Les outils juridiques de la sécurité informatique

La sécurité informatique est à la croisée des chemins : elle requiert des compétences techniques, organisationnelles, managériales et juridiques. C’est donc un travail de coopération qui doit se mettre en place sein des organisations, afin de réunir ces compétences et les faire dialoguer. Cependant, dialoguer ne suffira pas. Il convient en effet de définir et d’atteindre des objectifs de sécurité précis, et ce, en considération des menaces qui pèsent sur le système d’information de chaque organisation. Ainsi, on ne fait pas de la sécurité sans objectif, sans mesure de la performance. Tout cela sera objectivé par une analyse de risques et la détection de vulnérabilités à un instant donné. Seront alors définies des actions concrètes destinées à compenser les risques et vulnérabilités identifiés.

Cependant, toutes les organisations ne sont pas prêtes à investir suffisamment cette démarche de maîtrise des risques numériques, même si toutes reconnaissent bien volontiers l’accroissement important des menaces ou attaques ces dernières années. Les conséquences des cyberattaques sont connues, elles sont souvent lourdes en termes d’image mais aussi de conséquences financières. Ces dernières excèdent largement le montant du prix qu’il aurait fallu payer pour assurer sa sécurité. Les tensions géopolitiques et les enjeux de souveraineté ravivent ce besoin de sécurité, qui devient une condition de la confiance que les partenaires de l’entreprise, au sens large, vont lui accorder. En ce sens, la sécurité devient un investissement au lieu d’une charge.

Pour renforcer la démarche de résilience informatique des acteurs économiques, la loi s’en est mêlée. Ainsi, nous sommes passés d’un droit à la sécurité vers une obligation de se sécuriser. Si la victime de l’attaque ou de la négligence ayant occasionné une perte de valeur, n’a pas mis en place les mesures de sécurité requises (eu égard à l’état de l’art, ce dont nous reparlerons) alors, il pourrait lui être reproché une faute qui concoure à la survenance de ses dommages. C’est l’idée, assez classique en droit, de la faute de la victime.

Comment s’assurer que chaque organisation s’est effectivement acquittée de ses obligations de sécurité et n’a donc pas commis de faute ? Quels sont les outils juridiques et institutionnels qui viennent à l’appui des organisations dans cette démarche ?

Nous proposons de présenter les principales règles de droit applicables et leur porté afin d’éclairer le volet juridique de la sécurité informatique au sein de chaque organisation. Nous présenterons également les outils juridiques qui sont à votre disposition pour renforcer votre dispositif.

1. Quelle est la réglementation applicable ? comment s’articule-t-elle ?

Ces dernières années, le législateur (européen et national) s’est engagé dans l’adoption de textes visant à garantir la sécurité des données et à protéger les organisations contre les cybermenaces. Un ensemble d’obligations est imposé aux organisations, notamment aux établissements financiers, qui doivent se conformer à un vaste dispositif juridique.

Dès lors, il appartient à chaque organisation d’identifier et de maîtriser les références pertinentes dans le cadre juridique applicable à la cybersécurité, afin d’être en mesure de démontrer sa conformité aux obligations légales en matière de sécurité. Pour cela, les professionnels du droit interviennent auprès de leurs clients afin de construire avec eux, un référentiel de conformité légale et réglementaire, précis et complet, à plusieurs niveaux : conventions internationales, textes européens, loi françaises, régalements français et autres normes et référentiels issus de la production des régulateurs ou autres autorités (CNIL, ACPR, ANSSI, etc.).

Il s’agit d’établir son référentiel légal de conformité et aussi de le mettre à jour, dans le cadre d’une démarche de veille pluridisciplinaire. Les avocats sont rompus à cet exercice.

2. Quels sont les outils juridiques au service de la sécurité numérique ?

La sécurité numérique n’est plus un simple enjeu technique standard : elle est désormais réglementaire pour certaines activités et certains produits, contractuelle sur la plupart des marchés et elle devient aussi un enjeu stratégique. Il convient de distinguer les outils liés à la prévention des risques, de ceux qui sont inhérent à la répression ou aux actions en recherche de responsabilité(s) à des fins indemnitaires.

2.1 Volet préventif
2.1.1 Les clauses dédiées à la sécurité dans les contrats informatiques

Pour les Directeurs des Systèmes d’Information (DSI) comme pour les Directeurs Juridiques (DJ), les clauses de sécurité dans les contrats avec les prestataires informatiques doivent faire l’objet d’une vigilance particulière. Leur rédaction, leur précision et leur articulation avec la réalité opérationnelle de l’entreprise conditionnent non seulement la robustesse du SI, mais aussi la capacité de l’organisation à faire face à un incident cyber.

