Imaginons une entreprise d’aéronautique toulousaine. Un matin, tandis qu’il se rend au travail, son DSI (Directeur des Systèmes d’Information) apprend qu’elle vient d’être victime d’une cyberattaque. Tous les cadres et des employés ciblés ont reçu des emails menaçants les informant que leurs données ont été piratées. Un groupe de cyberactivistes opposé à l’ouverture d’un nouvel aéroport revendique l’attaque sur des sites web situés dans plusieurs pays. Un lien sur les pages web créées par les hackers propose le téléchargement sur le Dark Net de dizaines de milliers de données concernant des clients, partenaires et salariés, dont des données sensibles. Une réunion de crise est prévue à 9h00. Le DSI réfléchit aux failles qui ont permis ce scénario et aux actions prioritaires du COMEX. À quelques heures de route de là, dans le Doubs, le patron d’une petite entreprise de papeterie allume son PC et découvre stupéfait qu’il ne peut plus lire les dossiers commerciaux, comptables et financiers. Un pop-up l’informe qu’un malware a chiffré les données et qu’une rançon, payable en bitcoins, est exigée sous dix jours pour les rendre accessibles. À défaut, elles seront détruites. Deux cas différents mais une même question : que faire ? Bientôt suivie d’une autre : qu’aurait-on dû faire pour éviter ça ?
Actualité et variété des risques de cyberattaques touchant les entreprises
Dans son Panorama de la cybermenace en 2025, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) « constate un niveau de cybermenace qui reste élevé, qui n’épargne personne et qui est le fait d’attaquants toujours plus difficiles à suivre ». Elle souligne la spécialisation croissante des attaquants et la circulation accrue des outils et méthodes de compromission. Aux menaces désormais bien identifiées – rançongiciels, hameçonnage, virus, compromission de messageries, etc. – s’ajoute un facteur aggravant : la diffusion et l’usage croissant d’outils assistés par l’intelligence artificielle, qui accélèrent les opérations de détection de vulnérabilités et rendent possibles des attaques ciblées dans des proportions nettement supérieures[1].
Les conséquences d’une cyberattaque varient en intensité et en gravité, mais excèdent toujours la seule dimension informatique. Elles peuvent prendre la forme d’une atteinte limitée à la sécurité des systèmes d’information, d’une compromission de l’intégrité, de la confidentialité ou de la disponibilité des données de l’entreprise, d’une fuite de données sensibles, confidentielles – y compris de secrets d’affaires ou de données personnelles de clients, partenaires ou salariés –, d’une désorganisation plus ou moins grave des activités, voire d’un arrêt partiel ou total de certains services. À cela s’ajoutent fréquemment des risques d’atteinte à la réputation et, dans certains cas, de réclamations de tiers et l’intervention d’autorités administratives de contrôle.
Un tel événement appelle une réaction rapide, mais surtout ordonnée et méthodique, afin d’en limiter les effets et de définir sans délai un plan d’action adapté à la situation.
Quelle est la chaîne des responsabilités en cas de cyberattaque visant une entreprise ?
Une cyberattaque n’engage pas la responsabilité des seuls cybercriminels. Elle peut révéler, selon les circonstances, les manquements d’autres acteurs : l’entreprise victime, lorsqu’elle n’a pas pris les mesures organisationnelles et de sécurité appropriées ; ses dirigeants ou cadres responsables de la cybersécurité, ou encore les prestataires chargés de protéger les systèmes d’information ou d’exécuter certains traitements de données pour le compte de l’entreprise.
La question est donc plus complexe qu’il n’y paraît à première vue. Par exemple, la première victime d’une cyberattaque peut ainsi avoir à répondre d’une partie du mal.
a) Responsabilité des auteurs et complices des atteintes (les cybercriminels)
Les auteurs et complices de la cyberattaque s’exposent bien entendu à des poursuites civiles et pénales.
