Make this article seo compatible,Let there be subheadings for the article, be in french, create at least 700 wordsDüsseldorf Environ 40 téraoctets de données du groupe Dax Continental sont tombés entre les mains de cybercriminels à l’été 2022. Pendant un mois, le groupe d’extorsion Lockbit est resté non détecté dans le réseau interne du fournisseur automobile et a volé des informations confidentielles à plusieurs milliers d’employés et de clients actuels et anciens du fournisseur automobile. Le groupe travaille toujours sur le vol de données à ce jour. Plus de 300 employés et une équipe du cabinet d’audit KPMG travaillent sur le dossier. « La situation des menaces dans le cyberespace est tendue, dynamique et diversifiée et donc plus élevée que jamais », a résumé Gerhard Schabhüser, vice-président de l’Office fédéral de la sécurité de l’information (BSI) la situation dans le rapport de gestion pour 2022. Pour les avocats spécialisés en droit de l’informatique et en protection des données, cette évolution provoque un boom. « La cybercriminalité a considérablement augmenté, en particulier au cours des deux ou trois dernières années », rapporte Eren Basar, associé du cabinet d’avocats de Düsseldorf Wessing & Partner, spécialisé dans le droit pénal de l’informatique et de la protection des données. « La pandémie corona a agi comme un accélérateur de feu », explique Basar. Il a stimulé la numérisation dans le monde du travail mondialisé et ouvert de plus en plus de passerelles pour les pirates, notamment via des réseaux de bureaux à domicile mal protégés. « Les entreprises sont devenues plus vulnérables parce que la gestion de la sécurité n’a pas augmenté dans la même mesure », explique Basar, qui préconise un cyber membre du conseil d’administration formé à la gestion.L’énergie criminelle augmenteCar les agresseurs agissent de plus en plus professionnellement. « Une véritable industrie s’est développée, avec des criminels proposant leurs logiciels malveillants pour être utilisés dans des cyberattaques par des tiers sur Internet », observe l’expert en protection des données Flemming Moos, associé au bureau de Hambourg du cabinet d’avocats Osborne Clarke. « Ils opèrent dans le monde entier, la majorité de ces attaques viennent de Russie ou de Chine », explique Moos.Le vol de données est souvent lucratif pour les cybercriminels. Comme dans l’affaire Continental, ils menacent de publier les données au détriment de l’entreprise – à moins qu’une somme de plusieurs millions ne soit transférée. Une autre variante consiste à paralyser le réseau de l’entreprise jusqu’à ce qu’une certaine somme soit transférée. L’activité de l’entreprise est alors affectée pendant des jours ou des semaines. De nombreuses entreprises finissent par céder aux exigences des maîtres chanteurs car sinon elles se retrouveraient dans des difficultés existentielles. Le nombre de cas non signalés est élevé et le public ne découvre généralement rien. Les paiements circulent souvent à l’étranger sous la forme de crypto-monnaies. Une autre variante de la cybercriminalité est la fraude au PDG, également connue sous le nom de « fraude présidentielle » ou « compromis de messagerie professionnelle ». L’arnaque : les escrocs se font passer pour le PDG ou un haut responsable d’une entreprise afin d’inciter les employés à transférer de l’argent, par exemple pour un achat d’entreprise à court terme. Les auteurs utilisent souvent de faux e-mails ou de fausses identités pour paraître crédibles et tromper les victimes. Ils jouent sur l’autorité et la confiance des salariés, notamment en matière financière, et les exploitent pour atteindre leurs objectifs. Selon les estimations du FBI de la police fédérale américaine, les dégâts dans le monde se chiffrent en milliards. Les victimes européennes bien connues sont le fournisseur automobile bavarois Leoni et le fabricant autrichien de pièces d’avion FACC. Ils ont été escroqués chacun d’environ 40 millions d’euros. Et grâce à l’utilisation de l’intelligence artificielle (IA), encore plus de danger menace à l’avenir. Les attaques par e-mail sont susceptibles de devenir encore plus personnalisées et donc plus difficiles à comprendre.