• Info Pratique
  • Société

Henri Najjar : « Quelles responsabilités en cas de cyber-attaques ? »

22 septembre 2018 - 16h42

Avocat expert maritime au sein du cabinet Delviso, Henri Najjar était l’un des intervenants sur le sujet de la cybersécurité dans le yachting lors du Cluster organisé au Yacht Club de Monaco le 7 juin dernier. Il évoque les conséquences que les cyber-attaques peuvent engendrer et explique qu’aujourd’hui l’enjeu principal consiste à définir les responsabilités des acteurs du secteur maritime.

Quel était l’objet de votre intervention au Cluster du Yacht Club Monaco ?

Ce n’était pas une intervention individuelle sur un sujet déterminé mais un débat. Il y avait, entre autres, des experts, des courtiers en assurances, un ancien capitaine de navire et puis moi-même et l’on nous posait des questions autour du cyber et des responsabilités, de l’assurance, des risques liés et des mesures préventives de réduction du risque. A d’autres occasions, j’ai fait des interventions plus ciblées sur les incidences des cyber-attaques sur les responsabilités des différents intervenants dans le transport maritime ou dans le yachting, à savoir les propriétaires de navires, les affréteurs, les membres de l’équipage, etc.

Quelles sont le type d’affaires les plus fréquentes auxquelles vous êtes confronté ?

On ne peut pas dire qu’il y ait eu beaucoup d’affaires judiciaires liées aux cyber-attaques dans l’industrie maritime, en revanche, on connaît déjà quels sont les incidents les plus fréquents et donc les risques qu’il va falloir prévenir ou les clauses qu’il faut prévoir dans les contrats pour protéger les parties. En ce qui concerne le transport commercial, les cas les plus classiques restent les prises de contrôle d’un navire à partir du système informatique ou de GPS pour orienter le navire vers une autre destination, ainsi que la récupération frauduleuse de données ou de documents dans le but de récupérer sa marchandise. J’ai davantage été amené à donner des consultations sur ce sujet qu’à traiter un cas concret et j’interviens surtout au niveau de la prévention par l’identification des règlementations à suivre, la rédaction de contrats et de conditions générales, la détermination des risques à couvrir et la mise en contact avec les courtiers susceptibles de proposer des assurances adaptées…

Et dans le yachting ?

Les cyber-attaques vont du kidnapping criminel, cas le plus extrême et le plus grave, qui s’assimile à la piraterie maritime et se termine généralement par des négociations pour libérer les otages contre une demande de rançon, aux cas les plus fréquents, qui sont les détournements des données personnelles, mais qui peuvent avoir des incidences assez graves sur la vie privée des personnes. Généralement, cela se passe dans les coulisses car personne n’a envie d’amener ce type de débats sur la place publique. Vous pouvez également amener deux navires à entrer en collision en brouillant le système GPS et les données de navigation, les outils et éléments du navire étant de plus en plus automatisés.

Quels textes législatifs traitent des cyber-attaques ?

Il n’y a pas de législation spécifique régissant la responsabilité. Il existe des réglementations européennes telles que la directive NIS (Network and Information Security, NDLR) ou la réglementation GDPR (ou RGPD, Règlement Général sur la Protection des Données) et des lignes directrices au niveau étatique – en France, la direction des Affaires maritimes et en Angleterre, le ministère des transports – ou des organisations internationales consistant en des exigences ou recommandations à suivre pour prévenir ou réagir aux cyber-attaques. A partir de là, les règles de droit classiques continuent de s’appliquer.

Dans quels cas, la responsabilité d’une personne peut-elle être engagée ?

