E. Drouard (Hogan Lovells) : "La psychologie détermine 80 % de l’impact d’une cyberattaque"

Décideurs. Vous avez intégré le cabinet hogan lovells en février. Que comptez-vous déployer au sein de l’équipe ?

Étienne Drouard. Je compte déployer tout le potentiel d’une intégration réussie. L’investissement d’Hogan ­Lovells dans la création et la protection des actifs immatériels s’est inscrit dans la durée, sur plus de vingt ans. Il a permis à Hogan Lovells de se révéler avec succès dans de nombreux secteurs, qu’ils soient producteurs ou consommateurs d’innovations technologiques. Cette stratégie a favorisé la croissance d’équipes d’excellence et pluridisciplinaires. Notre objectif aujourd’hui consiste à démultiplier les talents et les synergies afin de poursuivre le développement d’une équipe de référence sur le marché.

Quelle valeur ajoutée pensez-vous apporter ?
Notre ambition commune est née du constat que nos clients sont porteurs d’enjeux qui traversent les spécialités juridiques et les territoires. Cette ambition s’illustre par le fameux proverbe : « Tout seul, on va plus vite, ensemble on va plus loin ». Je souhaite additionner mon expérience à celles déjà forgées, en intégrant l’équipe qui m’accompagne parmi celles que nous rejoignons. La véritable valeur ­ajoutée se mesurera à l’aune du résultat ­atteint. L’enrichissement réciproque des compétences, des cultures et des services délivrés à nos clients y ­participe ­largement.

"L’enrichissement réciproque des compétences, des cultures et des services délivrés à nos clients fondent notre véritable valeur ajoutée : ensemble, on va plus loin."

Quels sont les fondamentaux à respecter en termes de protection des données ?
La recherche de l’efficacité collective est la clé. Elle implique de définir pourquoi une organisation investit dans la protection des données. Il ne s’agit pas de créer des postes « alibi », ni de tenter d’être conforme à la loi par dogme ou pour faire la prospérité des marchands de peur. Il ne s’agit pas, non plus, de rédiger des documentations théoriques ni d’ajouter des ­processus stériles.
Après l’entrée en application du RGPD en mai 2018, nous avons observé, à partir de l’année 2019, que nombre d’entreprises ne savaient plus comment transformer leur premier cycle d’efforts, d’audits et d’installation d’une gouvernance des données, en une succession de synergies vertueuses. Il leur faut créer de la valeur en dépassant les rapports antagonistes entre l’objectif de performance et la contrainte d’une norme à mettre en place. Par exemple, l’information et les droits des personnes peuvent s’intégrer dans une proposition de valeur. La collecte des données peut être contextualisée pour susciter une meilleure adhésion. La sécurité des données personnelles est aussi celle de l’entreprise, de ses actifs immatériels et de sa réputation. Les analyses d’impact aident à juguler d’éventuelles controverses juridiques. Enfin, le contrôle des rapports avec les prestataires contribue à clarifier et encadrer le partage de valeur et de ­responsabilités.

Quels sont les grands enjeux en matière de cybersécurité ?
L’une des priorités est de garantir aux personnes concernées que l’on ­maîtrise l’usage envisagé de leurs données personnelles. Pour les entreprises, il s’agit de préserver la maîtrise de leur ­destin, la continuité de leur activité, la confiance de leurs partenaires et leur capacité de résilience en cas de crise « cyber », tant sur le plan opérationnel que réputationnel. L’enjeu de confiance est le plus critique car nul ne sait, avant une cyberattaque, quelles seront les ­répercussions à moyen et long terme.

Quel arsenal juridique permet aux entreprises de se prémunir au mieux contre les cyberattaques ?
La prévention passe d’abord par la pédagogie afin de développer par des démonstrations fondées sur des exemples transposables, une véritable culture de la vigilance. Elle nécessite également de cartographier les systèmes d’information et d’appliquer des mesures de sécurité, au premier rang desquelles la ségrégation des accès et des données. Cette sécurité préventive s’entretient par des audits réguliers, des tests de pénétration, des mécanismes d’alerte technique et de veille des fuites.

