OBLIGATION DE CONSEIL DU PRESTATAIRE ET CYBERATTAQUE

Mathieu MARTIN, Avocat associé

Si les faits dont était saisie la Cour d’appel de Rennes visaient un cas malheureusement devenu classique, à savoir la paralysie de l’activité d’une société victime d’une cyber attaque, la solution qu’elle donne dans son arrêt du 19 novembre 2024 ,au titre des obligations incombant au prestataire IT, est revanche inédite.

Les prestations commandées

Une société A fabricant de portails a souhaité développer son infrastructure informatique et a fait appel aux services de la société B.


Sur la base d’un projet de remplacement des serveurs et de la baie SAN établi par la société A, cliente, la société B, prestataire, lui a proposé le renouvellement de ses infrastructures.

Il n’est pas relevé que la société B aurait répondu de manière incomplète au cahier des charges du client A. Le cahier des charges ne visait en revanche aucun principe de cybersécurité.

Au titre des prestations, une dernière phase visait la rédaction d’un cahier d’exploitation, rédaction d’un plan de sauvegarde, des procédures, une modification supervision, une recette finale.

La cyber-attaque

Quelque mois après, le client a été victime d’une cyberattaque par rançongiciel ayant entrainé un chiffrement complet de son système d’information, dont les systèmes de sauvegarde. L’activité du client a été intégralement à l’arrêt durant une semaine. Elle a repris son activité progressivement.

Les manquements relevés 

Les diagnostics de l’incident ont conclu à d’importantes failles du matériel informatique qui a permis aux cybercriminels de s’introduire dans le système d’information, ces failles ayant été aggravées par une mauvaise configuration du contrôleur de domaine, installé par le prestataire et une perte de donnée du fait de l’absence de sauvegarde déconnectées.

La société cliente a assigné son prestataire aux fins de le voir condamner à lui régler différents préjudices subis (perte de données, cout externe de remise en état…).

La Cour va ainsi juger que même si le prestataire « estimait que le document transmis par le client n’était pas suffisamment précis sur la définition des attentes », le Prestataire devait solliciter le Client pour faire préciser sa commande. Au besoin le Prestataire devait conseiller son client sur l’architecture nécessaire à la sécurisation de ses données et lui signaler que ses travaux ne comportaient pas l’installation de sauvegardes déconnectées.

C’est sur ce dernier point des sauvegardes que la Cour va juger un manquement à l’obligation de conseil.

L’OBLIGATION DE CONSEIL EN MATIERE INFORMATIQUE

Rappel des principes

Il est constant que le prestataire informatique est tenu à une obligation de conseil vis à vis de son client, compte tenu de la nature des prestations, et ce en application de l’Article 1112-1 du code civil qui dispose notamment

« Celle des parties qui connaît une information dont l’importance est déterminante pour le consentement de l’autre doit l’en informer dès lors que, légitimement, cette dernière ignore cette information ou fait confiance à son cocontractant.

(…) Il incombe à celui qui prétend qu’une information lui était due de prouver que l’autre partie la lui devait, à charge pour cette autre partie de prouver qu’elle l’a fournie. »

La Cour va ainsi rappeler tout d’abord « qu’en matière de prestations informatiques comprenant l’installation d’une nouvelle architecture, considérées comme un produit complexe, le fournisseur a l’obligation de s’assurer que ses prestations répondent aux besoins de son client, qu’il aura analysés ».

La Cour va juger, aidée par des rapports d’audits dont elle cite de nombreux passages, un défaut de conseil quant à l’absence de sauvegardes externalisées ou déconnectées : « Au besoin elle devait la conseiller sur l’architecture nécessaire à la sécurisation de ses données et lui signaler que ses travaux ne comportaient pas l’installation de sauvegardes déconnectées ».

C’est ainsi que la Cour va faire droit à une demande d’indemnisation du clientsans pour autant accueillir l’ensemble des préjudices opposés : « Son indemnisation doit être mesurée à la chance perdue d’éviter le fishing mais ne peut être égale au dommage résultant de ce sinistre ».

Sans analyser les différents postes de préjudices, et leur appréciation par la Cour, nous attirons néanmoins l’attention du lecteur sur l’intérêt de cet arrête qui permet de rappeler précisément ce qui peut ou non être indemnisable et comment un préjudice doit être justifié.

Une sévérité liée au cas d’espèce ?

Si nous pouvons considérer, par rapport à l’objet même de la prestation, qu’un minimum de conseil lié aux risques de cyber attaque aurait pu encadrer la fourniture d’un système de sauvegarde, il sera cependant relevé que la Cour va relever différents éléments qui, à notre sens, viennent renforcer un manque de conseil en matière de cybersécurité au regard des faits de l’espèce.

