On le sait: les cyberattaques n’épargnent plus aucune organisation, quelle que soit sa taille ou son secteur d’activité. Face à cette menace permanente, l’assurance cyber s’impose comme un mécanisme de protection financière à considérer par les dirigeants.

Le marché français de l’assurance cyber connaît d’ailleurs une évolution significative. Selon l’étude LUCY 2025 de l’AMRAE, le volume de primes s’est établi à 317 millions d’euros en 2024, avec un assouplissement des conditions de souscription et une baisse des taux de prime de 18 % chez les grandes entreprises. Pourtant, la sinistralité est repartie à la hausse avec 55 millions d’euros de sinistres indemnisés, soit une croissance de 43 % par rapport à 2023.

Pour autant, de nombreux dirigeants méconnaissent l’étendue réelle de la couverture possible ou en place en termes de cyberassurance. Quelles garanties sont effectivement incluses ? Quelles exclusions peuvent compromettre une indemnisation ? Quelles obligations légales conditionnent la prise en charge ? Cet article décrypte les contours de l’assurance cyber pour vous permettre de prendre des décisions éclairées.

Ce que couvre une assurance cyber : les garanties essentielles

Un contrat d’assurance cyber se structure généralement autour de deux volets principaux : la couverture des dommages propres et la couverture de la responsabilité civile envers les tiers . Cette double protection constitue le socle de la plupart des polices disponibles sur le marché.

La gestion de crise et l’assistance technique

L’un des apports majeurs d’une assurance cyber réside dans l’accompagnement immédiat en cas d’incident. Dès la détection d’une attaque, l’assuré peut soliciter une équipe d’experts disponible 24 heures sur 24 et 7 jours sur 7. Cette assistance comprend en général plusieurs volets : l’intervention d’experts en sécurité informatique pour identifier l’origine et l’étendue de l’attaque, mais aussi l’accompagnement juridique par un avocat spécialisé et l’accès à des consultants en communication de crise pour préserver la réputation de l’entreprise.

Les frais d’investigation numérique (forensique), de restauration des systèmes d’information et de récupération des données sont généralement pris en charge. Cette garantie permet de réagir rapidement et de limiter l’impact opérationnel de l’incident.

Les dommages immatériels et la perte d’exploitation

Une cyberattaque peut paralyser l’activité d’une entreprise pendant plusieurs jours, voire plusieurs semaines. L’assurance cyber couvre les pertes d’exploitation consécutives à cette interruption ou au ralentissement de l’activité. Cette garantie compense la perte de marge brute subie pendant la période d’indisponibilité des systèmes.

Les frais supplémentaires d’exploitation sont également indemnisés : il s’agit des dépenses engagées pour maintenir un niveau minimal d’activité, comme le recours à des solutions de contournement ou à des prestataires externes. Selon une étude Groupama de 2025, une attaque réussie coûte en moyenne 466 000 euros aux TPE et PME, dont 50 % correspondent à des pertes d’exploitation.

La responsabilité civile cyber et la protection des tiers

Lorsqu’une cyberattaque entraîne la fuite de données personnelles de clients, de partenaires ou de salariés, l’entreprise peut voir sa responsabilité civile engagée. L’assurance couvre alors les conséquences financières des réclamations de tiers : frais de défense juridique, dommages et intérêts, frais de notification aux personnes concernées conformément aux exigences du RGPD.

Certains contrats incluent également la prise en charge des amendes administratives prononcées par la CNIL en cas de violation de la confidentialité des données, dans la limite de leur assurabilité en droit français. Cette garantie vis-à-vis de possibles sanctions réglementaires devient particulièrement pertinente dans le contexte de renforcement des obligations liées à la directive NIS2 et au règlement DORA.

Les exclusions courantes : ce que l’assurance ne couvre pas

Aucun contrat d’assurance ne couvre l’intégralité des risques. Il est essentiel pour tout dirigeant de connaître les exclusions standard afin d’éviter de mauvaises surprises lors d’un sinistre. Ces exclusions répondent à des logiques de viabilité économique ou à des impossibilités juridiques.

Les actes de guerre et attaques étatiques

Les cyberattaques attribuées à des États ou à des groupes affiliés à des gouvernements sont généralement exclues des garanties. Cette exclusion de « guerre cyber » s’explique par l’impossibilité pour le marché privé de l’assurance d’absorber les conséquences d’un conflit numérique de grande ampleur. Si un rapport d’expert ou une déclaration officielle attribue une attaque à un acteur étatique, l’assureur peut invoquer cette clause pour refuser l’indemnisation.

Dans un contexte géopolitique tendu, cette exclusion mérite une attention particulière. Certains États réfléchissent à des mécanismes de garantie publique pour couvrir ces risques systémiques.

Les dommages matériels et corporels

L’assurance cyber protège contre les conséquences immatérielles et numériques d’une attaque. Les dommages physiques sont exclus : si une cyberattaque provoque la panne d’un serveur, l’incendie d’un équipement ou un accident corporel, ces sinistres relèvent d’autres polices (multirisque professionnelle, responsabilité civile exploitation, assurance accidents du travail).

Cette distinction est fondamentale pour les entreprises industrielles dont les systèmes informatiques pilotent des équipements de production. Une coordination entre les différentes polices d’assurance s’impose pour éviter les lacunes de couverture.

La négligence et le non-respect des mesures de sécurité

Les assureurs imposent des prérequis techniques comme condition de la garantie. L’absence de sensibilisation des utilisateurs du Système d’Information ; de mises à jour régulières des systèmes, le défaut d’antivirus ou d’outils de detection d’intrusion modernes (EDR) et de pare-feu, l’absence d’authentification multifacteur (MFA) ou de sauvegardes régulières et sécurisées peuvent constituer des motifs de refus de couverture.

De même, les actes intentionnels ou frauduleux commis par des dirigeants ou des salariés sont parfois exclus. Un manquement grave aux mesures de sécurité raisonnables peut être assimilé à une négligence et entraîner une déchéance de garantie.

Les améliorations de système et la propriété intellectuelle

La cyberassurance répare les dommages mais ne finance pas les investissements de prévention. Si l’entreprise profite d’un incident pour acquérir un équipement plus performant ou renforcer son infrastructure de sécurité, la différence de coût peut rester à sa charge. Le principe indemnitaire interdit tout enrichissement de l’assuré.

La perte de propriété intellectuelle, de secrets commerciaux ou de brevets est également généralement exclue, sauf mention contraire dans le contrat. Ces actifs immatériels sont difficiles à évaluer et leur couverture nécessite des extensions de garantie spécifiques.

Les conditions pour être indemnisé : le cadre légal à respecter

Souscrire une assurance cyber ne suffit pas à garantir une indemnisation. Le législateur et les assureurs ont instauré des conditions strictes que l’entreprise doit respecter pour bénéficier effectivement de sa couverture.

L’obligation de plainte dans les 72 heures (loi LOPMI)

Depuis le 24 avril 2023, la loi d’orientation et de programmation du ministère de l’Intérieur (LOPMI) conditionne l’indemnisation assurantielle au dépôt d’une plainte dans un délai de 72 heures à compter de la connaissance de l’atteinte. Cette obligation s’applique à toutes les personnes morales et aux personnes physiques dans le cadre de leur activité professionnelle.

Le délai court à partir de la découverte des dommages, non de la date de l’attaque elle-même. Le dépôt de plainte s’effectue auprès d’une brigade de gendarmerie, d’un commissariat de police ou directement auprès du procureur de la République. Cette disposition d’ordre public s’applique à tous les contrats d’assurance en cours, même si elle n’y figure pas explicitement.

Attention : le non-respect de ce délai entraîne la déchéance du droit à indemnisation. Il est donc impératif d’intégrer cette obligation dans les procédures internes de gestion de crise.

Les prérequis techniques exigés par les assureurs

Avant de souscrire une police cyber, l’entreprise doit généralement attester d’un niveau minimal de sécurité. Les assureurs exigent couramment la sensibilisation des collaborateurs, la mise en place d’un antivirus ou EDR selon le niveau d’exposition et d’un pare-feu à jour, de sauvegardes régulières sécurisée (déconnectées ou immuables) des données, d’une authentification multifacteur pour les accès sensibles et distants, et d’une politique de mise à jour des systèmes d’exploitation et des applications.

Ces prérequis font l’objet d’un questionnaire de souscription détaillé. Toute déclaration inexacte peut être invoquée par l’assureur pour réduire ou refuser l’indemnisation. Il est essentiel de décrire fidèlement la situation de l’entreprise et de s’engager dans une démarche d’amélioration continue.

La conformité réglementaire : NIS2, DORA et RGPD

Le cadre réglementaire européen impose des obligations croissantes aux entreprises en matière de cybersécurité. La directive NIS2, en cours de transposition en droit français, élargit considérablement le périmètre des entités concernées : santé, énergie, transport, services numériques, administrations publiques. Elle impose des mesures de gestion des risques, des obligations de notification d’incidents et prévoit des sanctions pouvant atteindre 10 millions d’euros ou 2 % du chiffre d’affaires mondial.

Le règlement européen DORA, applicable depuis janvier 2025, cible spécifiquement le secteur financier : banques, assurances, fintechs, gestionnaires d’actifs. Il impose des tests de résilience réguliers et un encadrement strict des prestataires informatiques de tout acteur économique soumis à DORA.

La conformité à ces réglementations constitue un atout dans la négociation avec les assureurs. À l’inverse, un manquement grave peut justifier une exclusion de garantie. Pour approfondir ces obligations, consultez notre article sur la directive NIS2 et ses implications pour les PME et ETI.

Comment choisir son assurance cyber ?

Face à la diversité des offres et à la complexité des garanties, le choix d’un contrat d’assurance cyber ne s’improvise pas. Une approche méthodique permet d’obtenir une couverture adaptée aux besoins réels de l’entreprise.

Pourquoi passer par un courtier

Le recours à un courtier proposant des assurances cyber présente plusieurs avantages décisifs.

