Contact

Un accompagnement juridique

Près de 385 000 cyberattaques ont touché les systèmes d’information des entreprises en 2022. Comment réagir face à une cyberattaque ? Quelles assurances, comment porter plainte ?

Une cyberattaque peut coûter cher à une entreprise. un certain nombre d’organisations, notamment parmi les PME, ne sont pas en mesure de relancer leur activité. pertes financières, impact sur l’image de l’entreprise, perte de confiance des clients et des partenaires.

 

Combien une cyberattaque coûte aux entreprises ?

Comment peuvent-elles s'en protéger, porter plainte ou encore bénéficier d'un accompagnement juridique ?

Pour le cabinet d’audit et de conseil Deloitte

Il y a 14 facteurs à prendre en compte pour évaluer de manière exhaustive les conséquences d’une attaque et les coûts cachés d’une cyberattaque

Il s’agit de coûts directs et indirects qui entrent en ligne de compte pour mesurer l’impact financier d’un cyber incident :

 

Partie émergée (coûts financiers les plus connus) :
- Enquêtes techniques
- Notification client de l’intrusion
- Mise en conformité réglementaire
- Honoraires d’avocat et frais de justice
- Sécurisation des données client post-incident
- Relations publiques
- Amélioration des dispositifs de cybersécurité

Partie immergée (coûts financiers cachés ou moins visibles)
- Augmentation des primes d’assurance
- Augmentation du coût de la dette
- Impacts liés à la perturbation ou l’interruption des activités
- Érosion du chiffre d’affaires liées à la perte de contrats client
- Dépréciation de la valeur de marque
- Perte de propriété intellectuelle
- Perte de la confiance accordée par le client "

Cas pratique : Avocat

Quels actions juridiques en cas de cyberattaque ?

01 Contacter un avocat

Dès la découverte de l’attaque cyber et une fois les premières mesures techniques d’urgence prises par le responsable de la sécurité du système d’information du cabinet (sauvegarde, isolement du SI…) ou le prestataire informatique, l’e chef d’entreprise doit contacter son assurance cyber-risque.

02 Respecter la RGPD

Les sociétés sont eux au respect du règlement général sur la protection des données (« RGPD ») en tant que responsables de traitement.

La RGPD prévoit des obligations de notification et de communication à la charge du responsable de traitement en cas de violation de données, étant précisé qu’une violation de données est caractérisée en cas de perte de confidentialité, d’intégrité ou de disponibilité des données personnelles.

A titre d’exemple, dans le cas d’une attaque par rançongiciel visant une structure , la violation de données est caractérisée dès lors que les données personnelles des clients et/ou des collaborateurs et salariés sont cryptées par le cyberattaquant (indisponibilité) voir divulguées (perte de confidentialité).

Toute violation de données personnelles devra être notifiée à la CNIL dans un délai de 72 heures maximum après sa découverte, dans le cas où un risque pour les personnes concernées est identifié (article 33 du RGPD).

En cas de risque qualifié d’élevé sur la vie privée des personnes concernées (notamment en cas de divulgation des données personnelles des clients et dans le cas de données sensibles au sens de l’article 9 du RGPD), le cabinet devra compléter cette notification par une communication directe de l’incident aux personnes concernées dans les meilleurs délais. Cette communication peut notamment prendre la forme d’un courriel et doit contenir les mentions obligatoires édictées à l’article 34 du RGPD.

 

L’entreprise victime devra alors procéder à une analyse préalable des effets de l’incident sur la vie privée des personnes concernées afin de déterminer s’il doit notifier l’incident à la CNIL et communiquer aux personnes concernées le cas échéant.

En tout état de cause, qu’il notifie ou non l’incident à l’autorité de contrôle, l’entreprise doit compléter son registre de violation des incidents.

03 Déposer plainte

L’avocat devra procéder à un dépôt de plainte pénale contenant l’exhaustivité des faits et les fondements juridiques qualifiant les infractions commises dans un délai maximal de 72 heures s’il a souscrit à une assurance cyber.

En effet, la loi d’orientation et de programmation du ministère de l’intérieur (LOPMI) du 14 décembre 2022 conditionne désormais le remboursement des rançongiciels au dépôt obligatoire d’une plainte de la victime au plus tard 72 heures après la connaissance de l’atteinte par la victime et ce, afin d’améliorer l’information des forces de sécurité et de l’autorité judiciaire sur les cyber-attaques.

Comment déposer plainte ?
- Soit par écrit, directement auprès du procureur de la République.
- Soit auprès d’un service de police/gendarmerie qui renverra à un service spécialisé.

  • Atteinte à un système de traitement automatisé de données (« STAD ») 
  • Accès et maintien frauduleux dans un STAD
  • Entrave au fonctionnement d’un STAD
  • Introduction frauduleuse de données dans un STAD
  • Extraction, détention, reproduction, transmission illégitime de données
Les chefs d’infractions qui fondent généralement une plainte pénale dans le cadre d’une cyber-attaque peuvent inclure :
  • Importation, détention, offre, cession ou mise à disposition d’un équipement d’atteinte aux STAD
  • Participation à un groupe formé ou à une entente établie en vue de commettre des
  • Escroquerie 
  • Vol de données / recel 
  • Usurpation d’identité numérique 
  • Manquements au RGPD et à la loi n°78-17 du 6 janvier 1978 dite « informatique et liberté »

Afin de pouvoir réagir dans les délais, il est recommandé de disposer en amont d’un modèle de plainte pénale rédigé par un conseil spécialisé et/ou de faire appel à l’assistance d’un avocat spécialisé en cybercriminalité.

04 Responsabilité civile

Engager la responsabilité civile :

Des actions en réparation des dommages et intérêts (mise en demeure, assignation) pourront également être exercées dans le cas où l’incident a été causé par un manquement du prestataire informatique à son obligation de sécurité.  Agissant comme sous-traitant au sens du RGPD, il est fortement recommandé d’auditer les contrats, de vérifier l’existence d’accord sur la protection des données et de les renforcer si besoin. Un audit de sécurité devra également être diligenté auprès du sous-traitant concerné.

 

S’assurer que le sous-traitant a mis en place les mesures techniques et organisationnelles nécessaires à la sécurité et à la confidentialité des données.
CYBERACM vous accompagne dans ces actions juridiques et vous oriente vers nos cabinets d'avocats spécialisés partenaires.

Vous vous sentez concerné ?
Voyons ensemble comment répondre à votre besoin

Nos services vous intéressent ? Vous avez des questions ? N'hésitez pas à nous contacter

Comment pouvons-nous vous aider ?

Envoyez un message à CYBERACM sur WhatsApp. https://wa.me/message/FIAC7XRBCX2XI1

Scannez ce QR Code pour démarrer une discussion WhatsApp avec CYBERACM

Logo
Contact

©CYBERACM 2025. Tous droits réservés.

Nous avons besoin de votre consentement pour charger les traductions

Nous utilisons un service tiers pour traduire le contenu du site web qui peut collecter des données sur votre activité. Veuillez consulter les détails dans la politique de confidentialité et accepter le service pour voir les traductions.

Paramètres de confidentialité

Traducteur de site Web

Paramètres de confidentialité

Avec cet outil, vous pouvez sélectionner et désactiver les différents tags / trackers / outils d'analyse utilisés sur ce site.

Sélectionnez tous les services
Traducteur de site Web
Plus
Sauvegarder les paramètres