Ainsi, la Cour:

  • va relever que « la proposition commerciale du prestataire visait les mentions suivantes :  «  Objectifs, une sécurité renforcée »,  
  • va rappeler que les conditions générales de vente stipulaient :  « B s’engage à mettre en œuvre les mesures de sécurité techniques et d’organisation de systèmes de services se conformant aux normes standards et aux usages internationaux applicables dans son secteur d’activités, notamment afin d’empêcher l’accès accidentel ou non autorisé aux infrastructures et données supportant l’application et/ou la solution logicielle et/ou le site internet objet(s) du Contrat ». La Cour aurait pu profiter de ce libellé pour davantage préciser quelle portée il convenait de tirer du libellé suivant   « normes standards et aux usages internationaux applicables dans son secteur d’activités »
  • va prendre en compte la qualité du client, à savoir que « La société A fabrique des portails. Elle n’est pas un professionnel de l’informatique » et indiquer que la présence d’un service informatique chez le Client n’est pas un élément d’atténuation de l’obligation de conseil du prestataire : « Le service informatique de la société A est constituée de trois personnes qui ne peuvent se voir attribuer les mêmes compétences expertales que celles qui sont revendiquées par la société B qui s’affiche spécialiste en matière de cybersécurité ».
  • La qualité de « spécialiste en matière de cybersécurité » a probablement pu jouer dans l’approche de la Cour, tout en notant, de manière assez étonnante, que la valeur de la prestation devait aussi être pris en compte « Cette mission incombait à la société B spécialisée en ingénierie informatique au regard du coût de son intervention, notamment ». Doit-on en déduire en déduire que si le coût de la prestation avait été moindre, l’obligation du prestataire aurait été moindre ?

LA COUR D’APPEL, FAIRE VALOIR DE L’AGENCE NATIONALE DE LA SECURITE DES SYSTEMES D’INFORMATION (ANSSI)

Sur la base des rapports d’audit que la Cour s’est appropriés, il est relevé : Ainsi si elle estimait que le document transmis par la société A n’était pas suffisamment précis sur la définition des attentes, la société B devait la solliciter pour faire préciser sa commande. Au besoin elle devait la conseiller sur l’architecture nécessaire à la sécurisation de ses données et lui signaler que ses travaux ne comportaient pas l’installation de sauvegardes déconnectées.

 (…)

Les manquements de la société B sont à l’origine des préjudices subis par la société A. Le défaut d’information et de conseil de la société B sur les incidences d’une sauvegarde déconnectée a fait perdre à la société A la chance d’éviter le sinistre »

Il est intéressant de relever que l’ANSII a publié depuis de nombreuses années « UN GUIDE D’HYGIENE INFORMATIQUE visant à renforcer la sécurité de son système d’information en 42 mesures

Plus précisément et au titre des sauvegardes, il est indiqué :  

Les données vitales au bon fonctionnement de l’entité que détiennent les postes utilisateurs et les serveurs doivent faire l’objet de sauvegardes régulières et stockées sur des équipements déconnectés, et leur restauration doit être vérifiée de manière périodique. En effet, de plus en plus de petites structures font l’objet d’attaques rendant ces données indisponibles (par exemple pour exiger en contrepartie de leur restitution le versement d’une somme conséquente (rançongiciel)).

Cette recommandation datant de 2017 était prémonitoire, l’hypothèse visée ci-dessus constituant le cas d’espèce de cette affaire.

CONCLUSION

Au regard des faits de l’espèce, on peut désormais conclure que le fait de fournir un service de sauvegarde implique, a minima, un conseil sur la cyber sécurité associée, et les limites ou non, de la configuration proposée, et donc un choix, en connaissance de cause, par le Client de la prestation. Plus généralement, les faits de l’espèce dataient de 2020. Le contexte actuel, outre certaines réglementations plus sectorielles comme la transposition en cours de la Directive NIS 2  impliquent que la problématique de la cybersécurité ne peut plus être ignorée.

Ceci doit également amener les prestataires IT à rédiger des propositions commerciales et/ou des conditions contractuelles précisant les limites de leurs engagements ou/prestations et des conséquences en découlant 

Table des matières
Continuez votre lecture
L’Actu d’adVALORIA n°4
Habemus Certificatum ! les clubs de foot sont des entreprises comme les autres 
Accident de la circulation à l’étranger : quel régime d’indemnisation pour les victimes ?
L’Actu d’adVALORIA n°3
DEMEMBREMENT DE PROPRIETE : UN LEVIER EFFICACE DE GESTION ET DE TRANSMISSION DE PATRIMOINE
Une nouvelle ère pour les nullités en droit des sociétés : simplification et sécurité renforcée
Linkedin-in
© 2025 | Direction de création : onna-noko.com Intégration : Capt’N Stratège