La responsabilité des organes de direction vis-à-vis de la cybersécurité
Les organes de direction désignent les instances dirigeantes d’une organisation, comme le conseil d’administration, l’assemblée générale des actionnaires, ou encore le comité exécutif. Leur rôle est de définir les orientations stratégiques, d’assurer une gouvernance efficace et de superviser la gestion de l’entreprise. Ces responsabilités incluent, aujourd’hui, la gestion des risques liés à la cybersécurité, un enjeu incontournable dans un contexte marqué par l’augmentation des cyberattaques.
Il est essentiel de souligner le rôle stratégique que jouent les organes de direction dans la protection des systèmes d’information et des données. Leur mission ne se limite pas seulement à approuver les décisions techniques. Ils doivent également garantir la résilience de l’entreprise face aux cybermenaces.
1. Les risques cyber auxquels peuvent être confrontées les entités
a) Une multiplication des attaques
La fréquence et la sophistication des cyberattaques augmentent chaque année, touchant des entreprises de toutes tailles et de tous secteurs. 278 770 atteintes numériques ont été enregistrées en 2023 par les forces de l’ordre1. Ces chiffres témoignent d’une hausse significative des menaces. Parmi ces incidents, 59 % concernaient des atteintes aux biens2 entraînant des préjudices financiers importants.
D’autres formes d’attaques sont en pleine expansion3. Par exemple, le phénomène des rançongiciels, où les données de l’entreprise sont chiffrées et retenues en échange d’une rançon, représente une menace majeure pour les entreprises.
Contrairement à certaines idées reçues, les menaces cyber ne sont pas uniquement d’origine externe. Les collaborateurs, en interne, au sein des entités, peuvent, volontairement ou non, être à l’origine de vulnérabilités et de failles de sécurité. L’utilisation d’applications non approuvées, les erreurs de configuration ou les comportements négligents sont autant de risques internes qui exposent l’entité.
De plus, aucune entreprise n’est épargnée :
Les TPE/PME/ETI sont les plus touchées, représentant 51 % des victimes selon Cybermalveillance.gouv.fr.
Les grandes entreprises, bien que mieux protégées, sont souvent ciblées en raison de leur importance stratégique.
61 % des entreprises de moins de 250 salariés s’estiment faiblement protégées ou incapables d’évaluer leur niveau de protection4. Ces chiffres montrent que de nombreuses structures sont encore vulnérables face à la multiplication des cybermenaces.
Face à cette diversité de menaces, les organes de direction doivent faire preuve d’une vigilance accrue.
b) Une prise en compte relative du risque cyber
Si, les structures conçoivent progressivement la cybersécurité comme une priorité à intégrer dans leur stratégie de développement, leurs budgets restent souvent insuffisants. En moyenne, 85 % des TPE/PME allouent un budget à l’informatique inférieur à 5000 euros par an.
Cette évolution budgétaire révèle un manque de prise de conscience du risque encore prégnant : 72% des entreprises sondées ne prévoyaient pas d’augmenter leur budget l’année suivante, les bons élèves étant les plus grandes entreprises, où 48% des entreprises de plus de 50 salariés prévoyaient de le revoir à la hausse.
Le nombre croissant de cyberattaques et leurs impacts5 obligent les entreprises à implémenter des actions concrètes pour diminuer leur vulnérabilité. Les pertes de chiffre d’affaires, les blocages des postes de travail, et les atteintes à la réputation sont des risques poussant les organes de direction à saisir davantage les enjeux de la résilience informatique.
Cette prise de conscience par une approche opérationnelle s’accompagne d’une augmentation significative de la réglementation relative à la cybersécurité. Les entités sont désormais soumises à de nouvelles obligations contraignantes, impactant l’ensemble des collaborateurs et des organes de direction. La responsabilité des organes de direction en matière de cybersécurité prend une dimension sans précédent avec l'entrée en vigueur de ces nouvelles réglementations.
2. Les obligations des organes de direction en matière de cybersécurité
a) La sécurité des systèmes avec la directive NIS 2 et DORA
La directive NIS2 et le règlement DORA viennent modifier les obligations des dirigeants d'entreprises en matière de sécurité informatique6.