Civilement, ils sont tenus de réparer les dommages causés à l’entreprise et aux tiers du fait de leurs agissements malveillants.
Pénalement, le droit français réprime depuis la loi Godfrain[2] les atteintes aux « systèmes de traitement automatisé de données » : accès ou maintien frauduleux ou entrave au fonctionnement du système ; extraction, modification ou détournement de données, mise à disposition d’outils de piratage. Les fournisseurs de tels outils sont traités comme des cybercriminels à part entière, non pas en complices. De lourdes peines d’emprisonnement et d’amende assortissent ces infractions définies par le Code Pénal, aggravées en cas de risques d’atteinte à l’intégrité physique des personnes pouvant en résulter.
A noter : les personnes morales peuvent, elles aussi, voir leur responsabilité pénale engagée à ce titre.
D’autres qualifications peuvent en outre être retenues, notamment lorsque des données personnelles ont été collectées par un moyen frauduleux, déloyal ou illicite.
b) Responsabilité de l’entreprise « victime »
Plus contre-intuitif, mais c’est un point très important : l’entreprise victime peut voir sa responsabilité engagée à différents titres et degrés selon la gravité des atteintes constatées après l’attaque. En effet, l’atteinte à son système d’information ne fait pas d’elle la seule victime. Lorsque des salariés ou ses cocontractants (clients, fournisseurs, etc.) subissent un dommage à raison de la fuite, de l’altération ou de l’indisponibilité de données les intéressant, l’entreprise verra souvent questionnée la qualité des mesures techniques et organisationnelles mises en œuvre pour assurer leur confidentialité, sécurité et intégrité, notamment sur le fondement des dispositions du « Règlement Général sur la Protection des Données » (RGPD) applicable en Europe depuis 2016.
Sa responsabilité pourra alors être recherchée sur plusieurs fondements :
- vis-à-vis des personnes physiques dont les données sont compromises, notamment si l’atteinte révèle une faille concernant des données sensibles ou une insuffisance des mesures de prévention, de détection ou de protection, en un mot des négligences en matière de sécurité et de protection des données personnelles ;
- vis-à-vis des clients et partenaires, notamment lorsque l’entreprise est tenue par des engagements contractuels renforcés de sécurité, de continuité, de confidentialité ou de notification de violation ou si la violation est grave et porte sur des données sensibles ou des secrets d’affaires;
- vis-à-vis des autorités, sur le plan légal et réglementaire: lorsque les atteintes affectent un secteur d’activité d’importance vitale, des « services essentiels » ou des données personnelles, l’entreprise est tenue de notifier l’atteinte et s’expose à des contrôles, injonctions ou sanctions administratives, s’il s’avère qu’elle n’a pas respecté ses obligations en matière de cybersécurité ou en cas d’omission des notifications de compromission de ses systèmes d’information et données.
Autrement dit, le caractère malveillant et extérieur de l’acte n’exonère pas de plein droit l’entreprise.
Elle n’a pas à garantir qu’aucune cyberattaque ne pourra survenir grâce aux mesures prises, mais elle est tenue à une obligation de moyens renforcée concernant la sécurité de ses systèmes d’information et des données qu’elle traite.
Une cyberattaque pourra, le cas échéant, servir de révélateur en mettant à jour des manquements ou négligences suffisamment graves pour entraîner des procédures d’injonction et amendes et engager sa responsabilité vis-à-vis des tiers. La CNIL sanctionne de plus en plus sévèrement les insuffisances, tout en rappelant que la seule survenance d’une attaque et d’une atteinte aux données personnelles n’emporte pas automatiquement un manquement.
