Ce guide s’adresse à toute organisation souhaitant renforcer ses défenses face aux risques cyber. Destiné aussi bien aux dirigeants, aux professionnels de la sécurité informatique, aux juristes d'entreprise, aux responsables de la conformité, qu'aux étudiants en droit et en informatique, ce livre offre une approche pragmatique et accessible de la cybersécurité et du droit.

L'ouvrage se structure de manière logique et cohérente en deux parties distinctes. La première se focalise sur les dispositifs de prévention juridique du risque cyber, tandis que la seconde partie détaille l’importance du pilotage juridique sur la réaction aux incidents cyber. 

Dans la première partie, vous découvrirez les législations nationales et européennes applicables en matière de cybersécurité, ainsi que les responsabilités des organismes et des dirigeants. La prévention juridique du risque cyber sera également abordée sous de multiples facettes : l’importance d’une couverture assurantielle adaptée, la nécessité de formaliser un référentiel sécurité complet ou encore le déploiement d’outils de sensibilisation juridique dédiés sont autant d’actions essentielles à envisager.

La deuxième partie, quant à elle, examine en profondeur la mise en œuvre par l’organisation touchée par une attaque cyber, de ses différentes obligations légales et réglementaires. Cela passe, pour le professionnel du droit, par une qualification juridique de l'incident cyber, et la définition d’une stratégie juridique de réponse à incident, tant au niveau interne qu’au niveau externe. 

Dans un monde où la transformation digitale s'accélère et où les menaces cyber deviennent de plus en plus sophistiquées, ce guide a vocation à servir d’outil pour une optimisation de la prise en charge juridique de ce type de risque. Il vous permettra de naviguer en toute sécurité dans l'environnement numérique complexe et de transformer les défis en opportunités. Ne laissez pas la cybercriminalité freiner votre développement : suivez ce guide pour vous assurer une défense efficace et une croissance pérenne.

Avant-propos

1. Introduction

Introduction

1. Introduction
2. Risques cyber : de quoi parle-t-on ?
   1. 1. Les cyberattaques parmi les principales préoccupations
   2. 2. Cyber inégalités : lesTPE-PME sont désormais les cibles privilégiées
3. Pourquoi un pilotage juridique est-il nécessaire ?
4. Références

Cartographier les obligations et responsabilités

1. Introduction
2. Législations nationales et européennes applicables
   1. 1. Législations nationales
      1. a. Loi Informatique et Libertés
      2. b. Loi « Cyberscore »
      3. c. Loi d’orientation et de programmation du ministèrede l’Intérieur (LOPMI)
      4. d. Loi n° 2024-449 du 21 mai 2024 visant à sécuriseret à réguler l’espace numérique (SREN)
      5. e. Les référentiels de l’Agence Nationalede la Sécurité des Systèmes d’Information
      6. f. Les référentiels de la CommissionNationale de l’Informatique et des Libertés
   2. 2. Législations européennes
      1. a. Règlement Général sur laProtection des Données (RGPD)
      2. b. Règlement sur la cybersécurité
      3. c. Cyber Resilience Act
      4. d. NIS1 / NIS2
      5. e. Directive relative à la résiliencedes entités critiques (CER)
      6. f. DORA
      7. g. Cyber Solidarity Act
3. Responsabilités de l'organisme / responsabilité pénale des dirigeants / délégations de pouvoirs
   1. 1. La responsabilité des organismes (personnesmorales)
      1. a. La responsabilité de droit commun d’une personnemorale
      2. b. La responsabilité spéciale des organismesen matière de sécurité informatique
   2. 2. La responsabilité pénale des dirigeants
      1. a. Responsabilité de droit commun des dirigeants
      2. b. Responsabilité spécifique des dirigeantsen matière de sécurité informatique
   3. 3. La responsabilité des dirigeants en matièrede cybersécurité
   4. 4. La responsabilité en cas de délégationde pouvoirs
      1. a. Qui est responsable en présence d’une délégationde pouvoirs ?
      2. b. Comment protéger la responsabilité dudélégant dans une délégation ?
4. Références

