Le risque cyber aujourd’hui

Le contexte

La France est le 4ème pays le plus touché après les États-Unis, la Chine et l’Allemagne. Les entreprises sont les principales victimes, et 95 % d’entre elles sont des PME. Le coût moyen d’une cyberattaque est de l’ordre de 58 000 € dont 25 000 € pour répondre à l’attaque, 8 000 € découlant de l’interruption de l’activité et 25 000 € correspondant aux rançons.

Alors que 43% des entreprises françaises ont déclaré avoir subi une cyberattaque en 2024, seule 1 entreprise sur 2 a porté plainte, l’enquête n’aboutissant à l’identification des hackers que dans 16% des cas.

Typologie des cyberattaques

Les 3 types de cyber-attaques les plus courantes sont le phishing (73% des entreprises concernées), l’exploitation d’une faille (53%) et la fraude au président (38%).

Les signes d’une cyberattaque

La détection d’une cyberattaque repose souvent sur la vigilance constante des utilisateurs et des systèmes de sécurité.

Il est conseillé de :

  • Surveiller le trafic réseau,
  • Analyser les journaux de sécurité,
  • Reconnaître les symptômes tels les ralentissements sur les postes de travail, l’apparition d’annonces intrusives, ou des fluctuations inhabituelles sur le site web, telles qu’un pic soudain de trafic…

Les recommandations

Avant tout type d’incident

Quelques recommandations courantes :

  • Choisir avec soin les mots de passe, (cf. les recommandations de la CNIL Mots de passe | CNIL)
  • Mettre à jour les logiciels régulièrement,
  • Prévoir la continuité d’activité,
  • Sécuriser l’accès wifi de l’entreprise,
  • Être aussi prudent avec le smartphone ou la tablette qu’avec le PC,
  • Protéger ses données lors des déplacements,
  • Sécuriser les postes de travail (anti-virus, firewall…), les serveurs, les sites web, l’informatique mobile,
  • Gérer les habilitations,
  • Protéger les locaux,
  • Séparer les usages personnels et professionnels,
  • Ne pas ouvrir de courriels ou les pièces jointes provenant d’expéditeurs inconnus.
  • Assurer la formation des salariés aux bonnes pratiques.
Attention, les intermédiaires soumis au règlement DORA (ceux employant plus de 250 personnes et dont le CA excède 50 millions d’euros ou le bilan 43 millions) ont l’obligation de mettre en place un certain nombre d’actions avant tout incident. On peut citer la formation de la gouvernance et des salariés et la réalisation de tests.

Lors de la survenance de l’incident

L’ACYMA (Groupement d’Intérêt Public Action contre la Cybermalveillance) présente 5 consignes clés à suivre en cas de cyberattaque :
– Débranchez la machine du réseau informatique et désactivez internet
– N’éteignez pas l’appareil
– Alertez au plus vite votre support informatique
– N’utilisez plus l’équipement potentiellement compromis
– Prévenez vos collègues de l’attaque en cours

Les conséquences de l’attaque

Les conséquences d’une cyberattaque sont nombreuses :

Pour l’entreprise

– Interruption de l’activité ou fort ralentissement entrainant des pertes d’exploitations,
– Détérioration du matériel informatique,
– Fuite de données nécessaire aux opérations,
– Impact sur la notoriété,
– Frais de préservation de la réputation et de l’image de l’entreprise,
– Frais d’expertise et d’assistance informatique,
– Frais de mise en place d’une plateforme téléphonique,
– Frais de reconstitution des données en présence de sauvegardes informatiques disponibles et exploitables
– Frais de notification à la CNIL et aux personnes concernées à la suite d’une violation de données personnelles,
– Cyber rançon,
– Frais de gestion de crise etc…

Vis-à-vis des tiers

Les tiers peuvent également subir les conséquences d’une cyberattaque, du fait de sa propagation ou en lien avec les données détenues par l’entreprise touchée. Celle-ci devra donc en assumer les répercussions.
– Prise en charge des conséquences liées aux atteintes aux données (vol perte ou divulgation non autorisée de données personnelles ou confidentielles), aux atteintes aux systèmes (altération, destruction, suppression de données protégées, transmission d’un programme malveillant…),
– risques de diffamation,
– risques d’atteinte aux droits à l’image…

