Cybercriminalité: votre entreprise est-elle protégée juridiquement contre les risques d’Internet?

Cyberattaques, pertes de données, chantage: les petites et les moyennes entreprises (PME) sont des cibles de choix pour les pirates informatiques. En effet, elles sont souvent moins bien protégées que les grands groupes contre la cybercriminalité. Beaucoup oublient également que la cybercriminalité peut déboucher sur des différends juridiques. 

En tant qu’entreprise, à quels criminels ai-je affaire sur Internet? Et quel est leur but?

La cybercriminalité s’étend du phishing aux attaques par déni de service (DDoS) en passant par les arnaques en ligne et l’espionnage industriel. Dans la plupart des cas, les cybercriminels – comme ceux de la «vraie» vie – en ont après l’argent de leurs victimes. Parfois, il s’agit également d’atteinte à la réputation d’une personne morale ou physique.

Les ordinateurs de notre start-up ont été piratés et nous faisons l’objet d’un chantage. Comment me défendre juridiquement contre les auteurs?

Dans ce cas, il faut contacter immédiatement les autorités pénales. Elles disposent désormais d’unités spécialisées dans la lutte contre la cybercriminalité. 

Qu’est-ce que l’ingénierie sociale et comment en protéger mon entreprise?

L’ingénierie sociale est une méthode particulièrement insidieuse dans le domaine de la cybercriminalité. Pour ce faire, les pirates n’exploitent pas des failles techniques, mais des failles humaines. Les manipulations psychologiques poussent des collaboratrices et collaborateurs à dévoiler des informations confidentielles ou à accomplir certaines actions. Avec les progrès de l’intelligence artificielle (IA), l’ingénierie sociale a atteint une nouvelle dimension: aujourd’hui, les générateurs de voix et de texte génèrent des e-mails, des historiques de discussion ou même des appels d’un réalisme trompeur. Dans la tromperie émotionnelle basée sur l’IA, les pirates imitent de manière ciblée le style de communication de personnes de confiance ou créent un sentiment d’urgence artificiel pour mettre les victimes sous pression. La manipulation par l’IA semble plus crédible que jamais.

Voici comment protéger votre entreprise:

• Formations régulières pour le personnel afin de le sensibiliser aux méthodes de l’ingénierie sociale, avec une attention particulière portée aux dangers de la manipulation basée sur l’IA.
• Encourager le personnel à signaler les cas suspects afin de détecter et de contrer à temps les attaques potentielles.
• Directives claires pour le traitement des données sensibles

Supposons que mon entreprise soit piratée et que des données confidentielles soient volées. Même si l’auteur des faits est arrêté, mes données ne sont-elles pas depuis longtemps tombées entre d’autres mains?

Les données numériques sont volatiles et très faciles à copier. Par conséquent, vous devez effectivement vous attendre à ce que vos données circulent déjà. Il est impératif de vous doter d’une cybersécurité efficace.

Comment se présentent les poursuites pénales en cas de cybercrime, par rapport à d’autres domaines? 

Les autorités pénales suisses disposent de services spécialisés, par exemple la division cybercrime de Zurich. La collaboration nationale et internationale fonctionne bien. Il faut toutefois rester réaliste: tous les malfrats du World Wide Web ne se font pas arrêter.

J’ai lu que les cybercriminels ciblaient de plus en plus les collaborateurs ayant accès aux données confidentielles, les infectent via les médias sociaux et piratent leur ordinateur. Puis-je interdire à mes équipes RH ou à mon CFO toute présence sur Instagram ou Facebook? 

Oui, vous le pouvez. Le droit autorise l’employeur à donner des instructions sur l’utilisation des réseaux sociaux. En tant que chef d’entreprise, vous pouvez par exemple interdire à votre personnel de consulter ces derniers depuis leur poste de travail. Vous pouvez en outre fixer des règles d’utilisation pour les appareils professionnels. En l’absence d’instruction toutefois, les collaborateurs ont le droit d’utiliser leur ordinateur pour consulter ces réseaux, sans dépasser certaines limites.

Je possède un restaurant. Une de mes collaboratrices a été personnellement attaquée et insultée sur une plate-forme d’évaluation en raison d’un service soi-disant insatisfaisant. Quelle suite juridique y donner et comment protéger ma salariée?

Il est recommandé de faire immédiatement une capture d’écran de la publication à des fins de preuve. Vous pourrez ensuite demander la suppression de la publication incriminée auprès de la partie adverse. Dans tous les cas, il faut signaler la violation du droit à la plate-forme, afin qu’elle puisse supprimer le commentaire et bloquer son auteur. Souvent, c’est la seule solution lorsque l’auteur de l’insulte est introuvable.

De plus, vous avez la possibilité de porter plainte. Selon la législation suisse, les cyberharceleurs peuvent être poursuivis en justice pour injure, diffamation et calomnie notamment.

