Pourquoi NIS 2 rend indispensable le juriste cyber pour l'entreprise
Le projet de loi de transposition de NIS 2, actuellement à l'Assemblée nationale, contient de nombreuses obligations permettant de rehausser le niveau de cybersécurité des organisations concernées. Par exemple, celles-ci devront signaler tout incident de sécurité dans un délai de 24 heures à partir du moment où il est identifié. Elles auront aussi l'obligation de fournir un rapport documentant l'incident signalé dans un délai d'un mois après sa survenue. Enfin, elles devront prendre des mesures pour assurer la sécurité du système d'information même en cas de sous-traitance ou encore prévoir des procédures pour gérer les incidents.
Autant de nouvelles normes qui font du juriste un "phare dans la tempête de la crise cyber", estime Rayan Le Calloch, responsable juridique chez Alcyconie, société spécialisée en gestion de crise cyber. Et pour cause, il est alors le seul capable "de qualifier et évaluer les risques et incidents" au regard de ces nouvelles obligations pour ensuite décider de les signaler aux autorités compétentes. C'est pourquoi NIS 2 nécessite que les directeurs et responsables de la sécurité des systèmes d'information (DSI et RSSI) dialoguent avec les juristes. C'est ce que pensent l'avocat Marc-Antoine Ledieu, spécialisé dans le droit de la cybersécurité, qui se présente comme un "RSSI legal" et le RSSI Jean-Philippe Gaulier. Sécurisant les systèmes d'information de nombreuses petites et moyennes entreprises via sa société Cyberzen, ce dernier explique en effet que "les équipes cyber doivent avoir un juriste pour pouvoir traiter de bout en bout tout ce qu'il y a à traiter."
Pour démontrer que NIS 2 contraint les juristes, les DSI et RSSI à dialoguer, Marc-Antoine Ledieu s'appuie sur un projet de décret d'application de la loi de transposition dont il a eu connaissance. Déjà préparé par l'Agence nationale de la sécurité des systèmes d'information (Anssi) alors même que la loi de transposition n'a toujours pas été votée par les députés, celui-ci serait composé d'une quarantaine de pages composées de normes "extrêmement détaillées" mêlant à la fois les aspects techniques et juridiques de la cybersécurité. Selon lui, celles-ci ne peuvent pas être comprises par un RSSI sans l'aide d'un juriste. De son côté, Jean-Philippe Gaulier précise que NIS 2 va "renforcer le dialogue entre les RSSI et juristes" en imposant d'introduire dans les contrats conclus entre les organisations et leurs sous-traitants des obligations relatives à la cybersécurité : "on est à la fois dans le juridique et le cyber."
La responsabilité des dirigeants renforce la nécessité du juriste
Selon l'avocate Alexandra Iteanu, NIS 2 provoque "un électrochoc" rendant nécessaire le juriste au sein des entités concernées à cause des sanctions que celles-ci et leurs dirigeants peuvent encourir s'ils ne se conforment pas à la nouvelle réglementation. "En réalité, le juriste est au cœur de la crise cyber depuis le Règlement général sur la protection des données qui prescrit aussi une notification dans les meilleurs délais à l'autorité compétente en cas de violation de données à caractère personnel. Mais ce qui change avec NIS 2, c'est que la responsabilité des dirigeants peut être engagée et qu'ils seront directement inquiétés en cas de manquements."
Par conséquent, le juriste est un atout considérable pour la direction d'une entreprise concernée par la directive car il atténue le risque qu'elle soit lourdement sanctionnée, les sanctions prévues étant conséquentes. Elles vont de l'amende pouvant atteindre 10 millions d'euros à une somme équivalente à 2% du chiffre d'affaires annuel mondial, hors taxes. Aussi, la commission des sanctions peut décider de suspendre l'exercice des fonctions d'un dirigeant, celui-ci pouvant de plus être inquiété pénalement.
Un rouage essentiel avant, pendant et après la crise cyber
Le juriste spécialisé en cybersécurité peut intervenir dans toutes les étapes clés de la conformité d'une organisation à NIS 2. D'abord, pour sécuriser au mieux le système d'information, la nouvelle réglementation nécessite une rédaction scrupuleuse des contrats liant les entités concernées et leurs sous-traitants. En effet, elle prescrit que l'organisation doit s'assurer de la cybersécurité de sa supply chain, les sous-traitants pouvant être des vecteurs de cyberattaques. C'est le cas, par exemple, quand ils ont des accès à une partie même infime du système d'information. Pour cela, le juriste peut introduire dans le contrat des clauses sécurisant rigoureusement les relations entre l'organisation et ses prestataires et en vérifier la bonne exécution comme l'indique Marc-Antoine Ledieu.
Ensuite, quand survient une crise cyber, le juriste est celui permettant de prendre de la hauteur sur la situation pour "la gérer au regard du droit qui, dans l'agitation, est intangible : même en crise celui-ci ne change pas", précise Rayan Le Calloch. Il permet donc de qualifier correctement les faits au regard des obligations légales de cybersécurité et rassurer si besoin. En effet, le responsable juridique chez Alcyconie précise qu'il est souvent confronté à des cellules de crise qui, paniquées face à une alerte, souhaitent émettre une notification à la Commission nationale de l'informatique et des libertés alors que les conditions ne sont pas réunies. Aussi, le juriste peut prendre une part active dans la communication de crise afin que celle-ci use des termes juridiques adaptés à la situation, ce qui apparaît nécessaire "dans un contexte de judiciarisation des cyberattaques".
Enfin, après la crise cyber, le juriste doit "chercher la responsabilité de celui qui a provoqué ou rendu possible la cyberattaque parce qu'il a été négligeant" précise Marc-Antoine Ledieu. Cela nécessite de recueillir des preuves en collaboration avec les équipes techniques. Lors de cette phase précontentieuse, il doit aussi exécuter les obligations prévues dans le contrat d'assurance qu'il a négocié, notamment celle de déposer plainte dans le délai exigé.