Cyberattaques : la responsabilité juridique des entreprises en ligne de mire

NIS2 et DORA engagent désormais la responsabilité des dirigeants et exigent une sécurité renforcée. Les mesures déjà en place doivent soutenir cette adoption dans les secteurs les plus sensibles.

La vulnérabilité des organisations, notamment des hôpitaux, face à la menace cyber est croissante, comme l'illustre le récent rapport de la Cour des comptes pointant les insuffisances de la réponse gouvernementale en France. L'ANSSI rapporte qu’une trentaine d'hôpitaux français ont été ciblés par des cyberattaques entre 2022 et 2023, avec des conséquences parfois critiques, allant de la perte de données aux interruptions de prises en charge. 

Au-delà des dommages immédiats, une cyberattaque peut engager la responsabilité juridique des organisations en cas de négligence en matière de protection des données ou de perturbation de l'activité d'autrui.

Ainsi, aux États-Unis, les actions en justice se multiplient contre les victimes de cyberattaques dans le secteur de la santé, comme le montrent les affaires SolarWinds en 2020 ou plus récemment Change Healthcare. 

La première a été poursuivie par la SEC (Security and Exchange Commission) pour déclarations frauduleuses concernant ses pratiques de cybersécurité, impliquant la responsabilité directe de son RSSI, qui s’expose aujourd’hui à des sanctions pour fraude et défaillances du contrôle interne. La seconde, en mars 2024, est visée par un recours collectif incluant plusieurs groupes pharmaceutiques et prestataires de santé américains qui l’accusent de négligence en matière de sécurité, occasionnant la cyberattaque survenue un mois plus tôt.

Des leçons importantes pour l'Europe

Les cas Changes Healthcare et SolarWinds illustrent l'importance cruciale de l'adhésion aux meilleures pratiques en matière de sécurité, pour éviter toute faute professionnelle qui pourrait impliquer la responsabilité directe des dirigeants et/ou RSSI. La multiplication des cas de cyberattaques, entre autres dans le secteur de la santé, –- en Europe et en France, pointe l’urgence de la situation et donc la nécessité pour ces organisations de se préparer en conséquence.

C’est précisément dans ce cadre qu’interviennent les règlementations DORA, pour le secteur financier, et NIS2, plus largement appliquée en Europe et dont la mise en application est effective depuis octobre 2024. Élaborée pour exiger une plus grande résilience opérationnelle en matière de cybersécurité, la directive NIS2 introduit la responsabilité personnelle des dirigeants en cas de violation de données (article 20). 

Au-delà des obligations de mise en place de mesures fondamentales – telles que l'authentification multi-facteurs ou la segmentation du réseau - la réglementation leur impose désormais de suivre eux-mêmes, ainsi que l’ensemble de leurs employés, des formations en cybersécurité. 

Tout manquement avéré après une cyberattaque exposerait alors les dirigeants à des sanctions financières pouvant atteindre 20 millions d'euros pour les personnes morales. Depuis la loi sur la sécurité informatique 2.0 de 2021, les amendes ont considérablement augmenté et les entreprises doivent anticiper un suivi aussi rigoureux que pour le RGPD de la part des autorités.

Tirer parti des procédures existantes

La mise en application du RGPD en 2018, a initié une meilleure gestion des données en Europe, imposant notamment une rigueur accrue dans le traitement des données personnelles. L'obligation d'information, le droit à l'oubli et la notification des violations de données ont induit des processus et workflows qui sont aujourd’hui transposables aux exigences de NIS2 et DORA en cas de cyberattaque. L’adoption d'une plateforme de sécurité et de gestion des données qui utilise l'IA, peut aider les entreprises à optimiser une mise en œuvre efficace et évolutive de ces processus.

Avec NIS2 et DORA, l’Europe assure la continuité de son économie et la protection des citoyens européens, en renforçant significativement la cyber-résilience de ses entreprises et institutions. Ces nouvelles réglementations répondent à un besoin prédominant de plus de robustesse dans les infrastructures numériques, pour faire face à la sophistication de la cybercriminalité et à l’essor de l’IA. Car les données sont aujourd’hui toutes susceptibles d’être compromises, même au sein des emplacements les plus protégés tels que les sauvegardes.

L'implémentation de pratiques de sécurité fondamentales et l'optimisation des processus de traitement des données sont essentielles pour atteindre une cyber-résilience optimale.