• Info Pratique
  • Société

Henri Najjar : « Quelles responsabilités en cas de cyber-attaques ? »

22 septembre 2018 - 16h42

Avocat expert maritime au sein du cabinet Delviso, Henri Najjar était l’un des intervenants sur le sujet de la cybersécurité dans le yachting lors du Cluster organisé au Yacht Club de Monaco le 7 juin dernier. Il évoque les conséquences que les cyber-attaques peuvent engendrer et explique qu’aujourd’hui l’enjeu principal consiste à définir les responsabilités des acteurs du secteur maritime.

Quel était l’objet de votre intervention au Cluster du Yacht Club Monaco ?

Ce n’était pas une intervention individuelle sur un sujet déterminé mais un débat. Il y avait, entre autres, des experts, des courtiers en assurances, un ancien capitaine de navire et puis moi-même et l’on nous posait des questions autour du cyber et des responsabilités, de l’assurance, des risques liés et des mesures préventives de réduction du risque. A d’autres occasions, j’ai fait des interventions plus ciblées sur les incidences des cyber-attaques sur les responsabilités des différents intervenants dans le transport maritime ou dans le yachting, à savoir les propriétaires de navires, les affréteurs, les membres de l’équipage, etc.

Quelles sont le type d’affaires les plus fréquentes auxquelles vous êtes confronté ?

On ne peut pas dire qu’il y ait eu beaucoup d’affaires judiciaires liées aux cyber-attaques dans l’industrie maritime, en revanche, on connaît déjà quels sont les incidents les plus fréquents et donc les risques qu’il va falloir prévenir ou les clauses qu’il faut prévoir dans les contrats pour protéger les parties. En ce qui concerne le transport commercial, les cas les plus classiques restent les prises de contrôle d’un navire à partir du système informatique ou de GPS pour orienter le navire vers une autre destination, ainsi que la récupération frauduleuse de données ou de documents dans le but de récupérer sa marchandise. J’ai davantage été amené à donner des consultations sur ce sujet qu’à traiter un cas concret et j’interviens surtout au niveau de la prévention par l’identification des règlementations à suivre, la rédaction de contrats et de conditions générales, la détermination des risques à couvrir et la mise en contact avec les courtiers susceptibles de proposer des assurances adaptées…

Et dans le yachting ?

Les cyber-attaques vont du kidnapping criminel, cas le plus extrême et le plus grave, qui s’assimile à la piraterie maritime et se termine généralement par des négociations pour libérer les otages contre une demande de rançon, aux cas les plus fréquents, qui sont les détournements des données personnelles, mais qui peuvent avoir des incidences assez graves sur la vie privée des personnes. Généralement, cela se passe dans les coulisses car personne n’a envie d’amener ce type de débats sur la place publique. Vous pouvez également amener deux navires à entrer en collision en brouillant le système GPS et les données de navigation, les outils et éléments du navire étant de plus en plus automatisés.

Quels textes législatifs traitent des cyber-attaques ?

Il n’y a pas de législation spécifique régissant la responsabilité. Il existe des réglementations européennes telles que la directive NIS (Network and Information Security, NDLR) ou la réglementation GDPR (ou RGPD, Règlement Général sur la Protection des Données) et des lignes directrices au niveau étatique – en France, la direction des Affaires maritimes et en Angleterre, le ministère des transports – ou des organisations internationales consistant en des exigences ou recommandations à suivre pour prévenir ou réagir aux cyber-attaques. A partir de là, les règles de droit classiques continuent de s’appliquer.

Dans quels cas, la responsabilité d’une personne peut-elle être engagée ?

