Contact
par Léa Morel
Droit des Affaires

Que faire si votre entreprise victime d'une cyberattaque réclame réparation : actions juridiques et preuves à réunir

07 Feb 2026 • par Léa Morel
Que faire si votre entreprise victime d'une cyberattaque réclame réparation : actions juridiques et preuves à réunir

Une cyberattaque peut frapper à tout moment et mettre en péril non seulement vos systèmes, mais aussi la pérennité de votre entreprise. Si votre société est victime d'une intrusion, d'un rançongiciel, d'une fuite de données ou d'une attaque par déni de service, il est essentiel d'agir vite et de manière structurée pour préserver vos droits et maximiser vos chances d'obtenir réparation. Je vous explique ici, en tant qu'avocate d'affaires, quelles actions juridiques envisager et quelles preuves rassembler pour construire un dossier solide.

Agir immédiatement : sécuriser, documenter, notifier

La première règle est simple : stoppez l'hémorragie. Mais « stopper » ne veut pas dire supprimer immédiatement toute trace utile à une enquête. Voici les étapes que je recommande systématiquement :

  • Isoler les systèmes compromis pour éviter la propagation.
  • Conserver des copies des logs, des images disques et des sauvegardes — idéalement en « lecture seule » pour préserver l'intégrité.
  • Activer votre cellule de crise : DSI, sécurité informatique, direction générale, responsable conformité et, si besoin, prestataire externe (SOC, MSSP).
  • Informer votre assureur cyber pour vérifier les garanties et la prise en charge d’un expert externe.
  • Respecter les obligations de notification : si des données à caractère personnel sont concernées, il faudra notifier la CNIL dans les 72 heures (article 33 du RGPD).

    • La conservation des preuves doit être organisée et traçable : qui a fait quoi, à quel moment. Une mauvaise manipulation des preuves peut suffire à affaiblir considérablement une future action en justice.

    Les preuves indispensables à réunir

    Pour obtenir réparation, il vous faudra démontrer le préjudice, la faute (ou la responsabilité contractuelle) et le lien de causalité. Sur le plan technique et factuel, voici ce que je vous demande toujours de rassembler :

  • Logs et journaux (serveurs, pare-feu, VPN, authentification) : ils permettent d’identifier vecteur, horaires et IPs.
  • Images forensiques des machines compromises : copies intégrales à horodatage, avec hachage cryptographique (SHA-256, par ex.).
  • Courriels et échanges avec des extorqueurs, captures d'écran, notes de rançon.
  • Copies de sauvegardes avant et après incident pour mesurer l'étendue des pertes.
  • Contrats et SLA avec prestataires IT, hébergeurs et éditeurs : pour établir une éventuelle responsabilité contractuelle.
  • Politiques internes (politique de sécurité, procédures de sauvegarde) : servent à démontrer conformité ou, à l'inverse, manquement.
  • Rapports d'experts : expertise technique externe ou expert judiciaire désigné par le tribunal.
  • Factures et justificatifs des coûts engagés (restauration, experts, pertes d’exploitation).

    • Qui mettre en cause ? Responsabilité contractuelle, délictuelle, pénale

    La victime peut agir sur plusieurs fondements :

  • Responsabilité contractuelle : si un prestataire (hébergeur, fournisseur de cloud, SSII) n’a pas respecté ses obligations contractuelles ou les SLA, vous pouvez demander réparation pour manquement contractuel.
  • Responsabilité délictuelle (Article 1240 et 1241 du Code civil) : si une faute d’un tiers a causé un dommage, vous pouvez agir même hors contrat, par exemple contre un sous-traitant ou un tiers qui a commis une intrusion.
  • Action pénale : déposer plainte pour intrusion (article 323-1 du Code pénal), extorsion, sabotage, diffusion de données, etc. L'action pénale peut aboutir à des condamnations pénales et à des réparations civiles par voie d'action civile dans le cadre du procès pénal.

    • Dans la pratique, je combine souvent plusieurs voies : mise en demeure, action en responsabilité civile et dépôt de plainte, tout en demandant des mesures conservatoires en référé si nécessaire.

