En 2022, le niveau général de la menace cyber était encore élevé avec 831 intrusions avérées, alertait l'ANSSI dans son dernier Panorama. Un sujet qui préoccupe de plus en plus les directeurs juridiques. Plusieurs d'entre eux ont partagé leurs retours d'expérience à l'occasion du Sommet du droit, organisé par Décideurs juridiques la semaine dernière.
De plus en plus d'attaques réalisées avec l’IA
« On assiste à une montée en puissance des cyberattaques en termes de diversité et d’intensité », témoigne Olivier Martinez, directeur juridique pôle digital & distribution au sein du groupe La Poste. Et les « approches deviennent plus astucieuses car les pirates savent que les entreprises s’organisent ».
Un constat confirmé par Alexandra Djateu, responsable juridique Cybersécurité chez Atos / Eviden. Celle-ci alerte d'ailleurs sur les dangers de l’IA : « avec les deep fake, de plus en plus d'attaques sont réalisées via l’IA afin de récupérer des informations de l’entreprise ». Aujourd'hui, poursuit-elle, « la plupart des collaborateurs utilisent Chat G à des fins professionnelles et pour le moment, aucun encadrement au sein des grands groupes n'est fait sur cette utilisation ».
Un impact sur « l’ensemble de la supply chain »
Et aujourd'hui, ces menaces ont désormais un impact concret sur le métier des juristes. En particulier, explique Marie-Hélène Tonnellier, associée fondatrice du cabinet d’avocats Oyat, Au niveau contractuel, les attaques cyber ont des conséquences réelles. Sur « les clauses limitatives de responsabilité que les clients ont l'habitude de négocier avec leurs prestataires », illustre-t-elle. « On essaye notamment de déplafonner les conséquences des préjudices résultant de ces attaques ».
Celles-ci ont également un impact sur « l’ensemble de la supply chain », considère l'avocate. « Il y a une vraie prise de conscience de la part des entreprises qui ont maintenant des exigences fortes vis-à-vis de leurs sous-traitants et de leurs prestataires ».
Cela se ressent notamment lors des appels d'offres : « les exigences en matière de sécurité des systèmes d'information sont devenues plus importantes que les profils et les expertises des cabinets », assure Marie-Hélène Tonnellier.
Les premiers réflexes du juriste
Et en cas d’attaque, quels doivent être les premiers réflexes du juriste ? Tout d'abord, Dominique Bourrinet, directeur juridique de la Société Générale préconise de « préserver les preuves et de protéger des échanges si on est dans un contexte anglo-saxon ». Cela s'avérera utile dans le cadre d'une action en justice. Plusieurs questions doivent se poser : « Est-ce que l'entreprise peut prouver vis-à-vis de ses clients qu'elle a tout fait pour atténuer les dommages ? Est-ce qu'on est prêt avec les bonnes personnes aux bons endroits ? S'il s'agit d'une société cotée, le cours doit-il être interrompu et qui prendra la décision ? ». La « relation contractuelle des parties prenantes doit être blindée », insiste-t-il.
« Le directeur juridique a une vue d'ensemble de tous les départements. Il a la capacité de maitriser parfaitement le plan », estime Amélie de Braux, senior corporate counsel chez Proofpoint. Par exemple, il sait « où se trouve le coffre avec les téléphones portables de secours » ou « qui doit allumer le réseau secondaire ».
Enfin le rôle du directeur juridique consiste à « s'assurer d'avoir pris toutes les dispositions et que tous les acteurs de la crise ont une bonne compréhension des aspects juridiques de la crise », ajoute Dominique Bourrinet. Cela passe par la « sensibilisation du comex et de toutes les strates de l’entreprise », recommande Olivier Martinez. Chaque individu de l'entreprise est concerné par ce sujet et doit le porter ». Ce dernier préconise de « cartographier les risques cyber par environnement, par BU, par entité juridique » et de prévoir « la partie remédiation, c'est à dire ce qu'il se passe en cas d'attaque ».