Avatar : impossible d'échapper à la révolution numérique

# Comprendre la justice - 4

Consacré comme le plus important succès de l’année 2022, le film « Avatar 2 » est aussi un exploit technologique. L’objet de cette chronique est de souligner l’obligation des entreprises de s’adapter à ce nouveau monde et d’en maitriser les risques car 2022 a aussi été l’année d’une cyber criminalité record.

Le défi technologique

Au cinéma, il n’y a plus de bobines dans les salles de projection mais des projecteurs numériques qui diffusent une image informatique.

Pour Avatar 2, qui combine la 3D et la technique de l’HFR (High Frame Rate) avec 60 images par seconde au lieu de 24, il faut même des projecteurs de seconde génération.

Dépourvues de ce matériel, certaines salles ont connu des « bugs » et ont dû annuler des séances ou diffuser le film au rythme réduit de 24 images seconde.

Il est donc bien clair aujourd’hui que la numérisation n’est plus une option et les entreprises qui n’investissent pas assez dans les nouvelles technologies risquent de perdre des marchés.

Ce faisant, les sociétés deviennent totalement dépendantes de ces technologies sans toujours réaliser les risques économiques et juridiques encourus.

Le risque économique

Un rapport parlementaire du 10 juin 2021 sur la cybersécurité des entreprises indique qu’une entreprise sur 5 a été victime d’une cyber-attaque et que le risque est augmenté par le télétravail (favorisant l’usage personnel ou familial de l’ordinateur) et le développement des objets connectés (climatisation, contrôle d’accès, caméra de surveillance…).

L’entreprise est alors directement exposée à perdre des ventes pendant l’attaque, à devoir des pénalités ou même à perdre des contrats si elle ne peut pas faire face à ses engagements et en tout état de cause, à voir son image dégradée aux yeux de sa clientèle et à être fortement désorganisée si elle ne peut plus, par exemple, accéder à sa comptabilité, son logiciel de paie, de gestion du de stock ou de gestion des commandes.

L’entreprise peut aussi, sans jamais s’en rendre compte, être espionnée par un concurrent qui a obtenu l’accès à ses fichiers et à sa messagerie, à des moments clefs comme un appel d’offres ou la conquête de nouveaux marchés.

Pour toutes ces raisons, une attaque informatique peut conduire une entreprise, et notamment une TPE ou PME, structurellement plus fragile, à disparaître.

Le risque juridique

Les grandes entreprises ont pris des mesures pour se protéger contre la cybercriminalité .

La conséquence est qu’aujourd’hui, ce sont leurs fournisseurs et leur sous-traitant qui, moins bien sécurisés, servent de porte d’entrée à des logiciels malveillants programmés pour se propager dans le système d’information de la grande entreprise.

Le risque est alors que ces petites entreprises se voient reprochées de ne pas avoir mis en place des mesures de sécurité suffisantes pour éviter l’entrée et la propagation du virus.

Le rapport parlementaire du 10 juin 2021 sonne l’alerte en écrivant que « les TPE et PME constituent une porte d'entrée dans les systèmes d'information des ETI ou grandes entreprises dont elles sont sous-traitantes et doivent investir dans la cybersécurité. »

Il ajoute que « si elles ne le font pas, l'omission dans la mise en place de mesures de sécurité suffisantes pourrait caractériser une faute par abstention susceptible d'engager la responsabilité civile de l'entreprise ou de son dirigeant, sur le fondement de l'article 1383 du code civil. L'entreprise qui n'aura pas pris des mesures de sécurité raisonnables pour protéger son serveur contre une infection informatique virale sera de toute évidence négligente au sens de cette disposition. »

Le danger est d’autant plus grand que près d'un incident sur deux est imputable au facteur humain et donc, au personnel de l’entreprise qui se trouve être juridiquement responsable de ses préposés.

A cela s’ajoute le fait que les logiciels mis sur le marché et même acquis en toute légalité, possèdent des failles que leurs éditeurs découvrent et comblent au fur et à mesure avec des versions mises à jour dans lesquelles l’utilisateur doit investir.

Si l’utilisateur rechigne à investir dans ces mises à jour onéreuses (comme cela a été le cas de certains hôpitaux), il s’expose à des actes de piratage qu’il aurait pu éviter et dont il peut donc être tenu pour responsable pour n’avoir pas fait ce qu’il fallait pour se protéger.