>> Lire aussi : Comment l’IA devient une arme pour les hackersLes chances des entreprises de récupérer les fonds sont minces. « Les entreprises n’ont généralement qu’à essayer de geler les fonds », explique André Szesny, expert en conformité et en droit pénal de Düsseldorf, associé chez Heuking Kühn Lüer Wojtek. « Il existe certainement des moyens de le faire, mais l’argent extorqué des cyberattaques est souvent irrémédiablement perdu », déclare Szesny, qui traite régulièrement des conséquences des cyberattaques.L’avocat d’Osborne-Clarke Moos conseille non seulement de nombreuses entreprises où des attentats ont eu lieu, mais aussi ceux qui veulent s’armer. «Beaucoup sont conscients de l’ampleur des risques. Ils veulent éliminer les points faibles et se préparer au pire des cas », déclare Moos. Le maillon le plus faible de la chaîne de sécurité est le personnel : selon le Data Breach Investigations Report 2022 de la société américaine Verizon, 82 % des failles de sécurité peuvent être attribuées à un facteur humain. En savoir plus sur le sujet : Best Lawyers 2023 De plus en plus, les clients veulent utiliser ce qu’on appelle des exercices sur table pour simuler des situations d’urgence. Les effets potentiels d’une attaque de cybersécurité ciblée sont démontrés et les faiblesses des différentes réponses possibles sont identifiées. « Cela aide beaucoup de sensibiliser les employés et d’étudier les processus », explique Moos. Des exigences légales plus strictesNon seulement les attaques sont de plus en plus nombreuses et violentes, mais les exigences légales pour les entreprises ont également beaucoup changé ces dernières années. En particulier, le règlement général sur la protection des données (RGPD), entré en vigueur en mai 2018, pose de nouveaux défis aux entreprises. Le législateur a obligé les entreprises à protéger plus soigneusement un grand nombre des données de leurs clients et partenaires commerciaux. Les infractions peuvent entraîner des amendes élevées. S’ils sont graves, l’amende peut aller jusqu’à 20 millions d’euros ou, dans le cas d’une entreprise, jusqu’à 4 % du chiffre d’affaires annuel total réalisé dans le monde au cours de l’exercice précédent, selon le montant le plus élevé.L’avocat de la protection des données Tim Wybitul intervient régulièrement après une cyberattaque. L’avocat est associé chez Latham & Watkins à Francfort et assiste les entreprises dans les litiges de protection des données avec les autorités ou devant les tribunaux. Le travail de Wybitul pour le groupe immobilier Deutsche Wohnen, pour lequel il a évité la plus haute amende que les autorités allemandes avaient infligée à ce jour en 2021, est bien connu. >> Lire l’interview de Tim Wybitul sur Tesla : « L’entreprise fait face à toute une montagne de tâches » »Même après une cyberattaque, beaucoup de choses peuvent encore mal tourner », sait-il. « Les sanctions légales menacent non seulement si les données n’ont pas été correctement protégées, mais aussi si l’entreprise ne communique pas correctement par la suite », déclare Wybitul. Si les entreprises ont connaissance d’une violation de données à caractère personnel, elles doivent le signaler aux autorités de contrôle de la protection des données – à moins que la violation de données ne soit pas susceptible d’entraîner un risque pour les droits et libertés des personnes concernées. « L’entreprise doit informer l’autorité compétente immédiatement et si possible dans les 72 heures », explique Wybitul. Si une entreprise ne se conforme pas, il y a un risque d’amendes élevées.Des exigences plus élevées pour les avocats Par conséquent, il devrait y avoir des plans détaillés pour répondre aux urgences. « Les plans d’urgence doivent prévoir des attributions spécifiques de tâches et de rôles pour clarifier et documenter l’incident et minimiser les dommages, mais aussi pour la communication avec les autorités, les personnes concernées, les partenaires commerciaux et les employés », explique Wybitul. Le directeur général ou le conseil d’administration et non le délégué à la protection des données sont responsables de la protection des données et du signalement des violations.Les cabinets d’avocats ont réagi aux développements. Ils accompagnent les entreprises dans les questions de cybercriminalité avec des équipes qui apportent des qualifications différentes. « En plus des experts en informatique et en protection des données et en droit pénal, nous impliquons également des avocats d’entreprise, car les risques de responsabilité pour les membres du conseil d’administration ont augmenté », déclare Szesny, associé de Heuking. A lire aussi :Selon Eren Basar, partenaire de Wessing, toute personne souhaitant fournir des conseils en matière d’informatique et de protection des données doit non seulement disposer d’un savoir-faire juridique, mais également technique : « Les conseils sur les questions cybernétiques nécessitent bien plus que la maîtrise du métier juridique. Les avocats doivent constamment gérer l’outil informatique et comment l’optimiser au profit du client.Un autre risque pour les entreprises sont les poursuites civiles de particuliers…
Source link -57