Comment appréhender l’évolution du cadre règlementaire en matière de cybersécurité ?

Les entreprises font face à une complexification des systèmes d’information qui offrent une grande richesse de possibilités et de services utilisateurs, mais complexifient aussi la sécurité. Les cyberattaques sont non seulement plus nombreuses mais elles se sont surtout professionnalisées, avec un marché de la cybercriminalité qui rapporte autant que le marché de la drogue.

Face à ce fléau, plusieurs textes ont été adoptés en matière de sécurité avec un élargissement progressif de leur périmètre d’application afin de sécuriser les écosystèmes IT. Parce que c’est à travers les entreprises mal protégées que les intrusions vont commencer, pour ensuite remonter vers d’autres cibles, ces textes ont vocation à mettre l’ensemble de l’écosystème à niveau afin qu’il n’y ait pas de maillons faibles. C’est ainsi l’ensemble des entreprises et des institutions publiques qui peuvent être protégées.

Ces textes créent donc des obligations de plusieurs natures − techniques, opérationnelles, juridiques − dont certaines sont inédites. Par exemple, dans certains secteurs, la direction d’une entreprise doit démontrer qu’elle est investie dans les questions cyber. Dans certains domaines, un point majeur porte sur l’insertion de clauses contractuelles relatives à la sécurité cyber, avec, en jeu, des sanctions administratives et financières très lourdes, à l’image de ce qui se fait depuis quelques années pour le RGPD. Pour ce qui concerne les normes techniques, les textes ont le bon sens de renvoyer à des organismes comme l’ANSSI qui ont plus de souplesse et de réactivité que le législateur.

Quels sont les bénéfices d’une approche proactive de la cybersécurité ?

Des entreprises de toutes tailles sont concernées par cette impréparation. Des mesures de sécurité élémentaires ne sont parfois pas mises en œuvre, comme les « patchs » de sécurité des logiciels. Certaines entreprises ne voient que l’aspect du coût dans les budgets alloués à la sécurité cyber. Or, lorsqu’une entreprise mal préparée est touchée par une crise cyber, elle part de très loin. Elle peut se retrouver à l’arrêt pour plusieurs jours, parfois plusieurs semaines, avec des pertes de chiffre d’affaires énormes, et une chute de confiance de la part des partenaires. Pour résoudre le problème en interne, les réunions peuvent bien s’enchaîner mais personne ne sait quoi faire s’il n’y a pas de plans de continuité et de reprise d’activité. C’est très lourd et cela génère un stress humain énorme. De plus, une crise mal préparée coûte.

Des entreprises de toutes tailles sont concernées par cette impréparation. Des mesures de sécurité élémentaires ne sont parfois pas mises en œuvre, comme les « patchs » de sécurité des logiciels. Certaines entreprises ne voient que l’aspect du coût dans les budgets alloués à la sécurité cyber. Or, lorsqu’une entreprise mal préparée est touchée par une crise cyber, elle part de très loin. Elle peut se retrouver à l’arrêt pour plusieurs jours, parfois plusieurs semaines, avec des pertes de chiffre d’affaires énormes, et une chute de confiance de la part des partenaires. Pour résoudre le problème en interne, les réunions peuvent bien s’enchaîner mais personne ne sait quoi faire s’il n’y a pas de plans de continuité et de reprise d’activité. C’est très lourd et cela génère un stress humain énorme. De plus, une crise mal préparée coûte cher car, dans l’urgence, on ne sait pas qui appeler, on n’a pas négocié les tarifs et on paie alors le prix fort. Les coûts d’intervention, de remise en marche, peuvent en effet être très importants lorsque l’on n’est pas organisé.

Au contraire, lorsque l’on anticipe, tout devient beaucoup plus confortable. Un plan B permet de savoir, lorsque le système s’arrête, comment en installer un autre pour repartir au plus vite. Tous les prestataires de l’écosystème savent qui peut faire quoi en cas d’incident. Et cela permet de maîtriser ses coûts. Certes, ce sont des démarches qui ont un coût en amont, mais il faut voir que l’impact d’une crise cyber est beaucoup moins important pour une entreprise qui est préparée avec des plans et des process robustes.

Comment accompagnez-vous vos clients face au risque cyber ?

Nous les accompagnons pour décortiquer le mille-feuille de textes et identifier ce qui leur est applicable. Il y a d’abord une grande variété sectorielle, mais aussi de vraies différences en fonction du type de données et de technologies. Ils peuvent ainsi voir les points essentiels de ces textes complexes, comprendre qu’un texte ne s’applique qu’à une partie de leur activité, et cela leur permet de minimiser les coûts. Nous les aidons à comprendre notamment comment ils peuvent documenter leur mise en application, car il y a parfois peu d’écart entre les demandes et ce qu’une entreprise a déjà mis en place, mais il faut pour autant bien le documenter. Nous pouvons aussi organiser une mise en application progressive.

Nous les accompagnons aussi bien évidemment dans la rédaction des clauses contractuelles. Et nous sommes à leurs côtés s’ils connaissent un incident cyber. Les prestataires validés par l’ANSSI avec qui nous travaillons régulièrement ont une grande habitude pour traiter ce type d’urgence avec une très grande réactivité.

Marine Hardy, Avocat directeur des pôles Innovation & Sécurité ITLAW Avocats.

Cet article est à retrouver dans le magazine : Le journal du management juridique n°104 Février – Mars 2025, page 55 

ITLAW Avocats mobilise ses talents et son expertise en matière de protection des  données personnelles, de projets informatiques  complexesde  contrats, d’innovation et de  propriété intellectuelle  ainsi que sa connaissance de l’écosystème IT et son expertise en matière de négociation pour vous accompagner dans la sécurisation de vos projets complexes. 
Nous contacter