Cyberattaque : combien cela coûte aux entreprises  concrètement et comment bénéficier d(un accompagnement juridique s'en protéger, se défendre et porter plainte? 

Accompagnement juridique : Réaction à une cyberattaque, assurances, plainte...

Près de 385 000 cyberattaques ont touché les systèmes d’information des entreprises en 2022.

Une cyberattaque peut coûter cher à une entreprise. un certain nombre d’organisations, notamment parmi les PME, ne sont pas en mesure de relancer leur activité. pertes financières, impact sur l’image de l’entreprise, perte de confiance des clients et des partenaires.


" Pour le cabinet d’audit et de conseil Deloitte, il y a 14 facteurs à prendre en compte pour évaluer de manière exhaustive les conséquences d’une attaque et les coûts cachés d’une cyberattaque

Il s’agit de coûts directs et indirects qui entrent en ligne de compte pour mesurer l’impact financier d’un cyberincident :

Partie émergée (coûts financiers les plus connus)
- Enquêtes techniques
- Notification client de l’intrusion
- Mise en conformité réglementaire
- Honoraires d’avocat et frais de justice
- Sécurisation des données client post-incident
- Relations publiques
- Amélioration des dispositifs de cybersécurité


Partie immergée (coûts financiers cachés ou moins visibles)
- Augmentation des primes d’assurance
- Augmentation du coût de la dette
- Impacts liés à la perturbation ou l’interruption des activités
- Erosion du chiffre d’affaires liée à la perte de contrats client
- Dépréciation de la valeur de marque
- Perte de propriété intellectuelle
- Perte de la confiance accordée par le client "

https://www.oodrive.com/fr/blog/securite/cyberattaques-quel-cout-pour-une-entreprise/
 

 

Quelles actions juridiques à faire en cas de cyber attaques avec l'avocat?

1 contacter un avocat 

Dès la découverte de l’attaque cyber et une fois les premières mesures techniques d’urgence prises par le responsable de la sécurité du système d’information du cabinet (sauvegarde, isolement du SI…) ou le prestataire informatique, l’e chef d’entreprise doit contacter son assurance cyber-risque.

2. Respecter les obligations de notification et de communication issues du RGPD.
Les sociétés sont eux au respect du règlement général sur la protection des données (« RGPD ») en tant que responsables de traitement.

Le RGPD prévoit des obligations de notification et de communication à la charge du responsable de traitement en cas de violation de données, étant précisé qu’une violation de données est caractérisée en cas de perte de confidentialité, d’intégrité ou de disponibilité des données personnelles.

A titre d’exemple, dans le cas d’une attaque par rançongiciel visant une structure , la violation de données est caractérisée dès lors que les données personnelles des clients et/ou des collaborateurs et salariés sont cryptées par le cyberattaquant (indisponibilité) voir divulguées (perte de confidentialité).

Toute violation de données personnelles devra être notifiée à la CNIL dans un délai de 72 heures maximum après sa découverte, dans le cas où un risque pour les personnes concernées est identifié (article 33 du RGPD).

En cas de risque qualifié d’élevé sur la vie privée des personnes concernées (notamment en cas de divulgation des données personnelles des clients et dans le cas de données sensibles au sens de l’article 9 du RGPD), le cabinet devra compléter cette notification par une communication directe de l’incident aux personnes concernées dans les meilleurs délais. Cette communication peut notamment prendre la forme d’un courriel et doit contenir les mentions obligatoires édictées à l’article 34 du RGPD.

L’entreprise victime devra alors procéder à une analyse préalable des effets de l’incident sur la vie privée des personnes concernées afin de déterminer s’il doit notifier l’incident à la CNIL et communiquer aux personnes concernées le cas échéant.

En tout état de cause, qu’il notifie ou non l’incident à l’autorité de contrôle, l’entreprise doit compléter son registre de violation des incidents [3].

3. Déposer plainte.
L’avocat devra procéder à un dépôt de plainte pénale contenant l’exhaustivité des faits et les fondements juridiques qualifiant les infractions commises dans un délai maximal de 72 heures s’il a souscrit à une assurance cyber.

En effet, la loi d’orientation et de programmation du ministère de l’intérieur (LOPMI) du 14 décembre 2022 conditionne désormais le remboursement des rançongiciels au dépôt obligatoire d’une plainte de la victime au plus tard 72 heures après la connaissance de l’atteinte par la victime et ce, afin d’améliorer l’information des forces de sécurité et de l’autorité judiciaire sur les cyber-attaques [4].

Cette plainte peut être réalisée :
- Soit par écrit, directement auprès du procureur de la République [5] ;
- Soit auprès d’un service de police/gendarmerie qui renverra à un service spécialisé.

Les chefs d’infractions qui fondent généralement une plainte pénale dans le cadre d’une cyber-attaque peuvent être les suivants, selon les faits de l’espèce :

Atteinte à un système de traitement automatisé de données (« STAD ») 
Accès et maintien frauduleux dans un STAD
Entrave au fonctionnement d’un STAD
Introduction frauduleuse de données dans un STAD
Extraction, détention, reproduction, transmission illégitime de données
Importation, détention, offre, cession ou mise à disposition d’un équipement d’atteinte aux STAD
Participation à un groupe formé ou à une entente établie en vue de commettre des fraudes informatiques
Escroquerie 
Vol de données / recel 
Usurpation d’identité numérique 
Manquements au RGPD et à la loi n°78-17 du 6 janvier 1978 dite « informatique et liberté » [10].
Afin de pouvoir réagir dans les délais, il est recommandé de disposer en amont d’un modèle de plainte pénale rédigé par un conseil spécialisé et/ou de faire appel à l’assistance d’un avocat spécialisé en cybercriminalité.

4. Engager la responsabilité civile du prestataire.
Des actions en réparation des dommages et intérêts (mise en demeure, assignation) pourront également être exercées dans le cas où l’incident a été causé par un manquement du prestataire informatique à son obligation de sécurité. 
agissant comme sous-traitant au sens du RGPD, il est fortement recommandé d’auditer les contrats, de vérifier l’existence d’accord sur la protection des données et de les renforcer si besoin. Un audit de sécurité devra également être diligenté auprès du sous-traitant concerné.

s’assurer que le sous-traitant a mis en place les mesures techniques et organisationnelles nécessaires à la sécurité et à la confidentialité des données.
 CYBERACM vous accompagne dans ces actions juridiques et vous oriente vers nos cabinets d'avocats spécialisés partenaires.

contactez nous pour un devis

Comment pouvons-nous vous aider ?
Le plus simple échangeons par WhatsApp !

Envoyez un message à CYBERACM sur WhatsApp. https://wa.me/message/FIAC7XRBCX2XI1

©Droits d'auteur. Tous droits réservés.

Nous avons besoin de votre consentement pour charger les traductions

Nous utilisons un service tiers pour traduire le contenu du site web qui peut collecter des données sur votre activité. Veuillez consulter les détails dans la politique de confidentialité et accepter le service pour voir les traductions.

Paramètres de confidentialité

Traducteur de site Web

Paramètres de confidentialité

Avec cet outil, vous pouvez sélectionner et désactiver les différents tags / trackers / outils d'analyse utilisés sur ce site.

Sélectionnez tous les services
Traducteur de site Web
Plus
Sauvegarder les paramètres