La première fonction de ces clauses est de clarifier la répartition des responsabilités en matière de sécurité numérique. Qui est responsable en cas d’intrusion, de fuite de données ou d’indisponibilité du système ? Le prestataire s’engage-t-il à une obligation de moyens ou de résultat ? À défaut de précision, les zones d’ombre contractuelles peuvent se transformer en litiges coûteux.

Les clauses doivent donc encadrer de façon explicite les engagements de sécurité, y compris en cas de sous-traitance, d’externalisation ou d’utilisation de services cloud.

Il n’est plus envisageable de se contenter de stipuler simplement que chacune des parties s’engage à respecter les obligations légales et réglementaires qui lui incombent dans le domaine de la sécurité et notamment se conformer aux règles de l’art.

En effet, l’enjeu central des clauses sur la sécurité est la définition précise des mesures de sécurité à mettre en oeuvre. Plutôt que des formulations vagues ("le prestataire garantit un niveau de sécurité optimal"), il convient donc de référencer des standards objectifs : ISO/IEC 27001, SecNumCloud, OWASP, guides de l’ANSSI, etc. qui permettent de garantir l’effectivité du niveau de sécurité invoqué (ces standards s’appuyant sur des mesures opérationnelles, organisationnelles et techniques concrètes).

Le contrat doit aussi préciser les procédures de mise à jour, de gestion des vulnérabilités, de contrôle des accès, ou encore de journalisation des événements (logs). Ces éléments doivent être alignés avec le niveau de criticité du système ou des données traitées.

En cas d’incident de sécurité, la réactivité est cruciale. Les contrats doivent prévoir des procédures claires de détection, de notification et de gestion de crise. Il s’agit notamment de fixer les délais d’alerte, les points de contact, les obligations de collaboration, et le contenu des rapports à fournir.

Il est fortement recommandé d’intégrer un plan de continuité d’activité (PCA) ou un plan de reprise (PRA), avec des indicateurs précis (RTO, RPO), testés régulièrement. La gestion de crise ne s’improvise pas : elle s’anticipe contractuellement.

Pour le client, il est essentiel de pouvoir vérifier la bonne exécution des engagements de sécurité. Les contrats doivent donc prévoir un droit d’audit, que ce soit de manière périodique, ou déclenché en cas d’incident ou de doute sérieux.

La cybersécurité contractuelle n’est pas une option. Elle constitue un levier stratégique de gouvernance des risques numériques, de conformité et de résilience. Des clauses bien rédigées, précises et alignées avec les standards techniques et réglementaires sont un bouclier juridique et opérationnel essentiel.

Il est recommandé de faire référence à la charte informatique ou à la politique de sécurité du système d’information (PSSI) dans un contrat informatique, notamment lorsque le prestataire accède au SI de l’entreprise ou traite des données sensibles. Cela permet de donner au prestataire un cadre clair et cohérent avec l’existant. Cela permet aussi à ce dernier de disposer d’une documentation de référence à laquelle il peut se référer afin de démontrer qu’il a bien rempli ses obligations contractuelles.

Des référentiels comme l’ISO 27001 ou les exigences ANSSI obligent à formaliser les règles de sécurité et à les imposer à tous les acteurs du SI, y compris les tiers. Mentionner la charte ou la politique de sécurité dans les contrats est donc un gage de conformité réglementaire et normative.

Il est aussi rappelé que la meilleure politique de contrôle d’accès logique est inutile si l’on accède physiquement aux machines critiques sans contrôle, parce que la gestion des accès doit être unifiée. Il est essentiel d’avoir une traçabilité cohérente des accès, qu’ils soient physiques (badges, serrures électroniques, vidéosurveillance), ou logiques (authentifications, droits utilisateurs, connexions distantes). Le RGPD, la directive NIS 2, ou encore les référentiels de l’ANSSI (SecNumCloud, PDIS, PVID…) imposent une sécurité intégrée, systémique et complète.

2.1.2 Les contrats sur la sécurité informatique

Il est établi que la plupart des entreprises doivent renforcer leurs dispositifs de cybersécurité. Cela passe notamment par le recours à des prestataires spécialisés. Or, lorsque l’objet d’un contrat porte directement sur la sécurité informatique (tests d’intrusion, services managés, audits, supervision SOC, réponse à incident, etc.), le niveau d’exigence juridique doit être élevé. Il en va de la responsabilité des parties, de leur conformité réglementaire et de la continuité d’activité du client.

Le contrat doit décrire de façon précise ce que le prestataire s’engage à faire, sur quoi et comment.

Cela concerne :
- le périmètre technique (réseau, postes, serveurs, applications, cloud, etc.) ;
- les objectifs (audit de conformité, sécurisation, détection de vulnérabilités, etc.) ;
- les méthodes (pentest, black-box, monitoring, gestion des journaux, etc.)

