Nous vous proposons une nouvelle série d’articles, dédiés aux aspects juridiques de la gestion de crise. Nous y présenterons notamment le rôle du juriste au sein de la cellule de crise cyber et les spécificités de la qualification juridique d’un incident cyber. Bonne lecture !
La coordination globale des acteurs de la gestion de crise ne peut être effective à la double condition qu’ils opèrent ensemble dans l’application de leurs rôles respectifs et qu’ils comprennent la crise comme un concept dépassant la notion de rupture. L’expression d’Edgar Morin qui affirmait que « La crise du concept de crise est le début de la théorie de la crise »[1] demeure d’une parfaite acuité, et ce particulièrement dans l’espace numérique. Le caractère polymorphe du risque numérique lui permet de s’intégrer parfaitement aussi bien aux opérations de destruction et de perturbation qu’à celles d’espionnage.
Face à ce risque inédit, les organisations ne peuvent se passer d’un dispositif de crise pensé et éprouvé. Dépasser la notion de rupture implique la nécessité d’une gouvernance spécifique pour surmonter la complexité de la gestion des crises cyber. Le juriste doit y prendre une part active.
Un acteur de premier plan dans la préparation et la gestion des crises
Le juriste intervient à différents niveaux dans la préparation et la conduite des crises d’origine cyber et numérique :
- En amont, depuis 2018 avec la mise en conformité des entreprises au RGPD, ou sur le volet contractuel pour les assurances cyber en collaboration avec les équipes risques ;
- En crise, pour épauler la cellule de crise sur tous les aspects juridiques, pour participer aux investigations et qualifier les actes malveillants ou non ;
- En sortie de crise, pour assurer le suivi aux côtés des équipes, les accompagner pendant les enquêtes et les dépôts de plainte éventuels.
A chaque étape, il doit justifier d’une véritable capacité d’adaptation. Dans une crise classique, les évènements à gérer sont plutôt identifiables, quantifiables et prévisibles. Dans une crise cyber, une cyberattaque avec vol de données par exemple introduit une variable temps/volume différente. Le juriste doit être capable de rester alerte face aux évolutions de la crise pour faire du droit un outil de confiance non contraignant dans ces situations d’urgence.
Les équipes dédiées à la gestion des crises cyber et numériques doivent justifier d’une préparation rigoureuse afin d’acquérir les réflexes nécessaires. A cela, il faut ajouter un nombre incalculable d’imprévus qui viennent disqualifier tout plan de crise minutieusement défini. Telle est la réalité de la gestion de crise cyber et celle dans laquelle le juriste doit évoluer.
L’environnement dans lequel évolue le juriste en cellule de crise cyber
Le patrimoine informationnel est généralement la cible des cybermenaces : fichiers clients, réponses à appels d’offre, données personnelles des salariés, des dirigeants, données financières, industrielles, secret des correspondances, secret des affaires, secret médical, etc.
La cybercriminalité liée à l’acquisition de ces données stratégiques correspond aux infractions visant les systèmes informatiques eux-mêmes, mais également aux infractions classiques comme les escroqueries ayant pour vecteur principal ou étant considérablement facilitées par le numérique (exemple de la fraude au président). On constate un déplacement de la délinquance vers le numérique qui permet une certaine discrétion et une rapidité dans le passage à l’acte.
Son positionnement aux côtés des autres membres de la cellule de crise
Le juriste participe véritablement à l’orchestration collégiale de la crise notamment avec le directeur de crise, le directeur communication.
Rappelons en effet que la qualité de la communication en temps de crise est un élément majeur. Dans un contexte variable impliquant des réponses évolutives, elle doit être rapide et efficace, capable de convaincre, de rassurer, de renforcer la cohésion et l’adhésion de tous.
Rappelons également qu’en gestion de crise, il faut promouvoir un lien fluide entre les fonctions permanentes et ad hoc pour parvenir à une méthodologie de gestion de crise souple et optimale. La circulation des informations dans la cellule de crise est en ce sens primordiale dans la gestion de crise cyber :
- afin que le juriste puisse conseiller son organisation en ayant recueilli et analysé toutes les informations ;
- afin que le juriste puisse communiquer et schématiser de façon claire à des non-juristes.
Vous êtes juriste et souhaitez vous former à la gestion de crise cyber ? Vous êtes responsable formations et souhaitez évoquer un besoin spécifique ? Contactez-nous et discutons-en : formations@alcyconie.com.
[1] Edgar MORIN, « Pour une crisologie », Communications, n°25,1976, pp. 149-163.
