Demain, les sociétés victimes d’une cyberattaque pourront être plus facilement attaquées en responsabilité par les clients lésés. Ce sera la double peine…
Difficile d’échapper à la nouvelle, les médias ont largement relayé l’information de la cyberattaque à large échelle perpétrée en fin de semaine dernière. Cette attaque a pris la forme pernicieuse d’un « ransomware », c’est-à-dire d’un cryptage de données couplé à une demande de rançon. Et gare à ceux qui ne voulaient pas obéir, la menace d’une destruction des données concernées était supposée les ramener dans le droit chemin.
Selon les informations disponibles par les médias, l’attaque aurait visé des entreprises qui utilisaient encore l’ancien système d’exploitation Windows XP, un système pour lequel Microsoft avait cessé de proposer des mises à jour depuis peu de temps. Mais comme le fait remarquer l’avocat Adrien Alberini au journal suisse Le Temps, cette situation complexe donne lieu à ce qu’on peut qualifier de « paradoxe de la cyberattaque »: aussi surprenant que cela puisse paraître, les entreprises cibles d’une cyberattaque s’exposeront au final à un risque de sanctions significatives.
Ce paradoxe – la victime doublement victime en quelque sorte – s’explique en réalité par le renforcement du droit de la protection des données. Mais ces nouvelles exigences en matière de protection de données ne seront pas faciles à respecter, d’où le risque d’une attaque en responsabilité pour les entreprises victimes d’une cyberattaque. En bref, peu de chefs d’entreprises le savent, mais une réglementation modernisée en matière de protection des données – dénommée GDPR (General Data Protection Regulation) – entrera en vigueur l’année prochaine en Europe.
« Un nid à procès pour les entreprises qui utilisent beaucoup de données »
Or, le hic, c’est que cette nouvelle réglementation impose aux personnes/sociétés qui traitent des données personnelles de garantir une sécurité adéquate de ces données ! On trouvera par exemple dans la nouvelle réglementation quelques recommandations, telles que l’utilisation de solutions de cryptage ainsi que l’usage des back-up qui permettent de restaurer rapidement les données.
C’est normal, direz-vous, sauf que selon cette nouvelle réglementation, des mesures techniques et organisationnelles doivent être régulièrement réexaminées et actualisées. Ça veut dire quoi ?
« Que ce point est particulièrement pertinent et délicat, car il est en lien avec les attaques récentes qui semblent avoir été possibles en raison du fait que les entreprises victimes utilisaient encore Windows XP, alors que Microsoft n’offrait plus de mises à jour pour ce système d’exploitation », précise l’avocat Adrien Alberini au Temps.
Bref, si une nouvelle attaque a lieu demain, les clients lésés pourront se retourner contre l’entreprise, car elle n’aura pas fait les mises à jour nécessaires. C’est donc un nid à procès, et sans doute la garantie de la faillite, pour les entreprises qui utilisent beaucoup de données et qui ne prendront pas leur sécurité informatique au sérieux !