Tout flou dans le périmètre peut entraîner des zones de non-couverture critiques et donc être une source de litige ultérieur. Il conviendra aussi de préciser ce qui n’est pas pris en charge et de formaliser les conseils et les alertes adressés au client sur les limites de la prestation.

Dans la majorité des cas, les prestataires de cybersécurité s’engagent sur la base d’une obligation de moyens renforcée : ils doivent mettre en oeuvre toutes les diligences techniques et humaines attendues d’un professionnel averti. Toutefois, certaines prestations peuvent comporter des obligations de résultat (ex : déploiement d’une solution de chiffrement avec un taux de couverture garanti). La nature de l’engagement doit être précisée dans le contrat. Dans d’autres cas, seules des obligations de moyens seront stipulées.

Il est fréquent que les prestataires tentent de limiter leur responsabilité contractuelle. Cela peut être acceptable, mais uniquement à condition de prévoir :

- un plafond de responsabilité proportionné aux enjeux ;

- une responsabilité spécifique en cas de non-respect des exigences de sécurité définies dans le contrat.

Dans les contrats de type SOC, MDR (Managed Detection and Response) ou réponse à incident, les engagements temporels sont essentiels. Le contrat doit prévoir :

- un délai maximum de détection et de qualification d’un incident ;
- un délai d’intervention en fonction de la criticité ;
- les plages horaires de service (24/7, jours ouvrés, etc…) ;

Un contrat de cybersécurité ne peut être traité comme un contrat informatique standard. Il s’agit d’un outil stratégique pour protéger l’entreprise face aux menaces numériques. L’implication conjointe du DSI et du DJ dans sa rédaction est donc indispensable. Chaque clause doit être pensée comme une barrière de protection, tant sur le plan technique que juridique.

2.1.3 les chartes et autres outils à vocation organisationnelle et pédagogique

Les organisations doivent compléter leurs dispositifs techniques par des outils juridiques et organisationnels. Les chartes, politiques et procédures jouent un rôle crucial pour encadrer les comportements, structurer les responsabilités et sensibiliser les utilisateurs.

La charte informatique et la politique de sécurité doivent être formellement approuvées par les instances décisionnaires de l’entreprise et faire l’objet d’une diffusion interne et d’une mise à jour régulières pour leur conférer une pleine efficacité.

La charte informatique est un document interne qui définit les conditions d’utilisation des ressources numériques de l’entreprise. Elle vise à prévenir les usages abusifs, rappeler les bonnes pratiques de cybersécurité et permettre des sanctions disciplinaires en cas de manquement. Elle traite notamment des points suivants : 

- Champ d’application : utilisateurs concernés (salariés, prestataires, etc.) ; 

- Règles d’usage des équipements, logiciels, accès distants ; 

- Obligations de sécurité : mots de passe, mises à jour, vigilance ;

- Usages interdits : contenus illicites, contournement des protections ; 

- Confidentialité, respect du RGPD ; 

- Conditions de traçabilité, contrôles informatiques ; 

- Modalités d’acceptation (signature ou validation électronique).

La PSSI, quant à elle, est un document stratégique qui fixe les orientations générales en matière de cybersécurité. Elle est portée par la direction et structurée par la DSI.

Elle comprend notamment : 

- Les objectifs de sécurité (disponibilité, intégrité, confidentialité) ; 

- Le rôle des acteurs (DSI, RSSI, métiers…) ; 

- Les principes directeurs (protection des données, gestion des risques) ; 

- Les politiques dérivées : PSSI-RH, PSSI industrielle, PSSI cloud, etc.

Les procédures internes encadrent les pratiques de sécurité au quotidien : création de comptes, contrôle des accès, usage du chiffrement, gestion des incidents, etc. Elles sont essentielles pour garantir une sécurité opérationnelle et un cadre d’auditabilité. Elles doivent être claires, formalisées, et connues des acteurs concernés.

Les utilisateurs sont parfois le maillon faible de la chaîne de cybersécurité. Il est donc essentiel de les former via :

- des fiches de bonnes pratiques ;
- des modules e-learning ;
- des campagnes de sensibilisation (phishing simulé, affiches, vidéos).

Ces actions renforcent la vigilance et contribuent à la culture de cybersécurité de l’entreprise. La réglementation notamment NIS2 oblige les organisations à réaliser des formations.

Ainsi, les outils juridiques à vocation organisationnelle ou pédagogique sont des leviers importants de prévention et de gouvernance de la cybersécurité. Bien rédigés, bien articulés et bien diffusés, ils permettent à l’entreprise de protéger son système d’information et de mobiliser ses collaborateurs autour de la sécurité.

