Par Myriam QUÉMÉNER Magistrat (CA Paris), Docteur en Droit
Suite au contexte de crise sanitaire auquel s’est ajouté une crise internationale en raison de la guerre en Ukraine, les cyberattaques se sont multipliées, visant aussi bien les particuliers, les Etats, les hôpitaux mais aussi les professions libérales qui n’échappent pas à ce fléau. Selon le Baromètre de la cybersécurité en entreprise du Club des experts de la sécurité de l’information et du numérique CESIN 20221, plus d’une société française sur deux a vécu au moins une cyberattaque au cours de l’année 2021.
En effet, il faut rappeler que si les professions libérales sont réglementées, c’est notamment parce qu’elles traitent des données sensibles, confidentielles ou stratégiques. La cybersécurité est ainsi un véritable défi pour toutes les professions libérales qui exercent aujourd’hui leurs activités dans un écosystème de plus en plus hyperconnecté. Les profession libérales utilisent comme tous métiers de nombreux outils informatiques (ordinateurs, messageries, tablettes, smartphones, etc.). Ces usages les exposent à des incidents de sécurité qui peuvent causer des préjudices très importants, allant même jusqu’à entraver leurs activités et leur avenir. L’UNAPL2 a créé dès 2016 une commission numérique afin de mesurer les enjeux des évolutions qu’il impose. Le numérique peut être positif pour ces professions en favorisant les échanges, développant leurs activités mais il existe des dérives à éviter. L’objectif est de protéger au mieux les professionnels par la cybersécurité, mais aussi de cerner les gains de productivité qui peuvent être dégagés3.
Après avoir présenté le contexte induisant une véritable stratégie de cybersécurité, il conviendra de présenter les réponses et les dernières avancées en la matière qui impliquent avant tout des bonnes pratiques, une sensibilisation et des actions de formation.
I. Le constat
Les cyberattaques4 font désormais partie de ces risques importants que les professions libérales doivent prendre en compte sérieusement, car les conséquences sont graves comme la perte des données ; le blocage des ordinateurs, l’extorsion de fonds, et l’atteinte à l’e-réputation.
Le risque de cyberattaques s’est aussi amplifié par la mise en place massive du télétravail. Cela est dû à l’utilisation plus importante d’appareils personnels, une plus grande circulation des données, des systèmes informatiques sensibles beaucoup plus accessibles depuis l’extérieur de l’entreprise ou encore des procédures de sécurité plus difficiles à mettre en œuvre hors de l’entreprise. La délocalisation du travail offre des points d’entrée aux cybercriminels. Cela présente un risque tant pour l’employé à titre individuel que pour l’entreprise toute entière. Les États, une fois de plus, profitent des perturbations causées par la mise en place massive en urgence du télétravail grâce à des groupes d’espionnage.
En effet, les professions libérales utilisent des logiciels et des serveurs sécurisés. Cependant cette protection est rarement suffisante, notamment à certains moments critiques : lorsque l’on change de prestataire informatique, de logiciel métier ou que l’on intègre un nouveau collaborateur par exemple. Au cours de ces périodes de manipulations, les systèmes d’information sont vulnérables et constituent des fenêtres de tir pour les hackers. Il faut aussi signaler les effets néfastes de l’ingénierie sociale, qui s’appuie davantage sur la défaillance humaine, en « pistant » un collaborateur en particulier. Le hacker peut appeler la personne visée en se faisant passer pour un prestataire et récupérer ainsi les accès voulus. Il est aussi possible de passer par les outils nomades, de plus en plus répandus avec le télétravail, qui sont reliés au réseau mais plus vulnérables que le reste du parc informatique de l’entreprise.
II. Les réponses juridiques de cybersécurité pour les professions libérales
RGPD et notification des failles de sécurité
Le règlement général sur la protection des données5 (RGPD) (Rég. UE 2016/679 du 27-4-2016) applicable à compter du 25 mai 2018 a instauré une règlementation européenne qui vise à renforcer la protection des données personnelles et qui concerne toutes les entreprises y compris les professions libérales. Ce règlement généralise l’obligation de notification des failles de sécurité visant les données à l’autorité de contrôle compétente6 et impose une nouvelle obligation de communication aux personnes concernées par une violation de leurs données personnelles. On assiste à une tendance à la responsabilisation croissante des acteurs ainsi qu’en témoigne aussi les directives Network and Information Security7 (NIS 1 et 2) en imposant des normes de cybersécurité croissantes8. La notification de la faille de sécurité doit être transmise à la CNIL dans les meilleurs délais à la suite de la constatation d’une violation présentant un risque pour les droits et libertés des personnes.S’il n’est pas possible de fournir toutes les informations requises dans ce délai car des investigations complémentaires sont nécessaires, il peut être procédé à une notification en deux temps , à savoir une notification initiale dans un délai de 72 heures si possible à la suite de la constatation de la violation. Si le délai de 72 heures est dépassé, il convient d’expliquer, lors de la notification, les motifs du retard. Une notification complémentaire dès lors que les informations complémentaires sont disponibles pourra être faite.
