• Info Pratique
  • Société

Henri Najjar : « Quelles responsabilités en cas de cyber-attaques ? »

22 septembre 2018 - 16h42

Avocat expert maritime au sein du cabinet Delviso, Henri Najjar était l’un des intervenants sur le sujet de la cybersécurité dans le yachting lors du Cluster organisé au Yacht Club de Monaco le 7 juin dernier. Il évoque les conséquences que les cyber-attaques peuvent engendrer et explique qu’aujourd’hui l’enjeu principal consiste à définir les responsabilités des acteurs du secteur maritime.

Quel était l’objet de votre intervention au Cluster du Yacht Club Monaco ?

Ce n’était pas une intervention individuelle sur un sujet déterminé mais un débat. Il y avait, entre autres, des experts, des courtiers en assurances, un ancien capitaine de navire et puis moi-même et l’on nous posait des questions autour du cyber et des responsabilités, de l’assurance, des risques liés et des mesures préventives de réduction du risque. A d’autres occasions, j’ai fait des interventions plus ciblées sur les incidences des cyber-attaques sur les responsabilités des différents intervenants dans le transport maritime ou dans le yachting, à savoir les propriétaires de navires, les affréteurs, les membres de l’équipage, etc.

Quelles sont le type d’affaires les plus fréquentes auxquelles vous êtes confronté ?

On ne peut pas dire qu’il y ait eu beaucoup d’affaires judiciaires liées aux cyber-attaques dans l’industrie maritime, en revanche, on connaît déjà quels sont les incidents les plus fréquents et donc les risques qu’il va falloir prévenir ou les clauses qu’il faut prévoir dans les contrats pour protéger les parties. En ce qui concerne le transport commercial, les cas les plus classiques restent les prises de contrôle d’un navire à partir du système informatique ou de GPS pour orienter le navire vers une autre destination, ainsi que la récupération frauduleuse de données ou de documents dans le but de récupérer sa marchandise. J’ai davantage été amené à donner des consultations sur ce sujet qu’à traiter un cas concret et j’interviens surtout au niveau de la prévention par l’identification des règlementations à suivre, la rédaction de contrats et de conditions générales, la détermination des risques à couvrir et la mise en contact avec les courtiers susceptibles de proposer des assurances adaptées…

Et dans le yachting ?

Les cyber-attaques vont du kidnapping criminel, cas le plus extrême et le plus grave, qui s’assimile à la piraterie maritime et se termine généralement par des négociations pour libérer les otages contre une demande de rançon, aux cas les plus fréquents, qui sont les détournements des données personnelles, mais qui peuvent avoir des incidences assez graves sur la vie privée des personnes. Généralement, cela se passe dans les coulisses car personne n’a envie d’amener ce type de débats sur la place publique. Vous pouvez également amener deux navires à entrer en collision en brouillant le système GPS et les données de navigation, les outils et éléments du navire étant de plus en plus automatisés.

Quels textes législatifs traitent des cyber-attaques ?

Il n’y a pas de législation spécifique régissant la responsabilité. Il existe des réglementations européennes telles que la directive NIS (Network and Information Security, NDLR) ou la réglementation GDPR (ou RGPD, Règlement Général sur la Protection des Données) et des lignes directrices au niveau étatique – en France, la direction des Affaires maritimes et en Angleterre, le ministère des transports – ou des organisations internationales consistant en des exigences ou recommandations à suivre pour prévenir ou réagir aux cyber-attaques. A partir de là, les règles de droit classiques continuent de s’appliquer.

Dans quels cas, la responsabilité d’une personne peut-elle être engagée ?