En premier lieu, cela permet de comparer les offres de plusieurs assureurs via un interlocuteur unique. Le courtier connaît les spécificités de chaque police, les clauses favorables à négocier et les exclusions à surveiller. Il va pouvoir solliciter différentes compagnies d’assurance en fonction de leur appétence sur l’activité exercée par l’entreprise et son niveau d’exposition. Le gain de temps est donc considérable : plutôt que de solliciter individuellement chaque compagnie d’assurance, l’entreprise bénéficie d’une mise en concurrence structurée.

La comparaison des coûts permet d’optimiser le rapport qualité-prix de la couverture. Les écarts de tarification entre assureurs peuvent être significatifs pour des garanties équivalentes.

Le courtier accompagne également l’entreprise dans la constitution du dossier de souscription, et notamment dans la complétion des questionnaires des assureurs, en explicitant leurs attendus. Ceux-ci diffèrent souvent des approches des DSI et sont plus orientés sur la prévention des sinistres cyber rencontrés.

Véritable conseiller, le courtier peut intervenir en cas de sinistre pour faciliter les démarches d’indemnisation. Il participera également chaque année à la mise à niveau de la posture cyber rencontrée et renégociera au mieux les couvertures, sous-limites, exclusions ; voire sera en capacité de proposer un changement d’assureur afin d’optimiser le programme d’assurance.

Les critères de comparaison essentiels

Plusieurs éléments doivent guider l’analyse des offres. Le plafond de garantie doit être cohérent avec l’exposition réelle de l’entreprise : une couverture de 500 000 euros peut s’avérer insuffisante pour une ETI dont l’arrêt d’activité coûterait plusieurs millions d’euros. Le montant de la franchise, qui reste à la charge de l’assuré, impacte directement le coût de la prime.

L’étendue des garanties mérite un examen attentif : la fraude au président (cyber-extorsion par ingénierie sociale) est-elle couverte ? Les pertes d’exploitation liées à une défaillance d’un prestataire cloud sont-elles incluses ? La territorialité correspond-elle au périmètre d’activité de l’entreprise ?

La qualité du dispositif d’assistance est déterminante : disponibilité 24h/24, réseau d’experts reconnus, délais d’intervention garantis. En cas de crise, la réactivité de l’assureur fait la différence.

Adapter le niveau de couverture à son profil de risque

Chaque entreprise présente un profil de risque spécifique. Les secteurs comme la santé, la finance ou les services numériques sont particulièrement exposés et nécessitent des couvertures renforcées. Le volume et la sensibilité des données traitées, la dépendance aux systèmes d’information, l’exposition internationale sont autant de facteurs à prendre en compte.

L’étude LUCY 2025 indique qu’une grande entreprise souscrit en moyenne une couverture de 42,5 millions d’euros avec une franchise de 6,5 millions d’euros pour une prime de 800 000 euros. Une ETI se positionne typiquement sur une couverture de 4,5 millions d’euros avec une franchise de 100 000 euros pour une prime de 47 000 euros. Ces ordres de grandeur permettent de situer son propre besoin.

Comment évaluer si votre entreprise est déjà bien couverte ?

Disposer d’un contrat d’assurance cyber ne garantit pas une protection optimale. Un audit régulier de la couverture s’impose pour vérifier son adéquation avec l’évolution des risques et de l’activité.

Auditer vos contrats existants

La première étape consiste à recenser l’ensemble des polices d’assurance souscrites par l’entreprise. Certains risques cyber peuvent être partiellement couverts par la responsabilité civile professionnelle ou la multirisque professionnelle. Il convient d’identifier les éventuelles lacunes et les doublons de garanties.

L’examen des exclusions mérite une attention particulière. La tendance des assureurs est à l’exclusion du risque cyber des polices traditionnelles, au profit de contrats dédiés. Une lecture croisée des différentes polices permet de vérifier la cohérence globale de la protection.

Pour approfondir cette démarche, découvrez notre article sur la gouvernance du risque cyber en entreprise.

Les points clés à négocier avec votre assureur

Le marché de l’assurance cyber s’est assoupli en 2024, offrant des marges de négociation aux entreprises. Plusieurs points méritent une discussion avec votre assureur ou votre courtier : le rachat de certaines exclusions (fraude, ingénierie sociale), l’extension de la couverture aux filiales ou aux sous-traitants critiques, la réduction de la franchise en échange d’un engagement sur des mesures de prévention.

La valorisation de votre niveau de sécurité constitue un argument de poids. Si votre entreprise dispose de certifications (ISO 27001), de solutions de protection avancées (SOC managé ou interne, EDR, MFA) ou d’un plan de continuité d’activité documenté, faites-le valoir pour obtenir de meilleures conditions.

La question de la responsabilité personnelle du dirigeant en cas de manquement aux obligations de cybersécurité doit également être prise en compte dans la stratégie assurantielle globale.

Conclusion

L’assurance cyber constitue un pilier essentiel de la stratégie de résilience des entreprises face aux menaces numériques. Trois enseignements clés se dégagent de cette analyse.

Premièrement, les garanties réellement couvertes sont plus étendues qu’on ne le pense souvent : gestion de crise, perte d’exploitation, responsabilité civile, frais de notification. Mais les exclusions sont tout aussi significatives et méritent un examen attentif avant la souscription.

Deuxièmement, l’indemnisation n’est pas automatique. Le respect de l’obligation de plainte dans les 72 heures instaurée par la loi LOPMI, le maintien d’un niveau de sécurité conforme aux exigences contractuelles et la conformité aux réglementations (NIS2, DORA, RGPD) conditionnent la prise en charge des sinistres.

Troisièmement, le choix du contrat ne doit pas être laissé au hasard. Le recours à un courtier spécialisé permet de comparer les offres, d’optimiser les coûts et d’adapter la couverture au profil de risque spécifique de l’entreprise.

Il n’est pas trop tard pour agir.

Eurolaw France Cyber réunit avocats, experts en gestion du risque cyber ainsi qu’un courtier d’assurances pour accompagner les dirigeants dans l’évaluation de leur exposition au risque cyber et l’optimisation de leur couverture assurantielle. Contactez-nous pour un diagnostic complet de votre assurabilité cyber.

Sources : Étude LUCY 2025 (AMRAE), Panorama de la cybermenace 2024 (ANSSI), Loi LOPMI n°2023-22 du 24 janvier 2023, Service-public.fr

FAQ: questions fréquentes sur l'assurance cyber

Combien coûte une assurance cyber pour une PME ?

Le coût d’une assurance cyber varie fortement selon votre profil de risque : secteur d’activité, volume de données personnelles traitées, chiffre d’affaires et niveau de maturité cyber.

La mise en place de mesures préventives comme l’authentification multifacteurs, des sauvegardes déconnectées régulières et la sensibilisation des équipes peut réduire significativement votre prime. Un courtier spécialisé vous permettra d’obtenir des devis comparatifs adaptés à votre situation réelle.

Que se passe-t-il si j'oublie de déposer plainte dans les 72 heures ?

Le non-respect du délai de 72 heures instauré par la loi LOPMI entraîne automatiquement la déchéance de votre droit à indemnisation. L’assureur refuse toute prise en charge, même si votre contrat est par ailleurs en règle.

Le délai court à partir de votre connaissance de l’attaque. Intégrez impérativement cette contrainte dans votre plan de gestion de crise : référent habilité, procédure documentée, coordonnées des services compétents.

Mon assurance multirisque professionnelle couvre-t-elle déjà les cyberattaques ?

La réponse est généralement non. Les assurances multirisques excluent les dommages immatériels consécutifs à une cyberattaque. Les pertes d’exploitation liées à l’indisponibilité de vos systèmes, les frais de gestion de crise, les coûts de notification RGPD ou les cyber-extorsions ne sont jamais pris en charge sans police cyber dédiée.

Un audit complet de vos contrats existants s’impose pour identifier les lacunes de couverture.

Puis-je souscrire une assurance cyber après avoir subi une attaque ?

Techniquement oui, mais les conditions seront défavorables : surprime substantielle, franchise majorée et exclusions renforcées.

L’assureur exigera un audit de sécurité complet avec mise en œuvre obligatoire des correctifs. Certains types d’attaques (ransomware) peuvent rendre l’entreprise temporairement « inassurable » pendant 12 à 24 mois. La meilleure stratégie : souscrire avant le premier incident, quand votre pouvoir de négociation est maximal.

Nos services

Contactez-nous

L’article L’Assurance Cyber : Quels Risques Sont Réellement Couverts ? est apparu en premier sur EUROLAW FRANCE CYBER.

Eurolaw France Cyber a tenu le 28 janvier dernier sa soirée débats sur le thème « Sécurité et Souveraineté » en partenariat avec la Fondation méditerranéenne d’études stratégiques (FMES) et le Cercle Turgot.

 

Nous avions pour invités le Général (2S) Christophe Abad, ancien Gouverneur militaire de Paris, et le Professeur d’économie Christian Saint-Etienne, du Conservatoire National des Arts et Métiers (CNAM).

Le Général Abad a retracé avec passion les enjeux de sécurité des JOP Paris2024 et les enseignements tirés de cette mobilisation hors normes, qu’il relate dans « Haute Sensibilité – Les armées au coeur des Jeux ».

 

Des JOP de Paris 2024, chacun de nous a conservé en mémoire la ferveur provoquée par les exploits sportifs, la beauté inédite des sites d’épreuves et en particulier la parade nautique de la cérémonie d’ouverture. Ce que l’on connaît moins, c’est la remarquable opération de sécurisation de cet évènement mondial, le déploiement inédit de dix mille militaires en Île-de- France et les longs mois de planification et de préparation au cours desquels tous les scénarios du pire ont dû être envisagés pour être capables d’y répondre sans faillir.

L’ouvrage du Général ABAD est une immersion dans les coulisses d’une mission militaire hors norme et le témoignage du Gouverneur militaire de Paris.  Les JOP Paris 2024 ont représenté pour les armées françaises une opération de haute sensibilité.

