Au théâtre ce soir

Revenons sur ce scénario que Maître Céline Barbosa vous présentait lors du Lundi de l’Intelligence Economique du 19 septembre 2016 qui mettait en présence un patron, Monsieur Henri d'Agrain, sa Directrice de communication, Madame Béatrice Laurent, son avocat, Maître Céline Barbosa et Monsieur Gérard Péliks, patron de la société Jattaque.

Certain d’avoir identifié celui qui serait à l’origine de la cyber-attaque affectant son entreprise, Mr JeRiposte, patron d’une PME fabricant de ventilateurs et sous-traitant d’un Opérateur d’Importance Vitale (« OIV »), se déplace chez Me Barbosa, pour lui exposer les premiers éléments du dossier. Pendant ce temps, l'intrusion était gérée par un prestataire qualifié par l'ANSSI.

Selon JeRiposte, l’intrusion dans son entreprise aurait été mise en oeuvre via un cheval de Troie (« malware » ou « malveillant »), véhiculé dans le système de traitement des données et qui s’est maintenu pendant quelques mois. Nous l’aurons vu, cette attaque était, elle-même, une attaque menée par un tiers situé à l’étranger. Ce Tiers non identifié immédiatement se sera révélé redoutable de par sa discrétion et son opportunisme.

Selon JeRiposte, des données auraient été volées, des plans, des données personnelles, liées à la mise en place d’une Mutuelle.

La qualification de vol de données était-t-elle trop hâtive? Comment gérer un tel incident ?

Sans preuve, il était difficile d’accuser JAttaque et son Dirigeant d’être à l’origine de cette attaque. Selon Mr JeRiposte, tous les indices concordaient pourtant, les communications publiques de JAttaque, à la suite du marché public remporté par JeRiposte. Cette adjudication aurait pu mener JeRiposte à prendre le risque d’une contre-attaque des plus sévères et un peu hâtive.

Mettons un instant de côté ce qui semble être des perceptions personnelles de l'incident.

L’avocat, à travers son analyse des risques, son exercice de conseil, aura pu analyser la situation et conseiller à l’entreprise JeRiposte de bien comprendre l'incident, en rassemblant tous les éléments probants, d'en débattre, d'éliminer certains éléments mais surtout, l'avocat lui aura conseillé de soigner ses communications internes, afin de se prémunir contre une nouvelle attaque de type spearphishing (ou « hameçonnage ciblé ») visant les salariés, de veiller à sa communication avec les sous-traitants ou co-contractants, clients et de coordonner ces communications.

Cette mise en situation aura permis à JeRiposte :

- de se rendre compte de la difficulté de produire une preuve d'une intrusion, sans effraction;
- de la difficulté de qualifier les faits, la captation de données;
- de la difficulté d’établir la preuve du préjudice.

Le législateur français n’aura donné aucune valeur juridique à ces données, avant l’adoption de la Directive Trade Secret et encore faudra-il attendre la rédaction d'une loi qui nous l'espérons reflètera l'esprit rédigé en anglais. Puis, dans cet environnement, il serait souhaitable que l'entreprise développe une culture autour de ce patrimoine immatériel, qu'elle l'inscrive dans le marbre, qu'elle porte ce patrimoine et ne demande pas qu'il soit reconnu seulement au moment de l'utilisation des données par des concurrents.

La seule valeur aujourd’hui reconnue à des données d’entreprise, est celle sacralisée par le droit de la Propriété Intellectuelle, le droit des brevets et bien évidemment le droit sur les données personnelles. La donnée fonctionnelle, (plans, études, ingénierie, dimensionnement, calculs), au coeur de la conception des installations industrielles, des équipements industriels, les données projet au coeur de la réalisation de projets industriels, les données corporate ou liées au business ne sont pas protégées, au titre des lois existantes. Ce qui est librement communiqué n'est plus confidentiel.

Ces données pourraient pourtant bénéficier d’une protection, en prenant la précaution de formaliser les propriétés de la donnée sensible pour l’entreprise, les limites de la communication, que ce soit dans les contrats commerciaux ou dans le contrat social, entre l’entreprise et ses salariés.

La Réforme du Code Civil est le socle de cette démarche de sacralisation de la relation contractuelle, dans la recherche du consentement.

Le Législateur a introduit, probablement sans le savoir, une dimension supplémentaire dans les relations employeurs, salariés qui va se manifester au travers du consentement donné par les uns et les autres dans les contrats de travail, les chartes, les règlements intérieurs. La relation contractuelle employeur-employé aura force de loi applicable.

Cette Réforme aura également pour incidence de venir au secours de la protection des actifs de l’entreprise, si et seulement si les entreprises prennent la peine de prêter attention à la rédaction des termes de leurs relations contractuelles sur les données de l'entreprise (toutes données confondues), en instaurant sa propre hiérarchie des données.

L’anticipation de ces éléments permettra à l’entreprise d’exposer ses politiques d’entreprise, auxquelles le Responsable Informatique, RSSI, Responsable de la Sûreté devra prendre part.

Vu sous l'angle des Autorités de Contrôle, les contrôles opérés en matière de données personnelles ou au titre de la Loi de Programmation Militaire (OIV), ou au titre des obligations de conformité-compliance veilleront à la bonne application par les entreprises, des lois (votées ou internes). En cas de défaut d’application, les entreprises seront sanctionnées. L’organisation interne s’obligera, elle-même, à revoir ses relations avec ses salariés dans les procédures, les modes de contrôle, les sanctions.

Il en est de même si la société en question n’est pas un OIV. Les OIV ne manqueront pas de reporter sur leurs sous-traitants, les obligations en matière d’alerte, de contrôle-qualité, de sanctions, afin de pouvoir eux-mêmes faire face aux attaques se produisant chez leurs partenaires et/ou, en vue de notifier un incident « boomerang » à leurs autorités de tutelle, dans les délais compatibles avec leurs propres obligations, quand bien même l'OIV ne serait pas « l'attaqué » direct et immédiat.

J’ai été ravie de vous présenter, sous la forme d’une pièce de théâtre, les risques passés en revue avec Monsieur Henri d'Agrain, Madame Béatrice Laurent et Monsieur Gérard Peliks. Ce n'est pas fini.

Cette histoire aura une suite.

 


< Revenir à la newsletter

 

Auteur: 
Maître Céline Barbosa / avocat@celine-barbosa.me / 
Avocat à la Cour, Barreau des Hauts de Seine / Incentact Selas

Ajouter un commentaire

Full HTML

  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Vous pouvez utiliser du code PHP. Vous devrez inclure les tags <?php ?>.
  • Les lignes et les paragraphes vont à la ligne automatiquement.

Filtered HTML

  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Tags HTML autorisés : <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd>
  • Les lignes et les paragraphes vont à la ligne automatiquement.

Plain text

  • Aucune balise HTML autorisée.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.