Couverture assurantielle adaptée au risque cyber

1. Introduction
2. Auditer ses polices d'assurance mobilisables
   1. 1. La nécessité de réaliserun audit de la couverture assurantielle
      1. a. L’audit assurantiel pour prévenir les sinistres
      2. b. L’audit pour réévaluer ou renégocierses polices d’assurance
   2. 2. Le déroulement de l’audit d’assurance
3. Souscrire et maintenir une police d'assurance spécifique adaptée
   1. 1. Identifier la police d’assurance spécifiqueadaptée
   2. 2. Recommandations pratiques
4. Les procédures internes de déclaration de sinistre
   1. 1. Les nouvelles exigences issues de la loi LOPMI
   2. 2. L’importance de documenter des procéduresinternes adaptées
5. Références

Le référentiel sécurité

1. Introduction
2. La documentation des mesures organisationnelles et techniques
   1. 1. Décryptage des stratégies de sécurité cyber
      1. a. Les mesures de protection de la charte « informatique »
      2. b. La charte « Administrateurs desSI »
      3. c. La politique de gestion des habilitations
      4. d. L’importance de la politique de mot de passeefficace
      5. e. La politique de sécurité des systèmesd’information (PSSI)
      6. f. La politique de gestion des incidents
      7. g. Le Plan de Continuité d’Activité (PCA)et le Plan de Continuité informatique (PCI)
      8. h. Le Plan de Reprise d’Activité (PRA)
      9. i. L’exemple des normes ISO
   2. 2. Des mesures préventives, de contrôle,des audits de sécurité et autres dispositifs deprévention
      1. a. Les principales mesures préventives à prévoirau sein de la gouvernance des SI
      2. b. Une mesure spécifique dédiée à laprotection de la vie privée : l’étuded’impact
      3. c. Exemples de mesures préventives d’ordretechnique
3. Encadrement juridique des relations contractuelles avec les sous-traitants & partenaires
   1. 1. L’accord sur la protection des données(DPA)
   2. 2. L’avenant « Cyber » etle PAS
      1. a. Le Plan d’assurance sécurité (PAS)
      2. b. L’avenant cyber
4. Références

Déployer les outils de sensibilisation au risque cyber

1. Introduction
2. La formation/sensibilisation des opérationnels
   1. 1. La mise en place de formations régulières
   2. 2. Les méthodes traditionnelles de formation
      1. a. Formations à l’occasion de conférences
      2. b. Le recours aux MOOC
      3. c. Des supports de formation divers
   3. 3. Le recours à des méthodes de formationplus inclusives
      1. a. Les jeux de rôle et jeux de société
      2. b. Les serious games
      3. c. Hackathon et bug bounty
   4. 4. Vers le développement de nouvelles pratiquesde sensibilisation
      1. a. Le recours à la réalité virtuelle
      2. b. Le Cyber nudge
3. L'organisation d'une cellule fictive de crise cyber
   1. 1. La mise en place d’une cellule de crise fictive
      1. a. La nécessité de la cellule de crise
      2. b. Que prévoir en amont de la cellule de crise ?
   2. 2. Les spécificités liées à lacybersécurité
4. Références

Qualification juridique de l'incident cyber

1. Introduction
2. Qualifications pénales mobilisables
   1. 1. Les atteintes aux systèmes de traitementautomatisé de données
      1. a. L’accès ou le maintien dans un systèmede traitement automatisé de données
      2. b. L’action d’entraver ou de fausser le fonctionnementd’un système automatisé de données
      3. c. Atteinte à l’intégrité desdonnées
      4. d. Détention, offre, cession ou mise à dispositiond’un équipement d’atteinte aux STAD
      5. e. Participation à un groupe formé ou à uneentente établie en vue de commettre des fraudes informatiques
   2. 2. Les atteintes aux droits de la personne résultantdes fichiers ou traitements informatiques
      1. a. Non-respect des formalités préalablesdans le cas d’un traitement de données à caractèrepersonnel
   3. 3. Les infractions contre les biens
      1. a. L’escroquerie
      2. b. Le vol de données informatiques
      3. c. L’extorsion
      4. d. Le chantage
   4. 4. Les infractions contre les personnes
      1. a. L’usurpation d’identité
3. Autres qualifications
   1. 1. La qualification de l’incident par le RGPD
      1. a. La violation de données à caractèrepersonnel
      2. b. Les manquements à l’article 32 du RGPD
   2. 2. Les incidents concernant les services essentiels
      1. a. La qualification des incidents des systèmesd’informations d’importance vitale
      2. b. La qualification des incidents par la directive NIS2
4. Références