2.1.4 Rappel sur les normes et la définition de l’état de l’art

Il est souvent fait référence dans les contrats informatiques aux règles de l’art. En toute hypothèse, rappelons que même lorsqu’il n’y est pas fait référence, la nécessité de se conformer aux règles de l’art est comprise par défaut dans ce type de contrats. Pour s’en affranchir, il conviendrait au contraire de stipuler que les prestations seront délivrées sans obligation de se conformer aux règles de l’art. Ce qui n’arrive jamais évidemment. Par défaut, l’obligation de conformité aux règles de l’art s’appliquera.

Mais qu’est-ce que l’état de l’art ?

C’est l’état des connaissances scientifiques et des bonnes (meilleures) pratiques dans un secteur technologique donné, à un instant T. C’est un référentiel auquel tout professionnel normalement diligent et compétent doit se conformer.

La plupart du temps, les parties au contrat se demandent comment mettre du contenu opérationnel face à une telle définition. En réalité, ce contenu est issu des publications scientifiques, des connaissances divulguées par les enseignants et les chercheurs, des référentiels qualitatifs et normatifs construits par les professionnels d’un secteur et les institutions puis publiés, telles que les normes à mentionner au sein du référentiel de conformité légale, mentionné au début du présent article.

Le cas échéant, l’état de l’art peut être défini à dire d’expert dans le cadre d’une consultation privée ou à la demande d’un juge qui désignerait un expert avant dire droit, afin d’éclairer un point technique pour prendre une décision.

2.2 Volet curatif

Organiser une cellule de crise cybersécurité dans une organisation est essentiel pour répondre efficacement aux incidents et limiter leur impact. Il convient d’identifier les rôles et responsabilités de chaque membre. La cellule doit être pluridisciplinaire, et peut inclure :

• Responsable de la cellule de crise (souvent le RSSI ou DSI)
• Équipe technique sécurité (analystes SOC, administrateurs réseau/systèmes)
• Direction générale
• DPO (en cas de fuite de données personnelles)
• Responsable juridique
• Responsable communication interne/externe
• Représentant RH (en cas de fuite de données RH ou impact humain)
• Assureur cybersécurité (si vous avez un contrat de cyberassurance)
   

Il est nécessaire de mettre en place les outils et moyens associés au bon fonctionnement de la cellule de crise, d’autant plus qu’en cas d’attaque majeure, les moyens de communication électroniques pourraient être affectés.

• Salle de crise : physique ou virtuelle (en cas de télétravail ou d’indisponibilité des locaux).
• Canaux de communication de secours (hors systèmes impactés, ex : WhatsApp, signal, téléphone).
• Runbooks : procédures détaillées à suivre selon les types d'incidents (rançongiciels, phishing, fuites de données, etc.).
• Accès aux logs, sauvegardes et outils de détection (SIEM, EDR, etc.).

Le plan de gestion de crise (PGC) doit inclure : 

• Les scénarios d’incidents (menace interne, ransomware, attaque DDoS…).
• La procédure d’alerte et d’escalade.
• Les critères de déclenchement de la cellule.
• La chaîne de décision.
• Les actions de remédiation et de communication à chaque étape.

Il est également nécessaire de mettre en place un Système de Détection d'Incident qui doit être capable d’alerter la cellule automatiquement selon des règles de détection (IDS, SIEM, etc.).

Enfin, il convient de réaliser régulièrement des exercices de crise :

• Pour tester la coordination, la rapidité de réponse.
• Pour évaluer la clarté des procédures.
• Pour identifier les points faibles.

Après chaque incident, il conviendra de capitaliser sur l’expérience vécue :

• Réaliser une analyse post-mortem.
• Documenter les points d’amélioration.
• Mettre à jour les procédures et le plan de crise.

Souvent, il est nécessaire d’assurer et donc d’anticiper la conservation des preuves à chaud, car elles sont volatiles en matière de systèmes d’information. Il est donc conseillé d’avoir sélectionné des experts en informatique qui connaissent déjà les technologies employées dans l’organisation, l’architecture du système d’information, les actifs immatériels importants, afin de disposer d’une capacité à faire réaliser des sauvegardes ou des constats efficacement et rapidement.

Nous préconisons donc d’avoir sélectionné deux ou trois experts susceptibles d’intervenir dans de bonnes conditions et à court terme, en ayant préparé avec eux, en amont, les conditions de leur intervention. Nous proposons de préparer des lettres de mission type sur la base d’honoraires prénégociés, de sorte que différents experts pourraient être sollicités pour le cas où le premier de la liste ne serait pas disponible immédiatement.

Il en est de même pour les Commissaires de Justice, binôme essentiel de la démarche expertale. A cette occasion, il est rappelé qu’il ne faut pas éteindre ses équipements immédiatement après une attaque informatique, mais simplement déconnecter ses systèmes d’Internet. En effet, l’arrêt de l’alimentation électrique a pour effet de vider les mémoires dites cash ou tampon qui peuvent contenir des éléments de preuve qui seront utiles aux enquêteurs ultérieurement pour remonter la piste.