3 minute read
La sécurité de l’information a une composante juridique centrale
La numérisation et le nombre croissant de cyberattaques contre les entreprises et les autorités soulèvent de nouvelles questions juridiques. Entretien avec Jürg Schneider et David Vasella, avocats et partenaires chez Walder Wyss, experts sur les aspects juridiques de la cybersécurité.
Jürg Schneider
iur., Avocat Associé
David Vasella
Le nombre de cyberattaques est en augmentation. Quelles en sont les raisons et les conséquences, notamment du point de vue juridique ?
Jürg Schneider : Il est vrai qu’il y a plus d’incidents et que les entreprises et les autorités s’intéressent de plus en plus au thème de la sécurité informatique. Cela s’explique aussi par le fait que les cyberattaques attirent de plus en plus l’attention des médias. Le nombre croissant d’attaques est dû à un groupe croissant de personnes qui pratiquent les cyber-attaques et notamment l’attaque par ransomware en tant qu’industrie. Ils agissent de manière très professionnelle et se répartissent le travail. Cela augmente l’efficacité et le danger. Parallèlement, l’infrastructure informatique des entreprises devient de plus en plus complexe et souvent difficilement maîtrisable pour les entreprises concernées. Le troisième facteur est la numérisation : nous produisons de plus en plus de données et sommes de plus en plus dépendants des processus numériques. Cela rend la cybercriminalité plus rentable. Le législateur réagit à cette évolution en réglementant de plus en plus : la législation sur la protection des données est renforcée ou les infrastructures critiques sont réglementées.
Quelles sont les conséquences de cette évolution pour les PME ?
David Vasella : La question de savoir qui est réellement responsable de la sécurité informatique d’une organisation est au centre des préoccupations. D’un point de vue juridique, c’est d’abord le conseil d’administration. Celui-ci est responsable du non-respect des dispositions de sécurité s’il ne délègue pas les tâches correspondantes ou ne les supervise pas. Si l’on considère le sujet dans son contexte juridique, il convient donc de clarifier les questions de gestion des risques et de créer des structures permettant de détecter et de minimiser les risques. A cet effet, le conseil d’administration a également besoin d’une compétence minimale en matière de cybersécurité. Il doit pouvoir aborder des questions telles que : Quels actifs devons-nous protéger en priorité ? Quelles personnes ou quels services en sont responsables ? Et que se passe-t-il en cas d’attaque ? C’est extrêmement important, car en cas de brèche, les autorités demandent quelles mesures ont été prises pour protéger les données et les infrastructures. Celui qui n’a pas de réponse valable à cette question se trouve dans l’obligation de s’expliquer.
Comment empêche-t-on chez Walder Wyss qu’un tel cas ne se produise pour les clients ?
Jürg Schneider : Nous intervenons dans deux domaines essentiels. D’une part, nous aidons les entreprises à se préparer contre des incidents potentiels liés à la sécurité. Nous rédigeons par exemple des politiques correspondantes et définissons des directives et des instructions d’action en cas d’incidents de sécurité. D’autre part, nous sommes consultés lorsqu’une attaque a déjà eu lieu et qu’elle pourrait avoir des répercussions dans l’entreprise ou au sein d’un groupe d’entreprises. Dans de tels cas, nous couvrons l’aspect juridique. Il s’agit entre autres de l’obligation d’information. En outre, nous nous concentrons, avec l’entreprise cliente, sur la question de savoir comment prévenir de tels événements à l’avenir. Dans le scénario idéal, nous sommes consultés à titre préventif. Heureusement, nous constatons que c’est de plus en plus le cas. Ceci est notamment dû à la révision du droit de la protection des données. En effet, ce dernier ne sanctionne pas seulement le non-respect des dispositions de sécurité sur le plan civil, mais peut aussi avoir des conséquences pénales potentielles. C’est pourquoi les PME sont de plus en plus conscientes des problèmes de cybersécurité.
Quels secteurs sont, selon vous sont particulièrement menacés ?
David Vasella : Le potentiel de risque dépend moins de la branche que de la taille d’une entreprise et de sa position dans la chaîne de création de valeur. Les grandes PME qui disposent de données pertinentes sont intéressantes pour les pirates. Avant de lancer une attaque, les pirates recherchent quelles entreprises sont vulnérables et de quels moyens financiers elles disposent. En cas d’attaque de ransomware par exemple, ils doivent fixer le montant de la rançon à un niveau encore supportable pour l’entreprise victime du chantage et commercialement raisonnable.
Faut-il ou non payer la rançon en cas d’attaque par ransomware ?
David Vasella : Nous conseillons de ne pas le faire. Mais en fin de compte, c’est à chaque entreprise de décider pour elle-même. Il serait bien sûr préférable, d’un point de vue éthique et stratégique, de refuser les demandes de rançon. Mais il est compréhensible qu’en situation d’urgence, les entreprises envisagent de le faire afin de rétablir rapidement leurs opérations.
De plus en plus d’assureurs proposent des cyber-assurances sur le marché. Dans quelle mesure les jugez-vous utiles ?
Jürg Schneider : Une telle assurance peut constituer un bon outil pour les entreprises. Il faut vérifier quels aspects et incidents sont effectivement couverts afin de choisir les solutions d’assurance les plus adaptées à son entreprise. Parfois, la conclusion d’une telle assurance est même demandée par les grandes entreprises à leurs fournisseurs.
À propos de Walder Wyss
La croissance et la proximité sont les principaux facteurs de succès de Walder Wyss. Le cabinet a été fondé en 1972 et connaît depuis lors une croissance continue. Aujourd’hui, Walder Wyss dispose de sites à Zurich, Genève, Lausanne, Bâle, Berne et Lugano et emploie environ 250 avocats et avocates. Les experts de l’entreprise travaillent sur plusieurs sites, parlent plusieurs langues et s’occupent de clients nationaux et internationaux dans toutes les régions linguistiques de Suisse.