Si l’évènement cyber présente les caractéristiques de la force majeure, telle qu’entendue en droit, càd est imprévisible et insurmontable, il exonère le transporteur, propriétaire ou acteur qui a failli à ses obligations de tout responsabilité pour le dommage consécutif. S’il s’avère au contraire qu’il aurait pu être évité ou surmonté en prenant les actions préconisées ou les mesures adéquates, la responsabilité de la personne concernée pourra être engagée. L’on pourrait même lui reprocher une faute inexcusable, avec toutes les conséquences légales qui s’ensuivent, puisque l’éventualité d’une cyber-attaque n’est aujourd’hui plus l’exception mais la norme. La cyber-attaque n’est plus une attaque exceptionnelle, c’est la nature de cette attaque qui peut se révéler d’une ampleur exceptionnelle, mais le risque lui-même est devenu un risque normal. On recommande de sous-traiter toute la mise en place du système de protection contre les cyber-attaques à des sociétés professionnelles ou d’audits voire même de classifications. Ces sociétés, comme le Bureau Veritas ou ABS (American Bureau of Shipping, NDLR) octroient désormais aux navires des notations en cyber sécurité, en fonction de leur capacité à prévenir et résister aux attaques. L’imagination des pirates et terroristes étant sans limite, il faut anticiper continuellement les potentielles attaques de façon à circonscrire autant que possible le risque d’incidents ou de dommages.

Quelles condamnations encourent les pirates ?

Je n’ai pas traité de cas concret de condamnations dans le domaine maritime. Il s’agit d’actes qui ont un caractère civil délictuel et le cas échéant un caractère pénal. S’agissant d’un événement ayant des ramifications internationales, il y a la problématique de la loi applicable. Est-ce que l’on applique la loi française ou pas ? Si le délit est commis en France ou touche une personne française, on devrait pouvoir appliquer la loi française et saisir les juridictions françaises.  Par ailleurs il faut caractériser ce délit : s’agit-il d’une atteinte à un bien personnel, d’un détournement de données personnelles donc atteinte à la vie privée, d’une prise d’otages, d’une pollution… La nature du délit varie en fonction de l’évènement lui-même et peut engendrer des sanctions pénales ou civiles. La sanction civile sera la réparation de l’intégralité du préjudice, quant aux sanctions pénales, elles varient en fonction de la gravité de l’infraction identifiée. Même si le code pénal sanctionne en soi l’accès frauduleux à un système de traitement ou de transmission de données, c’est l’objet de la cyber-attaque qui caractérisera véritablement l’infraction.

Qui sont vos clients et notamment à Monaco ?

Des propriétaires de yachts et des courtiers sur Monaco. Ailleurs, plutôt des transporteurs, des assureurs et puis certains acteurs qui peuvent être indirectement concernés comme les entreprises qui installent ou gèrent les systèmes informatiques ou les données numériques. Ils veulent savoir comment se protéger s’il y a une intrusion dans le système ou un détournement des données. Tout le monde est concerné par les cyber-attaques. La crainte principale reste la nature et l’étendue de responsabilité. Les acteurs ne savent pas jusqu’où celle-ci peut être engagée. Elle peut être substantielle car l’on ne connaît pas les limites du dommage cyber.

A quel moment les attaques cyber ont-elles permis une prise de conscience dans le secteur maritime ?

Objectivement, c’est venu principalement d’un évènement maritime de grande envergure concernant la navigation commerciale : l’attaque massive en juin dernier qui a frappé principalement le transporteur commercial Maersk, numéro 1 mondial, qui ne pouvait plus traiter ses commandes ou assurer le suivi des marchandises, et a sérieusement perturbé le fonctionnement de plusieurs ports internationaux où il opère, notamment le port de Rotterdam et le port de Buenos Aires. Les pertes financières ont été colossales et ont amené tout le monde à se poser la question des responsabilités et enjeux financiers consécutifs à un évènement cyber. Cela a pris des proportions au-delà de l’aspect commercial maritime. Si l’on réfléchissait déjà à ces questions-là au niveau de la plaisance, la solution est devenue d’autant plus urgente. Il fallait surtout convaincre les compagnies d’assurance, qui traditionnellement n’assurent pas le risque cyber dans le maritime. Le rôle des courtiers est devenu d’autant plus important, il a fallu se rapprocher des différents assureurs pour essayer de concevoir une police d’assurance sur-mesure en fonction des risques cyber de chacun. C’est le défi qui me semble être le plus d’actualité : quels risques, jusqu’où doit-on assurer et quelles sont les compagnies d’assurance qui offrent de véritables solutions ?

A l’heure actuelle, il n’existe donc pas de réglementation. Quelles sont donc les recommandations ?

