Alors que 60 % des PME victimes de cyberattaque n’intègrent pas d’avocat à leur cellule de crise, un expert alerte sur les graves conséquences juridiques et financières.

Le scénario est devenu tristement classique : il est 2 heures du matin, une PME voit ses serveurs paralysés par un rançongiciel. Le premier réflexe du dirigeant est technique : appeler le Directeur des Systèmes d’Information (DSI) et le prestataire informatique. L’avocat, lui, n’est souvent contacté que plusieurs semaines après, lorsque les erreurs initiales sont devenues irréparables.

Ce constat alarmant est dressé par Maître Djamel Belhaouci, avocat spécialisé en droit de la cybercriminalité, qui observe chaque semaine les dégâts d’une gestion de crise mal orientée. Pour lui, le paradigme doit changer de toute urgence.

Un réflexe technique, une erreur juridique fondamentale

L’erreur initiale des entreprises est de considérer l’attaque sous un angle purement technique, ignorant que les implications légales démarrent dès la première minute.

« Les entreprises pensent que la cyberattaque est d’abord un problème technique. C’est une erreur fondamentale, dès la première heure, elle est surtout un problème juridique », insiste Maître Belhaouci.

L’expert rappelle les délais impératifs et les enjeux cruciaux.

« Une entreprise victime de cyberattaque a 72 heures pour notifier la CNIL d’une éventuelle fuite de données. Si cette notification est absente, mal rédigée ou tardive, les sanctions peuvent dépasser le préjudice de l’attaque elle-même. Il est de même pour le dépôt de plainte dans le cadre d’une couverture assurantielle. C’est le premier acte juridique à poser et il doit l’être par un avocat », précise-t-il.

Plainte, assurance, communication : les pièges à éviter

Sans l’éclairage d’un conseil juridique, les entreprises commettent des fautes lourdes de conséquences. Trois erreurs sont particulièrement récurrentes :

1. La plainte mal qualifiée : Déposée dans l’urgence, la plainte omet souvent les qualifications pénales précises (accès frauduleux à un système de traitement automatisé de données, extorsion, atteinte au secret des affaires), ce qui affaiblit toute la procédure et compromet les chances d’indemnisation.
2. La déclaration à l’assureur non préparée : Les polices d’assurance cyber comportent des clauses d’exclusion strictes. Contacter l’assureur sans avoir sécurisé les preuves et documenté l’incident avec un avocat expose à un refus de garantie.

« J’ai vu des entreprises perdre plusieurs centaines de milliers d’euros d’indemnisation pour des déclarations maladroites faites dans les premières heures », témoigne Maître Belhaouci.

3. La communication de crise sans garde-fou : Informer les clients ou la presse engage la responsabilité civile et pénale du dirigeant. Chaque mot doit être pesé, une mission que seul l’avocat, protégé par le secret professionnel, peut valablement encadrer.

L’avocat, un pilote dans la cellule de crise

Maître Belhaouci plaide pour que l’avocat spécialisé soit intégré au plan de réponse aux incidents, au même titre que le DSI ou le Délégué à la protection des données (DPO). Cette démarche préventive constitue un investissement stratégique, et non un coût.

« Ce n’est pas une question de taille d’entreprise. Une PME de 20 salariés est aussi concernée qu’un groupe du CAC 40. Les cyberattaquants ne font pas de distinction », rappelle l’avocat.

Son intervention dès le début de la crise permet de préserver les preuves, de rédiger la notification à la CNIL dans le délai légal de 72 heures, de piloter la relation avec les services d’enquête et le parquet spécialisé, mais aussi de sécuriser toutes les communications pour anticiper d’éventuels recours.

Face à une menace en pleine expansion – le nombre d’incidents déclarés à l’ANSSI a progressé de 30 % en 2025 –, l’anticipation est la seule stratégie viable.

« Intégrez votre avocat dans votre plan de continuité d’activité avant la crise. Le moment le plus coûteux pour appeler un avocat spécialisé, c’est le lendemain de l’attaque », conclut Maître Belhaouci.

À propos de Maître Djamel Belhaouci

Maître Djamel Belhaouci est avocat au Barreau de Marseille. Il dirige un cabinet entièrement dédié au droit de la cybercriminalité et à la défense pénale.

Il intervient dans les procédures pénales complexes liées aux infractions informatiques, conseille les entreprises victimes de cyberattaques et les accompagne dans leur mise en conformité réglementaire. Il est aujourd’hui une référence reconnue dans l’écosystème de la cybersécurité en France.

via Presse Agence (rédigé à partir d’un communiqué de presse transmis à la rédaction).