À cet égard, la CNIL9 constate une progression importantes des notifications de violation de données dont près de la moitié résultent d’une attaque par rançongiciel. Dans certains cas, les données personnelles des usagers peuvent être mises en ligne par les cybercriminels.
L’action étatique
L’ANSSI10 développe des recommandations en matière de cybersécurité et d’hygiène informatique pour faire face à la menace sur les systèmes d’information, et la capacité de l’État est renforcée tant au niveau central que local. L’ANSSI s’est dotée d’un dispositif d’action visant à soutenir le tissu économique et les institutions à l’échelle régionale. Les délégués de l’agence en régions, spécialistes de la sécurité du numérique, œuvrent en synergie avec les structures et les autorités régionales existantes pour prévenir les incidents et sensibiliser les acteurs locaux du public et du privé aux bonnes pratiques informatiques.
Ces préconisations sont fondamentales pour éviter les vulnérabilités élémentaires régulièrement constatées dans les objets, mais également pour rappeler qu’il est indispensable de bien définir les exigences de sécurité et de résilience attendus pour le service rendu par ces objets pour déployer au bon niveau les mesures de sécurité appropriées.
On peut relever aussi la création d’un nouveau dispositif conjointement par le ministère de la Transition numérique et les organisations professionnelles U2P, Medef et CPME. Dénommé « Alerte cyber », cet outil permettra, lorsqu’une vulnérabilité ou une campagne d’attaque particulièrement critique pour ce type de structure sera identifiée, de notifier par mail les dirigeants d’entreprises. Le dispositif national d’assistance aux victimes Cybermalveillance.gouv.fr11 et l’Agence nationale de la sécurité des systèmes d’information (ANSSI) seront chargés de cette mission. En outre, des explications relatives à la menace cyber et les risques encourus ainsi que des solutions et des recommandations pour déterminer le niveau d’exposition de l’entreprise seront fournies. A l’initiative de cet outil, l’ Union des entreprises de proximité12 ( U2P) s’est engagée à mobiliser son réseau, dont l’UNAPL fait partie pour le volet entreprises libérales, à relayer les alertes aux 3 millions d’entreprises de proximité qu’elle représente.
La question de la cyberassurance
La loi de programmation et d’orientation du ministère de l’Intérieur (LOPMI) adoptée le 14 décembre 2022 et actuellement soumise au Conseil constitutionnel prévoit dans son article 4 de conditionner le remboursement de pertes et dommages causés par une cyberattaque par une assurance à un dépôt de plainte, dans les «72heures après la connaissance de l’atteinte par la victime ».
L’article 4 a fait l’objet de débats animés car la version antérieure visait le versement d’une somme en application d’une clause assurantielle « visant à couvrir le paiement d’une rançon par l’assuré dans le cadre d’une extorsion » et subordonnait cette indemnisation à un dépôt de plainte dans un délai de quarante-huit heures (il avait déjà été rallongé antérieurement, de vingt-quatre à quarante-huit heures. L’indemnisation concerne désormais les pertes et dommages causés par l’atteinte au système d’information, sans davantage de précisions, alors que la version antérieure ne prévoyait qu’une indemnisation du montant de la rançon payée. Le terme rançon a d’ailleurs disparu de la version adoptée.
Les nouvelles dispositions issues de l’article 4 de la loi d’orientation et de programmation du ministère de l’Intérieur13 ( LOPMI ) ne s’appliquent qu’aux personnes morales et aux personnes physiques dans le cadre de leur activité professionnelle, les particuliers étant exclus de ce nouveau dispositif.Parallèlement à l’adoption de cette loi, un arrêté du 13 décembre 2022 a prévu l’ajout, au sein du code des assurances, de deux nouvelles catégories d’opérations dédiées au risque cyber (« dommages aux biens consécutifs aux atteintes aux systèmes d’information et de communication » et «pertes pécuniaires consécutives aux atteintes aux systèmes d’information et de communication »). Jusqu’ici, les garanties cyber étaient classées dans les catégories « dommages aux biens », « responsabilité civile » et « pertes pécuniaires ». Cet ajout permettra aux assureurs, pour les comptes ouverts à compter du 1er janvier 2023, de mieux gérer leur comptabilité et de suivre précisément l’activité de l’assurance cyber, et ce afin de leur offrir une meilleure visibilité sur la gestion de celle-ci.
Perspectives :
La cybersécurité est faite à la fois de réponses techniques et juridiques afin de protéger le patrimoine et les données des professions libérales. En complément des outils de cybersécurité, il est essentiel d’améliorer la sensibilisation et la responsabilisation de l’ensemble des membres des organisations face aux cybermenaces. Former l’ensemble des collaborateurs afin qu’ils puissent acquérir les connaissances nécessaires à la réduction des cyberattaques est désormais indispensable.