Entreprises, que faire en cas d’incident cyber ?
Malgré toutes les mesures de protection mises en place, votre entreprise a été victime d’une cyberattaque. Qui prévenir ? Que faire ? Voici la marche à suivre.
Vis-à-vis des pouvoirs publics
L’une des premières choses à faire après avoir subi une cyberattaque ou en cas de suspicion de cyberattaque, c’est de prévenir les autorités compétentes. Une cyberattaque n’a en effet rien d’anodin, et les pouvoirs publics doivent en être informés pour que des sanctions puissent éventuellement être prises contre les auteurs. En tant que victime de pirates de l’informatique, vous devez porter plainte et notifier l’incident.
Porter plainte
Toute cyberattaque représente une infraction aux technologies de l’information et de la communication définies par le Code Pénal et le Code Monétaire et Financier.
Vous devez déposer une plainte au plus vite auprès du service territorial de police ou de gendarmerie le plus proche de l’entreprise ou par courrier auprès du procureur de la République du Tribunal de Grande Instance de votre ressort géographique.
Lorsque votre entreprise est victime d’une attaque ou d’une suspicion d’attaque informatique, vous devez relever des preuves numériques de l’incident à l’aide de constatations techniques. Un spécialiste en cybercriminalité, nommé par les services de police, peut venir compléter vos observations lors de l’enquête.
Notifier l’incident
En cas de violation de données personnelles
Selon l’article 34 bis de la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, les fournisseurs de services de communications électroniques sont dans l’obligation de notifier l’incident à la Commission Nationale de l’Informatique et des Libertés (CNIL). En cas de risque d’atteinte aux données personnelles ou à la vie privée, le(s) intéressés(s) doi(ven)t être averti(s).
Attention, depuis mai 2018, les entreprises ayant des activités de traitement de données personnelles sont également concernées par cette obligation de notification à l’autorité compétente et aux intéressés.
En cas d’atteinte au système d’information
Selon l’article 22 de la loi n°2013-1168 du 18 décembre 2013 relative à la programmation militaire pour les années 2014 à 2019, le Premier ministre et l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) doivent être informés de l’incident informatique pour les opérateurs d’importance vitale.
A la suite de la directive européenne 2016/1148, relative à la sécurité des réseaux et des systèmes d’information dans l’Union Européenne (SRI), les entreprises dites « d’opérateur de services essentiels » ou de « fournisseur de services numériques » sont aussi concernées par l’obligation de notification à l’autorité compétente.
Vis-à-vis de votre assureur
Autre personne à prévenir en priorité suite à un incident cyber : votre assureur. En effet, contactez au plus vite votre assureur ou votre courtier en assurance afin d’être accompagné face aux risques informatiques. Informez votre interlocuteur dédié avant de prendre toute décision qui pourrait impacter les conséquences de l’incident et la gestion de votre déclaration de sinistre. Votre assureur ou votre courtier sauront vous conseiller en tenant compte de la particularité de votre situation.
Face à la menace grandissante des cyberattaques, il est impératif pour les entreprises de mettre en place des mesures de protection préventives pour réagir efficacement lorsqu’un incident survient. Cependant, même avec la meilleure des préparations, aucun système n’est invulnérable. En cas d’attaque cyber, les pouvoirs publics sont des interlocuteurs clés, tout comme votre assureur ou votre courtier en assurance.