La gestion interne de la réponse à un incident

1. Introduction
2. Animation et pilotage juridique de la cellule de crise
   1. 1. Cellule de crise : le plan d’action à suivre
      1. a. La prévention de la cellule de crise
      2. b. Le plan d’action à suivre
   2. 2. Gestion de la confidentialité et de la traçabilité desactions en entreprise pendant la cellule de crise
      1. a. La traçabilité des actions de l’entreprise
      2. b. L’importance de la confidentialité
   3. 3. Protection des personnes concernées et del’entreprise
      1. a. La protection des dirigeants et de la direction juridique
      2. b. La protection du DPO
      3. c. La protection des RSSI et DSI
      4. d. Protection des intérêts stratégiquesde l’organisation
   4. 4. La remédiation à la suite d’un incidentcyber
3. Supervision des mesures techniques d'investigation et de veille
   1. 1. Fixation de la preuve
      1. a. Une documentation essentielle
      2. b. L’équipe juridique : un acteur essentieldans la fixation des preuves
      3. c. Le respect des obligations légales
   2. 2. Pilotage des missions de veille sur le Dark Web etde Forensic
      1. a. Missions de veille : la Recherche sur Internetdes fuites d’information (RIFI)
      2. b. Le Forensic
4. Références

La gestion externe de la réponse à un incident

1. Introduction
2. La gestion des relations avec les sous-traitants concernés
   1. 1. Le courrier d’étonnement et de levéede doute
   2. 2. L’activation des obligations légales et contractuellesdu sous-traitant
3. Relations avec les compagnies d’assurance
   1. 1. Déclarer / faire déclarerun sinistre cyber : quelles garanties mobilisables ?
   2. 2. Obtenir la couverture du sinistre (justifier des fraisengagés, des pertes d’exploitation, quid du préjudiced’image)
      1. a. Conditions pour être indemnisé
   3. 3. Modalités pour un dépôtde plainte sous 72 h
4. Relations avec les personnes – Communication de crise
   1. 1. Communication légale : personnesconcernées
   2. 2. Communication interne, salariés, CSE
   3. 3. Communication externe : clients, partenaires,journalistes, politiques, financeurs, autorités de tutelle,etc.
5. Références

Gestion des procédures

1. Introduction
2. Procédures administratives
   1. 1. Registre des incidents et registre des violations
      1. a. Le registre des incidents
      2. b. Le registre des violations de données
   2. 2. Notifications : CNIL, ANSSI, ARS et autres
      1. a. Notification de violation de données à caractèrepersonnel auprès de la CNIL
      2. b. Notification des incidents de sécurité auprèsde l’ANSSI
      3. c. Les notifications d’incidents par NIS 2
      4. d. La notification des incidents significatifs ou gravesde sécurité aux Agences Régionales deSanté (ARS)
      5. e. Les notifications d’incidents par le RèglementDORA
      6. f. Les notifications d’incidents à l’ACPR et à laBanque de France
3. Procédures judiciaires
   1. 1. Réponse cyber : la procédurepénale
      1. a. Le dépôt de plainte
      2. b. L’enquête
      3. c. La question de la preuve numérique
   2. 2. Réponse cyber : autres procédureset exigences
      1. a. La traçabilité cyber à l’aunedes textes Européens
      2. b. De la légalité à la légitimité dela preuve numérique : l’exemple du droit social
      3. c. La levée d’anonymat
4. Références

Conclusion : avez-vous pensé au RETEX cyber ?

1. Introduction
2. Objectif du RETEX
3. Les suites du RETEX

Remerciements

1. Remerciements