Si l’évènement cyber présente les caractéristiques de la force majeure, telle qu’entendue en droit, càd est imprévisible et insurmontable, il exonère le transporteur, propriétaire ou acteur qui a failli à ses obligations de tout responsabilité pour le dommage consécutif. S’il s’avère au contraire qu’il aurait pu être évité ou surmonté en prenant les actions préconisées ou les mesures adéquates, la responsabilité de la personne concernée pourra être engagée. L’on pourrait même lui reprocher une faute inexcusable, avec toutes les conséquences légales qui s’ensuivent, puisque l’éventualité d’une cyber-attaque n’est aujourd’hui plus l’exception mais la norme. La cyber-attaque n’est plus une attaque exceptionnelle, c’est la nature de cette attaque qui peut se révéler d’une ampleur exceptionnelle, mais le risque lui-même est devenu un risque normal. On recommande de sous-traiter toute la mise en place du système de protection contre les cyber-attaques à des sociétés professionnelles ou d’audits voire même de classifications. Ces sociétés, comme le Bureau Veritas ou ABS (American Bureau of Shipping, NDLR) octroient désormais aux navires des notations en cyber sécurité, en fonction de leur capacité à prévenir et résister aux attaques. L’imagination des pirates et terroristes étant sans limite, il faut anticiper continuellement les potentielles attaques de façon à circonscrire autant que possible le risque d’incidents ou de dommages.

Quelles condamnations encourent les pirates ?

Je n’ai pas traité de cas concret de condamnations dans le domaine maritime. Il s’agit d’actes qui ont un caractère civil délictuel et le cas échéant un caractère pénal. S’agissant d’un événement ayant des ramifications internationales, il y a la problématique de la loi applicable. Est-ce que l’on applique la loi française ou pas ? Si le délit est commis en France ou touche une personne française, on devrait pouvoir appliquer la loi française et saisir les juridictions françaises.  Par ailleurs il faut caractériser ce délit : s’agit-il d’une atteinte à un bien personnel, d’un détournement de données personnelles donc atteinte à la vie privée, d’une prise d’otages, d’une pollution… La nature du délit varie en fonction de l’évènement lui-même et peut engendrer des sanctions pénales ou civiles. La sanction civile sera la réparation de l’intégralité du préjudice, quant aux sanctions pénales, elles varient en fonction de la gravité de l’infraction identifiée. Même si le code pénal sanctionne en soi l’accès frauduleux à un système de traitement ou de transmission de données, c’est l’objet de la cyber-attaque qui caractérisera véritablement l’infraction.

Qui sont vos clients et notamment à Monaco ?

Des propriétaires de yachts et des courtiers sur Monaco. Ailleurs, plutôt des transporteurs, des assureurs et puis certains acteurs qui peuvent être indirectement concernés comme les entreprises qui installent ou gèrent les systèmes informatiques ou les données numériques. Ils veulent savoir comment se protéger s’il y a une intrusion dans le système ou un détournement des données. Tout le monde est concerné par les cyber-attaques. La crainte principale reste la nature et l’étendue de responsabilité. Les acteurs ne savent pas jusqu’où celle-ci peut être engagée. Elle peut être substantielle car l’on ne connaît pas les limites du dommage cyber.

A quel moment les attaques cyber ont-elles permis une prise de conscience dans le secteur maritime ?

Objectivement, c’est venu principalement d’un évènement maritime de grande envergure concernant la navigation commerciale : l’attaque massive en juin dernier qui a frappé principalement le transporteur commercial Maersk, numéro 1 mondial, qui ne pouvait plus traiter ses commandes ou assurer le suivi des marchandises, et a sérieusement perturbé le fonctionnement de plusieurs ports internationaux où il opère, notamment le port de Rotterdam et le port de Buenos Aires. Les pertes financières ont été colossales et ont amené tout le monde à se poser la question des responsabilités et enjeux financiers consécutifs à un évènement cyber. Cela a pris des proportions au-delà de l’aspect commercial maritime. Si l’on réfléchissait déjà à ces questions-là au niveau de la plaisance, la solution est devenue d’autant plus urgente. Il fallait surtout convaincre les compagnies d’assurance, qui traditionnellement n’assurent pas le risque cyber dans le maritime. Le rôle des courtiers est devenu d’autant plus important, il a fallu se rapprocher des différents assureurs pour essayer de concevoir une police d’assurance sur-mesure en fonction des risques cyber de chacun. C’est le défi qui me semble être le plus d’actualité : quels risques, jusqu’où doit-on assurer et quelles sont les compagnies d’assurance qui offrent de véritables solutions ?

A l’heure actuelle, il n’existe donc pas de réglementation. Quelles sont donc les recommandations ?

