Durant tout le mois d’octobre, la CPME Paris ile de France s’engage pour la campagne européenne Cybermoi/s, l’occasion de sensibiliser chacun aux enjeux de la cybersécurité. Pour vous apporter un regard nouveau sur la question de la cyber malveillance, nos dirigeants de TPE-PME spécialisés en cybersécurité ont répondu à nos questions.
Pour notre première interview, Me Betty Sfez du cabinet d’avocats Solegal, nous explique son rôle et sa vision face à ce défi et nous apporte ses préconisations pour une entreprise « cyber » sécurisée.
CPME : Comment une TPE-PME peut-elle protéger son patrimoine informationnel et se prémunir d’un risque de fraude ?
Betty Sfez (BS) : La prévention est incontournable en matière de cybersécurité ! Quelques bonnes pratiques peuvent facilement être mises en place pour une TPE-PME, sans que cela ait un impact significatif sur son agenda, toujours chargé, et son budget.
A minima, je recommande de mener en interne trois actions :
- Reprendre les contrats avec les partenaires et sous-traitants principaux ayant un accès au système d’information ou hébergeant les informations stratégiques et/ou données personnelles de l’entreprise. En effet, il convient de s’assurer que ces contrats fournissent des garanties claires et sérieuses. En cas de doute, il est impératif d’interroger son prestataire et, en cas de besoin, de réclamer négocier un avenant contractuel.
- Sensibiliser régulièrement les collaborateurs de l’entreprise à la cybersécurité afin qu’ils acquièrent de bons réflexes et qu’ils prennent conscience de leurs mauvaises habitudes. De nombreux formats d’actions de sensibilisation existent comme par exemple des formations intra ou inter-entreprises
- Réaliser un audit de sécurité du système d’information, afin de s’assurer que le patrimoine informationnel de l’entreprise bénéficie d’une protection adéquate.
CPME : Que conseillerez-vous à un chef d’entreprise victime de cyber attaque ?
BS : Agir ! Plusieurs actions doivent être menées en fonction de la taille de l’entreprise et de l’ampleur de l’attaque informatique.
Tout d’abord, le chef d’entreprise devra immédiatement mobiliser les collaborateurs concernés : par exemple, le responsable informatique et la personne ayant découvert l’incident ou étant à l’origine de l’incident s’il s’agit d’une mauvaise manipulation. L’objectif consiste à pouvoir appréhender rapidement l’ampleur de l’attaque et son origine probable. Ensuite, il conviendra peut-être de mandater en urgence un prestataire spécialisé afin qu’il constitue un dossier de preuve technique et rétablisse le système ou remédie à la faille de sécurité.
Puis, dans les meilleurs délais le chef d’entreprise devra appeler sa banque et/ou son assureur selon les cas, mais également déposer plainte auprès de la gendarmerie ou de la police, avec l’aide ou non de son avocat. En ne portant pas plainte, l’entreprise risque d’engager sa responsabilité pour négligence, et ce notamment si l’attaque informatique dont elle est victime venait impacter de façon virale ses clients et ses fournisseurs. De plus, à défaut de plainte, le chef d’entreprise ne pourra pas obtenir de dédommagement pour les préjudices subis du fait de la désorganisation temporaire de son entreprise.
Enfin, même si toutes les forces de l’ordre de proximité sont censées pouvoir recueillir un dépôt de plainte, il est préférable de le faire auprès d’enquêteurs spécialisés, tels que la Brigade d’Enquête sur les Fraudes aux Technologies de l’Information (la BEFTI), l’Office Central de Lutte contre la Criminalité liée aux Technologies de l’Information et de la Communication (l’OCLCTIC) ou encore les gendarmes spécialisés (les NTECH).
CPME : De quelle manière et à quel moment une entreprise peut avoir besoin d’un avocat spécialisé en droit du numérique et cybersécurité ?
BS : Nous intervenons à deux stades. Tout d’abord, en amont, à savoir en prévention d’éventuelles attaques informatiques.
C’est notamment le cas lorsque nous dispensons des actions de sensibilisation ou de formation aux risques cyber. Nous travaillons également sur la rédaction de charte informatique ou de politique de sécurité, et intervenons lors de la renégociation des contrats avec les partenaires et sous-traitants de l’entreprise.
Par ailleurs, nous sommes sollicités par nos clients à la suite d’une attaque informatique.
Dans ce cas, nous rédigeons les plaintes et représentons le client devant les tribunaux, et, si la loi l’impose, nous notifions l’incident de sécurité à l’Agence Nationale de la Sécurité des Système d’Information (ANSSI) ou à la Commission Nationale de l’Informatique et des Libertés (CNIL).
Au-delà de ces démarches, nous avons un vrai rôle de conseil afin d’aider le chef d’entreprise à « gérer la crise » et parfois un rôle de coordinateur avec les différentes parties prenantes ou prestataires techniques mandatés. Pour ce type de dossier, nous disposons d’un réseau d’experts avec qui nous collaborons régulièrement.
Betty Sfez est avocat associé au sein du cabinet Solegal, en charge de la direction du pôle IT/DATA/IP. Elle est également speaker pour HEC Paris Executive Education, conférencière labellisée en sécurité économique et titulaire du certificat de spécialisation en Sécurité numérique
Solegal est un cabinet d’avocats indépendant dédié à l’entreprise et à ses acteurs : créateurs, dirigeants, investisseurs et repreneurs. Solegal accompagne les entreprises dans leurs problématiques juridiques, notamment à travers la rédaction de leurs contrats IT, la mise en conformité du RGPD, l’élaboration de leur stratégie de protection de l’innovation et la gestion de leurs contentieux et précontentieux.
Vous avez des questions ? Vous souhaitez entrer en contact avec Betty Sfez ? N’hésitez pas à revenir vers l’équipe de la CPME Paris Ile-de-France au 01 56 89 09 30 ou bien sur notre formulaire de contact.
