Les cyberattaques se multiplient. Une des dernières en date concerne le groupe de construction Besix, dont les serveurs localisés au Benelux ont été touchés, a révélé “L’Echo”. Comment intégrer ce nouveau risque dans votre entreprise? Fanny Coton, avocate spécialisée en protection des données, apporte son éclairage.
1. D’après un rapport de la firme spécialisée Checkpoint, 600 organisations basées en Belgique sont touchées chaque semaine par une cyberattaque. Soit une augmentation de 66% par rapport à 2020. Que doit faire une entreprise qui subit ce type d’intrusion?
La priorité est bien entendu de prendre toutes les mesures techniques visant à assurer la continuité de l’entreprise. Il faut aussi rapidement évaluer les dommages subis. S’il y a une violation de données, la cyberattaque doit être notifiée à l’Autorité de protection des données (APD) dans un délai de 72 heures calendrier. L’année dernière, l’APD a reçu plus de 1.000 notifications de ce type. En cas de risque “élevé” d’atteinte aux droits et libertés des personnes concernées par la violation de données (membres du personnel, clients, fournisseurs, prospects, etc.), ces dernières doivent elles-mêmes être averties afin qu’elles puissent prendre toutes les mesures utiles afin de se protéger. Pour éviter de se retrouver le bec dans l’eau en cas d’attaque, il est utile de mettre en place au sein de l’entreprise une procédure qui permette au personnel de réagir vite, avec sang-froid. Se préparer à une cyberattaque, c’est comme faire un exercice incendie.
2. Faut-il porter plainte?
Le hacking est une infraction pénale. Il peut aussi s’agir de sabotage ou d’extorsion en cas de demande de rançon ( ransomware). Dans tous les cas, je conseille de porter plainte auprès de la police, qui transmettra à sa cellule spécialisée, la Computer Crime Unit. Même si, en pratique, peu d’enquêtes aboutissent, notamment en raison du fait qu’il est difficile de poursuivre des auteurs souvent basés à l’étranger.
3. Que risquent les entreprises qui ne respectent pas les obligations de notification?
Les amendes peuvent aller jusqu’à 10 millions d’euros ou 2% du chiffre d’affaires. Pour les entreprises belges, les amendes tournent habituellement autour de 50.000 euros. Même en cas de notification, l’entreprise peut être sanctionnée si elle n’a pas pris les mesures de sécurité nécessaires pour éviter que l’incident se produise. Il est donc important de se protéger.
