• Info Pratique
  • Société

Henri Najjar : « Quelles responsabilités en cas de cyber-attaques ? »

22 septembre 2018 - 16h42

Avocat expert maritime au sein du cabinet Delviso, Henri Najjar était l’un des intervenants sur le sujet de la cybersécurité dans le yachting lors du Cluster organisé au Yacht Club de Monaco le 7 juin dernier. Il évoque les conséquences que les cyber-attaques peuvent engendrer et explique qu’aujourd’hui l’enjeu principal consiste à définir les responsabilités des acteurs du secteur maritime.

Quel était l’objet de votre intervention au Cluster du Yacht Club Monaco ?

Ce n’était pas une intervention individuelle sur un sujet déterminé mais un débat. Il y avait, entre autres, des experts, des courtiers en assurances, un ancien capitaine de navire et puis moi-même et l’on nous posait des questions autour du cyber et des responsabilités, de l’assurance, des risques liés et des mesures préventives de réduction du risque. A d’autres occasions, j’ai fait des interventions plus ciblées sur les incidences des cyber-attaques sur les responsabilités des différents intervenants dans le transport maritime ou dans le yachting, à savoir les propriétaires de navires, les affréteurs, les membres de l’équipage, etc.

Quelles sont le type d’affaires les plus fréquentes auxquelles vous êtes confronté ?

On ne peut pas dire qu’il y ait eu beaucoup d’affaires judiciaires liées aux cyber-attaques dans l’industrie maritime, en revanche, on connaît déjà quels sont les incidents les plus fréquents et donc les risques qu’il va falloir prévenir ou les clauses qu’il faut prévoir dans les contrats pour protéger les parties. En ce qui concerne le transport commercial, les cas les plus classiques restent les prises de contrôle d’un navire à partir du système informatique ou de GPS pour orienter le navire vers une autre destination, ainsi que la récupération frauduleuse de données ou de documents dans le but de récupérer sa marchandise. J’ai davantage été amené à donner des consultations sur ce sujet qu’à traiter un cas concret et j’interviens surtout au niveau de la prévention par l’identification des règlementations à suivre, la rédaction de contrats et de conditions générales, la détermination des risques à couvrir et la mise en contact avec les courtiers susceptibles de proposer des assurances adaptées…

Et dans le yachting ?

Les cyber-attaques vont du kidnapping criminel, cas le plus extrême et le plus grave, qui s’assimile à la piraterie maritime et se termine généralement par des négociations pour libérer les otages contre une demande de rançon, aux cas les plus fréquents, qui sont les détournements des données personnelles, mais qui peuvent avoir des incidences assez graves sur la vie privée des personnes. Généralement, cela se passe dans les coulisses car personne n’a envie d’amener ce type de débats sur la place publique. Vous pouvez également amener deux navires à entrer en collision en brouillant le système GPS et les données de navigation, les outils et éléments du navire étant de plus en plus automatisés.

Quels textes législatifs traitent des cyber-attaques ?

Il n’y a pas de législation spécifique régissant la responsabilité. Il existe des réglementations européennes telles que la directive NIS (Network and Information Security, NDLR) ou la réglementation GDPR (ou RGPD, Règlement Général sur la Protection des Données) et des lignes directrices au niveau étatique – en France, la direction des Affaires maritimes et en Angleterre, le ministère des transports – ou des organisations internationales consistant en des exigences ou recommandations à suivre pour prévenir ou réagir aux cyber-attaques. A partir de là, les règles de droit classiques continuent de s’appliquer.

Dans quels cas, la responsabilité d’une personne peut-elle être engagée ?

Si l’évènement cyber présente les caractéristiques de la force majeure, telle qu’entendue en droit, càd est imprévisible et insurmontable, il exonère le transporteur, propriétaire ou acteur qui a failli à ses obligations de tout responsabilité pour le dommage consécutif. S’il s’avère au contraire qu’il aurait pu être évité ou surmonté en prenant les actions préconisées ou les mesures adéquates, la responsabilité de la personne concernée pourra être engagée. L’on pourrait même lui reprocher une faute inexcusable, avec toutes les conséquences légales qui s’ensuivent, puisque l’éventualité d’une cyber-attaque n’est aujourd’hui plus l’exception mais la norme. La cyber-attaque n’est plus une attaque exceptionnelle, c’est la nature de cette attaque qui peut se révéler d’une ampleur exceptionnelle, mais le risque lui-même est devenu un risque normal. On recommande de sous-traiter toute la mise en place du système de protection contre les cyber-attaques à des sociétés professionnelles ou d’audits voire même de classifications. Ces sociétés, comme le Bureau Veritas ou ABS (American Bureau of Shipping, NDLR) octroient désormais aux navires des notations en cyber sécurité, en fonction de leur capacité à prévenir et résister aux attaques. L’imagination des pirates et terroristes étant sans limite, il faut anticiper continuellement les potentielles attaques de façon à circonscrire autant que possible le risque d’incidents ou de dommages.