Je ne suis pas sûr que l’on ait besoin de réglementation spécifique, au-delà de celles préventives déjà existantes, qui seront amenées à évoluer avec le développement technologique. Aujourd’hui on peut traiter une cyber-attaque comme un événement normal auquel chacun peut être exposé. Le véritable problème c’est que les risques afférents sont insuffisamment garantis. Les assurances commencent à peine à proposer des couvertures adaptées. Autant dans les risques terrestres, il existe des assurances prévues depuis des années autant dans les risques maritimes c’est  expérimental et cela coûte encore trop cher. Mais les acteurs en ont pris conscience et il y a une évolution dans le bon sens. Sans besoin de légiférer, c’est le marché qui va amener des solutions.

 

Propos recueillis par Délia Dupouy 

Photo Principale ©DR

A lire aussi...

  • Société

Nice au premier rang pour l’aviation privée

16 juillet 2019 - 09h15

La plateforme de réservation de jets privés PrivateFly a détaillé, dans un rapport du 11 juillet, les destinations les plus en vogue, au premier rang desquelles on peut trouver l’aéroport…

Lire la suite
  • Société

Dites au revoir à la Fast Food avec EOLA

15 juillet 2019 - 16h34

Depuis quatre semaines, le restaurant EOLA, ouvert du lundi au samedi de 8h30 à 19h et situé sur la Place d’Armes, fait le buzz en Principauté. Poké bowl, avocado toast,…

Lire la suite
LIVE !
Atelier Lego à la Bibliothèque Caroline demain
16 juillet 2019 - 08h30
Animation gratuite et sur inscription pour les enfants à partir de 6 ans de 16h à 17h30.
CREM offre des places pour les répétitions des concerts au Palais
16 juillet 2019 - 08h00
Direction, Alain Altinoglu, Mezzo-soprano, Nora Gubish.  10 places sont offertes et réservées au membre de CREM. Rendez-vous demain dans la cour d’honneur du Palais à 20h30.
MC Summer Concert ce soir au Sporting à partir de 19h
15 juillet 2019 - 12h09
Les places gratuites sont à retirer au Grimaldi Forum, de 10h à 20h (deux billets par personne). Le concert est réservé aux jeunes Monégasques, résidents ou scolarisés en Principauté, âgés de 13 à 25 ans. Un justificatif sera demandé lors du retrait des places et à l’entrée du concert (carte d’identité monégasque, carte de résident ou carnet de correspondance). A la fin du concert, deux bus de la CAM feront des rotations au départ de la Salle des Etoiles en direction du Jardin exotique et de Saint Roman.
Atelier à quatre mains parents/enfants demain
15 juillet 2019 - 09h08
Animation gratuite et sur inscription, organisée de 10h à 11h à la Ludothèque.
Les Petits Chanteurs de Monaco au Royaume-Uni
14 juillet 2019 - 13h20
L’ambassade de Monaco au Royaume-Uni a accueilli, en début de mois  à Londres, les Petits Chanteurs de Monaco qui entamaient leur tournée de concerts sur le territoire Britannique. Le chœur s’est produit par autorisation spéciale à la Chapelle Royale de St. Peter-Ad-Vincula de la Tour de Londres, puis à l’Eglise Helvétique de Londres en présence de plusieurs ambassadeurs et membres de la communauté diplomatique londonienne. Les Petits Chanteurs poursuivront leur tournée par un concert à Notre Dame de France, leur troisième et dernière représentation dans la capitale, avant de prendre la route pour le nord de l’Angleterre et l’Ecosse.
Festival International d’Orgue à 17h à la Cathédrale
14 juillet 2019 - 13h16
Programme : Orgue à quatre mains et quatre pieds.
Soirée de Gala Russe
13 juillet 2019 - 15h48
Dès 20h au Yacht Club avec le guitariste Didula.
The Beach Boys à la Salle des Étoiles à 20h30
13 juillet 2019 - 10h20
Le groupe se produira dans le cadre du Sporting Summer Festival, à l’occasion de la soirée Fight Aids.
VIDEOS

Pouce La Vie #2

RetourEnImages Le concert #PouceLaVie2 a rassemblé plus de 200 personnes 🥁 Une belle réussite pour la Fondation Flavien qui a levé à ce jour 500 000 ...

2 avril 2019 - 16h05

La Gazette de Monaco Immo