Christian Saint Etienne a été membre du Conseil d’analyse économique du Premier Ministre de 2004 à 2012, du Cercle des Economistes et du Conseil d’orientation des Finances Publiques.

Il est notamment l’auteur de plusieurs ouvrages traitant de géopolitique économique:

-Joker européen, dans lequel il prend position pour la fédéralisation d’un noyau dur de pays membres de la zone euro afin de résoudre la crise de celle-ci.

-Trump et Xi Jinping. Les apprentis sorciers. Ce livre analyse la compétition pour la domination mondiale entre la Chine et les Etats Unis.

-Osons l’Europe des Nations.

Prix Vauban pour son livre France : Etat d’urgence, Grand prix d’honneur Prix TURGOT 2012 du meilleur livre d’économie financière pour l’ensemble de son œuvre, l’Europa forte (Universita Bocconi Milano), il a reçu le Prix TURGOT dès 1994 pour son livre Le combat de la France.

Lors de son intervention chez Eurolaw France Cyber, il a magistralement décrypté la rivalité USA-Chine qui sous-tend les politiques néo-impérialistes trumpistes et relègue l’Europe dans une situation de dépendance à la fois numérique et militaire vis-à-vis des Etats-Unis.

Son dernier livre « Trump et nous – Comment Sauver la France et l’Europe » s’efforce de donner des pistes pour un redressement Européen.

La soirée a été l’occasion d’approfondir le partenariat d’Eurolaw France Cyber avec la Fondation méditerranéenne d’études stratégiques (FMES) autour d’un futur Observatoire consacré aux enjeux de souveraineté européenne, dont les contours seront dévoilés prochainement.

 

Charles-Henri du Ché, Président de la FMES, et Pascal Ausseur, son Directeur Général, sont intervenus ainsi qu’Yves-Marie Moray, Président d’Eurolaw France Cyber.

Il est ressorti des interventions et des débats que les tensions géopolitiques internationales accentuent les menaces hybrides, mêlant risques sécuritaires, ingérences informationnelles, cyberattaques et déstabilisations en tous genres. Les Etats mènent une guerre hybride, encourageant ou protégeant pour certains des groupes cybercriminels qui s’attaquent aux systèmes d’information étatiques mais aussi à ceux des entreprises, des collectivités ou encore des hôpitaux.

 

La vigilance doit être de tous les instants et l’ensemble des acteurs économiques et institutionnels doivent contribuer à la résilience du pays.

L’article Sécurité et souveraineté est apparu en premier sur EUROLAW FRANCE CYBER.

La directive NIS2 (UE 2022/2555), officiellement publiée au Journal Officiel de l’UE le 27 décembre 2022, est entrée en vigueur dans l’ensemble des pays de l’Union Européenne le 18 octobre 2024, à la date limite prévue pour la transposition dans les Etats membres.

En France, le projet de loi relatif à la résilience des infrastructures critiques est en cours d’examen, avec une promulgation peu probable avant la fin 2025.

NIS2 représente une révision ambitieuse de la NIS1 publiée en 2016, et marque un tournant décisif dans la gestion de la cybersécurité en Europe : de moins de 300 entités régulées sous NIS1, la France passe à plus de 10 000 à 15 000 entités concernées.

 

 

Directive NIS2 et cybersécurité : quelles obligations pour les PMEs et ETIs ? Ce guide s’adresse aux dirigeants (DG, DAF, directeurs juridiques), désireux de comprendre :

 

• • si leur entreprise est concernée par NIS2, selon leur secteur, taille ou rôle de fournisseur/sous‑traitant ;
  • quelles obligations ils doivent respecter ;
  • quel est le calendrier d’application, y compris le début des sanctions ;
  • comment NIS2 interagit avec d’autres réglementations comme le RGPD, DORA ou l’ISO 27001 ;
  • comment se préparer efficacement ;
  • et d’avoir une checklist pratique pour action immédiate.

 

 

 

 

Êtes-vous concerné ?

 

Critères de secteur et taille

La directive vise 18 secteurs stratégiques (listés aux Annexes I & II de la directive), allant des infrastructures numériques, énergie, transports, santé, services financiers à la gestion des déchets et de l’eau. Une entité est concernée :

 

• • si elle appartient à un secteur listé et est une grande entreprise (> 250 salariés et > 50 M€ CA)
  • ou si elle appartient à un secteur listé et dépasse un seuil de taille de moyenne entreprise (≥ 50 salariés et CA ≥ 10 M€ ou bilan ≥ 10 M€) .

 

Prestataires et effets en chaîne

Même une PME non visée directement peut être concernée si elle fournit des services à un client soumis à NIS2 (ex. : hébergeurs, intégrateurs, prestataires cloud, infogérance). NIS2 renforce la résilience de la chaîne d’approvisionnement, exigeant que les sous‑traitants respectent les normes de cybersécurité

 

Entités essentielles vs entités importantes

NIS2 supprime la catégorie OSE (opérateur de services essentiels) instituée par NIS1, et introduit deux nouvelles classes d’entités concernées par la directive:

 

• • Entités essentielles (EE) : les grandes entreprises des 11 secteurs « hautement critiques » (Annexe I) ; les entreprises nominativement désignées comme essentielles par l’État ; les entités de l’administration publique nationale ; et les fournisseurs de services de communication électroniques, de confiance numérique ou de noms de domaine.
  • Entités importantes (EI) : les entreprises moyennes des secteurs hautement critiques (Annexe I), et toutes les entités non essentielles des 7 secteurs « critiques » (Annexe II) .

Les obligations, contrôles et sanctions diffèrent selon que l’on est une entité essentielle ou importante.

 

Exemples pour dirigeants PME/ETI

 

• • PME industrielle de plus de 50 salariés fournissant des fabricants d’équipements : entité importante.
  • PME infogérant des données pour une collectivité locale : concernée via la chaîne d’approvisionnement.
  • Start-up IT de moins de 50 salariés fournissant des services cloud pour un secteur critique : potentiellement EI, voire EE selon l’identité de ses clients.

 

 

Vos obligations concrètes en matière de cybersécurité

 

Mesures techniques et organisationnelles

Les entités concernées doivent adopter un ensemble de mesures proportionnées inspirées des normes ISO 27001 ou NIST :

 

• • Analyse régulière des risques ;
  • Gestion des accès, authentification multifacteur (MFA), chiffrement des données, journalisation des événements ;
  • Surveillance des vulnérabilités, plans de mise à jour des S.I. ;
  • Formation du personnel, gouvernance interne, réponse à incident.

 

Obligations de notification des incidents

Toute entité concernée a obligation de notifier tout incident significatif :

 

• • alerte initiale dans les 24 h,
  • rapport détaillé dans les 72 h,
  • rapport final dans le mois suivant.

 

Responsabilité des dirigeants au titre de NSI2

La directive NIS2 contraint les dirigeants à s’impliquer : formation, supervision, gouvernance transparente. Leur responsabilité personnelle peut être engagée en cas de non‑conformité grave ou répétée.

 

Supply chain & continuité d’activité

Il est impératif de superviser les fournisseurs, sous‑traitants et prestataires critiques. Un plan de continuité d’activité et reprise d’activité (PCA/PRA) et des garanties contractuelles doivent être en place pour limiter les risques de défaillance ou d’attaque propagée.

 

 

 

Calendrier d’application de NSI2 et sanctions

 

Dates clés

 

• • 27 décembre 2022 : publication au JOUE,
  • 18 octobre 2024 : entrée en vigueur au niveau UE,
  • 2025‑2027 : période de transition. Notification d’incident déjà obligatoire depuis début 2025.
  • fin 2027: conformité totale exigée.

 

Sanctions financières et pénales

 

• • Entités essentielles : jusqu’à 10 M€ d’amende ou 2 % du chiffre d’affaires mondial ;
  • Entités importantes : jusqu’à 7 M€ ou 1,4 % du CA mondial.
  • La publication des manquements, des audits obligatoires, et la suspension de fonctions dirigeantes sont possibles en cas de manquement grave.

 

 

 

NIS2 et autres réglementations : comment s’y retrouver ?

 

NIS2 vs RGPD

Le RGPD vise la protection des données personnelles, tandis que la NIS2 cible la résilience des systèmes informatiques et la continuité des services critiques. Les deux peuvent se compléter notamment dans les domaines incidents et gouvernance de sécurité.

 

NIS2 et DORA (secteur financier)

Pour les entités financières, DORA impose une gouvernance numérique et une gestion de risques similaires. NIS2 complète DORA en étendant les obligations à tous les aspects de cybersécurité et de notification des incidents au niveau UE.

 

Alignement avec les normes ISO 27001 et 22301

Adopter des référentiels éprouvés améliore la conformité à NIS2 et facilite les audits. Les normes ISO 27001 (gestion de la sécurité de l’information) et ISO 22301 (management de la continuité d’activité) offrent un cadre pragmatique et reconnu.

 

 

 

Comment bien se préparer ?

 

Évaluation de conformité initiale

 

• • Faites le test sur le site de l’ANSSI pour vérifier si votre entité est concernée :
  • Réalisez une cartographie de vos actifs critiques et de vos risques et une analyse de conformité en faisant appel à un auditeur externe spécialisé. Eurolaw France Cyber peut vous orienter.

 

Gouvernance et formation

 

• • Désignez un Responsable de la sécurité des systèmes d’information (RSSI) ; Il peut être externalisé.
  • Établissez une politique de sécurité du système d’information et assurez-vous qu’elle soit officiellement validée par vous en tant que dirigeant.
  • Assurez la formation continue de l’équipe de direction et la sensibilisation des équipes aux menaces et aux procédures.