Si l’évènement cyber présente les caractéristiques de la force majeure, telle qu’entendue en droit, càd est imprévisible et insurmontable, il exonère le transporteur, propriétaire ou acteur qui a failli à ses obligations de tout responsabilité pour le dommage consécutif. S’il s’avère au contraire qu’il aurait pu être évité ou surmonté en prenant les actions préconisées ou les mesures adéquates, la responsabilité de la personne concernée pourra être engagée. L’on pourrait même lui reprocher une faute inexcusable, avec toutes les conséquences légales qui s’ensuivent, puisque l’éventualité d’une cyber-attaque n’est aujourd’hui plus l’exception mais la norme. La cyber-attaque n’est plus une attaque exceptionnelle, c’est la nature de cette attaque qui peut se révéler d’une ampleur exceptionnelle, mais le risque lui-même est devenu un risque normal. On recommande de sous-traiter toute la mise en place du système de protection contre les cyber-attaques à des sociétés professionnelles ou d’audits voire même de classifications. Ces sociétés, comme le Bureau Veritas ou ABS (American Bureau of Shipping, NDLR) octroient désormais aux navires des notations en cyber sécurité, en fonction de leur capacité à prévenir et résister aux attaques. L’imagination des pirates et terroristes étant sans limite, il faut anticiper continuellement les potentielles attaques de façon à circonscrire autant que possible le risque d’incidents ou de dommages.

Quelles condamnations encourent les pirates ?

Je n’ai pas traité de cas concret de condamnations dans le domaine maritime. Il s’agit d’actes qui ont un caractère civil délictuel et le cas échéant un caractère pénal. S’agissant d’un événement ayant des ramifications internationales, il y a la problématique de la loi applicable. Est-ce que l’on applique la loi française ou pas ? Si le délit est commis en France ou touche une personne française, on devrait pouvoir appliquer la loi française et saisir les juridictions françaises.  Par ailleurs il faut caractériser ce délit : s’agit-il d’une atteinte à un bien personnel, d’un détournement de données personnelles donc atteinte à la vie privée, d’une prise d’otages, d’une pollution… La nature du délit varie en fonction de l’évènement lui-même et peut engendrer des sanctions pénales ou civiles. La sanction civile sera la réparation de l’intégralité du préjudice, quant aux sanctions pénales, elles varient en fonction de la gravité de l’infraction identifiée. Même si le code pénal sanctionne en soi l’accès frauduleux à un système de traitement ou de transmission de données, c’est l’objet de la cyber-attaque qui caractérisera véritablement l’infraction.

Qui sont vos clients et notamment à Monaco ?

Des propriétaires de yachts et des courtiers sur Monaco. Ailleurs, plutôt des transporteurs, des assureurs et puis certains acteurs qui peuvent être indirectement concernés comme les entreprises qui installent ou gèrent les systèmes informatiques ou les données numériques. Ils veulent savoir comment se protéger s’il y a une intrusion dans le système ou un détournement des données. Tout le monde est concerné par les cyber-attaques. La crainte principale reste la nature et l’étendue de responsabilité. Les acteurs ne savent pas jusqu’où celle-ci peut être engagée. Elle peut être substantielle car l’on ne connaît pas les limites du dommage cyber.

A quel moment les attaques cyber ont-elles permis une prise de conscience dans le secteur maritime ?

Objectivement, c’est venu principalement d’un évènement maritime de grande envergure concernant la navigation commerciale : l’attaque massive en juin dernier qui a frappé principalement le transporteur commercial Maersk, numéro 1 mondial, qui ne pouvait plus traiter ses commandes ou assurer le suivi des marchandises, et a sérieusement perturbé le fonctionnement de plusieurs ports internationaux où il opère, notamment le port de Rotterdam et le port de Buenos Aires. Les pertes financières ont été colossales et ont amené tout le monde à se poser la question des responsabilités et enjeux financiers consécutifs à un évènement cyber. Cela a pris des proportions au-delà de l’aspect commercial maritime. Si l’on réfléchissait déjà à ces questions-là au niveau de la plaisance, la solution est devenue d’autant plus urgente. Il fallait surtout convaincre les compagnies d’assurance, qui traditionnellement n’assurent pas le risque cyber dans le maritime. Le rôle des courtiers est devenu d’autant plus important, il a fallu se rapprocher des différents assureurs pour essayer de concevoir une police d’assurance sur-mesure en fonction des risques cyber de chacun. C’est le défi qui me semble être le plus d’actualité : quels risques, jusqu’où doit-on assurer et quelles sont les compagnies d’assurance qui offrent de véritables solutions ?

A l’heure actuelle, il n’existe donc pas de réglementation. Quelles sont donc les recommandations ?

