Les dommages causés par CrowdStrike: qui va payer?

Notre dépendance croissante à l’égard des nouvelles technologies peut générer des problèmes importants aux entreprises et à la société. Cela est apparu malheureusement une fois de plus, lorsqu’une mise à jour logicielle de la firme de sécurité CrowdStrike a paralysé le trafic aérien, les hôpitaux et toute une série d’entreprises dans le monde entier. Au grand désappointement des clients. Maintenant que la tempête s’est calmée, les entreprises touchées se posent la même question: qui va payer les dommages subis? CrowdStrike bien sûr, pourriez-vous penser, mais la réponse n’est pas si simple.

La capacité des entreprises à tenir CrowdStrike responsable des dommages dépend des accords contractuels applicables fixés entre les parties, qui tombent souvent sous le coup du droit étranger. Ainsi, pour de nombreuses entreprises, il s’agit d’examiner à la loupe les petits caractères de leurs clauses contractuelles. Celles-ci contiennent en effet souvent des limitations de responsabilité de grande portée pour le fournisseur de services, en l’occurrence CrowdStrike. Pensez aux limites des réclamations jusqu’à un certain montant, qu’elles soient liées ou non à la couverture d’assurance maximale. Cela va même jusqu’à l’exclusion totale de responsabilité pour les dommages dits ‘indirects’ (ou dommages consécutifs).

Crédits de service

En outre, les accords prévoient souvent l’application de crédits de service. Il s’agit là d’une sorte de compensation financière qui s’applique, lorsque les services convenus n’ont pas été fournis. Les crédits de service sont souvent utilisés dans les contrats qui garantissent une certaine disponibilité du service, par exemple, 95 pour cent du temps. Le danger de ce genre de crédits est qu’ils sont parfois considérés comme la seule forme d’indemnisation, ce qui signifie qu’il n’est plus possible d’indemniser davantage les dommages réels subis. Dans l’éventualité d’un incident de cette ampleur, cela pourrait entraîner un remboursement plusieurs fois inférieur au dommage réel subi.

Il va sans dire qu’en plus d’un bilan financier exorbitant, les cyber-incidents de cette ampleur soulèvent également des questions sur la protection des données et la cybersécurité. Qui plus est, certaines autorités interprètent une ‘fuite de données’ de manière très large. D’autres considèrent également la simple indisponibilité des données personnelles pendant un certain temps comme un incident qui doit être signalé conformément aux dispositions du RGPD. Les entreprises concernées doivent donc également en tenir compte.

Et maintenant: NIS2 à la rescousse?

La nouvelle législation sur la cybersécurité (NIS2) qui entrera en vigueur en octobre, mérite également l’attention nécessaire. Elle prévoit de nouvelles obligations pour de nombreuses entreprises des secteurs dits ‘essentiels’ et ‘critiques’ dans le domaine de la prévention des incidents liés à la cybersécurité, mais aussi en matière de signalement de ce genre d’incidents. Les entreprises de télécommunications et les prestataires de services financiers devaient déjà être parés à de tels incidents. A partir d’octobre, ces obligations et d’autres encore s’appliqueront aussi à des secteurs tels que l’IT (en particulier les fournisseurs de services cloud), les soins de santé, l’énergie et les transports.

Les organisations qui relèveront de la loi NIS2, seront obligées de prendre un certain nombre de mesures: renforcer la protection préventive, former la direction à la cybersécurité et signaler immédiatement les cyber-incidents au CCB (Centre pour la Cybersécurité Belgique), même s’il n’y a pas d’impact sur les données personnelles.

Si l’incident de CrowdStrike nous a appris quelque chose, c’est qu’il reste encore beaucoup à faire en matière de cybersécurité. Les entreprises doivent être informées des obligations légales qu’elles-mêmes ou leurs prestataires de services informatiques doivent respecter. Surtout pour les firmes fortement dépendantes du cloud, des accords clairs sont nécessaires concernant la continuité des services, les garanties minimales éventuelles et la conclusion d’une assurance contre les cyber-risques.

Pour l’instant, cependant, la responsabilité potentielle de CrowdStrike sera principalement déterminée par les accords concrets figurant dans les contrats en cours.