Les obligations de l’intermédiaire

Dépôt de plainte dans les 72h

Depuis la loi du 24 janvier 2023, l’indemnisation par l’assureur est subordonnée au dépôt de plainte dans les 72 heures après la connaissance de l’atteinte. Vous trouverez en lien la FAQ de LOPMI. LOPMI_FAQ.pdf

Comment porter plainte en cas de cyberattaque de votre entreprise ? – francenum.gouv.fr

Article L12-10-1 – Code des assurances – Légifrance relatif au dépôt de plainte

Outre le dépôt de plainte, il convient d’alerter les forces de l’ordre, notamment en composant le 17 17Cyber – Mon assistance en ligne | Site Officiel.

Ce site permet d’obtenir des conseils et de parler avec des policiers ou gendarmes spécialisés en la matière qui pourront guider la victime dans toutes les démarches à accomplir.

Attention, cette alerte ne se substitue pas au dépôt de plainte.

Notification à la CNIL dans les 72 heures

En tant qu’intermédiaire, vous pouvez être responsable du traitement des données. cf. CGPA Conseils CNIL RGPD avril 2025.

En cas de violation des données, vous avez l’obligation de :

  • Aviser l’intéressé et lui donner toutes informations utiles (nature de la violation, conséquences, coordonnées du DPO, mesures prises pour remédier à la violation, recommandations notamment changement de mot de passe …)
  • Notifier à la CNIL et ce dans les 72 heures la nature de la violation et si possible, les catégories et le nombre approximatif de personnes concernées, les conséquences probables de la violation et décrire les mesures prises pour atténuer les éventuelles conséquences négatives et éviter que cet incident ne se reproduise.

Il convient de rappeler que la CNIL dispose de pouvoir de sanctions en cas de non-respect du RGPD.

Obligations dans le cadre de DORA 

CGPA conseils janvier 2025

Règlement UE 2022/2554 du 14 décembre 2022 portant sur la résilience opérationnelle numérique dans le secteur financier (Dora) entré en vigueur le 17 janvier 2025.

Sont soumis à ce Règlement, les intermédiaires employant plus de 250 personnes et dont le CA excède 50 millions d’euros ou le bilan 43 millions.

En application de DORA, les entités doivent notamment :

  • Notifier à l’ACPR ou l’AMF les incidents identifiés comme majeurs et liés aux TIC (techniques d’information et de communication) et ce dans les  24 heures
  • Effectuer des tests de résilience opérationnelle numérique au minima annuels (évaluation de la sécurité des réseaux, tests de performance, tests fondés sur des scénarios…).
  • Par ailleurs et pour les très grandes entités financières (plus de 500 millions d’euros de primes brutes), il sera demandé la mise en place de tests de pénétration fondés sur la menace c’est-à-dire simulant le mode opératoire de véritables attaques cyber.
  • Tenir un registre de tous les incidents.

Pour rappel, les sanctions encourues par les personnes assujetties au contrôle de l’ACPR vont de l’avertissement au retrait d’agréement ainsi que des sanctions financières pouvant aller jusqu’à 100 millions d’euros ou 5% du CA net.

Pour conclure, il ne faut pas perdre de vue que la responsabilité contractuelle du prestataire de service peut être recherchée.

La Cour d’appel de Rennes dans un arrêt du 19 novembre 2024, n° RG 23/04627 a condamné à hauteur de 50 000 € un prestataire de service informatique pour manquement à ses obligations d’information et de conseil. En raison de dysfonctionnements, un vol important de données avait eu lieu dans une entreprise entrainant notamment un arrêt total des activités pendant 1 semaine. Pour les juges, certes le prestataire avait respecté le cahier des charges établi par le client mais il n’avait pas pris soin de lui proposer toutes les mesures nécessaires à la sécurisation des données et de l’informer des failles de son installation.

Pour les assurés CGPA, la couverture des risques CYBER est incluse dans votre contrat RC PRO.