Je ne suis pas sûr que l’on ait besoin de réglementation spécifique, au-delà de celles préventives déjà existantes, qui seront amenées à évoluer avec le développement technologique. Aujourd’hui on peut traiter une cyber-attaque comme un événement normal auquel chacun peut être exposé. Le véritable problème c’est que les risques afférents sont insuffisamment garantis. Les assurances commencent à peine à proposer des couvertures adaptées. Autant dans les risques terrestres, il existe des assurances prévues depuis des années autant dans les risques maritimes c’est  expérimental et cela coûte encore trop cher. Mais les acteurs en ont pris conscience et il y a une évolution dans le bon sens. Sans besoin de légiférer, c’est le marché qui va amener des solutions.

 

Propos recueillis par Délia Dupouy 

Photo Principale ©DR

A lire aussi...

  • Société

La réouverture du centre nautique Albert II annoncée

18 janvier 2019 - 16h14

Après avoir dû, temporairement, fermer ses portes pour une remise en état, le centre nautique Albert II reprendra ses activités le 4 février prochain. L’annonce était attendue. Dans la nuit…

Lire la suite
  • Société

Joe Kals, un moral retrouvé

18 janvier 2019 - 13h23

Ce n’était qu’un mauvais passage à vide. Alors qu’il avait annoncé, il y a peu, mettre un terme à ses projets, le paraplégique de 57 ans repartira aux Etats-Unis pour…

Lire la suite
LIVE !
La liste des nommés aux Laureus World Sports Awards dévoilée, avec Kylian Mbappé et les Bleus
18 janvier 2019 - 17h15
Le 18 février, les plus chanceux recevront en Principauté les statuettes tant convoitées, synonymes de consécration aux Laureus World Sport Awards. De grands noms font partie de cette liste, dont Kylian Mbappé, l'équipe de France de football, Lewis Hamilton ou encore les Golden State Warriors.
Une journée de sensibilisation organisée par les étudiants de l’I.F.S.I.
18 janvier 2019 - 14h44
Cette journée de sensibilisation par les étudiants en Soins infirmiers (promotion Tony Varo), dont le thème était « Alerter, masser, défibriller », s’est déroulée le 17 janvier dans divers endroits stratégiques de Monaco, comme la place du Marché, la gare et la galerie commerciale de Fontvieille, avec l’aide de la section secourisme de la Croix-Rouge monégasque et du corps des Sapeurs-Pompiers de Monaco.
Les préventes pour l’exposition "Dali, une histoire de la peinture" au Grimaldi Forum sont disponibles
17 janvier 2019 - 15h57
Exposition prévue du 6 juillet au 8 septembre à l’espace Ravel, il est d’ores et déjà possible d'acquérir une prévente en ligne ou directement à la billetterie du Grimaldi Forum, au tarif de 6 euros par personne.
Le Marché de La Condamine se met à l’heure du cirque le samedi 19 janvier
17 janvier 2019 - 14h48
Dans le cadre du 43e Festival International du Cirque de Monte-Carlo, une animation sera proposée par la troupe des « Clowns en Folie » samedi 19 janvier de 11h à 12h30 sur la place d’Armes et à l'intérieur de la Halle du Marché de La Condamine.
Les Ballets de Monte-Carlo au Théâtre des Champs Elysées à Paris : du 8 au 10 février
16 janvier 2019 - 12h22
Le 43e Festival International du Cirque de Monte-Carlo ouvre ses portes du 17 au 27 janvier
16 janvier 2019 - 10h55
Plus de 150 artistes, originaires de 15 pays, se produiront sur la célèbre piste du chapiteau de Fontvieille pour gagner les récompenses suprêmes, les Clowns d’Or, d’Argent de Bronze qui récompenseront leurs carrières.
Victoire de l’ASM Basket face à l’équipe serbe KK Partizan NIS en Eurocup (72-68)
16 janvier 2019 - 10h53
La meilleure demifondeuse en Europe, Sifan Hassan sera présente pour le 5km Herculis
16 janvier 2019 - 10h51
La détentrice des records d'Europe du 5 000m sur piste et du semi-marathon sera présente le 17 février à Monaco pour le 5km Herculis.
VIDEOS

La Gazette de Monaco

19 décembre 2018 - 10h16