Vous trouverez de plus amples informations sur ce sujet dans notre article de blog «Cyberharcèlement».

Quelle est la différence entre l’assurance Cyber pour les entreprises et l’assurance complémentaire «Protection juridique en droit de la personnalité et Internet»?

L’assurance Cyber pour les entreprises d’AXA vous protège des dommages immédiats d’une cyberattaque et vous défend contre les prétentions en dommages-intérêts de tiers. Par exemple, lorsque des données sensibles de vos clients et clientes ont été volées et que ces derniers vous réclament des dommages-intérêts.

Le module «Protection juridique en droit de la personnalité et Internet» de l’assurance de protection juridique pour les entreprises d’AXA vous couvre en cas d’atteinte à la personnalité sur Internet et vous offre une protection juridique en cas d’usurpation d’identité ou d’utilisation frauduleuse de carte de crédit, ainsi que pour les contrats portant sur l’accès à Internet et les noms de domaine.

L’avocat d’une entreprise m’enjoint de changer mon nom de domaine sur Internet. Selon lui, le droit des marques de cette société a été violé, et je dois désormais signer une déclaration de renonciation. Suis-je obligé de le faire? 

Le droit des marques est éminemment complexe en matière de nom de domaine, et chaque cas doit être examiné dans le détail. Une règle d’or toutefois: plus les domaines d’activité des parties sont proches, plus leurs noms de marques et de domaines doivent être différents, pour éviter tout risque de confusion.

Attention: ne signez pas de déclaration de renonciation avant d’en avoir parlé avec un juriste.

J’ai entendu dire que les cybercriminels utilisaient de plus en plus l’intelligence artificielle pour leurs attaques. Quels sont les nouveaux risques liés à l’IA?

Dans le cyberespace, l’intelligence artificielle recèle à la fois de nouveaux potentiels et de nouveaux risques. Les cybercriminels recourent à des méthodes de plus en plus sophistiquées pour accéder aux données sensibles. L’utilisation de l’intelligence artificielle rend leur approche encore plus dangereuse.

Un exemple frappant est le phishing, qui consiste à envoyer des e-mails frauduleux prétendant provenir d’expéditeurs fiables. Grâce à l’utilisation ciblée de l’intelligence artificielle, ces e-mails de phishing paraissent encore plus authentiques, car l’IA est capable d’imiter le style d’écriture et les schémas de communication de l’expéditeur supposé. Le risque que les utilisateurs se fassent piéger par ces e-mails frauduleux augmente donc.

L’intelligence artificielle permet également de créer de faux sites Web à l’apparence très réaliste, qui servent au vol de données ou à la diffusion de logiciels malveillants. La capacité de l’IA à générer des contenus personnalisés permet aux cybercriminels de créer de faux sites Web qui semblent encore plus convaincants pour leurs victimes potentielles.

En outre, les deepfakes constituent une menace émergente, renforcée par l’intelligence artificielle. Les algorithmes de deep learning qui analysent le visage et la voix peuvent être utilisés pour créer de faux enregistrements audio et vidéo difficiles à distinguer des enregistrements authentiques. Cela offre aux cybercriminels de nouvelles possibilités d’usurpation d’identité et de diffusion de fausses informations.

Les entreprises doivent s’adapter aux cyberrisques croissants liés à l’intelligence artificielle. Concrètement: les solutions techniques de sécurité ne suffisent plus: il faut une compréhension globale des risques liés à l’IA, une formation continue et une adaptation constante de la stratégie de sécurité.

Un collaborateur a démissionné, mais il a auparavant volé des données clients confidentielles. Il souhaite établir sa propre activité sur la base de ces données et démarcher ces clients. Que puis-je faire?

Le collaborateur n’a pas respecté son devoir de fidélité. Si les rapports de travail ne sont pas encore résiliés, un licenciement sans préavis est envisageable. De plus, vous pouvez le poursuivre pour obtenir des dommages-intérêts et la restitution des données.

Ce comportement est également passible de poursuites pénales. Il peut être mis en cause pour des délits tels que la soustraction de données, l’accès indu à un système informatique et la violation du secret de fabrication ou du secret professionnel. Si votre collaborateur commet l’une de ces infractions, vous pouvez porter plainte. 

La connexion Internet de mon entreprise connaît des pannes répétées, bien que je règle les factures à temps. La perte d’heures de travail de mes collaborateurs me coûte plusieurs milliers de francs chaque mois. Quels sont mes droits?

La prétention contractuelle en dommages-intérêts est ici au cœur de la question. Les dommages doivent être prouvés, ce qui n’est pas toujours simple. Autre difficulté supplémentaire, le fait que les prétentions en dommages-intérêts puissent être contractuellement exclues. Dans ce cas, même en présence de preuve correspondante, aucun dommage-intérêt ne peut être versé. La ou le juriste doit décider au cas par cas si une procédure à l’encontre du fournisseur d’accès à Internet a des chances d’aboutir.