 

Protection et réponse aux incidents

 

• • Vous devez adopter une politique de sécurité des données et de gestion des identités pour assurer une protection de vos données et de votre système d’information.
  • Il vous faut mettre en place un processus de notification des incidents significatifs aux autorités compétentes (ANSSI)
  • Vous devez définir un plan de continuité d’activité (PCA) et un plan de reprise d’activité (PRA).
  • Vous pouvez déléguer tout ou partie à un prestataire de services de cybersécurité et à des éditeurs de solutions de cybersécurité.
  • Tous ces prestataires doivent à leur tour être conformes à NIS2 et assurer la bonne mise en œuvres des exigences vous concernant (notification des incidents, PCA etc.)

 

Financements et accompagnement

 

• • Des programmes publics comme Cybermalveillance.gouv.fr peuvent permettre un accompagnement à moindre coût, de même que des mécanismes de subventions régionales ou nationales.
  • Faites-vous accompagner par un conseil spécialisé pour piloter votre mise en conformité et prioriser en tenant compte de vos impératifs business et de vos contraintes budgétaires. Eurolaw France Cyber peut vous orienter.

 

 

 

Checklist NIS2 pour dirigeants PME/ETI

 

 

 

• • Suis-je dans un secteur visé par les Annexes I ou II de la directive ?
  • Ma structure dépasse-t-elle les seuils de taille/CA définis ?
  • Mes fournisseurs ou sous-traitants sont-ils soumis à NIS2 ?
  • Ai-je identifié les actifs et risques critiques de mon SI ?
  • Ai-je mis en place les 10 mesures minimales imposées (authentification multi-facteurs, chiffrement…) ?
  • Puis-je notifier un incident dans les délais de 24h / 72h ?
  • Mon COMEX et mon RSSI sont-ils formés et engagés ?
  • Mes contrats fournisseurs intègrent-ils les exigences cybersécurité ?
  • Ma gouvernance est-elle alignée avec le RGPD, avec l’ISO 27001/22301, ou avec DORA si je suis dans le secteur financier ?
  • Ai-je évalué les risques financiers et juridiques en cas de non‑conformité ?

 

 

 

Conclusion

La directive NIS2 représente un tournant crucial pour la cybersécurité des PME et ETI. Elle s’applique à un grand nombre d’entre elles (selon le secteur d’activité) et impose des obligations strictes, une surveillance de la chaîne d’approvisionnement, et une responsabilité directe des dirigeants.

Il n’est pas trop tard pour agir : réalisez un diagnostic complet, formez vos équipes, élaborez une gouvernance solide, et anticipez les audits ou notifications d’incident. Une préparation bien menée peut transformer cette contrainte réglementaire en opportunité stratégique : renforcer votre résilience, conforter votre relation avec vos clients et minimiser les risques juridiques ou financiers.

 

 

Source officielle

Consultez le texte de la directive NIS2 en Français sur le site officiel EUR-Lex.

 

 

FAQ – Vos questions fréquentes sur la directive NIS2

Quels sont les délais de mise en conformité avec NIS2 ?

La directive NIS2 est entrée en vigueur automatiquement le 18 octobre 2024 faute d’avoir été transposée avant cette date. Les entités sont censées être opérationnellement conformes depuis début 2025, notamment pour la notification des incidents. Toutefois, la mise en œuvre complète des mesures techniques, de gouvernance et d’audit est attendue d’ici fin 2027.

Dois-je m’aligner si je risque de dépasser le seuil de 50 salariés prochainement ?

Oui, il est fortement recommandé de se préparer en amont si votre entreprise est en croissance ou en phase de structuration. Une entreprise proche du seuil (ex. : 45‑49 salariés) dans un secteur critique peut être qualifiée d’entité importante dès que les seuils sont franchis.

De plus, l’anticipation vous évite des efforts correctifs en urgence.

Qui porte la responsabilité juridique en cas d’attaque ?

La directive engage la responsabilité des organes de direction, y compris le DG, le directeur juridique et le DSI, selon les cas. En cas de non‑conformité grave (absence de mesures minimales, non‑notification d’un incident, gouvernance défaillante), la responsabilité individuelle du dirigeant mandataire social peut être engagée, notamment par des sanctions administratives, pécuniaires ou professionnelles.

Que faire si mon prestataire n’est pas conforme ?

En tant qu’entreprise concernée par NIS2, vous avez l’obligation de vous assurer que vos fournisseurs et sous-traitants respectent les exigences de sécurité. Si un prestataire n’est pas conforme :

• Documentez les risques qu’il génère dans votre cartographie ;
• Renforcez les clauses contractuelles sur la sécurité (PRA, notification d’incident, auditabilité) ;
• Envisagez de changer de fournisseur si le risque reste élevé.

NIS2 impose une supervision renforcée de la chaîne d’approvisionnement – un prestataire défaillant peut compromettre votre propre conformité.

 

L’article Directive NIS2 : quelles obligations pour les PMEs et ETIs ? est apparu en premier sur EUROLAW FRANCE CYBER.

Dans un contexte de transformation numérique accélérée, les cybermenaces constituent des défis complexes pour les entreprises. L’interconnexion croissante des systèmes et l’évolution permanente des outils et des vulnérabilités qui les affectent exposent les organisations à des risques cyber de plus en plus protéiformes, alors même que le niveau de maturité cyber des entreprises progresse. Cet article passe en revue les dix principaux risques cyber auxquels les entreprises doivent faire face aujourd’hui.

Ransomwares : la menace qui peut paralyser toute l’activité

Les attaques par rançongiciel continuent de représenter l’une des menaces les plus redoutables pour les entreprises en 2025. Ces logiciels malveillants chiffrent les données de l’organisation victime, rendant ses systèmes inaccessibles jusqu’au paiement d’une rançon. Un ransomware peut paralyser complètement l’activité d’une entreprise pendant des jours, voire des semaines, entraînant des pertes financières considérables dues à l’interruption des opérations. Les attaquants ont également évolué vers un modèle d’extorsion double, où ils menacent non seulement de maintenir les données chiffrées mais aussi de les divulguer publiquement, ajoutant un risque supplémentaire de violation de données confidentielles.

Cette paralysie opérationnelle s’accompagne souvent d’une atteinte à la réputation, les clients et partenaires pouvant perdre confiance dans la capacité de l’entreprise à protéger leurs données. Les conséquences juridiques peuvent également être sévères, avec une possible mise en cause de la responsabilité pénale des dirigeants en cas de négligence avérée dans la protection des systèmes d’information.

Le dépôt de plainte est obligatoire pour prétendre à une quelconque indemnisation, et les services d’enquête en cybercriminalité déconseillent formellement le paiement de la rançon exigée, qui ne garantit aucunement le déchiffrement des données.

Phishing et ingénierie sociale : le facteur humain comme maillon faible !

Le phishing et les techniques d’ingénierie sociale demeurent des vecteurs d’attaque privilégiés par les cybercriminels, ciblant spécifiquement le maillon humain de la chaîne de sécurité. Ces attaques consistent à tromper les employés via un faux mail ou message imitant l’un des outils ou fournisseurs légitimes de l’entreprise pour les rediriger vers un site falsifié et les inviter à ressaisir leurs identifiants sous un prétexte plausible (mise à jour, règle de sécurité, etc.), afin de capturer et d’exploiter ces identifiants. Les techniques deviennent de plus en plus sophistiquées, avec des messages parfaitement personnalisés et crédibles, rendant leur détection difficile même pour les utilisateurs avertis.

Les conséquences d’une attaque par phishing peuvent être désastreuses. La compromission d’identifiants et mots de passe de collaborateurs peut permettre aux attaquants d’accéder à des informations confidentielles ou de prendre le contrôle de comptes critiques. Les pertes financières directes sont également fréquentes, par exemple via la substitution de coordonnées bancaires pour déclencher des virements frauduleux. Ces incidents peuvent mettre en cause la responsabilité des employés et, par extension, celle de l’entreprise qui n’aurait pas suffisamment formé son personnel aux risques cyber.

Vulnérabilités non corrigées : des failles exploitées massivement

L’exploitation des vulnérabilités non corrigées dans les systèmes et logiciels constitue une porte d’entrée privilégiée pour les cybercriminels. Ces failles de sécurité peuvent exister dans les systèmes d’exploitation, les applications, les frameworks ou les bibliothèques utilisées par l’entreprise. Le délai entre la découverte d’une vulnérabilité (« zero-day ») et son exploitation par des attaquants se réduit constamment, laissant très peu de temps aux organisations pour réagir et appliquer les correctifs nécessaires une fois ceux-ci disponibles.

Les impacts d’une exploitation réussie sont multiples. Les intrusions et prises de contrôle des systèmes peuvent compromettre l’intégrité de l’infrastructure informatique entière. Les vols de données à grande échelle peuvent survenir lorsque les attaquants accèdent aux bases de données contenant des informations sensibles. La perturbation des opérations peut entraîner des interruptions de service prolongées. Les coûts de remédiation sont généralement très élevés, incluant l’investigation forensique, la restauration des systèmes et les mesures correctrices à mettre en place.

Malveillances internes : l’ennemi est (parfois) dans la place

Les menaces internes représentent un risque particulièrement insidieux car elles proviennent de personnes ayant accès aux systèmes et informations de l’entreprise. Ces acteurs malveillants peuvent être des employés mécontents, d’anciens collaborateurs ou prestataires dont les accès n’ont pas été entièrement révoqués. La difficulté de détection de ces menaces réside dans le fait que ces actions proviennent d’utilisateurs légitimes, rendant leur identification complexe.

Les conséquences des malveillances internes peuvent être particulièrement graves. Les fuites de données confidentielles peuvent exposer des données clients ou des informations stratégiques. La découverte de la fuite peut être tardive, une fois que des extraits apparaissent en vente sur le darkweb par exemple. L’atteinte à l’image et la perte de confiance des clients surviennent inévitablement lorsque de tels incidents sont rendus publics. Ces situations peuvent également entraîner des poursuites judiciaires contre l’entreprise pour négligence dans la gestion des accès et la surveillance des activités suspectes.

Attaques via la supply chain: vos fournisseurs sont-ils bien protégés ?