Sans vouloir se montrer trop effrayant, ajoutons que l’absence ou l’insuffisance de mesures techniques et organisationnelles de protection appropriées des données ou le défaut de notification de violations pourraient tomber sous le coup des dispositions des articles 226-17 et 226-17-1 du Code Pénal (infractions assorties de peines de 5 ans d’emprisonnement et de 300 000 € d’amende, l’entrepreneur individuel comme la personne morale pouvant être poursuivis pénalement).
c) Responsabilité secondaire des dirigeants d’entreprise
Les dirigeants auraient tort de croire que la personnalité morale de la société dans laquelle ils officient leur offre, en toutes circonstances, un écran protecteur suffisant. Lorsque la cybersécurité entre dans leurs attributions, que ce soit du fait de la nature même de leurs fonctions ou par l’effet d’une délégation de pouvoirs, leurs négligences graves en matière de cybersécurité des données et des systèmes d’information peuvent entraîner des conséquences personnelles. Il faut toutefois distinguer.
La responsabilité de l’entreprise ne se confond pas avec celle de ses dirigeants, sauf dans le cas spécial de « l’entrepreneur individuel », qui ne jouit pas de l’écran de la personne morale qu’est une société.
En principe, la simple négligence dans l’exercice de leur mandat social ou de leur contrat de travail ne suffit pas à engager leur responsabilité civile propre à l’égard des tiers, sauf dépassement de fonctions. L’écran joue alors pleinement son rôle : seule la société répond de leurs actes.
En revanche, en droit du travail, les manquements graves à des obligations relevant de la cybersécurité qui sont des attributions d’un cadre-dirigeant peuvent justifier des mesures disciplinaires voire un licenciement pour motif réel et sérieux ou faute grave, s’il est établi qu’il dispose de pouvoirs effectifs. Croire que la cybersécurité serait pour ainsi dire « couverte » par la responsabilité de l’entreprise serait donc une erreur de ce point de vue. Certains l’ont appris à leurs dépens. Une récente décision rendue en jurisprudence l’illustre, la Cour d’appel de Paris ayant confirmé le licenciement « pour cause réelle et sérieuse » d’un cadre-dirigeant doté d’une délégation de pouvoirs en cette matière, en raison d’une fraude informatique subie par son entreprise et de négligences établies de sa part[3] .
Dans des hypothèses plus graves, une « faute de gestion » pourrait même engager la responsabilité personnelle du dirigeant mandataire social, indépendamment de celle de la société.
d) Responsabilité accessoire des prestataires informatiques ou sous-traitants au sens du RGPD
Enfin, la responsabilité peut s’étendre aux prestataires informatiques auxquels l’entreprise confie, de tout ou partie, la sécurité de ses systèmes d’information, infrastructures ou données. C’est le cas, par exemple, des prestataires chargés de l’hébergement, l’infogérance, la supervision, la sauvegarde, la sécurité informatique ou la sous-traitance du traitement de données personnelles. Si l’atteinte a été rendue possible ou aggravée du fait de l’exécution défectueuse de leur prestation, l’entreprise cliente pourrait rechercher leur responsabilité contractuelle pour faute.
En matière de données personnelles, le « sous-traitant » au sens du RGPD n’est pas non plus exempt de responsabilités en cas de violation : même si le responsable du traitement supporte l’essentiel des obligations réglementaires à l’égard des tiers, le prestataire qui traite ces données sur la base de ses instructions pourra engager sa responsabilité en cas de manquement aux obligations qui lui incombent.
Que faire en cas de cyberattaque ?
Une cyberattaque ne se traite pas dans le désordre et l’improvisation. L’urgence commande d’agir vite, mais surtout avec raison et méthode, en ayant présent à l’esprit les impératifs juridiques et pratiques.
a) Contenir immédiatement l’attaque et préserver les preuves
La priorité consiste à limiter l’aggravation du dommage : isoler les systèmes compromis, restreindre les accès, suspendre certains flux ou services si nécessaire, sans omettre de préserver les éléments de preuve utiles à l’analyse ultérieure des faits (par exemple au moyen d’un constat par un commissaire de justice, assisté le cas échéant d’un expert en informatique).
b) Mesurer l’étendue des atteintes et dommages et identifier les risques d’atteintes à la réputation
Il faut ensuite identifier ce qui a été touché : systèmes, données, services, tiers concernés. L’entreprise doit apprécier la gravité des atteintes, le risque de réitération, la nature des données compromises et l’ampleur des dommages causés ou susceptibles de survenir, fût-ce au préjudice d’autrui. L’évaluation permet, notamment, de déterminer s’il y a lieu d’effectuer certaines notifications, y compris aux tiers.
