En raison de l’informatisation quasi intégrale des entreprises, un événement qui rend le système d’information d’une entreprise inopérant et a fortiori ses données inaccessibles l’empêche d’exercer son activité normalement. Il en résulte bien sûr des coûts pour remettre le système en état de fonctionnement et surtout de lourdes pertes financières correspondant au laps de temps pendant lequel l’entreprise n’a pas pu travailler. De même, un simple dérèglement ou dysfonctionnement du système peut générer de telles conséquences. Ce risque est d’autant plus important pour les entreprises dont l’activité est automatisée au moyen d’installations informatiques, et l’on pense à l’industrie. C’est aussi un grand risque pour les entreprises dont l’activité est exclusivement réalisée via internet, comme les sites de vente en ligne. Mais il existe pour toute entreprise qui recourt à l’informatique. Les pertes d’exploitation et les frais supplémentaires peuvent parfois se chiffrer en millions d’euro.
En plus des coûts directement exposés par l’entreprise pour remédier à la situation, l’engagement de sa responsabilité constitue un risque supplémentaire. Des clients, mais aussi des fournisseurs ou des sous-traitants peuvent être impactés et réclamer une compensation. La responsabilité de l’entreprise pourra être engagée sur le terrain du droit commun de la responsabilité civile délictuelle mais il peut aussi s’agir de responsabilité contractuelle. L’entreprise peut avoir pris des engagements envers ses partenaires commerciaux qui n’auront pas été respectés du fait de l’indisponibilité de son système. Même si elle n’en est pas la cause, et que cet événement résulte d’une attaque malveillante, elle devra assumer les responsabilités qui peuvent en découler.
Par ailleurs, les conséquences financières d’une atteinte aux données de l’entreprise, en termes de dommages, prennent plusieurs formes et peuvent être très importantes. En effet, l’activité des entreprises est aujourd’hui très dépendante des données informatiques, qui ont souvent une valeur économique non négligeable. Selon une étude, les données d’une entreprise peuvent représenter jusqu’à 49% de sa valeur(28). L’intégrité de ce patrimoine informationnel est donc vitale pour l’entreprise. Si les données sont détruites, modifiées ou divulguées, il en résultera une perte d’actif pour l’entreprise mais aussi de nombreux coûts que nous détaillerons plus loin.
Mais l’un des enjeux grandissants pour les entreprises en cas d’atteinte aux données est l’engagement de leur responsabilité civile. En effet, l’environnement légal et réglementaire se fait de plus en plus contraignant. Le législateur durcit régulièrement les obligations pesant sur les entreprises qui manipulent des données personnelles ou commerciales. C’est particulièrement le cas en matière de données personnelles, avec la loi Informatique et Libertés de 1978(29) qui impose un certain nombre d’obligations aux entreprises.
Les divers aspects du risque évoqués ici seront bien entendu détaillés dans les développements qui suivent. Néanmoins, il nous semblait important de cerner préalablement les principaux risques en terme opérationnel, c’est-à-dire l’atteinte au système et l’atteinte aux données. Ce cadrage réalisé, nous pouvons nous intéresser aux différentes causes qui peuvent être à l’origine de tels événements (Titre 1), et nous verrons que ces menaces sont multiples. Puis nous nous intéresserons aux conséquences financières qui peuvent en résulter lorsque les événements redoutés se concrétisent (Titre 2).
28 Symantec, State of information survey, juillet 2012
29 Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés
Retour au menu : Les cyber-risques dans l’entreprise : enjeux et assurance