Les attaques ciblant la supply chain sont devenues une stratégie privilégiée par les cybercriminels sophistiqués. Plutôt que d’attaquer directement une entreprise bien protégée, ils ciblent ses fournisseurs, prestataires de services ou partenaires qui disposent souvent de mesures de sécurité moins robustes mais d’un accès à certains systèmes de l’entreprise cible. Cette approche permet aux attaquants de compromettre indirectement une organisation à partir d’un point d’entrée légitime.

L’impact de ces attaques est considérable. La compromission indirecte de plusieurs entreprises peut se produire comme un effet domino à partir de la compromission d’un seul acteur dans la chaîne d’approvisionnement. L’accès à des données sensibles via des tiers peut compromettre des informations confidentielles sans même avoir besoin de pénétrer directement les systèmes de l’entreprise cible. Ces incidents remettent fondamentalement en question la sécurité de l’écosystème complet dans lequel évolue l’entreprise.

Déni de service (DDoS) : paralysie des services en ligne

Les attaques par déni de service distribué (DDoS) visent à submerger les infrastructures cibles par un volume massif de requêtes, rendant les services en ligne inaccessibles aux utilisateurs légitimes. Ces attaques ont gagné en puissance et en sophistication, notamment avec l’émergence de réseaux de botnets constitués de serveurs ou d’appareils IoT compromis.

Les conséquences de ces attaques sont multiples. L’interruption des services en ligne peut entraîner des pertes de revenus immédiates, voire des pénalités pour les entreprises dont le modèle économique repose sur des engagements de disponibilité continue de leurs plateformes de services (SLA). L’atteinte à la réputation et le mécontentement des clients sont inévitables lorsque ces derniers ne peuvent plus accéder aux services auxquels ils sont abonnés. Les coûts pour se prémunir contre ce type d’attaques peuvent être élevés, nécessitant des investissements dans des solutions de filtrage du trafic et d’absorption des pics de charge. Enfin, pendant ces périodes de saturation, même de durée limitée, l’entreprise est également plus vulnérable à d’autres types d’attaques qui pourraient passer inaperçues dans le chaos général.

Vol de propriété intellectuelle : votre avantage concurrentiel en danger

Le vol de propriété intellectuelle constitue une menace particulièrement grave pour les entreprises innovantes. Ce type de cyber-intrusion vise spécifiquement les actifs immatériels qui font la valeur d’une organisation : brevets, secrets commerciaux, résultats de recherche, logiciels propriétaires, ou tout autre élément créatif protégé par le droit de la propriété intellectuelle. Les acteurs de ces attaques peuvent être des concurrents directs, des États cherchant un avantage économique pour leurs propres acteurs, ou des cybercriminels souhaitant revendre ces informations au plus offrant. La fuite de données n’est pas toujours détectée rapidement.

Les impacts d’un vol de propriété industrielle sont souvent irréversibles, et le préjudice financier à long terme peut être bien supérieur aux pertes immédiates causées par d’autres types d’attaques. Une perte d’avantage concurrentiel survient ainsi lorsque des concurrents parviennent à reproduire des innovations sans avoir investi dans leur développement. La fuite de secrets industriels peut ainsi affecter la valorisation même de l’entreprise.

Compromission d’objets connectés : la multiplication des points d’entrée

Avec la prolifération des objets connectés dans l’environnement professionnel, la surface d’attaque des entreprises s’est considérablement élargie. Ces dispositifs, souvent conçus avec des fonctionnalités de sécurité insuffisantes, créent de nouvelles vulnérabilités dans l’infrastructure informatique globale. En 2025, la croissance exponentielle de l’IoT, qui a atteint 18 milliards d’appareils en 2024, amplifie considérablement ce risque.

Les conséquences d’une compromission de l’IoT sont multiples. La création de vastes réseaux de bots pour des attaques DDoS est l’une des utilisations les plus courantes des objets connectés compromis. Une compromission de systèmes de contrôle d’accès ou de vidéosurveillance peut également servir de points de départ pour une intrusion physique. Plus inquiétant encore, certains dispositifs connectés critiques, comme les équipements médicaux, peuvent présenter des risques directs pour la sécurité et la santé des personnes en cas de manipulation malveillante, avec à la clé de lourdes responsabilités pour les organismes de santé exploitant les équipements médicaux compromis.

Attaques sur les infrastructures cloud : les défis de l’informatique délocalisée

La migration massive vers le cloud computing a transformé l’infrastructure informatique des entreprises, apportant flexibilité et scalabilité mais introduisant également de nouveaux vecteurs d’attaque. Les environnements cloud, dont la sécurisation est plus complexe, sont devenus des cibles privilégiées pour les cybercriminels.

Les impacts d’attaques sur les services cloud sont significatifs. L’accès non autorisé aux données hébergées peut compromettre des informations sensibles. Les défaillances de sécurité des fournisseurs cloud peuvent avoir des répercussions sur l’ensemble de leurs clients, comme l’ont montré plusieurs incidents majeurs ces dernières années. Les difficultés de conformité réglementaire sont exacerbées dans les environnements cloud, particulièrement pour les entreprises opérant dans des secteurs fortement régulés comme la finance ou la santé.

Plus fondamentalement, la migration vers le cloud s’accompagne d’une baisse de maîtrise de l’entreprise sur la sécurité de ses infrastructures informatiques, la rendant dépendante de la sécurité mise en place par les plateformes cloud. Des normes de sécurité renforcée existent telles que SecNumCloud en France, mais encore peu de plateformes y sont conformes.

Deepfakes et désinformation : de nouvelles armes de manipulation

L’émergence des technologies d’intelligence artificielle générative a démultiplié une menace particulièrement insidieuse : les deepfakes et la désinformation algorithmique. Ces technologies permettent de créer des contenus audio, vidéo ou textuels falsifiés mais extrêmement réalistes, capables de tromper des observateurs avertis, et d’accélérer artificiellement leur propagation via des faux comptes sur les réseaux sociaux . En 2025, ces outils sont devenus suffisamment accessibles aux cybercriminels et sophistiqués pour constituer une menace sérieuse pour les entreprises et leurs dirigeants.

De telles falsifications peuvent avoir de lourdes conséquences. Les fraudes au président recourent à des deepfakes pour tromper des collaborateurs méfiants au premier abord. La diffusion de fausses déclarations, attribuées à des dirigeants d’entreprise ou à des régulateurs, peut permettre une manipulation des marchés financiers. Une atteinte à la réputation de l’entreprise ou de ses dirigeants via des contenus falsifiés et artificiellement propagés sur les réseaux sociaux peut être immédiate et durable . Les efforts de communication et de relations publiques à mettre en oeuvre pour y remédier sont longs et coûteux, et l’entreprise peut entre temps perdre des marchés notamment s’il s’agit de secteurs sensibles ou très régulés.

La nécessité d’une approche holistique de la cybersécurité en entreprise

Face à ce panorama de menaces cyber en constante évolution, les entreprises ne peuvent plus se permettre une approche fragmentée de la sécurité. La protection contre ces dix types de menaces nécessite une stratégie globale et proactive, intégrant technologies, formation continue des collaborateurs et gouvernance adaptée. Les dirigeants ont un rôle crucial à jouer dans cette transformation, en faisant de la cybersécurité une priorité stratégique et non plus un simple enjeu technique confié au RSSI.

Aujourd’hui la maturité cyber des organisations continue de progresser, avec une prise de conscience accrue des responsabilités juridiques et financières associées aux incidents de sécurité. Les entreprises qui sauront anticiper ces risques et mettre en place les défenses appropriées ne se contenteront pas de protéger leurs actifs numériques : elles transformeront leur résilience cyber en avantage concurrentiel durable dans un monde où la sécurité numérique devient un facteur déterminant de confiance.

crise cyber
cyberassurance
cyberattaque
cybercriminalité
droit international
géopolitique
inforensique
preuve numérique
risque cyber
réponse à incident
souveraineté

L’article Risque cyber: 10 menaces concrètes pour les entreprises est apparu en premier sur EUROLAW FRANCE CYBER.

Pour sa 1ère réunion de l’année, l’association Eurolaw France Cyber a élu Président d’Honneur l’Amiral Arnaud Coustillière, 1er dirigeant du Commandement de la cyberdéfense (COMCYBER) et aujourd’hui notamment à la tête du Pôle d’Excellence Cyber.

Merci Amiral pour votre engagement !

La session du 29 janvier a été aussi dédiée à la préparation du programme de soirées débats de cette année. A noter une soirée spéciale en juin avec des intervenants prestigieux !

Suivez-nous sur Linkedin pour être informés.

Cette année aussi, pour nos membres, des rencontres sur le terrain avec les opérationnels de la cyberdéfense ou de la lutte contre la cybercriminalité.

Nos 4 groupes de travail ont présenté leurs enjeux:

• Assurabilité du risque cyber
• Cyberdroit
• Formation professionnelle
• Communication & marketing

Enfin nous avons accueilli de nouveaux membres, bienvenue à eux !

L’article L’Amiral Coustillière élu Président d’Honneur d’Eurolaw France Cyber est apparu en premier sur EUROLAW FRANCE CYBER.

La soirée débats trimestrielle d’Eurolaw France Cyber s’est tenue le 15 octobre 2024 avec plusieurs intervenants :

Celine Aussal Heller, Responsable France des solutions de souveraineté de Google,

Philippe Cotelle, Head of Insurance Risk Management chez Airbus Defence and Space et membre du Board de l’ AMRAE

Pascal Chaussade, Responsable pédagogique de l’Ecole de Guerre Economique (EGE),

Mohamed BEGHDADI, responsable du groupe de travail Formation professionnelle d’Eurolaw France Cyber.

La session était introduite et conclue par Yves-Marie Moray, Président d’Eurolaw France Cyber.

Celine Aussal Heller, Responsable France des solutions de souveraineté de Google, est intervenue sur le thème « Intelligence artificielle et cybersécurité ».

