Cyberattaque: Que faut-il faire dans la pratique?
Rehana Harasgama
Rehana Harasgama est experte en droit suisse et international de la technologie, de la cybersécurité et de la protection des données. Elle est également chargée de cours sur la protection des données à l'Université de Saint-Gall (HSG).
Aides de travail appropriées
Qu’est-ce qu’une cyberattaque ?
Le terme «cyberattaque» n'est pas juridiquement défini et peut varier en fonction des différents systèmes juridiques et d'une jurisprudence à l’autre. Pour le présent article, nous définirons cette notion comme suit :
Une cyberattaque est une attaque numérique ciblée qui consiste à contourner les mesures de sécurité des données et à attaquer les ordinateurs, les systèmes d'information, les réseaux ou les données d'une entreprise afin de les endommager, de les perturber ou d'y accéder illégalement.
Les tactiques (de la simple tentative d'escroquerie aux campagnes sophistiquées visant certaines infrastructures critiques et de grands groupes internationaux) et les méthodes (par exemple l'ingénierie sociale, les rançongiciels, l'espionnage, les attaques par déni de service, les logiciels malveillants ou l’hameçonnage) des différents types de cyberattaques sont très variées et le nombre de ces dernières a fortement augmenté ces dernières années, notamment en raison de l'augmentation de certaines automatisations et du recours grandissant à l'intelligence artificielle (IA).
Les cyberattaques ont généralement des intentions nuisibles, comme le vol de données, la paralysie des systèmes, occasionner des dommages financiers ou encore créer des troubles. De telles attaques peuvent être déclenchées par différents acteurs, comme des pirates informatiques, des concurrents, des collaborateurs de l'entreprise mécontents ou encore certains tiers en mal de sensations fortes.
Les questions que l’on doit se poser en matière de protection des données
Lorsqu'une entreprise est victime d'une cyberattaque, «sauver les meubles» et «colmater les brèches» deviennent, assez logiquement, les premières de ses préoccupations. Comment lui en vouloir ? Il ne faut toutefois pas omettre qu'il existe, nonobstant le drame qui se déroule, certaines obligations légales d'annoncer si l’on s’en réfère à la LPD.
Les obligations d'annoncer, selon le droit suisse de la protection des données, sont ancrées dans l'article 24 LPD et n'interviennent que lorsqu'il y a violation de la sécurité des données («Data Breach») au sens de cette même loi.
Il y a violation de la sécurité des données lorsque des données personnelles (p. ex. noms, adresses, données de cartes de crédit, date de naissance, dossiers personnels, données médicales, etc.) sont volées, effacées ou modifiées par erreur ou de manière illicite, ou encore lorsqu'une personne non autorisée y accède. Il existe en droit suisse et international de nombreuses obligations d'annoncer (pas seulement en matière de protection des données) qui peuvent être déclenchées par une cyberattaque : obligations d'annoncer à la FINMA, obligations d'annoncer selon le règlement général sur la protection des données de l’UE (RGPD), obligations d'annoncer selon la directive européenne NIS-2 ou d'autres règlements de l'UE (qui peuvent également s'appliquer aux entreprises suisses) ainsi que diverses obligations d'annoncer pour les fournisseurs d'infrastructures critiques en Suisse si l’on se réfère à la nouvelle loi sur la sécurité de l'information qui doit entrer en vigueur cette année. Tout cocontractant est également en droit de faire valoir diverses obligations d'annoncer convenues contractuellement, souvent combinées avec le paiement d'une pénalité contractuelle.
Lors d'une cyberattaque, il faut généralement partir du principe qu'il s'agit d'une violation de données, car dans la plupart des cas, des données personnelles sont concernées, qu'il s'agisse de celles de ses propres collaborateurs, de fournisseurs ou de clients : il y a alors obligation d'annoncer aux yeux de la LPD.
Selon l'article 24 LPD, il existe trois différentes annonces de violations de la sécurité des données (une cyberattaque, par exemple) :
- Devoir d'annonce au Préposé fédéral à la protection des données et à la transparence («PFPDT»).
- Devoir d'annonce aux personnes concernées, par exemple aux collaborateurs, fournisseurs ou clients
- Si une entreprise traite des données personnelles pour d'autres entreprises (par exemple en tant que fournisseur de cloud, fournisseur de logiciels RH ou parce qu'elle se charge de la comptabilité salariale pour certains clients), c'est-à-dire si elle a le statut de sous-traitant, il n'y a qu'un seul devoir d'annonce vis-à-vis du commettant. Ce dernier est à son tour responsable du respect des autres obligations d'annoncer.
Le devoir d'annonce au PFPDT n'est déclenché que si la cyberattaque est susceptible d'entraîner un risque élevé pour les collaborateurs, les fournisseurs ou les clients (c'est-à-dire les personnes concernées). Cela peut être le cas lorsque certaines données très sensibles (p. ex. des données relatives à la santé) ou un grand volume de données sont concernés, lorsque des personnes particulièrement dignes de protection sont touchées (p. ex. des enfants, les clients d'une banque ou des patients) ou lorsqu'il pourrait y avoir usurpation d'identité. Dans de tels cas, les informations suivantes doivent être fournies au PFPDT « dans les meilleurs délais » (dans l'UE, le délai est de 72h maximum) :
- Nature de la violation
- Moment et durée de la violation (si possible)
- Catégories et nombre de données concernées (si possible)
- Catégories et nombre de personnes concernées (si possible)
- Conséquences et risques encourus
- Mesures prévues et mesures déjà prises
- Nom et coordonnées d’une personne de contact
Ces informations peuvent également être communiquées par étapes, pour autant que la violation de données soit signalée rapidement. Pour ce type d'annonce, il existe un formulaire à remplir en ligne : databreach.edoeb.admin.ch/report. L'annonce faite au PFPDT doit être conservée pendant au moins deux ans.
Les cyberattaques contrées avec succès ou n'entraînant pas de «risque élevé» ne doivent pas être signalées. Il est toutefois recommandé de documenter l'incident dans tous les cas.
Selon le droit suisse, l'annonce aux personnes concernées, par exemple les collaborateurs, les fournisseurs ou les clients, n'est nécessaire que si cela permet de les protéger ou si ces dernières peuvent prendre elles-mêmes des mesures afin de limiter les risques, par exemple en bloquant leur carte de crédit, en informant leur banque ou en modifiant leurs mots de passe.
Les sous-traitants doivent signaler toute violation de données à leur mandant, afin que ce dernier puisse décider lui-même si une éventuelle annonce au PFPDT ou aux personnes concernées est nécessaire.
Attention: comme mentionné ci-dessus, il peut exister d'autres obligations d'annoncer légales ou contractuelles intervenant plus ou moins rapidement. Il est important qu'une entreprise sache exactement quand se déclenche quoi et ce qui doit être déclaré à qui de droit.
Conseil pratique : une entreprise devrait tenir une liste de toutes les obligations d'annonce (y compris les conditions, le contenu de l'annonce et les délais) ainsi que des autorités compétentes; la liste en question doit être régulièrement vérifiée et mise à jour.
Lire la suite avec 
- Accès illimité à plus de 500 aides de travail
- Tous les articles payants en accès illimité sur weka.ch
- Actualisation quotidienne
- Nouveaux articles et aides de travail hebdomadaires
- Offres spéciales exclusives
- Bons séminaires
- Invitations aux webinaires en direct
