Et comment ASARTIS peut vous aider ?

Aujourd’hui, aucune entreprise – y compris les TPE et les artisans – n’est totalement à l’abri d’une cyberattaque. Phishing (hameçonnage), ransomware (rançongiciel), vol d’identifiants, attaques par déni de service (DoS/DDoS) sont autant de termes utilisés pour traduire une réalité criante : les attaques informatiques sont devenues « monnaie courante ».

Les conséquences peuvent être dangereuses aussi bien pour la société concernée que pour ses dirigeants, ses clients finaux ou même ses fournisseurs : perte de données ; paralysie de l’activité ; atteinte à la réputation de l’entreprise et/ou des salariés et des dirigeants ; et même, dans les cas les plus graves, responsabilité juridique engagée (responsabilité de l’entreprise ; responsabilité personnelle du dirigeant).

En outre, sur le plan strictement financier, une cyberattaque peut aussi entraîner :

• Des pertes financières importantes (arrêt de production, perte de chiffre d’affaires).
• Des coûts de remédiation (restauration des données, assistance informatique, frais de communication de crise).

Il existe néanmoins des réflexes simples à adopter pour se protéger et réagir efficacement.

En tant qu’adhérent Asartis, vous n’êtes pas seul. En cas d’attaque et même en cas de prévention des attaques, notre service Droit des Affaires peut vous accompagner sur différents aspects.

1. Avant l’attaque : les bons réflexes en matière de prévention

• Sensibiliser vos équipes : former vos collaborateurs à reconnaître les e-mails suspects (phishing) et à être vigilant lors de leur navigation sur Internet.

• Adopter une politique de mots de passe robuste : elle doit respecter les recommandations de l’ANSSI (12 caractères minimum associant chiffres, lettres et caractères spéciaux) et ne pas contenir d’informations personnelles (date de naissance, nom, prénom, …). Vos mots de passe devront être renouvelés au moins 1 fois par an.

• Activer la double-authentification : En plus d’un mot de passe fort, la double-authentification assure une couche de sécurité complémentaire permettant de s’assurer de votre identité.

• Sécuriser l’accès à votre système informatique : mettre en place une gestion des droits pour vos collaborateurs, segmenter votre réseau pour en protéger les zones sensibles, renouveler la clé de sécurité de votre réseau Wifi, stocker vos mots de passes dans un coffre-fort numérique, …

• Sauvegarder vos données : effectuer quotidiennement les sauvegardes de vos données et logiciels qui permettront à votre activité de redémarrer sereinement en cas de cyber-attaque. Tester votre sauvegarde 1 fois par an.

• Effectuer les mises à jour : il est nécessaire de régulièrement maintenir à jour votre matériel et vos logiciels afin d’éviter qu’une personne malveillante en exploite les failles de sécurité. Porter une attention particulière aux mises à jour de de votre antivirus.

• Vérifier vos contrats clés et assurances :
  •  La relecture de vos contrats avec vos prestataires/fournisseurs informatiques et hébergeurs, aussi fastidieuse soit-elle, vous permet d’identifier les garanties concrètes offertes à votre structure en cas d’incident (niveaux de services, sécurité de vos données, délais de rétablissement du service).

ASARTIS, via son service Droit des Affaires, peut vous accompagner dans l’analyse et la relecture de vos contrats stratégiques (contrats fournisseurs, sous-traitants ou clients) afin d’identifier les éventuels risques.

• Souscrire une assurance cyber ou vérifier si votre RC Pro couvre les incidents informatiques.

En premier lieu, le premier réflexe à avoir est de vérifier si votre responsabilité civile professionnelle (RC Pro) inclut un volet « cyber risques » – ce qui n’est pas toujours le cas.

Si tel n’est pas le cas, il peut être opportun – selon les enjeux liés à votre activité – de recourir à une assurance spécifique dédiée au « risque cyber ».

Selon le contrat, ce type d’assurance peut couvrir :

• Les frais techniques (intervention d’experts en cybersécurité, restauration des données, suppression des logiciels malveillants).
• Les frais de communication de crise (information des clients, relations presse).
• Les pertes d’exploitation (compensation pour le chiffre d’affaires perdu pendant l’interruption).
• Les frais juridiques (honoraires d’avocat, assistance en cas de procédure).
• Les éventuelles demandes de rançon (dans un cadre strictement encadré).

ASARTIS, via son service Droit des Affaires, peut vous accompagner dans l’analyse et la relecture de vos contrats stratégiques (contrats fournisseurs, sous-traitants ou clients) afin d’identifier les éventuels risques.

2. Pendant et après l’attaque : réagir vite et bien

Les instants et heures qui suivent l’attaque et sa découverte sont déterminantes.

Il importe pour l’entreprise victime d’agir méthodiquement – et aussi sereinement que possible – en suivant un plan clair qu’elle aura préalablement établi.

Ce plan doit notamment intégrer les éléments suivants :

• Limiter la propagation : isoler les postes touchés, couper temporairement l’accès à Internet et au réseau.
• Constituer une cellule de crise : elle apportera un cadre dans la gestion de la crise et permettra de répartir les rôles entre les différentes parties prenantes.
• Communiquer sur la situation : informer régulièrement vos collaborateurs pour les tenir informés de la situation. Prévenez également vos principaux partenaires afin d’assurer la continuité de l’activité (banque, assurance, fournisseurs, …).
• Mener les investigations techniques : à l’aide vos partenaires informatiques, analyser pour comprendre l’origine de l’attaque et estimer l’étendue des dégâts.
• Documenter vos différents agissements et préservez les preuves : établissez un registre des évènements et actions réalisées pour pouvoir ultérieurement en conserver la trace, les mettre à disposition des enquêteurs et tirer les enseignements de l’incident.
• Signaler l’incident : dans les 24H, déposez plainte et faites un signalement auprès de Cybermalveillance.gouv.fr pour être assisté.
• Mettre en place un plan d’action : selon la gravité de l’attaque, évaluer les différents scénarios de rétablissement et procéder aux remédiations permettant de rétablir le service.
• En fonction de la nature de l’attaque, il convient aussi d’informer vos clients et/ou vos partenaires dès lors que leurs données sont concernées ; il s’agit même d’une obligation légale prévue par la loi Informatique, Fichiers et Libertés ainsi que par le RGPD dans certains cas (article 33 du RGPD).

Notifiez l’incident à la CNIL dans les 72 heures si des données personnelles ont pu être consultées, modifiées ou détruites par les cybercriminels. En cas de risque qualifié d’élevé sur la vie privée des personnes concernées (notamment en cas de divulgation des données personnelles des clients et dans le cas de données sensibles), l’entreprise devra prévoir de compléter cette notification par une communication directe de l’incident.

ASARTIS, via son service Droit des Affaires, peut vous
accompagner dans la gestion juridique de la crise (RGPD, communication
vis-à-vis des personnes concernées, préqualification de la responsabilité de
l’entreprise).

En résumé

La cybersécurité n’est pas qu’une affaire technique : c’est aussi un sujet d’ordre juridique et organisationnel. Anticiper et savoir réagir sont les meilleures armes pour protéger votre activité.

Notre service Droit des Affaires peut vous accompagner sur différents aspects :

• Audit de vos différents contrats et assistance dans vos relations avec vos prestataires informatiques.
• Gestion juridique de la crise (RGPD, communication vis-à-vis des personnes concernées, préqualification de la responsabilité de l’entreprise)

Coordination avec vos assureurs et avec les autorités compétentes.

N’hésitez pas à contacter notre service Droit des Affaires et plus particulièrement