Quelles condamnations encourent les pirates ?

Je n’ai pas traité de cas concret de condamnations dans le domaine maritime. Il s’agit d’actes qui ont un caractère civil délictuel et le cas échéant un caractère pénal. S’agissant d’un événement ayant des ramifications internationales, il y a la problématique de la loi applicable. Est-ce que l’on applique la loi française ou pas ? Si le délit est commis en France ou touche une personne française, on devrait pouvoir appliquer la loi française et saisir les juridictions françaises.  Par ailleurs il faut caractériser ce délit : s’agit-il d’une atteinte à un bien personnel, d’un détournement de données personnelles donc atteinte à la vie privée, d’une prise d’otages, d’une pollution… La nature du délit varie en fonction de l’évènement lui-même et peut engendrer des sanctions pénales ou civiles. La sanction civile sera la réparation de l’intégralité du préjudice, quant aux sanctions pénales, elles varient en fonction de la gravité de l’infraction identifiée. Même si le code pénal sanctionne en soi l’accès frauduleux à un système de traitement ou de transmission de données, c’est l’objet de la cyber-attaque qui caractérisera véritablement l’infraction.

Qui sont vos clients et notamment à Monaco ?

Des propriétaires de yachts et des courtiers sur Monaco. Ailleurs, plutôt des transporteurs, des assureurs et puis certains acteurs qui peuvent être indirectement concernés comme les entreprises qui installent ou gèrent les systèmes informatiques ou les données numériques. Ils veulent savoir comment se protéger s’il y a une intrusion dans le système ou un détournement des données. Tout le monde est concerné par les cyber-attaques. La crainte principale reste la nature et l’étendue de responsabilité. Les acteurs ne savent pas jusqu’où celle-ci peut être engagée. Elle peut être substantielle car l’on ne connaît pas les limites du dommage cyber.

A quel moment les attaques cyber ont-elles permis une prise de conscience dans le secteur maritime ?

Objectivement, c’est venu principalement d’un évènement maritime de grande envergure concernant la navigation commerciale : l’attaque massive en juin dernier qui a frappé principalement le transporteur commercial Maersk, numéro 1 mondial, qui ne pouvait plus traiter ses commandes ou assurer le suivi des marchandises, et a sérieusement perturbé le fonctionnement de plusieurs ports internationaux où il opère, notamment le port de Rotterdam et le port de Buenos Aires. Les pertes financières ont été colossales et ont amené tout le monde à se poser la question des responsabilités et enjeux financiers consécutifs à un évènement cyber. Cela a pris des proportions au-delà de l’aspect commercial maritime. Si l’on réfléchissait déjà à ces questions-là au niveau de la plaisance, la solution est devenue d’autant plus urgente. Il fallait surtout convaincre les compagnies d’assurance, qui traditionnellement n’assurent pas le risque cyber dans le maritime. Le rôle des courtiers est devenu d’autant plus important, il a fallu se rapprocher des différents assureurs pour essayer de concevoir une police d’assurance sur-mesure en fonction des risques cyber de chacun. C’est le défi qui me semble être le plus d’actualité : quels risques, jusqu’où doit-on assurer et quelles sont les compagnies d’assurance qui offrent de véritables solutions ?

A l’heure actuelle, il n’existe donc pas de réglementation. Quelles sont donc les recommandations ?

Je ne suis pas sûr que l’on ait besoin de réglementation spécifique, au-delà de celles préventives déjà existantes, qui seront amenées à évoluer avec le développement technologique. Aujourd’hui on peut traiter une cyber-attaque comme un événement normal auquel chacun peut être exposé. Le véritable problème c’est que les risques afférents sont insuffisamment garantis. Les assurances commencent à peine à proposer des couvertures adaptées. Autant dans les risques terrestres, il existe des assurances prévues depuis des années autant dans les risques maritimes c’est  expérimental et cela coûte encore trop cher. Mais les acteurs en ont pris conscience et il y a une évolution dans le bon sens. Sans besoin de légiférer, c’est le marché qui va amener des solutions.