Je ne suis pas sûr que l’on ait besoin de réglementation spécifique, au-delà de celles préventives déjà existantes, qui seront amenées à évoluer avec le développement technologique. Aujourd’hui on peut traiter une cyber-attaque comme un événement normal auquel chacun peut être exposé. Le véritable problème c’est que les risques afférents sont insuffisamment garantis. Les assurances commencent à peine à proposer des couvertures adaptées. Autant dans les risques terrestres, il existe des assurances prévues depuis des années autant dans les risques maritimes c’est  expérimental et cela coûte encore trop cher. Mais les acteurs en ont pris conscience et il y a une évolution dans le bon sens. Sans besoin de légiférer, c’est le marché qui va amener des solutions.

 

Propos recueillis par Délia Dupouy 

Photo Principale ©DR

A lire aussi...

  • Economie
  • Société

SBM : les fruits d’une stratégie

20 septembre 2019 - 17h18

Les actionnaires de la SBM ont approuvé ce matin les comptes de l’exercice 2018/2019 en sensible amélioration par rapport à l’exercice précédent. À cette occasion, le président délégué, Jean-Luc Biamonti,…

Lire la suite
  • Extension en mer
  • Société

Grimaldi Forum, premier producteur d'énergie verte de la Principauté

20 septembre 2019 - 15h56

Le centre de congrès et d’évènements a inauguré ce matin un espace de 2 500m2 de panneaux solaires sur sa toiture. Ce projet d’envergure s’inscrit dans la politique de transition…

Lire la suite
LIVE !
Numéro d’information pour les victimes de violences
20 septembre 2019 - 16h20
Un nouveau numéro d’information vient d’être mis en place pour les victimes de violences, qui pourront disposer de renseignements gratuitement en composant le 0 800 91 90 10 depuis un téléphone fixe ou mobile sur le territoire monégasque.
Nolwenn Leroy en concert ce samedi
19 septembre 2019 - 10h11
L’auteure-compositrice-interprète et multi-instrumentiste française enchantera la scène de l’Espace Léo Ferré ce week-end. Un interview avec l’artiste sera disponible prochainement.
Présentation de la rentrée culturelle de la Médiathèque à 18h30
19 septembre 2019 - 10h10
J-1 Concert de chants corses par Jean Menconi au Jardin exotique
19 septembre 2019 - 09h10
Cet évènement a été organisé dans le cadre du dixième anniversaire du jumelage entre Monaco et Lucciana. D’autres manifestations auront lieu jusqu’au 21 septembre.
Démontage de la fontaine de Guy Lartigue au Larvotto
18 septembre 2019 - 11h38
Intitulée « Hommage à la Princesse Grace », cette fontaine fait partie des collections du NMNM et est actuellement en cours de démontage. Le chantier mené par Brice Lartigue, fils de l’artiste, a démarré au mois de juin 2019. Cette semaine ont lieu le découpage et la dépose des grandes colonnes d’eau, qui seront mises en caisses et transportées vers un atelier spécialisé de restauration. « Hommage à la Princesse Grace » sera intégralement restaurée, dans l'optique de sa future réinstallation en Principauté.
Le corps des Sapeurs-Pompiers reçoit la visite du général commandant la brigade des Sapeurs-Pompiers de Paris
18 septembre 2019 - 10h00
A l'ordre du jour de ce déplacement : un échange sur de nombreux sujets opérationnels d'actualité et sur le recrutement, une démonstration statique de matériels d'intervention spécifiques au sein des deux centres de secours, une présentation du concept d'emploi et d'engagement des moyens en Principauté, un bilan sur la convention de partenariat opérationnel signée le 19 juillet 2017 entre les deux unités.
Atelier ludique et éducatif « Lego Technic » à 16h à la Bibliothèque Caroline
18 septembre 2019 - 09h15
Animation musicale « Chantons ! » à 14h à la Bibliothèque Caroline
18 septembre 2019 - 09h00
VIDEOS

Pouce La Vie #2

RetourEnImages Le concert #PouceLaVie2 a rassemblé plus de 200 personnes 🥁 Une belle réussite pour la Fondation Flavien qui a levé à ce jour 500 000 ...

2 avril 2019 - 16h05

La Gazette de Monaco Immo