Ce matin, vous découvrez dans votre entité (entreprise, institution, association) : vos ordinateurs, votre système d’information sont hors service suite à une attaque informatique.
Comment réagir face à cette cyberattaque ?
SOS SOS SOS . . . – – – . . .

Ce qu’il faut savoir :

Avant tout, une cyberattaque est déjà très traumatisante pour une entreprise. Imaginez un voleur qui est entré dans votre propre maison, dans votre intimité. Mais ce n’est que le début des surprises… Le chef d’entreprise, qui se sent légitiment victime, est avant tout responsable civilement et pénalement des conséquences de cette intrusion sur les données, souvent personnelles. N’importe quel citoyen (qu’il soit client ou salarié…) peut se plaindre auprès de la CNIL, qui pourra déférer un juge local, si nécessaire. En Nouvelle Calédonie, la loi actuelle le permet depuis 2004. Le RGPD qui sera applicable au 1er juin 2019 ne fait que renforcer cet état de fait.

Alors, que faire ?

Dans un premier temps, le dirigeant, muni de son Kbis doit porter plainte auprès de la police ou de la gendarmerie. Il est conseillé d’être assister d’un avocat. A noter que certaines assurances prennent en charge cet aspect juridique. C’est en déposant plainte que le dirigeant peut ainsi se positionner comme victime.

En parallèle, il doit assumer son rôle de responsable en s’assurant que les effets néfastes de la cyberattaque sont totalement maitrisés. Si l’attaque est due à un manquement d’un sous-traitant, il doit recueillir les éléments qui prouvent sa bonne foi, pour qu’il puisse partager sa responsabilité avec ce dernier.

Enfin, il est à noter que communiquer sur cet événement est une obligation légale. Il faut avertir la CNIL et toutes les parties prenantes (clients, fournisseurs, sous-traitants, actionnaires et salariés).

Conclusion

Avec la prolifération des données personnelles au sein des entreprises, institutions et associations, la responsabilité des dirigeants est de plus en plus importante. La démarche décrite ci-dessus couvre à minima le dirigeant. Seule une démarche de protection des données menée, au préalable, selon les régles de l’art amoindrira auprès d’un juge la responsabilité civile ou pénale du dirigeant.

Action Cyber est là pour vous accompagner dans cette expertise des risques encourus.

Published On: 5 avril, 2019 /