Cyber attaques : comment y répondre par le droit ? cycle 2 : preuves, traitements juridiques et assurantiels de l’attaque

Vecteurs essentiels de compétitivité, les actifs immatériels contribuent aujourd’hui à 75% de la création de valeur au sein des groupes multinationaux dont l’activité repose sur l’innovation.  Les impacts des cyber attaques se multiplient et s’aggravent, exigeant une meilleure maîtrise des actifs immatériels. Les conséquences de leur appropriation frauduleuse, des pertes d’exploitation et de confiance associées sont souvent sous-estimées. Résultats de recherche et développement, informations commerciales stratégiques, bases de données de clientèles, ou encore coordonnées de paiement : autant de données totalement dématérialisées et donc particulièrement vulnérables, dès lors qu’elles ne sont pas protégées à leur juste valeur.

Face à ce défi, l’enjeu pour les entreprises innovantes est double : anticiper le cyber risque afin de s’en prémunir (cycle 1) et être en capacité de réagir lorsque le risque ce réalise en dépit des mesures de préventions (Cycle 2).

Cette seconde matinée consacrée au cyber risque abordera les points suivants :

 En amont de la crise, quels moyens mettre en place pour éviter l’attaque ou y remédier – traitement technique de la crise ;

 L’importance de la mise en place d’une cellule de gestion de crise (qui fait quoi ?) et son financement (assurances) ;

 Les moyens de constitution et de conservation de la preuve des intrusions dans un système de traitement automatisé de données (attaque proactive de tiers) et / ou des fuites (négligence) : qui doit intervenir ? quels sont les éléments à « geler » ? Comment le faire ?

 Le traitement juridique de la crise : la plainte pénale (quel contenu, pour quelles infractions et quels services spécialisés ?) ; la mise en conformité avec l’obligation de notification telle qu’issue du Règlement européen sur la protection des données personnelle. Quid de la mise en œuvre de la responsabilité du responsable du SI et / ou du traitement et / ou du sous-traitant par un tiers ?

 Le traitement assurantiel de la crise : l’assureur va qualifier la situation et la chiffrer, avant de la traiter : coûts d’investigations et d’enquêtes, frais de consultant en sécurité informatique (qualification de l’événement), frais de consultant juridique (qualification du régime d’obligations réglementaires applicables), traitement de la situation. L’assureur va vérifier les coûts de gestion de la procédure avec les Autorités de contrôle : frais de notification suite à une injonction des Autorités de Contrôle, frais de communication, frais de monitoring, frais de restauration.

 Me Jean-Sébastien MARIEZ

De Gaulle, Fleurance & Associés

Avocat au barreau de Paris

 Monsieur Jean-Raymond Lemaire

LCA ICSI

Expert judiciaire

 M. Nicolas HELENON

Neotech Assurances

Directeur Associé

Accueil café à partir de 9h00

Syntec Numérique

148 Boulevard Haussmann, 75008 PARIS