Le risque de dommage réputationnel doit être également considéré en vue d’élaborer un plan d’action.
c) Lancer une enquête interne, communiquer en interne et prendre des mesures correctives urgentes
La cyberattaque révèle souvent des défaillances plus anciennes : défaut de procédure, erreur humaine, cloisonnement insuffisant, prestataire mal encadré, consignes de sécurité mal appliquées. Une enquête interne permet d’en identifier les causes, d’écarter le risque de complicités internes, de communiquer à destination des collaborateurs et de mettre à jour sans délai les procédures de sécurité.
d) Définir un plan d’action
Ici, la réponse à la crise cesse d’être strictement technique et opérationnelle. Parallèlement à ces mesures, l’entreprise doit arrêter un plan d’action cohérent et structuré : priorités de rétablissement, mobilisation des prestataires et des services internes compétents, audit des contrats et des procédures d’information, qualification des obligations légales et réglementaires, préparation des notifications éventuelles. À ce stade, l’appui d’une direction juridique expérimentée et, au besoin, d’un cabinet d’avocats spécialisé, permet souvent d’éviter des erreurs de qualification, des réactions contradictoires ou inadaptées ou des omissions ou erreurs stratégiques lourdes de conséquences.
e) Effectuer les notifications requises s’il y a lieu
Lorsque l’attaque affecte des données personnelles ou relève d’un secteur « réglementé », certaines notifications peuvent s’avérer obligatoires, notamment auprès de la CNIL, voire de l’ANSSI (pour les entreprises opérant dans certains secteurs d’activités) et, selon les cas, d’autres autorités compétentes. Lorsque l’atteinte aux données présente un risque élevé, la notification aux tiers concernés s’imposera également aux termes des dispositions du RGPD.
Les contrats conclus avec les clients ou partenaires de l’entreprise requièrent parfois une information en pareil cas ou le recommandent pour préserver la confiance et la réputation. Toutefois, en cas d’une cyberattaque bénigne, la question de l’opportunité d’une notification se posera. Elle cesserait en tout cas d’être obligatoire en dehors d’une obligation contractuelle, sous réserve des secteurs réglementés.
f) Déposer une plainte pénale
Le dépôt d’une plainte pénale permet de qualifier juridiquement les faits, de signaler l’infraction et préserver la voie répressive, les recours et les garanties offertes par les polices d’assurances couvrant ce type de risques. A noter : il existe un parquet du Tribunal Judiciaire de Paris spécialisé dans la cybercriminalité (section J3) ; un dépôt entre ses mains permet d’espérer une plus grande efficacité et célérité dans son traitement.
g) Déclarer le sinistre à l’assureur
Enfin, l’entreprise vérifiera sans délai les garanties susceptibles de jouer et déclarera le sinistre dans les formes et délais prévus au contrat d’assurance afin de bénéficier d’une couverture financière.
En conclusion
Une cyberattaque n’est jamais un simple incident informatique appelant des mesures techniques. Elle met à l’épreuve l’organisation, la chaîne de responsabilités, la communication et les procédures de sécurité, les contrats avec les prestataires extérieurs et la discipline juridique de l’entreprise. Le droit évolue dans le sens d’un renforcement des obligations de sécurité et de résilience des entreprises ainsi que d’une responsabilité accrue des dirigeants en matière de cybersécurité (la directive européenne « NIS2 », qui sera prochainement transposée en droit français, en atteste).