Détaillant les apports de l’IA en matière cyber (analyse des mécanismes d’attaque, aide à la décision…) mais aussi le recours à l’IA par les attaquants (développement de code malveillant, facilitation du social engineering…), Céline Aussal Heller a présenté l’approche de Google pour le développement d’IA « responsable » et les règles de gouvernance mises en place autour de ces travaux.

Philippe Cotelle, Head of Insurance Risk Management chez Airbus Defence and Space et membre du Board de l’ AMRAE (Association pour le Management des Risques et des Assurances de l’Entreprise), a présenté l’étude annuelle LUCY (Lumière sur la Cyberassurance) publiée en mai dernier.

Cette étude basée sur les données des courtiers dresse le panorama de l’assurance cyber des entreprises en France.

Pascal Chaussade, Responsable pédagogique de l’Ecole de Guerre Economique (EGE), a présenté la palette des formations de l’EGE en matière de cybersécurité, du MBA spécialisé aux formations sur l’hygiène numérique, l’OSINT ou la gouvernance des systèmes d’information.

L’EGE a pour mission de former dirigeants et managers à l’intelligence économique: la cybersécurité en fait partie.

Mohamed BEGHDADI, expert cyber et responsable du groupe de travail Formation professionnelle d’Eurolaw France Cyber, a annoncé la mise en place d’un partenariat entre Eurolaw France Cyber et l’EGE.

Il a ensuite présenté les principes essentiels pour se préparer à une crise cyber, notamment pour les ETIs et PMEs, avant de donner un aperçu des tendances des derniers mois en matière de cyberattaques en France.

La prochaine session d’EUROLAW FRANCE CYBER aura lieu en décembre 2024.

L’article IA dans la cybersécurité et assurance cyber est apparu en premier sur EUROLAW FRANCE CYBER.

Journal Spécial des Sociétés: entretien avec Pierre-Marie GAUTHIER, Secrétaire Général d’EUROLAW FRANCE CYBER.

Tandis que 20 % des entreprises françaises ont déjà été victimes d’une cyberattaque, selon un récent baromètre Cyblex/Docaposte, Pierre-Marie Gauthier, secrétaire général de l’association Eurolaw France Cyber, plaide pour une sensibilisation accrue des dirigeants, qui peuvent être tenus juridiquement responsables en cas d’attaque.

 

JSS : Quels sont les différents visages du risque cyber ?

Pierre-Marie Gauthier : Sur le plan mondial, le risque cyber peut être distingué de trois façons. Premièrement, il y a les erreurs humaines au sein des entreprises, qui peuvent entraîner la perte ou la destruction de données, ou encore le dysfonctionnement des systèmes informatiques, rendant ces derniers indisponibles. Bien que ce type de risque soit relativement rare, il reste pertinent. Prenons l’exemple récent de CrowdStrike, que vous avez peut-être suivi. Dans ce cas précis, il s’agit d’une erreur humaine, et non d’une cyberattaque. Une mise à jour de leur logiciel intégré à Windows n’avait pas été suffisamment testée, ce qui a conduit à des dysfonctionnements majeurs pour les utilisateurs. Certains se sont retrouvés avec un écran bleu, et pour corriger ce problème, il a fallu intervenir poste par poste, ce qui est évidemment gérable pour une petite entreprise, mais devient un véritable casse-tête pour des organisations comptant des milliers de postes.

Le deuxième type de risque est la malveillance, que je diviserais en deux catégories. La première, la malveillance politique, concerne des États suspects tels que la Chine, la Russie ou la Corée du Nord, qui utilisent leurs services secrets pour mandater des entreprises tierces afin de mener des attaques ou des actions de malveillance. Ces attaques peuvent prendre la forme de blocages, de désinformation, ou d’autres types d’agressions numériques visant à déstabiliser un adversaire.

Ensuite, il y a la malveillance financière, dont l’objectif est de voler des données, de bloquer des systèmes, ou même de nuire à un concurrent par le biais de ce que l’on pourrait appeler des « tueurs à gages cyber ».

JSS : En quoi consiste la mission d’Eurolaw France Cyber auprès des entreprises susceptibles de connaître des cyberattaques ?

P-M.G : Il est essentiel de se demander ce qui existait auparavant sur le marché pour accompagner les entreprises face aux risques cyber. On y trouvait principalement des avocats, des experts informatiques, et de grandes sociétés d’audit. En plus de ces acteurs, il y avait des entreprises spécialisées dans la gestion de crise, des fabricants de logiciels, et bien sûr, des assureurs. L’idée derrière la fondation de notre association a été de rassembler cette diversité de services sous un même toit, offrant ainsi une approche globale pilotée en fonction des besoins spécifiques de chaque client.

Notre mission va au-delà de la simple formation ou information sur les cyber-risques. Nous proposons une gestion complète des risques, incluant la cartographie et la hiérarchisation des risques, ainsi que l’élaboration de plans d’action pour les atténuer. Cette approche englobe la détection et le traitement des vulnérabilités, et s’étend jusqu’à la création de plans de résilience. Pour ce faire, notre panel de services inclut non seulement des avocats et des experts informatiques, mais aussi des éditeurs de logiciels, assurant une couverture complète des besoins des entreprises.

À chaque étape, nous proposons un chef de projet dédié qui veille à définir les besoins du client de manière précise, et à adapter notre offre en conséquence. Cela inclut également la mise en place de contrats d’assurance, car nous avons constaté que de nombreuses entités, qu’elles soient publiques ou privées, n’avaient pas un accès adéquat au marché de l’assurance pour faire face aux cyberattaques, que ce soit d’un point de vue financier ou technique.

Le manque d’information et de maturité intellectuelle sur ces sujets empêchait ces entreprises de définir un plan d’action efficace. C’est pourquoi notre association s’est particulièrement focalisée sur la sensibilisation des dirigeants. En effet, c’est à travers eux, qu’ils soient à la tête d’entreprises publiques ou privées, que la décision de déployer une politique de gestion des risques cyber peut être prise et mise en oeuvre de manière efficace. Il est crucial de commencer par le commencement, et c’est en sensibilisant les dirigeants que nous pourrons véritablement les accompagner dans la mise en place d’un plan d’action complet et d’un traitement durable des risques.

JSS : Entre autres risques liés à une cyberattaque, on l’oublie souvent, la responsabilité des dirigeants d’entreprise et des exécutifs publics peut être engagée. Comment cela se fait-il ? Quels risques encourent-ils ?

P-M.G : La première source de droit en matière de cybersécurité repose sur le droit civil général, qui établit que toute personne causant un préjudice à un tiers peut être tenue responsable et, en conséquence, être contrainte de verser des dommages et intérêts, conformément aux principes établis dans le Code civil français. Ce concept de responsabilité est universel, présent dans les systèmes juridiques français, allemand, américain, et bien d’autres.

Cependant, face à la spécificité des risques liés au cyberespace, le législateur a jugé nécessaire d’introduire des cadres juridiques additionnels. Parmi ces cadres, la réglementation sur la protection des données personnelles, établie au niveau européen, joue un rôle crucial. Cette réglementation encadre la gestion des données personnelles, c’est-à-dire toutes les informations permettant d’identifier un individu, telles que le nom, le prénom, l’adresse, le numéro de sécurité sociale, les données bancaires, ainsi que les préférences religieuses, sexuelles, politiques, etc. En raison de la capacité des technologies informatiques à stocker, regrouper, et traiter ces données, les entités, qu’elles soient des personnes morales ou physiques, de droit privé ou public, qui traitent ces informations se voient imposer une responsabilité spécifique.

En cas de non-respect de ces obligations, les sanctions peuvent être sévères. Pour les personnes morales, les amendes peuvent atteindre jusqu’à 20 millions d’euros, ou 4 % du chiffre d’affaires mondial, ce qui constitue une pénalité extrêmement dissuasive. Les personnes physiques, quant à elles, risquent jusqu’à 300 000 euros d’amende et cinq ans d’emprisonnement.

C’est la CNIL (Commission nationale de l’informatique et des libertés) en France, ou son équivalent dans d’autres pays européens, qui est l’organisme chargé de veiller au respect de ces réglementations. En cas de fuite de données personnelles, la loi LOPMI impose désormais une obligation de déclaration à la CNIL dans un délai de 72 heures. Les responsables doivent alors mettre en oeuvre des mesures correctives et notifier les tiers concernés, les informant que leurs données pourraient avoir été compromises et détaillant les actions prises pour en limiter les effets, dans la mesure du possible.

JSS : Quelles mesures ont été mises en place pour réduire l’écart de sécurité entre les PME, les entreprises de taille intermédiaire (ETI) et les grandes entreprises face aux cyberattaques ?

P-M.G : Le deuxième point crucial est la directive NIS 2, qui représente une avancée majeure dans la régulation des cyber-risques. Cette directive européenne, qui entrera en vigueur en octobre 2024, impose un ensemble d’obligations spécifiques aux entreprises face aux menaces cybernétiques. Contrairement au RGPD qui s’adresse plus largement à toute entité traitant des données personnelles, la directive NIS 2 cible spécifiquement les entreprises, en particulier celles opérant dans des secteurs critiques.

Les grandes entreprises, à l’échelle mondiale, ont déjà intégré ces problématiques dans leur gouvernance. Elles disposent généralement de services dédiés à la gestion des risques, et ont conscience de leur vulnérabilité, ce qui fait du cyber-risque un sujet de gouvernance prioritaire.

En revanche, les PME et les ETI, qui n’ont pas la même structure ou les mêmes ressources, sont souvent plus concentrées sur leurs opérations courantes, comme gérer leur business plutôt que sur la gestion des risques cyber. Cela les rend particulièrement vulnérables, surtout si elles n’ont pas encore été confrontées directement à des incidents de cybersécurité. Surtout qu’elles représentent une cible privilégiée pour les hackers, qui les exploitent comme une porte d’entrée vers des entreprises plus importantes. En attaquant ces PME et ETI, souvent moins bien protégées, les cybercriminels peuvent accéder aux informations cruciales des grandes entreprises qu’elles sous-traitent, permettant ainsi de récupérer des données stratégiques sans affronter directement les défenses robustes des grandes corporations.