"La préparation des décideurs par des exercices de simulation transforme l’approche d’une cyberattaque et éclaire les consciences sur la rentabilité d’une politique de prévention"

Sur le plan juridique, l’arsenal de prévention inclut la chaîne contractuelle, celle des responsabilités liées à la sécurité des données, ainsi que les mécanismes assurantiels qui devront être disponibles en cas de cyberattaque. La négociation d’une cyberassurance est pluridisciplinaire. Elle implique de connaître les vulnérabilités sectorielles de l’entreprise, de scénariser les risques « cyber » et d’adapter les couvertures à différents scénarios d’attaque. Cela va du blocage d’éléments du système d’information aux « ransomware », en passant par l’extraction de données, leur destruction, etc. En outre, l’arsenal de gestion de crise et de résilience est essentiel car il n’y a rien de pire que d’ajouter l’impréparation, ou la panique, à la crise. Préparer des décideurs avec des exercices de simulation transforme, en soi, l’approche d’une cyberattaque et éclaire les consciences sur la rentabilité d’une politique de prévention. En cours de crise, la pluridisciplinarité est déterminante. Qu’il s’agisse de la gestion de la confidentialité de l’attaque, des investigations informatiques, de la réaffectation des ressources humaines, des alternatives de continuité opérationnelle, de l’étanchéité de la cellule de crise, de la qualité de la communication interne, des relations institutionnelles, publiques, ou encore du confinement et de la neutralisation de la source de l’attaque. Il faut coordonner et mettre en œuvre des processus de décision complexes. Enfin, au-delà de la crise, le diagnostic de sa gestion, de sa nature et de ses impacts nécessite des retours ­d’expérience pour s’inscrire dans une dynamique de résilience.

Auriez-vous une expérience a nous partager en ce sens ?
En 23 ans, j’ai été amené à accompagner la gestion de près de 200 cyber­attaques informatiques, de toutes envergures, dont certaines ont eu des impacts techniques, opérationnels et juridiques dans plusieurs dizaines de pays à la fois. Au-delà des processus de gestion, qui peuvent se théoriser et être scénarisés, je suis toujours fasciné par le facteur psychologique qui me semble déterminer 80 % de l’impact immédiat et de la résilience à moyen terme d’une cyberattaque. La crise révèle les âmes. Lorsqu’on peut éviter qu’un acteur-clé ne disparaisse en congé maladie au cœur d’une crise, la technicité n’est jamais aussi importante que la perception des signaux dits « faibles ».

Quels sont les cinq réflexes que doivent avoir les entreprises dans les premières minutes d’un contrôle Cnil ?
Ces premiers réflexes sont transposables à toute visite domiciliaire ou toute investigation. Il s’agit de coopérer sans s’auto-incriminer. Il n’y a pas une seule manière de procéder, mais au cours des vingt premières minutes, il faut idéalement se préparer à désigner un(e) « responsable des lieux » et des interlocuteurs auprès de la Cnil qui sachent ne répondre qu’aux questions posées et dire « je ne sais pas » quand c’est le cas.
Ensuite, il convient de prévenir une chaîne restreinte de décideurs et d’obtenir leur disponibilité et leur discrétion durant la suite du contrôle. Le cas échéant, avertir son conseil juridique pour une participation directe dès que possible ou pour un débriefing à la mi-journée et en fin de journée.
Enfin, il s’agira d’accueillir la délégation de la Cnil, de s’enquérir des motivations de sa visite afin de pouvoir mobiliser les interlocuteurs chargés de lui répondre, en ayant, au préalable, expliqué à chaque personne interrogée par la délégation de la Cnil l’objet des questions posées et si nécessaire, aider à reformuler les questions, les inventorier et ne jamais laisser seule une personne interrogée.