Le déni

Malgré tous ces risques, la prise de conscience est lente et imparfaite.

En France, 9 entreprises sur 10 estiment qu'il est essentiel de se prémunir contre les attaques informatiques et pourtant, 1 sur 2 ne sécurise pas ses postes de travail et 1 sur 3 n'utilise même pas d'antivirus (rapport parlementaire du 10 juin 2021).

Même après une attaque, les comportements sont durs à changer. Un chef d'entreprise a ainsi raconté qu’après une attaque, l’entreprise avait envoyé des mails « pourris » à l'ensemble de ses salariés pour savoir s'ils cliquaient sur les pièces jointes. Tout le monde avait été sensibilisé par l'attaque mais seulement un mois après, 34 % des salariés sont tombés dans le piège.

La sensibilisation

Cliquer sur une pièce jointe malveillante, c’est comme cliquer sur un bouton démarrage : on lance un programme caché qui va ordonner à l’ordinateur d’accomplir d’autres tâches que celles prévues à l’origine.

C’est donc un geste dangereux qui peut mettre en péril toute la sécurité informatique de l’entreprise, tout comme choisir un mot de passe trop simple ou retarder sans cesse les mises à jour. Mais les utilisateurs sans compétence informatique n’ont pas conscience du danger : ils se servent de leur ordinateur comme on le faisait au temps des premières voitures sans permis ni ceinture alors que dans le même temps, la cybercriminalité explose.

Il faut donc sensibiliser aux dangers et apprendre les bons gestes pour avoir une bonne « cyber-attitude ».

Les informations en ligne

Il existe plusieurs sites en ligne d’organismes publics pour accompagner les particuliers, les collectivités et les PME/TPE en matière de sécurité informatique :

- La CNIL (Commission Informatique et Liberté), l’ANSSI (Agence Nationale pour la Sécurité des Systèmes d’Information) et la CPME proposent un guide de recommandations essentielles.

- L’ACYMA (groupement d’Action contre la Cyber malveillance) a mis en place un site en ligne cybermalveillance .fr pour obtenir des conseils en matière de cybersécurité, avoir le nom de prestataires labellisés, déposer plainte

- L’IHEDN (Institut des Hautes Etudes de Défense Nationale) dispense des formations en intelligence économique aux cadres des secteurs publics et privés

- L’Agence de Numérique Santé et l'Agence de Sécurité Nationale des Médicaments ont établi des guides à l’attention des professionnels de santé exerçant en libéral et des utilisateurs de Dispositifs Médicaux

- Les ordres professionnels émettent également des recommandations à l’attention de leurs membres (avocats, expert-comptables, pharmaciens…).

La palette d'actions

Il existe de nombreuses mesures possibles pour réduire le danger mais qui nécessitent toutes d’y consacrer du temps et/ou un certain budget:

- La sensibilisation du personnel, par exemple avec la venue d’un conférencier dans l’entreprise, des formations, des solutions d’e-learning

- L’élaboration d’une routine avec des cadences régulières pour les mises à jour, la sauvegarde sur un disque externe et le rappel des consignes

- La mise à jour des logiciels par un informaticien interne ou par un prestataire informatique externe

- La rédaction d’un guide de bonnes pratiques informatiques pour harmoniser les pratiques au sein de l’entreprise

- L’établissement d’un scénario de crise identifiant les mesures à prendre, la personne à contacter, les services vitaux pour l’entreprise

- La rédaction d’une charte d’utilisateurs pour les salariés en télétravail

- La réalisation d’audit(s) : audit de configuration (pour augmenter le niveau de sécurité), d’architecture (pour gérer les interconnexions), d’organisation (pour rédiger des procédures et vérifier la chaine de décision), de test d’intrusion (en simulant une cyberattaque).

Les entreprises peuvent même envisager une mesure d’accréditation en norme ISO. Cela permet de valoriser les efforts consentis en cybersécurité et de renforcer la confiance à auprès de la clientèle, des partenaires et des investisseurs.

Dans tous les cas, ces mesures ne seront vraiment utiles que si tout le monde les comprend, y adhère et les respecte.

Le signalement des spams et le dépôt de plainte

On peut signaler les spams sur le site signal-spam.fr :

en signalant ces messages indésirables qui peuvent être de nature cybercriminelle, on permet aux autorités de lutter contre la cyber-criminalité, d’identifier les ordinateur infectés sur le réseau français et de sécuriser nos messageries.

