Les cyber-risques: du danger abstrait à la réalité quotidienne
La perte de données ou leur détournement ne constituent plus seulement un danger abstrait pour les entreprises, mais une réalité toujours plus cruelle: les pertes financières et les atteintes à la réputation en sont des séquelles directes, hors des conséquences juridiques.
Lors de la réunion annuelle 2019 «ICT – Recht und Praxis» (TIC – Droit et pratique), organisée par l’Europa Institut et dirigée par Rolf auf der Maur et Peter Neuenschwander du Swico Legal Circle, l’accent a été mis sur les conséquences pénales et civiles: quiconque enfreint les obligations légales ou contractuelles de respecter les mesures techniques et organisationnelles dans le domaine de l’IT Security peut d’ores et déjà être poursuivi en justice, même s’il n’existe encore pour le moment aucune obligation légale générale en Suisse en matière de sécurité informatique. Voici les principaux points à retenir de la réunion:
Le plus souvent, le facteur humain est à l’origine des cyber-risques
Les cyber-risques peuvent avoir des causes criminelles et non criminelles: outre les attaques de pirates informatiques ou les attaques physiques, les erreurs humaines ou techniques peuvent causer des dommages, de même que les catastrophes naturelles ou les pannes d’un fournisseur informatique. Le facteur humain est responsable d’environ 95 % de ces attaques – seulement 5 % sont causées par la technologie. Actuellement, la plus grande menace d’une cyberattaque en Suisse concerne une interruption d’activité, suivie d’une atteinte à la réputation, aux données et aux logiciels.
Dans 64 % des entreprises, le service informatique est responsable des cyber-risques. À cet égard, il conviendrait impérativement d’impliquer le service financier, le Risk Manager et le Head Legal afin d’évaluer l’ampleur des risques éventuels et de déterminer lesquels devraient et pourraient être assurés.
Qu’avons-nous appris des Data Breaches connues à ce jour?
- Chaque cyber-incident est un cas sérieux.
- La question des cyber-risques doit être abordée par le management.
- Les entreprises et les managers doivent connaître l’IT Supply Chain et diversifier les dépendances.
- Des formations régulières sont indispensables pour sensibiliser les collaborateurs.
- Les entreprises ont besoin d’un Incident Response Planning axé sur les processus opérationnels critiques.
- La gestion de crise d’une entreprise doit également inclure les cyber-incidents – et être constamment modifiée et adaptée.
Visualisation des plus graves violations et piratages de données
Mesures visant à décliner la responsabilité pour les cyber-risques
En tant qu’entreprise, vous serez éventuellement dans l’obligation de démontrer que vous avez pris toutes les précautions nécessaires pour prévenir les dommages causés par les cyber-attaques ou les violations de données. Cela comprend notamment les mesures suivantes:
- Identification claire des risques potentiels
- Mise en œuvre d’un système de gestion des risques
- Définition claire des responsabilités au sein de l’entreprise
- Formation répétée des collaborateurs
Une assurance responsabilité civile professionnelle est obligatoire pour les organes de l’entreprise ainsi que pour les cadres dirigeants, une assurance complémentaire contre les cyber-risques couvre les dommages que vous pourriez causer à un tiers ou subir vous-même: ce dernier cas concerne, par exemple, les coûts liés aux analyses d’investigation, aux conseils juridiques requis, à la communication en cas de crise, etc. La valeur économique des données, les pénalités contractuelles ou les dommages corporels et matériels ne sont pas couverts.
Limitation des dommages par la communication
En tant qu’entreprise, vous serez éventuellement dans l’obligation de démontrer que vous avez pris toutes les précautions nécessaires pour prévenir les dommages causés par les cyber-attaques ou les violations de données. Cela comprend notamment les mesures suivantes:
- Identification claire des risques potentiels
- Mise en œuvre d’un système de gestion des risques
- Définition claire des responsabilités au sein de l’entreprise
- Formation répétée des collaborateurs
Une assurance responsabilité civile professionnelle est obligatoire pour les organes de l’entreprise ainsi que pour les cadres dirigeants, une assurance complémentaire contre les cyber-risques couvre les dommages que vous pourriez causer à un tiers ou subir vous-même: ce dernier cas concerne, par exemple, les coûts liés aux analyses d’investigation, aux conseils juridiques requis, à la communication en cas de crise, etc. La valeur économique des données, les pénalités contractuelles ou les dommages corporels et matériels ne sont pas couverts.