Le management du risque cyber par le contrat, élément essentiel d’une stratégie de cybersécurité efficace

Avec le développement du travail à distance dans le cadre de la crise sanitaire, la sécurité des systèmes d’information, qui était déjà un enjeu important, devient plus que jamais stratégique et même une composante vitale des entreprises. Or, si les investissements et la mise en place de mesures techniques internes sont renforcés chez la plupart des acteurs, il est important de considérer également le risque lié à l’écosystème dans lequel la structure s’inscrit.

 

Le risque lié aux prestataires tiers

L’ANSSI précise en effet que « le partenaire [doit être] considéré par défaut comme non sûr ». Dans la deuxième édition de son guide « L’essentiel de la sécurité numérique pour les dirigeantes et les dirigeants », le Conseil de l’Économie et de l’Information du Digital (CEIDIG) avertit sur le risque de « balle perdue » :

« L’interconnexion grandissante entre les entreprises, les partenaires et les prestataires pose un sérieux problème d’effet domino en cas de compromission de l’un d’entre eux. Une entreprise peut ne peut pas être directement visée et pourtant être atteinte via l’un de ses partenaires victime d’une attaque et voir ainsi ses systèmes contaminés. »

 

Quelques chiffres pour illustrer concrètement cette problématique :

  • 60% des incidents de sécurité impliquent directement ou indirectement un fournisseur tiers (« Threats and Major data breaches : Securing Third-Party Vendors » in SSRN Electronic Journal).
  • 58% des cyberattaques sont opportunistes (Benchmark CERT Wavestone septembre 2019 août 2020), c’est-à-dire que les cyberattaquants vont exploiter une faille où ils la trouvent sans nécessairement avoir une cible spécifique en tête.
  • Les PME étant en règle générale moins bien protégées, elles peuvent être la cible de cyberattaques et constituer des points d’entrée critiques : 43% des cyberattaques visent les petites entreprises (Etude Kaspersky, avril 2020).
  • Qui plus est, 60% des attaques peuvent être attribuées à des « erreurs humaines » (Accenture « State of security report 2020 ») ; comme le soulignait déjà en février 2020 Alice Cherif, alors chef de la section cybercriminalité du Parquet de Paris « à l’origine de toutes ces affaires, quels que soient les outils de cybersécurité que vous mettrez en place, vous trouverez toujours une faille humaine. Il y aura toujours quelqu’un pour cliquer sur le lien ou la pièce jointe qu’il ne faut pas, et c’est déjà trop tard… ». La formation et l’engagement des collaborateurs est donc un passage obligé afin de faire face à la menace cyber.

 

Par ailleurs, il faut garder à l’esprit qu’au-delà de la protection de l’entreprise, la sécurité est également une contrainte réglementaire. L’article 32 du RGPD instaure en effet une obligation de sécurité et la CNIL a fait de la cybersécurité l’une de ses thématiques prioritaires de contrôle pour l’année 2021. Le risque de sanction CNIL vient donc s’ajouter à la liste des conséquences potentielles d’un défaut de sécurité des systèmes d’information.

 

Quelle solution ?

La combinaison de ces différents facteurs implique que « pour éviter de devenir une victime collatérale, il est essentiel de s’intéresser à la sécurité des entreprises de son écosystème et d’exiger des garanties sur leur niveau de sécurité. » (CEIDIG). Par conséquent, la mise en œuvre d’une stratégie de cybersécurité efficace passe nécessairement par des mesures relatives aux fournisseurs, prestataires et partenaires.

De ce point de vue, si des moyens techniques internes peuvent limiter le cyber risque, seul l’outil contractuel permet d’imposer au prestataire tiers l’implémentation de mesures techniques et organisationnelles de son côté. L’approche doit être globale : des garanties techniques doivent être exigées, mais aussi des engagements relatifs notamment à la formation du personnel, afin que le risque humain soit encadré.

La dimension « cybersécurité » doit donc être présente dans tous les actes juridiques. La mise en place d’audits pour vérifier le respect des contrats et de la réglementation par les partenaires est également indispensable.

 

Cette approche permet non seulement de protéger les systèmes d’information de l’entreprise par une vigilance accrue du prestataire, voire une mise conformité sur des aspects sensibles, mais aussi de satisfaire ses obligations légales en matière de sécurité et de faciliter la mise en œuvre de la responsabilité des partenaires tiers en cas de problème lié à une défaillance de leur part.

 

Quelles actions ?

Trois étapes peuvent être identifiées pour l’implémentation d’une stratégie contractuelle performante de gestion du risque cyber :

 

  1. Identification des prestataires tiers concernés : la connaissance de l’écosystème est une étape préalable indispensable afin de définir le niveau de risque pour chacun des acteurs et le cas échéant appliquer les solutions envisagées de manière standardisée, voire les adapter aux cas particuliers des prestataires, le cas échéant.
  2. Évaluation du niveau de maturité : mise en œuvre d’un questionnaire de sécurité qui permettra une analyse fine des caractéristiques de chaque prestataire et donc une rédaction précise de la clause de cybersécurité.
  3. Rédaction de la clause de cybersécurité : des engagements clairs du cocontractant permettent un engagement facilité de sa responsabilité en cas de problème. La clause doit notamment inclure :
    • Des engagements relatifs à la formation régulière du personnel en matière de sécurité des systèmes d’information ;
    • Une liste d’exigences techniques et un engagement sur un niveau de sécurité précis (ex : respect de standards, normes, mise en œuvre de pratiques identifiées, etc.) ;
    • Les règles de gestion et de notification des incidents (délais, coopération).

 

Pour une approche plus générale sur les bonnes pratiques en matière de sécurité, consultez notre article « Quelques réflexes à ne pas négliger en matière de sécurité des données à caractère personnel ! ».

 

 

Le Pôle « IT, Cybercriminalité & data protection » d’AGIL’IT se tient à votre disposition pour vous accompagner dans vos démarches de prévention du risque cyber, de mise en conformité au regard de la règlementation applicable et des recommandations en matière de prévention de la cybermalveillance ainsi que pour la gestion de vos crises cyber.

 

Par AGIL’IT – Pôle ITCybercriminalité & Data protection

Sylvie JONAS, Avocate associée