NIS 2 a été adoptée pour harmoniser et renforcer la cybersécurité des infrastructures critiques au sein de l'Union européenne. Elle représente une avancée significative par rapport à NIS 1 et en élargit le champ d'application pour mieux répondre aux menaces actuelles.
En comparaison, NIS 1 se concentrait principalement sur quelques centaines d'entités stratégiques7. Ces entités étaient tenues de déclarer les incidents de sécurité informatique à une autorité compétente, comme l'ANSSI en France, et de mettre en place des mesures techniques et organisationnelles pour renforcer leur sécurité. Toutefois, cette directive présentait des limites, notamment en raison de son champ d'application plus restreint et de la diversité des approches adoptées par les États membres.
Avec NIS 2, le champ d'application est considérablement élargi. Désormais, environ 10 000 entités réparties sur 18 secteurs stratégiques (contre 7 auparavant) sont concernées8. La directive introduit également une distinction entre les entités essentielles et importantes, chaque catégorie étant soumise à des obligations adaptées à son rôle et à son exposition aux risques.
S’agissant des dirigeants, NIS 2 a pour particularité d’engager leur responsabilité dans la gestion des incidents cyber (article 20). Le dirigeant, et toutes les personnes physiques des organes de direction sont pleinement impliqués dans la gestion du risque cyber (articles 32 et 33).
Les organes de direction des entités jugées « essentielles ou importantes » devront approuver formellement les mesures de gestion des risques en matière de cybersécurité, superviser leur mise en œuvre, et pourront être tenus responsables des infractions commises par leur organisation. En outre, il peut être décidé de leur mise à l’écart des activités dirigeantes de l’entreprise tant que la mise en conformité n’a pas été résolue (article 32).
Par ailleurs, NIS 2 introduit l’obligation de gestion des risques liés à la chaîne d'approvisionnement. Les organisations doivent évaluer les pratiques de cybersécurité de leurs fournisseurs et intégrer des clauses contractuelles spécifiques. Cette nouveauté reconnaît l’importance des vulnérabilités tierces dans les cyberattaques et appelle à une approche collaborative pour renforcer la sécurité de l’écosystème.
Enfin, tous les membres des organes de direction devront suivre régulièrement une formation afin d'acquérir des connaissances et des compétences suffisantes pour identifier les risques, évaluer les pratiques de gestion des risques en cybersécurité et évaluer leur impact sur les services fournis par leur organisation.
Adopté parallèlement à NIS 2, le règlement DORA cible spécifiquement les entités du secteur financier. Il impose des cadres de résilience opérationnelle robuste pour garantir la continuité des activités face aux incidents de cybersécurité. Cela inclut des tests réguliers de résilience, des audits approfondis, et une communication transparente avec les régulateurs en cas d'incidents majeurs.
Les dirigeants doivent s’assurer que leur organisation respecte ces exigences et peuvent être personnellement sanctionnés en cas de non-conformité (article 5).
Une spécificité réside dans l’attention portée aux fournisseurs tiers, comme les prestataires cloud. Les institutions financières doivent s’assurer qu'ils respectent des normes élevées de cybersécurité et peuvent être tenues responsables des incidents émanant de ces partenaires.
Ces normes plus contraignantes témoignent d'une évolution majeure : la cybersécurité n'est plus considérée comme un simple enjeu technique, mais comme un pilier stratégique de la gouvernance d'entreprise. Cette transformation implique une collaboration accrue entre les différents départements, notamment l'informatique, les ressources humaines et les services juridiques.
Cette évolution systémique, dont le RGPD illustre parfaitement comment la cybersécurité est progressivement passée d'une logique technique à une approche stratégique et collaborative.
b) La protection des données personnelles avec le RGPD
Le RGPD a obligé les organisations à assurer la protection des données personnelles. Cette approche a conduit les entreprises à revoir en profondeur leurs systèmes de protection informatique internes. Elles doivent mettre en place des mesures techniques et organisationnelles pour garantir la sécurité des données personnelles.