Du coup, cette directive NIS 2 est conçue pour combler le fossé en matière de cybersécurité au sein des entreprises. En France, elle va concerner environ 10 000 entreprises réparties sur 18 secteurs d’activité considérés comme hautement critiques. Ces entreprises, selon leur importance et l’impact potentiel d’une cyberattaque sur la fourniture de services essentiels aux États membres, seront tenues de mettre en place des mesures de protection rigoureuses contre les risques cyber. L’objectif de cette directive est d’améliorer la résilience des entreprises face aux menaces numériques, un enjeu crucial dans un monde où la digitalisation rapide expose les organisations à des risques de plus en plus importants. Pour s’assurer de la conformité, l’ANSSI sera chargée de contrôler que ces entreprises respectent bien les exigences de la directive.

Les dirigeants devront prouver qu’ils ont suivi des formations spécifiques et démontrer qu’ils ont instauré une véritable politique de gestion des risques, avec des plans d’action détaillés et des mesures d’évaluation. Si ces exigences ne sont pas respectées, des sanctions pourront être imposées, pouvant aller jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires annuel de l’entreprise.

Pour les PME et les ETI, la mise en conformité avec NIS 2 représente un défi important. Elles devront soit s’équiper de solutions de protection appropriées, soit faire appel à des sous-traitants spécialisés pour gérer la protection de leurs données. Il est probable qu’une période de transition soit accordée pour permettre à ces entreprises de se préparer avant que les sanctions ne soient appliquées.

JSS : En 2021, une task force opérationnelle a été lancée au sein de votre réseau, en cas de mise en cause de leur responsabilité civile ou pénale. Quelle expertise, quel service apportez-vous ?

P-M.G : Alors, justement, tout cet accompagnement autour des obligations juridiques telles que le RGPD ou la directive NIS 2 englobe en réalité un ensemble d’exigences complexes. L’objectif est d’aider les entreprises à répondre à leurs impératifs de conformité. Concrètement, cela commence par l’intervention des avocats, qui se chargent de structurer la partie juridique de ces obligations. Leur rôle ne se limite pas à conseiller sur les politiques à mettre en place, mais aussi à rédiger des procédures claires et adaptées au fonctionnement interne de l’entreprise, afin de s’assurer que rien n’a été négligé et que tout est conforme.

Sur le plan technique, l’accompagnement prend une dimension tout aussi cruciale. Il s’agit d’assister les entreprises sur le plan informatique pour qu’elles puissent établir et piloter une véritable politique de gestion des risques. À cet égard, une société du groupement Eurolaw, nommée EGERIE, joue un rôle clé. EGERIE propose un logiciel déjà largement utilisé par de grandes entreprises, qui permet de centraliser toutes les informations relatives à la gestion des risques en fonction des normes internationales en vigueur.

Les experts d’Eurolaw France Cyber sont ainsi capables de guider les entreprises dans la mise en place et le déploiement de leurs politiques de gestion des risques sur cette plateforme. Celle-ci offre un pilotage extrêmement fin des vulnérabilités cyber et permet également de développer un plan d’action pour quantifier les risques. À partir de cette quantification, les entreprises peuvent planifier leurs investissements financiers de manière progressive et ciblée afin de renforcer leur sécurité et de réduire leurs vulnérabilités.

En outre, EGERIE a développé un module spécifique pour l’assurance, qui permet de renseigner toutes les données nécessaires aux assureurs pour évaluer si le risque est assurable. Ce logiciel peut extraire les informations pertinentes pour chaque compagnie d’assurance, ce qui facilite grandement le travail des courtiers. Car ces derniers, en fonction des politiques de sécurité mises en place par l’entreprise, peuvent ainsi identifier les assureurs les plus adaptés à son profil de risque, en s’appuyant sur une évaluation précise et objective des risques.

JSS : Comment les dirigeants peuvent-ils se prémunir d’une cyberattaque, et ainsi, éviter que leur responsabilité ne soit engagée ?

P-M.G : Le sujet central ici, c’est de mettre en place une véritable politique de gouvernance du risque cyber pour les entreprises. Pour cela, il est nécessaire de s’entourer d’experts afin de bien cerner et comprendre la nature de son risque cyber. Pour un dirigeant de PME ou d’ETI, il s’agit de se poser les bonnes questions : quelles sont les données personnelles que je traite, en quelle quantité, et dans quel contexte ? Comment mon système informatique est-il armé pour résister à des attaques potentielles ? Tout cela commence par un audit approfondi.

Cet audit initial est indispensable pour dresser un état des lieux clair de ce qui est fait, de ce qui ne l’est pas, et de ce qui doit être amélioré. C’est exactement ce que nous faisons actuellement pour un gros syndicat de l’eau, où tout a commencé par un audit détaillé. À partir de cet audit, nous avons pu recommander un ensemble de mesures prioritaires à mettre en place, mais ce n’est que le début du processus de mise en place d’une véritable politique de gestion du cyber-risque.

Cela signifie aussi nommer un DPO (délégué à la protection des données) si l’entreprise n’en a pas, surtout lorsqu’il s’agit d’une entité essentielle. Il faut également s’assurer que l’on dispose d’un RSSI (responsable de la sécurité des systèmes d’information) et qu’un plan soit mis en place pour protéger les vulnérabilités détectées, avec un suivi régulier des mesures mises en oeuvre.

Par ailleurs, acheter un logiciel de protection ne suffit pas. Il s’agit d’instaurer une politique d’audit rigoureuse, avec une révision régulière de ce plan pour ajuster les investissements humains et financiers nécessaires. La formation joue aussi un rôle clé, car une bonne politique de cybersécurité repose avant tout sur les bons réflexes. On le constate chez les particuliers, où les erreurs d’hygiène numérique, comme le partage de données bancaires à des arnaqueurs via des phishing, sont fréquentes. Il y a donc tout un travail d’éducation à mener au sein des entreprises pour instaurer une véritable culture de la sécurité numérique.

JSS : Dernièrement, quelles méthodes de piratages des entreprises ont le plus la cote ?

P-M.G : En entreprise, le phishing reste la méthode la plus redoutable et la plus courante, visant à escroquer, voler ou crypter des données, souvent en préparation d’une attaque par ransomware. Cette technique est largement répandue car elle est financièrement efficace, surtout dans le secteur privé où, malgré les recommandations contraires et l’obligation de déclarer les sinistres dans les 72 heures, certaines entreprises privées peuvent encore céder à la tentation de payer la rançon demandée. Dans le secteur public, le paiement de rançons est moins fréquent, en grande partie à cause des restrictions légales et des contraintes budgétaires.

La nature des attaques varie également en fonction du type de cybercriminel en question. Par exemple, lorsqu’il s’agit d’acteurs motivés par des objectifs politiques, les attaques de type DDoS, qui consistent à saturer les serveurs d’une entreprise jusqu’à les rendre inopérants, sont courantes. Ces attaques sont purement malveillantes, et visent à paralyser l’entreprise sans chercher à en tirer un gain financier direct. Il en va de même pour les attaques virales qui ont pour seul but de perturber le fonctionnement de l’entreprise, voire de l’anéantir.

Il existe bien sûr d’autres types d’attaques, souvent moins sophistiquées, mais toujours dans le but de voler des données ou de bloquer des services critiques. Ainsi, il n’est pas surprenant que le phishing et les attaques DDoS soient en pleine expansion, car ce sont les moyens les plus directs et les plus efficaces pour les cybercriminels d’atteindre leurs objectifs. Quant aux virus informatiques traditionnels, souvent créés par de jeunes génies cherchant à se faire un nom, ils existent toujours, mais ils ne représentent pas la menace principale pour les entreprises aujourd’hui.

JSS : Les Jeux Olympiques de Paris 2024 ont-ils contribué à l’augmentation du nombre d’entreprises touchées par les attaques ? Peut-on le craindre également avec les Jeux Paralympiques ?

P-M.G : Je pense qu’il sera pertinent de faire le point dans un certain temps, car il est encore trop tôt pour se prononcer de manière définitive. Cependant, il est évident que les risques sont nombreux, car la France est particulièrement exposée à diverses menaces. Prenons par exemple la situation avec la Russie : l’exclusion des athlètes russes des JO pourrait bien susciter des réactions, et il n’est pas exclu que certains espèrent voir la France rencontrer des difficultés cet été, notamment en matière de sécurité.

Mais on assiste souvent lors de tels événements à une recrudescence des attaques cybernétiques, comme cela a été le cas lors des précédents Jeux Olympiques. Les grands événements internationaux attirent toujours une attention accrue, non seulement des spectateurs et des médias, mais aussi des cybercriminels et autres acteurs malveillants, qui voient là également une opportunité de perturber, d’exercer des pressions ou de démontrer leurs capacités.

JSS : Comment jugez-vous l’efficacité de notre arsenal législatif français et européen pour faire face à la menace cyber qui plane sur les entreprises ?

P-M.G : Je pense que nous avançons progressivement dans la bonne direction, notamment avec le déploiement de la directive NIS 2, même si cela ajoute une certaine complexité pour les entreprises. En parallèle, le Règlement général sur la protection des données (RGPD) est en vigueur dans toute l’Europe, mais il y avait une faille majeure qui est enfin en train d’être corrigée : la vulnérabilité des données européennes lorsqu’elles sont stockées sur des clouds souverains américains. Ce problème est lié au Cloud Act, la législation américaine qui permet aux autorités américaines de récupérer, en toute légalité mais de manière discutable, des données appartenant à des entités étrangères.

Cette situation pose un problème crucial de souveraineté et d’extraterritorialité, car elle permet aux États-Unis d’exercer une forme d’impérialisme numérique. C’est particulièrement dangereux compte tenu de l’avance technologique significative des États-Unis dans ce domaine. Il ne faut pas oublier que la majorité des grandes entreprises technologiques mondiales sont américaines, et que près de 80 % du savoir-faire technologique est concentré là-bas. En conséquence, si les États-Unis peuvent accéder aux données du monde entier, cela donne un sens très réel au concept de « Big Brother is Watching You ».