 

Propos recueillis par Délia Dupouy 

Photo Principale ©DR

A lire aussi...

  • Société

Journée portes ouvertes à The Office

20 mars 2019 - 16h35

Le nouveau centre d’affaires au style new yorkais propose une journée portes ouvertes demain de 9h à 18h. Avis aux challengers souhaitant ouvrir une entreprise en Principauté ! Ce nouveau centre…

Lire la suite
  • Politique
  • Société

Circulation modifiée en raison de la visite du président de Chine à Monaco

20 mars 2019 - 10h01

Ce dimanche, le Prince accueillera Xi Jinping, président de la République Populaire de Chine, en visite d’Etat. De nombreux dispositifs de circulation et de sécurité seront mis en place afin…

Lire la suite
LIVE !
Montage de la première tribune du circuit F1 aujourd’hui par l’Automobile Club de Monaco
20 mars 2019 - 15h31
Film « Les aventures de Jack Burton dans les griffes du Mandarin »
20 mars 2019 - 12h12
Jack Burton accompagne son ami Wang Chi à l'aéroport de San Francisco afin d'accueillir Miao Yin, la fiancée de ce dernier. Mais Miao Yin est convoitée par Lo Pan, un puissant sorcier désincarné qui pense pouvoir récupérer son enveloppe charnelle en épousant une chinoise aux yeux verts. Jack, simple camionneur, se retrouve au cœur de Chinatown, au beau milieu d'une lutte surnaturelle entre les puissances du Bien et du Mal orientales. Rendez-vous à 19h à la Sonothèque José Notari.
BNP Paribas sensibilise ses équipes à la transition énergétique
20 mars 2019 - 11h45
La banque BNP Paribas Wealth Management Monaco organisait hier en présence de la Mission pour la transition énergétique (MTE), devant plus de 90 salariés, une présentation sur ses engagements en la matière. Depuis plusieurs années, l’établissement développe de nombreuses actions dans cette perspective, notamment via la signature du Pacte National de la transition énergétique en 2018. Plusieurs membres de la MTE ont répondu aux différentes questions des salariés et recueilli de nouvelles signatures du Pacte National.
Conférence « Avec Voix et Éloquences » à la Maison de France
20 mars 2019 - 10h12
Cycle Culture et Francophonie 2019 : Conférence sur le thème "Avec Voix et Éloquences" par Jean-Philippe Lafont. Rendez-vous à 18h30.
La mission permanente de Monaco à l’ONU accueille Marc Rosen
20 mars 2019 - 09h26
Le mois de mars est traditionnellement celui de la femme à l’ONU, pendant lequel se déroule la commission de la condition de la femme. A cette occasion, Marc Rosen, designer de flacons de parfum iconiques a été invité. Le comité d’accueil des délégations onusiennes a pu découvrir le travail de conception des flacons de parfum. Marc Rosen a été vainqueur de septs Prix FIFI, équivalent des Oscars pour l’industrie du parfum. Il est le président chaque année du Luxe Pack.
Un guide pour la protection des tortues marines
20 mars 2019 - 08h10
Plongeurs, associations de plaisanciers, pêcheurs, capitaineries et autres pratiquants réguliers des eaux monégasques étaient présents hier au Musée océanographique pour acquérir les bons réflexes en cas de rencontre avec une tortue de mer. Retrouvez le guide ici.
Film « Free Zone » au Théâtre des Variétés ce soir
19 mars 2019 - 14h38
Projection organisée par l’Institut audiovisuel de Monaco à 20h.
Nouveaux horaires à la Bibliothèque Princesse Caroline et à la Ludothèque
18 mars 2019 - 14h09
A compter dès aujourd’hui : - Lundi :14h à 18h30 - Mardi, jeudi et vendredi : 10h à 12h – 14h à 18h30 - Mercredi : 10h à 12h – 13h à 18h30
VIDEOS

Simulation d'attentat au CHPG

Retour en images sur l'exercice qui s'est déroulé au CHPG, du jeudi 21 jusqu'au samedi 23 février, simulant divers incidents majeurs. Ici, plusieurs attaques ...

23 février 2019 - 17h02