communication entre l'entreprise et le client. De la même façon que des particuliers se présentent en tant que "marque" auprès de leur entourage, par le biais des réseaux sociaux notamment, les entreprises suivent le schéma inverse, et se positionnent de façon à toucher les particuliers, afin de promouvoir leur marque et proposer de meilleurs services. De plus, une entreprise, pour rester concurrentielle, va pouvoir développer des applications de proximité. Or, l'évolution des usages, liée aux nouvelles technologies, crée un contexte difficile pour les directeurs des systèmes d'information, lesquels ont une grande hétérogénéité de systèmes à maîtriser, ainsi qu'un grand nombre d'utilisateurs. A présent, ces directeurs doivent s'ouvrir à des millions de clients, représentés sous forme de comptes et pouvant être la cible d'attaques et de compromissions.

Selon l'intervenante, une fois le cadre de la gouvernance créé, la participation du management est primordiale. Il faut faire en sorte de définir les processus pour la création de comptes sur les systèmes d'information. Elle met en exergue le problème des "supers-administrateurs", comptes pour lesquels les mots de passe ne sont jamais modifiés, en raison du fait qu'ils sont utilisés par des applications.

Emmanuelle Bartoli indique quant à elle que chez Atos se développe une harmonisation des pratiques au sein du groupe. Les règles en matière de protection des données personnelles doivent pouvoir bénéficier d'une approche harmonisée et reposer sur des bases saines. Cela est loin d'être évident, du fait des différentes cultures et législations applicables. C'est pourquoi l'intervenante conseille aux entreprises de mettre en place un ensemble de procédures permettant de traduire les grands principes en la matière, ainsi qu'un groupe de personnes spécifiquement en charge de la mise en oeuvre de ces procédures. Elle conseille également vivement de sensibiliser les salariés, ainsi que les acheteurs, sans quoi la mise en oeuvre de ces procédures serait vouée à l'échec. Pour ce faire, la consécration d'une semaine à la sensibilisation sur les données personnelles serait opportune. Il est nécessaire de former le salarié "contre lui-même", et ce au sein d'une hiérarchie ! Marie-Benoîte Chesnais ajoute qu'il est nécessaire d'automatiser au maximum les processus au sein de l'entreprise, afin d'éviter les erreurs humaines. A cet égard, Didier Gras considère que cela passe obligatoirement par une traçabilité et une gestion des droits appropriées. Mais toute la difficulté réside dans le fait de devoir combiner une politique de sécurité viable et l'obsolescence...

Emmanuelle Bartoli considère également qu'il y a plusieurs faisceaux qui permettent d'accroître la sécurité au plan juridique, dont la négociation contractuelle avec les fournisseurs, qu'il ne faut pas négliger ! Elle préconise d'être plus strict sur le plan de cette négociation, de vérifier en amont que les mesures techniques sont bien intégrées dans le contrat et d'insérer une clause d'audit.

L'intervenante met en outre l'accent sur le développement du cloud européen. La Commission européenne a pour objectif d'accroître la transparence en la matière. Cet exemple montre qu'il est nécessaire de faire preuve de nuance selon les acteurs !

Enfin, Anne Souvira rappelle qu'une politique de sécurité des systèmes d'information sur l'Etat (PSSIE) a été signée le 17 juillet 2014. Elle est déclinée dans tous les services de l'Etat, et fixe les règles de protection applicables aux systèmes d'information de l'Etat. Cette politique devrait permettre une meilleure sensibilisation des collaborateurs. Chaque direction devrait avoir un service spécialement dédié afin d'assurer la tangibilité des systèmes d'information et d'éviter au maximum la réalisation des risques, le maillon faible étant l'humain !

En conclusion, Laure Lavorel soulève que face aux risques juridiques et économiques, des pistes et des solutions sont déjà en place. Il faut, tout d'abord, insister sur l'importance de la prévention, en incluant la formation des salariés, les charges de conformité et une très forte implication des pouvoirs publics. Le cyberespace est un espace complexe du fait de sa technicité, de la géolocalisation et de la complexification des infractions afférentes. Ces échanges permettent de se montrer optimiste, car le potentiel de protection est fort. Notre société civile est protégée par des pouvoirs publics conscients de la situation. La nouveauté ne réside pas dans la cybercriminalité, c'est le facteur de la vitesse qui est nouveau. Or, c'est une réflexion non seulement juridique, mais également sociologique, qu'il convient de mener avec l'ensemble des acteurs : des juristes et des spécialistes du numérique !

© Reproduction interdite, sauf autorisation écrite préalable