[Juridique] Le contrat est un outil de management des risques cyber

En parallèle des mesures de cybergouvernance (cloisonnement du système d'information, limitation des droits des utilisateurs, sensibilisation des utilisateurs, etc.), de la souscription à une assurance cyber, le contrat reste un outil important de management des risques cyber.

L'intensification de la digitalisation ces derniers mois s'est accompagnée d'une augmentation inévitable des risques en matière de cybersécurité. 24% des entreprises interrogées affirment qu'elles doivent supporter des frais imprévus pour faire face à des incidents de cybersécurité, quand 20% indiquent avoir subi un incident de sécurité en raison du travail à distance⁽¹⁾.

Or, ces incidents sont fortement préjudiciables tant sur le plan financier (amendes administratives⁽²⁾, dommages et intérêts, frais judiciaires, rançons, frais de restauration des systèmes, perte de valeur de la marque de l'entreprise ou de chiffre d'affaires) qu'en termes d'image.

La construction d'une cybergouvernance, adaptée en amont

Entre 2019 et 2020, les entreprises françaises ont augmenté leurs dépenses de sécurité de près de 47,3% et se sont donc emparées du sujet en menant une réflexion sur leur niveau de dépendance technologique, en effectuant des audits internes pour recenser les systèmes numériques qui traitent des informations stratégiques, en renforçant leur politique de sécurité et en construisant une cybergouvernance faisant désormais partie intégrante de leur stratégie. Pour guider les entreprises, de nombreux acteurs, notamment l'ANSSI, ont établi une liste des bonnes pratiques à adopter⁽³⁾.

Le contrat, un outil de management des risques

Le contrat participe lui aussi à la gestion des risques liés à la cybersécurité en complément d'autres formes de prévention (mise en place d'une cybergouvernance, bonnes pratiques établies et diffusées au sein de l'entreprise etc.).

Ainsi, lorsque des discussions sont engagées avec un co-contractant (client, partenaire, prestataire), une attention devra être portée aux questions relatives à la sécurité, à la fois en amont de la contractualisation (en analysant les risques liés au projet afin de mettre en place des mesures efficaces pour y répondre) et au cours de celle-ci (en intégrant au sein du contrat les garanties nécessaires à leur effectivité).

En amont, quels réflexes adopter ?

Penser à impliquer le délégué à la protection des données (DPD) et/ou la direction juridique ainsi que la DSI est essentiel. A l'instar des concepts du RGPD, de privacy by design et de privacy by default, ceci permettra la mise en place d'une security by design et security by default qui sont les points clés d'une bonne maîtrise des risques liés à la cybersécurité.

Au-delà d'une analyse purement juridique vis-à-vis notamment de référentiels ou guides de bonnes pratiques existants et des exigences du RGPD, qui peut notamment être réalisée dans le cadre d'une analyse d'impact sur la protection des données (AIPD), le niveau de sécurité de la solution déployée devra être évalué en réalisant des échantillonnages des principaux points de tension ou des tests de pénétration permettant d'identifier les vulnérabilités du système d'information et les défaillances en matière de sécurité.

Il est également recommandé d'évaluer le degré de dépendance technologique de l'entreprise utilisatrice de la solution : potentielles conséquences en cas de survenance de dégradation, voire d'une indisponibilité de la solution, conséquence d'une migration vers une nouvelle solution, conséquence d'une perte de données, etc.

En pratique, quelles clauses insérer dans le contrat ?

La nature des clauses à intégrer au sein du contrat dépendra des spécificités de la solution envisagée, ainsi que des risques identifiés en amont en matière de cybersécurité.

En tout état de cause, certaines clauses devront faire l'objet d'une vigilance particulière. En matière de protection des données à caractère personnel: si le contenu minimum de cette clause est fixé par le RGPD, les obligations relatives aux violations de données à caractère personnel devront être encadrées clairement, notamment en ce qui concerne les conditions dans lesquelles le sous-traitant devra assister, au titre de son obligation légale, le responsable de traitement dans la notification de la violation à l'autorité de contrôle (degré d'assistance, délai de notification et de mise en oeuvre de l'assistance, informations à fournir, prise en charge des coûts, etc.).

Un autre point essentiel réside dans les obligations relatives à la sécurité et les mesures techniques et organisationnelles qui doivent être mises en place, qui sont nécessaires, que des données à caractère personnel soient ou non traitées. Elles concerneront, par exemple, les mesures de sécurité mises en place (mesures de sécurité physiques, complexité des mots de passe et des méthodes d'authentification, chiffrement, pseudonymisation, etc.), ainsi que les mesures mises en oeuvre pour assurer la continuité du service (conditions de déclenchement du plan de continuité pour minimiser l'impact de l'incident). Ces aspects devront être négociés et intégrés dans le périmètre contractuel (clause dédiée dans le contrat et/ou annexe dédiée à la sécurité).

Par ailleurs, afin d'assurer le niveau de sécurité tout au long de la vie du contrat, il conviendra de prévoir la possibilité de réaliser des audits de sécurité et les conditions précises de ceux-ci.

Enfin, les clauses de gestion de crise auront ici une fonction essentielle, celle de prévoir les conditions opérationnelles d'une collaboration active et efficace des cocontractants dans une telle situation (comité dédié, constitution de réunions de crise, points de contact, etc.). Elles devront être cohérentes et refléter les process internes des cocontractants en matière de cybergouvernance.

(1) Enquête menée par Malwarebytes

(2) Depuis le 25 mai 2018, sur les 18 sanctions prononcées par la CNIL, 13 étaient relatives à un manquement relatif à la sécurité des données

(3) Guide ANSSI "Attaques par rançongiciels, tous concernés - Comment les anticiper et réagir en cas d'incident ?"