    Mesures judiciaires urgentes : référé et mesures conservatoires

    Si des données sont susceptibles d’être effacées ou si des actes immédiats sont nécessaires, le juge des référés peut ordonner des mesures provisoires :

  • expertise informatique judiciaire avec désignation d’un expert;
  • gel de comptes bancaires ou restitution de biens;
  • injunction de faire ou de ne pas faire (par exemple : ordonner à un hébergeur de préserver des données);
  • ordonnance de communication (pour obtenir des documents d’un tiers).

    • Le référé est particulièrement utile pour obtenir rapidement des preuves avant qu’elles ne disparaissent.

    Le rôle de l'expertise technique et de la chaîne de conservation

    Une expertise technique indépendante est souvent décisive. Elle doit respecter la chaîne de conservation (chain of custody) : qui a levé la preuve, comment elle a été stockée, quels outils ont été utilisés, et les hachages pour garantir l’intégrité. Sans cette traçabilité, un tribunal peut rejeter la valeur probante de certains éléments.

    Les experts utilisent des outils reconnus (FTK, EnCase, Autopsy, X-Ways) et appliquent des méthodologies forensiques. Je vous conseille de faire appel à des experts inscrits sur les listes du tribunal ou reconnus par votre assureur.

    Réparer le préjudice : évaluer et chiffrer les dommages

    Le préjudice peut être multiple :

  • coûts de remise en état et d'expertise;
  • perte d'exploitation (chiffre d’affaires non réalisé);
  • atteinte à l'image et coût des communications;
  • dommages résultant d'une fuite de données personnelles (amendes CNIL possibles, actions individuelles);
  • frais pour informer les personnes concernées, mettre en place du crédit monitoring, etc.

    • Le chiffrage nécessite des justificatifs précis : factures, contrats perdus, simulation de perte de marge, et rapports d’experts. Une évaluation prudente et documentée renforce vos demandes en indemnisation.

    Le RGPD et la CNIL : obligations et opportunités

    Si des données personnelles sont concernées, l’obligation de notifier la CNIL sous 72 heures est impérative (sauf exceptions). La notification doit décrire la nature de la violation, les catégories de données, les mesures prises et les conséquences probables.

    Par ailleurs, une notification bien faite et des mesures correctrices peuvent réduire le risque de sanction et servir de preuve de diligence en cas de procédure civile. En cas de manquement à ces obligations, la CNIL peut infliger des sanctions, ce qui peut aussi jouer dans une procédure d’indemnisation.

    Préparer la suite : prévention et clauses contractuelles

    Après l’incident, il est essentiel de tirer les leçons en renforçant vos contrats et vos dispositifs :

  • prévoir des clauses de niveau de service strictes et des pénalités;
  • exiger des audits de sécurité réguliers chez les sous-traitants;
  • inscrire des obligations de notification et de coopération en cas d’incident;
  • vérifier et, si besoin, améliorer les garanties d’assurance cyber;
  • mettre en place une politique de sauvegarde testée et des plans de reprise d’activité (PRA).
    • Type de preuveBut
    Logs et images forensiquesIdentifier l'attaque et prouver l'intrusion
    Contrats et SLAÉtablir la responsabilité contractuelle
    Factures et rapports financiersChiffrer le préjudice
    Notifications CNILRespect des obligations réglementaires

    Face à une cyberattaque, la combinaison d’une réaction technique rigoureuse et d’une stratégie juridique coordonnée est la clé. Protégez, documentez, notifiez et saisissez les tribunaux si nécessaire — tout en gardant à l’esprit que la prévention reste l’arme la plus efficace.

    Vous devriez également consulter les actualités suivante :

    DirectTripHub: voyager sur mesure avec agences locales et transparence
    Actualités Juridiques

    DirectTripHub: voyager sur mesure avec agences locales et transparence

    Je veux partager avec vous mon regard sur DirectTripHub, une plateforme qui m'a interpellée autant...

    08 Jan Lire la suite...