Le seul et unique motif des cyberattaques réside dans « la donnée », qui est devenue le premier actif de l’entreprise : le « nouvel or noir ».
Les entreprises doivent collecter leurs données et connaitre quelles sont leurs informations stratégiques. Les sources d’attaques sont de plus en plus nombreuses et de moins en moins identifiables.
La cyber sécurité n’est pas une question uniquement technologique. Elle induit également la gestion des risques organisationnels et des risques humains.
Ne pas s’en préoccuper est une erreur majeure!
Quelles responsabilités pour l’Entreprise et ses acteurs ?
La mise en place de mesures de cyber sécurité permet d’assurer la pérennité de l’entreprise et de limiter les mises en cause de l’entreprise. Outre les aspects technologiques, il s’agit d’assurer la gestion des risques organisationnels et humains.
Plus de 2/3 des entreprises françaises ont été victimes de fraudes au cours des 24 derniers mois. La France est l’un des pays les plus touché. Les principales menaces ont pour objectifs de rendre indisponible ou inopérant le service web et le système d’information. Les attaques ciblent le patrimoine informationnel des entreprises. L’accès à ce patrimoine atteint l’image de l’entreprise et le dysfonctionnement temporaire de l’entreprise entraine des coûts importants. Outre ces atteintes, les cyberattaques impactent la responsabilité de l’entreprise mais aussi de ses divers acteurs.
Quels niveaux de responsabilité?
- L’entreprise
La personne morale est responsable civilement de son patrimoine informationnel. Elle est tenue de veiller à la sécurité de ses données et fichiers et a l’obligation de prendre toute précaution utile pour préserver la sécurité de ses données. De nombreuses entreprises se font régulièrement condamnées par la CNIL notamment en raison de fuites de données personnelles. Nous attirons votre attention sur les sanctions de la CNIL qui peuvent désormais aller jusqu’à 3 millions d’euros.
- Le chef d’entreprise
En cas de défaillance de son système d’information, le chef d’entreprise ou responsable des traitements de données, risque d’engager sa responsabilité́ civile et pénale, s’il n’a pas pris les mesures techniques et d’organisation appropriées pour protéger son système d’information contre des risques internes ou externes. Sur le plan civil, il engage sa responsabilité délictuelle en raison d’une faute ou négligence de sa part, mais aussi du fait de ses préposés, en raison du mauvais usage de son système d’information par son salarié, causant un dommage à autrui.
- Le salarié
Sur le plan civil, il est responsable envers son employeur s’il commet une faute lourde dans l’exécution de son contrat de travail, caractérisée par l’intention de nuire à l’employeur ou à l’entreprise. Il est responsable envers les tiers s’il agit hors de ses fonctions, sans autorisation et à des fins étrangères à ses attributions.
- Responsabilité et délégation de pouvoir
Dans l’hypothèse d’une délégation de pouvoir du dirigeant au responsable de sécurité du système d’information, la responsabilité du DSI/RSSI ne pourra être engagée que s’il est prouvé qu’il a commis une faute, dans le champ de compétence délégué.
À noter : Les obligations sont renforcées pour les opérateurs d’importance vitale (OIV).
Quelles mesures prendre pour se protéger et limiter sa responsabilité ?
Plusieurs mesures peuvent être mise en place pour être en capacité de prouver sa diligence, notamment à travers les outils suivants :
- Audits de sécurité
- Chartes informatiques et de codes éthiques
- Dispositif d’alerte professionnelle
- Politique de Sécurité des Systèmes d’Information PSSI
- Normes règlementaires et ISO
- Plan de reprise informatique
- Formation des salariés
- Assurance responsabilité civile dédiée à la cyber sécurité
Commentaires récents