Il est aussi possible de déposer plainte en ligne ou signaler des actes de malveillance sur le site cybermalveillance.fr :

la plainte est obligatoire pour faire jouer une éventuelle cyber-assurance et elle aide les autorités à remonter les filières de cybercriminalité.

Cela permet d'agir tous ensemble pour sécuriser nos réseaux.

Le coin du non-juriste

La faute par omission

La faute par omission est un concept qui ne va pas de soi car cela suppose que l’on peut être responsable de n’avoir rien fait bien que l’on n‘ait enfreint aucune loi.

C’est pour certains une atteinte trop forte à la liberté individuelle.

Dès l’antiquité et le moyen-âge, des juristes s’en sont pourtant montrés partisans tel qu’Hugo Grotius écrivant, dans le langage de l’époque, que « nous appelons maléfice toute faute, soit en faisant, soit en ne faisant pas.» (juriste néerlandais du XVIème siècle).

Le principe a été repris par le code civil napoléonien de 1804 disposant que « Chacun est responsable du dommage qu’il a causé non seulement par son fait mais encore par sa négligence ou par son imprudence » (article 1383 devenu 1241).

La Cour de cassation, plus haute juridiction française, a confirmé la généralité du principe en jugeant, en 1960, qu’« en dehors de toute obligation légale, réglementaire ou conventionnelle, l’abstention d’une mesure de prudence utile engage la responsabilité de son auteur lorsque le fait omis a eu pour effet de porter atteinte à la sécurité d’autrui » (2ème civ. 6 octobre 1960).

Cela signifie qu’en plus des règles connues que l’on doit respecter et dont la violation constitue une faute évidente, il existe aussi un devoir général de ne pas nuire à autrui, dont la violation constitue une faute par omission.

Ne pas prendre une précaution qui s’impose, c’est commettre une faute par omission si le juge considère, au cas par cas, qu’une personne raisonnable aurait agi autrement.

En matière de cybersécurité, cela veut dire que le juge recherchera si l’entreprise a pris des mesures de sécurité raisonnables pour protéger son serveur contre une infection informatique.

En pratique, l’entreprise devra donc faire la preuve des mesures qu’elle a prises pour prévenir les risques.

Si elle n’est pas en mesure de le faire, sa responsabilité sera engagée et elle devra indemniser la victime.

Il est possible que l’entreprise soit couverte par une cyber-assurance (si elle en a trouvé une car l’offre est faible) mais l’assurance ne jouera pas s’il y a eu négligence de la part de l’assuré.

Les données sensibles

Un médecin, praticien hospitalier responsable d’une unité pédiatrique, a été condamné à 5000 euros d’amende pour avoir mis en place, sans autorisation préalable de la CNIL, une base de données pour le suivi de bébés grands prématurés.

Faute d’être sécurisée, cette base était accessible en ligne et la découvrant par hasard, avec l’identité de son fils et des commentaires médicaux qu’elle ne connaissait qu’en partie, une mère a porté plainte.

Il faut donc garder en tête que le traitement informatisé de données personnelles est très réglementé et qu’un médecin peut être attrait en justice à titre personnel alors même qu’il agit dans un cadre collectif.

Par ailleurs, tous les sous-traitants qui peuvent être amenés à conserver et/ou traiter des données sensibles (notamment en matière bancaire, défense nationale, biométrie) doivent lire attentivement les contrats qu’ils signent.

Ces contrats (et leurs annexes) contiennent en effet des listes de normes et de procédures de sécurité informatique qu’il faut être en mesure de respecter.

Le coin du juriste

L’obligation de confidentialité appréciée par la CNIL

Un établissement de santé a été contrôlé par la CNIL pour avoir confié l’évaluation de son activité à un prestataire externe.

Le contrat de prestation de services comportait une clause de confidentialité mais cette clause n’était pas suffisante pour protéger les données personnelles des patients auxquelles, relève la CNIL, ce prestataire avait accès « sans que celui-ci participe à la prise en charge du patient ni puisse être regardé comme faisant partie de l’équipe de soins ou ayant qualité de médecin » (Décision CNIL du 25 septembre 2013, 2013.037).

Une simple clause de confidentialité n’est donc pas toujours suffisante pour garantir la légalité d’un contrat de prestation.

Cécile Cuvier /

Nous contacter

Alexander Meyer /

Adresse

41, avenue de Friedland 75008

Paris