- in European Union
La question paraît absurde. Elle est pourtant au cœur du déni qui paralyse, chaque jour, les comités de direction français. Aucun texte ne dresse la liste des cibles licites. Mais l’absence de préparation revient, en pratique, à se porter volontaire.
Un chef d’entreprise m’interrogeait récemment : « Mon secteur est-il réellement concerné ? » La question, courtoise, portait en elle l’ensemble du problème. Le droit pénal français, depuis la loi Godfrain du 5 janvier 1988, protège indistinctement tout système de traitement automatisé de données. Le Code pénal, en ses articles 323-1 à 323-7, ne connaît ni exemption de secteur, ni seuil de taille, ni privilège d’exposition. Il vise « tout » système. Ce mot de trois lettres change tout.
Le législateur a fait un choix radical, et il faut en mesurer la portée. Il n’a pas défini la cybercriminalité par la qualité de la victime, mais par la nature de l’objet protégé : le système, la donnée, la communication. Qu’importe, dès lors, que l’entreprise soit une multinationale du CAC 40 ou un cabinet de trois personnes ; qu’elle soit opérateur d’importance vitale ou association loi 1901 ; qu’elle gère des milliards d’euros ou un simple fichier de membres. Dès qu’un système d’information existe, une victime potentielle existe. Et dès qu’une attaque survient, un cadre pénal s’applique.
Le mythe rassurant de la cible « trop petite »
Cette croyance tenace — « nous sommes trop modestes pour intéresser les cybercriminels » — relève désormais du récit de fiction. Les statistiques démentent avec constance ce postulat. Les PME, ETI, TPE, professions libérales, associations, fondations, ordres professionnels figurent au premier rang des victimes de rançongiciels. La raison est prosaïque : là où les grands groupes investissent massivement dans leur sécurité, les structures intermédiaires offrent aux attaquants un rapport effort-bénéfice nettement plus favorable.
La jurisprudence illustre cette réalité depuis longtemps. Les juridictions ont déjà condamné, sur le fondement de l’article 323-2 du Code pénal, un prestataire informatique pour l’insertion de « bombes logiques » paralysant le système d’une entreprise cliente afin de forcer le paiement de factures. Elles ont également sanctionné un responsable d’audit ayant menacé d’activer des dispositifs comparables au sein de son propre groupe. Dans les deux cas, la victime n’était ni une banque, ni un opérateur régulé ; c’était une entreprise ordinaire, dotée d’un système d’information ordinaire, prise au piège d’une technologie qu’elle n’avait pas su gouverner.
L’illusion de la sécurité comme alibi
Un autre réflexe défensif consiste à invoquer, a posteriori, l’évidence de la faille : « nous n’avions pas les moyens », « la vulnérabilité était connue », « le prestataire avait failli ». La Cour de cassation a clos ce débat. Dans une décision restée topique en matière de maintien frauduleux, elle a confirmé la condamnation d’un auteur qui s’était introduit dans un système insuffisamment protégé. La défaillance technique de la victime n’exonère pas l’attaquant — elle ne l’exonère d’ailleurs jamais. L’absence de porte verrouillée n’autorise pas l’effraction.
Mais cette lecture n’épuise pas la question. Car si la victime demeure pénalement protégée, elle n’est nullement affranchie, sur un autre terrain, de ses propres responsabilités. Le RGPD lui oppose, à l’article 32, une obligation de sécurité des traitements. La directive NIS 2, transposée en droit français, impose à des centaines de milliers d’entités des obligations de gestion du risque cyber et de notification des incidents. Le règlement DORA astreint le secteur financier à une résilience opérationnelle documentée. Le Cyber Resilience Act étendra bientôt cette exigence aux produits numériques. Et la CNIL, dont le programme de contrôles 2026 place la cybersécurité parmi ses priorités, est désormais disposée à sanctionner les défauts de sécurité avec une fermeté inédite.
De la victime passive à l’acteur vigilant
Un déplacement silencieux s’est opéré, qu’il faut nommer. Longtemps, la cyberattaque fut perçue comme un accident, une fatalité technique, un orage venu d’ailleurs. Elle est aujourd’hui traitée, dans le droit français comme européen, pour ce qu’elle est : un risque ordinaire de l’activité économique, dont la maîtrise relève de la gouvernance. Le dirigeant qui ignore ce risque ne plaide plus l’imprévu ; il engage sa responsabilité civile, parfois pénale, toujours réputationnelle.
Les conséquences pratiques sont considérables. Une attaque, aujourd’hui, ne se mesure plus seulement au coût de la remédiation technique. Elle enclenche un cortège d’obligations : notification à la CNIL sous soixante-douze heures en cas de violation de données personnelles, information des personnes concernées, coopération avec l’ANSSI pour les entités régulées, déclaration à l’assureur cyber, gestion de la communication de crise, discussions avec les partenaires bancaires et les clients stratégiques. L’attaque n’est plus un évènement — c’est un processus juridique, dont chaque étape peut donner lieu à contentieux.
Ce que les textes imposent vraiment
Au-delà des obligations sectorielles, trois exigences traversent désormais l’ensemble de l’économie. La première est documentaire : toute entreprise doit pouvoir démontrer qu’elle a identifié ses risques, cartographié ses traitements, adopté des mesures techniques et organisationnelles proportionnées. En la matière, l’absence d’écrit équivaut à une présomption défavorable. La deuxième est contractuelle : les relations avec les sous-traitants, hébergeurs, éditeurs et prestataires infogérants doivent être encadrées par des clauses de sécurité précises, auditées, révisées. Une défaillance contractuelle en amont devient, en cas de crise, une défaillance opposable. La troisième est humaine : la sensibilisation des équipes n’est plus une option de confort, elle est un élément de diligence dont l’absence se retournera, le jour venu, contre le dirigeant.
Sortir du déni, par le droit
L’entreprise française n’a pas besoin d’une nouvelle prise de conscience ; elle a besoin d’une traduction opérationnelle. Le droit offre, pour cela, des outils remarquables. Une analyse d’impact bien conduite vaut mieux qu’un plan de continuité abstrait. Une convention de sous-traitance rigoureuse protège davantage qu’une police d’assurance standard. Une gouvernance documentée — registre des traitements tenu à jour, politique de sécurité des systèmes d’information, plan de réponse aux incidents, programme de formation — transforme l’exposition subie en exposition maîtrisée.
Car il existe bien, en définitive, deux listes. Celle — imaginaire — des entreprises autorisées à être attaquées : elle n’existe pas, et n’existera jamais. Et celle — bien réelle — des entreprises qui auront, par leur inertie, facilité le travail de leurs agresseurs et alourdi leur propre responsabilité juridique. Cette seconde liste, ce sont les dirigeants qui la rédigent, chaque jour, par ce qu’ils font — ou ne font pas.
Le droit français ne désigne pas les victimes. Il désigne les vigilants.
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.
[View Source]