Anticiper les affaires judiciaires, le nouveau défi des victimes de cyberattaque

Les organisations victimes d’une cyberattaque risquent la perte de données mais aussi de se retrouver devant les tribunaux. De plus en plus de victimes « collatérales » se retournent en effet contre les cibles « principales ».

La chaîne d’hôtellerie InterContinental Hotels Group (IHG) illustre ce phénomène. Victime d’un assaut cyber début septembre 2022, le système de réservation de tous les établissements du groupe fut mis hors service. Impossible pour le groupe de prendre alors de nouvelles réservations. Ce qui a diminué leurs recettes.

Le 17 septembre 2022, les pirates informatiques ont indiqué à des journalistes de la BBC avoir eu accès au logiciel de réservation de l’ensemble du groupe en tapant un mot de passe extrêmement simple à deviner : QWERTY1234. Cette révélation fut d’autant plus retentissante qu’elle a eu lieu deux jours seulement après le dépôt d’une plainte des gérants d’hôtels franchisés aux États-Unis. Ces derniers pointent l’insuffisance des mesures de cyber-protection d’IHG.

Le groupe hôtelier n’est d’ailleurs pas un cas isolé. Une étude du cabinet Norton Rose Fulbright indiquait, à la fin de l’année 2021, que le nombre d’entreprises américaines s’estiment susceptibles d’être mises en examen en cas d’attaque informatique est passé de 44% en 2020 à 66% en 2021.

Qu’est-il reproché aux victimes de cyberattaque ?

Aux États-Unis, 36 procès ont été intentés par des sociétés ou des personnes privées en 2021. Ce qui correspond à une augmentation de 44% comparé à l’année précédente. Les motifs invoqués vont de la publicité mensongère, dans la mesure où l’organisation incriminée n’a pas su assurer le niveau de cyber-protection facturée, à l’accusation de non-respect de lois américaines pour la protection d’informations sur l’état de santé (Fair Credit Reporting Act) ou la situation financière (Health Insurance Portability and Accountability Act) des personnes physiques.

La négligence est aussi un motif fréquent d’inculpation. Il consiste à reprocher à une organisation de ne pas s’être acquittée d’une tâche qui lui était obligatoire quand ce manquement a occasionné un dommage à l’accusation. Cette dernière fait alors appel à la justice pour obtenir réparation.

En quoi consistent ces dommages ? Pour une entreprise, il peut s’agir du manque à gagner en cas de mise à l’arrêt de son activité. C’est ce qui s’est notamment produit après l’attaque contre IHG mais aussi celle contre l’oléoduc Colonial Pipeline, en mai 2021. Les gérants de stations-services durent alors fermer boutique et renoncer à leur principale source de revenus, à savoir la vente au détail.

Si la cyberattaque est causée par une fuite de données personnelles, les personnes peuvent alors faire valoir le préjudice causé par l’atteinte faite à leur réputation après la divulgation d’informations sensibles comme leur état de santé ou leur décision de souscrire un emprunt bancaire. Le stress causé par une attaque informatique est aussi pris en compte pour évaluer l’ampleur du préjudice.

Enfin, les entreprises et les personnes participant au recours collectif peuvent inclure dans les dommages les frais nécessaires pour faire face à la cyberattaque. Au mois de mai 2021, des automobiles américains contraints de payer plus cher leurs carburants ont attaqué Colonial Pipeline.

Pour l’accusation, l’enjeu est de démontrer, à l’occasion du procès, que les préjudices subis ont été causés par la négligence de la partie adverse et que les dommages peuvent être compensés une fois le jugement rendu. Au fur et à mesure des procès, une jurisprudence s’est établie pour clarifier les conditions selon lesquelles cette relation de cause à effet puisse être établie.

En 2021, les membres de la Cour Suprême américaine eurent à se prononcer au sujet d’une procédure qui opposait la société TransUnion à 8 000 de ses clients ayant intenté un recours collectif après une cyberattaque contre le groupe. Cette attaque avait permis aux pirates informatiques de falsifier les dossiers que la société TransUnion conservait pour faire passer les plaignants pour des personnes suspectées par le FBI de participer au financement du terrorisme et du trafic de drogue.

Sur les 8 000 plaignants, seuls 1 853 d’entre eux ont vu leur profil réellement transmis à des tiers à la suite du piratage informatique. Les juges ont estimé que seuls ces derniers pouvaient estimer avoir subi un préjudice causé par le manque de protection du SI de TransUnion.

Une telle fuite ne peut, en elle-même, justifier une compensation aux victimes. Il est aussi nécessaire d’établir que la défense ait contrevenu à une loi (qu’elle soit fédérale ou non). Lors d’un autre procès intenté après le piratage informatique de Colonial Pipeline, un tribunal fédéral américain a estimé, en juillet 2022, que même si les moyens de protection informatique dont disposait la société étaient insuffisants au regard des standards pour ce genre d’installation, cela ne pouvait être considéré comme une infraction (abus de position dominante, manquement à une obligation légale…). Les charges n’ont donc pas été retenues.

De nouvelles obligations sont néanmoins prévues par une loi récemment votée pour mieux protéger les entreprises américaines. En mars 2022, le « Cyber Incident Reporting for Critical Infrastructure Act » rend désormais obligatoire, à toute entreprise américaine victime d’une cyberattaque, de présenter un rapport à la CISA. Cette loi donne aussi à cette agence de nouvelles prérogatives pour imposer des mesures de cybersécurité à appliquer en fonction de la taille et de l’importance d’une entreprise.

De tels procès peuvent ils se tenir en Europe ?

De telles affaires judiciaires ne se produisent pas qu’aux États-Unis. Les entreprises en Europe sont aussi soumises à des obligations de cyber-protection prévues par le droit communautaire. La directive NIS 2 oblige en effet les opérateurs de services essentiels à disposer de moyens de cybersécurité pour que les sociétés des États membres ne soient pas totalement désorganisées en cas de cyberattaque.

Des obligations supplémentaires sont prévues tout spécialement par la directive DORA pour les entreprises du secteur de la finance. D’autre part une nouvelle directive européenne « Représentative Actions Directive », qui a été transposée dans la loi des États membres de l’UE au cours de l’année 2022, permet aux associations de consommateurs européens d’engager des actions de groupe contre les entreprises qui ne respectent pas le droit de l’UE.