Cependant, il est encourageant de voir que la Cour Européenne de Justice a apporté un nouveau cadre important pour renforcer la protection des données (dit cadre de protection des données : CPD, ou DPF en anglais : « Data privacy framework »). L’Union européenne commence enfin à prendre fermement position contre ce type de lois extraterritoriales. Cela montre que l’arsenal juridique et réglementaire européen se renforce progressivement, même si, comme pour toute chose, cela prendra du temps à se mettre pleinement en place.

Propos recueillis par Romain Tardino pour le JSS.

Lire l’interview sur le site du Journal Spécial des Sociétés.

crise cyber
cyberassurance
cyberattaque
cybercriminalité
droit international
géopolitique
inforensique
preuve numérique
risque cyber
réponse à incident
souveraineté

L’article Une politique de gouvernance du risque cyber pour les entreprises. est apparu en premier sur EUROLAW FRANCE CYBER.

par Pierre-Marie GAUTHIER

A l’origine, le constat qui ne cesse de se vérifier, que les risques cyber restent la menace numéro 1 pour l’ensemble des entreprises privées et publiques et leurs dirigeants, et que cette menace, par sa complexité, nécessite un traitement préventif et curatif relevant d’expertises complémentaires.

 

Ainsi est née le 9 mai 2022, sous l’impulsion de l’avocat européen bien connu Yves-Marie MORAY, co-fondateur d’EUROLAW en 1992, EUROLAW FRANCE CYBER, association unique en son genre, capable de relever globalement ce défi c’est-à-dire de se positionner comme guichet unique répondant à l’ensemble des besoins des dirigeants d’entreprises relatifs à une maitrise complète des risques cybernétiques.

Avec l’entrée en vigueur de la directive européenne NIS2 dans les tous prochains mois (17 octobre 2024), les besoins de sécurité et de conseils avisés vont se faire croissants, confirmant ainsi la pertinence de notre modèle. 

Une méthodologie éprouvée : la richesse de l’interdisciplinarité.

Au commencement était la science du risk management et ses incontournables méthodologiques :

• Analyse du risque (dommages et pertes consécutives, responsabilités de dirigeants et de l’entreprise): inventaire, hiérarchisation par criticité décroissante, etc.
• Traitement du risque: étude des solutions de prévention (formation, chiffrage des solutions de prévention permettant de réduire ou de supprimer le risque) ou curatif (préparation et gestion de crise)
• Etude de solutions de transfert du risque, dont l’assurance.

Ce constat nous a amené à constituer une équipe interdisciplinaire de spécialistes dans les principaux domaines suivants:

• Juristes d’entreprise experts en cyber droit, avocats en droit public, droit des affaires dont le droit pénal et la propriété intellectuelle
• Spécialistes de la gestion de crise et de la formation opérationnelle pour s’y préparer efficacement
• Economistes référents en matière de l’évaluation du préjudice économique
• Auditeurs cyber multi certifications et ingénieurs informatiques cyber, notamment CISA, ISO 27000 K, DPO AFNOR
• Editeurs de cybersécurité comme TEHTRIS et son XDR bien connu du marché
• Courtiers d’assurances comme FILHET ALLARD, spécialiste du cyber avec sa filiale en ingénierie du cyber-risque.

Comment se réalise l’intégration de l’ensemble des compétences au sein d’Eurolaw France Cyber ?

Tout part de l’audit de risques dont les données sont analysées, hiérarchisées et retravaillées dans l’outil Egerie Risk Manager, pierre angulaire du concept. Cet outil devient rapidement un must de la compréhension du risque cyber et une aide indispensable à la prise de décision des dirigeants d’entreprise, leur permettant d’analyser les scenarii de crise, de les quantifier et de décider les investissements prioritaires en y intégrant notamment des notions de R.O.I.

Face à un marché de la cyberassurance très exigeant et peu capacitif, EUROLAW FRANCE CYBER offre une solution innovante et optimale: un module spécifique assurance et gestion de risques vient d’être développé en commun avec EGERIE, FILHET-ALLARD et Cie et sa filiale PRAEVENTIA, permettant d’optimiser le scoring de risques, c’est-à-dire donnant accès aux meilleurs placements d’assurance sur le marché (couple capacité/prix).

Ainsi, ce logiciel est capable, à partir de données objectives mises à jour par le client chaque année et intégrant les différentes options et choix de priorités d’investissements en gestion du risque cyber, de déterminer comment optimiser son scoring de risque assurance en tenant compte des politiques de souscription des principaux porteurs de risque.

Une telle réalisation n’aurait jamais été possible sans le concours de multiples spécialistes interdisciplinaires et nous les en remercions !

 

A notre connaissance, aucune autre solution de gestion du risque cyber intégrée à ce niveau n’existe sur le marché européen, apportant à nos clients un gain de temps et la confirmation que leurs choix d’investissements en prévention/protection seront reconnus et valorisés par les assureurs !  

Pierre-Marie GAUTHIER est Secrétaire Général d’EUROLAW FRANCE CYBER et actionnaire de FILHET ALLARD. Contact : pmg@eurolaw.eu

L’article Eurolaw France Cyber : le point après deux ans d’existence est apparu en premier sur EUROLAW FRANCE CYBER.

Eurolaw France Cyber a reçu le mercredi 24 avril 2024 deux intervenants sur les thèmes de la cyberdéfense et de la guerre informationnelle:

Arnaud COUSTILLIÈRE, Vice-amiral d’escadre (2S), premier commandant du COMCYBER et Président du Pôle d’Excellence Cyber, et,

Christian HARBULOT, Directeur de l’École de Guerre Économique et du Cabinet SPIN PARTNERS.

Vice-amiral d’escadre (2S) Arnaud COUSTILLIÈRE

Après presque 40 années au service de l’Etat, le vice-amiral d’escadre (2S) Arnaud COUSTILLIERE exerce depuis septembre 2020 comme « Cyber & Digital senior advisor ». Il conseille et appuie les TPE/PME françaises du domaine de la Cyber dans leurs différentes phases de développement. Il est président du Pôle d’Excellence Cyber, association fondée par le ministère des Armées et la région Bretagne.

Outre sa carrière consacrée aux opérations maritimes marquée par quatre commandements de navires de combat et la participation à de nombreuses opérations maritimes, il a consacré quasiment vingt années à moderniser les écosystèmes numériques et cyber du ministère des armée.

Il a été Directeur des Systèmes d’Information de la marine nationale 2006/2008. Chargé en 2008 du projet Cyberdéfense du ministère des Armées, il a créé puis commandé la cyberdéfense des armées de 2011 à 2017 (ComCyber). Il a ensuite créé et mis en place la Direction générale du numérique du ministère des Armées (DGNUM) 2017/2020.

Soldat de la Cyberguerre. Le cyberespace est devenu un lieu d’affrontement majeur. Pour la première fois, voici racontée la création de la cyberdéfense française par son principal fondateur, le vice-amiral d’escadre (2 S) Arnaud COUSTILLIERE.

En moins de dix ans, les terrains de guerre se sont multipliés sur le Net : virus informatiques, menaces terroristes, ingérences dans des élections, fake news, blocage d’hôpitaux… Les agresseurs cyber déstabilisent nos démocraties avec puissance et créativité. En une poignée d’années, un petit groupe de femmes et d’hommes a mis en place une organisation et déployé des moyens pour inventer les ripostes dans ce nouveau « Far West ».

Dans ce précieux témoignage, Arnaud COUSTILLIERE raconte la construction à marche forcée de la cyberdéfense française. On découvre de l’intérieur la « cellule » créée en 2009 en toute discrétion, les échanges avec les partenaires américains et estoniens, le recrutement des talents, les premières opérations en Afghanistan, la coopération avec les Forces spéciales, la confrontation avec Daech et l’émergence des ingérences russes. Ce livre nous aide à mieux comprendre les défis d’ampleur que vit notre pays à l’heure où la guerre de haute intensité est de retour, amplifiée par le caractère toujours plus hybride des conflits. Les chocs sont devant nous, il est urgent d’en prendre conscience.

IEP Paris 1975. DEA analyse comparée des systèmes politiques 1980. Co-rédacteur du rapport MARTRE qui pose les fondements de l’intelligence économique en France. Directeur des opérations de la filiale INTELCO du groupe DEFENSE CONSEIL INTERNATIONAL.

Depuis 1997, fondateur et directeur de l’Ecole de Guerre Economique et directeur associé du cabinet SPIN PARTNERS, spécialisé en intelligence économique.

Depuis 2009, membre du conseil scientifique du Conseil supérieur de la formation et de la recherche stratégique. En 2018, créateur de l’école de pensée sur la guerre économique. Auteur de 25 ouvrages dont le dernier publié en mars 2024 s’intitule La guerre économique au XXIème siècle.

La guerre économique au XXIe siècle dévoile les dessous des affrontements économiques qui redéfinissent le paysage international. Il dépasse la notion traditionnelle de concurrence pour révéler un monde où entreprises, États et ONG entrent en jeu et mènent des stratégies d’influence ainsi que des guerres de l’information et de renseignement. Ce livre met en évidence la manière dont ces acteurs façonnent les dynamiques de pouvoir et les enjeux économiques globaux, impactant directement notre quotidien.

En s’appuyant sur des analyses précises et des cas concrets, cet ouvrage équipe le lecteur d’une compréhension approfondie des stratégies en cours et de leur importance cruciale pour l’avenir économique et politique.

Ce livre est une invitation à plonger au cœur des enjeux économiques contemporains, offrant une grille de lecture indispensable pour décrypter les tactiques qui dessinent le monde de demain. Une lecture incontournable pour ceux qui cherchent à comprendre et à influencer les courants de l’économie mondiale.

L’article Cyberdéfense et guerre informationnelle avec Arnaud Coustillière et Christian Harbulot est apparu en premier sur EUROLAW FRANCE CYBER.