Les risques numériques : un enjeu majeur
En raison des nombreuses affaires médiatiques de ces derniers temps – d’abord l’affaire Snowden/Prism en 2013, puis plus récemment en 2017 un malware chinois nommé Fireball qui aurait touché 250 millions d’ordinateurs dans le monde; les attaques de type ransomware de mai (Wannacry) et juin (NotPetya) 2017; le malware Copycat a pour sa part atteint 14 millions de smartphones Android auxquels il faut ajouter les 10 millions de victimes d’HummingBad, le scandale Facebook-Cambridge Analytica début 2018 ; et dernièrement le vol de secrets technologiques et industriels de General Electric par Xiaoqing Zheng, un de ses employés ayant usé de « moyens sophistiqués et élaborés pour voler des dossiers électroniques » – le grand public, les États et les entreprises prennent conscience des enjeux majeurs concernant les risques numériques et notamment la sécurité informatique.
Ces acteurs font face à une formidable révolution digitale et sociétale. En effet, avec le digital, la société passe de la propriété au partage (économie collaborative…), de la maîtrise individuelle à la mutualisation (cloud, blockchain…), du système à l’écosystème (réseaux sociaux, API…) et votre entreprise elle aussi doit s’adapter aux nouvelles conditions.
« La valeur économique d’une entreprise se mesure aujourd’hui également à son degré́ d’exposition aux cyber-risques ; l’offre de cybersécurité s’est accrue sensiblement et les entreprises du secteur sont désormais en mesure de proposer des solutions adaptées à̀ chacune. »
Le rapport 2017 de l’observatoire de la filière de la confiance numérique, qui couvre le marché́ de la cybersécurité proprement dite et des produits et solutions de sécurité́ numérique, estime que ce secteur représente plus de 850 entreprises. 80 % de ces sociétés réalisent moins d’un million d’euros de chiffre d’affaires. Au total, la cybersécurité représente un chiffre d’affaires de 4,3 M€ et la sécurité́ numérique 4,5 M€. La croissance annuelle moyenne du secteur est forte (12,4 %). Le nombre de personnes employées dans le secteur est estimé à 60 000.
Selon ces études, ce secteur bénéfice d’opportunités réelles de développement avec la prise de conscience des enjeux de sécurité́, des règlementations nouvelles, l’émergence de thèmes nouveaux (objets connectés, villes intelligentes, automobiles connectées, transformation numérique, « privacy by design », Big Data, intelligence artificielle, etc.…). »
« La propriété́ intellectuelle, la réputation, la perte d’opportunité́s sont des actifs intangibles particulièrement exposés au risque cyber. Leur poids dans la valorisation des entreprises a considérablement augmenté et ils représentent désormais une part significative des pertes potentielles. Sur ce point, le marché́ n’est pas encore en mesure d’assurer ce type d’actifs de façon standardisée. »
Le cas de la France
Parue au Journal officiel n° 174 du 31 juillet 2018 et promulgué par le Président de la République le 30 juillet 2018, la loi n° 2018-670 relative à la protection du secret des affaires, transpose en droit français la directive européenne du 8 juin 2016 sur la protection des « savoir-faire et les informations commerciales non divulgués contre l’obtention, l’utilisation et la divulgation illicites ».
Cette loi énonce qu’est « protégée au titre du secret des affaires toute information » qui est connue par un nombre restreint de personnes, « revêt une valeur commerciale, effective ou potentielle » et fait l’objet de « mesures de protection raisonnables pour en conserver le caractère secret ».
« Toute personne physique ou morale qui agit de manière dilatoire ou abusive sur le fondement du secret des affaires peut être condamnée au paiement d’une amende civile dont le montant ne peut être supérieur à 20 % de la demande de dommages et intérêts », ou à défaut « ne peut excéder 60 000 € ».
Certains voient en ce texte une menace pour la liberté de la presse et des lanceurs d’alerte. Pour répondre à cette appréhension, le Conseil constitutionnel a indiqué cependant une « exception à la protection du secret des affaires bénéficiant aux personnes physiques exerçant le droit d’alerte », mais aussi « à toute personne révélant, dans le but de protéger l’intérêt général et de bonne foi, une activité illégale, une faute ou un comportement répréhensible ».
De plus, les entreprises européennes ont dû se conformer au nouveau règlement général sur la protection des données (RGPD) adopté en 2016 par l’Union européenne. Cette réforme a pour but de contraindre davantage les entreprises sur la sécurité du traitement d’informations personnelles en ligne.
Toutefois ce règlement est contraignant car il prévoit que certaines sociétés se dotent d’un délégué aux données, chargé de contrôler le respect de la nouvelle réglementation ainsi que de collaborer avec différentes autorités nationales (Cnil pour la France). De plus, une amende pouvant aller jusqu’à 4% du chiffre d’affaires peut être encourue pour non-respect de ce règlement.
Conclusion
Si les entreprises ne pourront jamais être protégées à 100% contre les risques numériques, elles sont désormais sensibilisées à ces problématiques et juridiquement contraintes de s’y protéger. De plus, elles peuvent former leur personnel contre ces risques. En effet le risque zéro n’existe pas ! C’est pourquoi chez IP TRUST nous vous proposons de vous protéger juridiquement grâce à la formalisation et protection de votre savoir-faire – formalisation de procédures internes et élaboration de bonnes pratiques propres à l’entreprise ; rédaction de contrats types organisant la protection du savoir-faire de l’entreprise dans chacune de ses dimensions (clauses de contrats de travail, accord de confidentialité à l’attention de partenaires potentiels, contrats de sous-traitance, contrat de licence de savoir-faire…) ; check-list des vérifications à mener avant le démarrage d’un projet, analyse de l’environnement concurrentiel et technologique et positionnement des brevets du portefeuille au regard de brevets concurrents, formation sur la mise en conformité de l’entreprise au RGPD…
Guillaume de Varax