Les organes de direction sont directement concernés par ces obligations. Le RGPD impose aux dirigeants d’adopter une posture de responsabilité active. Les mesures prises doivent être proportionnées aux risques identifiés et régulièrement mises à jour pour répondre aux évolutions des menaces.
3. Les responsabilités des organes de direction
Les organes de direction se retrouvent à la confluence de plusieurs régimes de responsabilité qui leur impose une vigilance et une proactivité accrues en matière de cybersécurité et de protection des données personnelles. Ces régimes de responsabilité se déclinent sous différents angles du point de vue juridique : administrative, civile, pénale, contractuelle et personnelle.
a) Les régimes de responsabilité
NIS 2 et DORA introduisent un régime de responsabilité personnelle pour les membres des organes de direction des entités critiques.
En cas de manquement, la responsabilité personnelle des dirigeants pourrait être engagée, notamment s’ils n’ont pas pris les mesures raisonnables pour prévenir ou limiter les impacts des cyberattaques. Par ailleurs, le RGPD impose aux responsables de traitement de garantir la protection des données personnelles. Cette responsabilité s’étend aux mesures techniques et organisationnelles nécessaires pour assurer la sécurité des données. Les organes de direction, en tant que garants de la conformité au RGPD, doivent s’assurer de la mise en place de dispositifs éprouvés, tels que la pseudonymisation, le chiffrement, ou encore des processus de gestion des incidents de sécurité. En cas de violation des données, la responsabilité de la personne (physique ou morale) en charge de la protection des données traitées peut être engagée, notamment si ces derniers n’ont pas déployé de mesures suffisantes pour prévenir le risque ou n’ont pas répondu de manière appropriée.
D’autre part, le Code pénal français encadre la responsabilité des dirigeants en cas de cyberattaques, notamment lorsque celles-ci résultent de négligences graves ou de manquements à une obligation de sécurité. Par exemple, l’article 226-17 du Code pénal sanctionne la conservation non sécurisée de données personnelles sensibles.
Si une cyberattaque met en lumière un défaut de diligence de la part d’un ou plusieurs membres d’un organe de direction, leur responsabilité pénale peut être directement engagée, ce qui peut entraîner des peines de prison et des amendes substantielles.
En vertu des dispositions du Code civil (notamment en son article 1240), l’entreprise peut également voir sa responsabilité engagée en cas de faute ou de négligence ayant causé un préjudice (ex : financier, moral, physique, etc..). À titre d’illustration, si une cyberattaque résulte d’une mauvaise gestion des systèmes d’information ou d’un défaut de mise à jour des logiciels critiques, l’organisation peut être tenue pour responsable des dommages causés aux tiers. Cette responsabilité s’étend aux conséquences financières et réputationnelles de l’incident, et peut inclure des indemnisations pour les victimes.
Enfin, la responsabilité contractuelle d’une entreprise peut être engagée lorsqu’une cyberattaque affecte un fournisseur, un partenaire ou un client dans le cadre d’une relation contractuelle. Par exemple, si une entreprise ne respecte pas ses obligations contractuelles en matière de sécurité des données, elle peut être tenue de réparer les préjudices causés à son cocontractant. Cette responsabilité souligne l’importance de prévoir des clauses contractuelles adaptées, et d’apporter une attention particulière aux pratiques des tiers impliqués.
b) Les sanctions
Chaque régime prévoit des sanctions spécifiques, proportionnées à la gravité des manquements constatés.
Dans le cadre de NIS 2 et DORA, les sanctions incluent des amendes administratives pouvant atteindre plusieurs millions d’euros, ainsi que des sanctions personnelles pour les dirigeants en cas de négligence manifeste.
Le RGPD prévoit des amendes administratives élevées, atteignant jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial de l’organisation.
En matière pénale, les sanctions peuvent inclure des peines d’emprisonnement, des amendes substantielles et une interdiction temporaire d’exercer certaines fonctions.
Sur le plan civil, les indemnisations accordées aux victimes peuvent entraîner des pertes financières significatives pour l’organisation et ses dirigeants. Enfin, en cas de responsabilité contractuelle, les conséquences peuvent inclure des réparations financières, la rupture de contrats commerciaux et des litiges prolongés.