Face aux cyberattaques, 60 % des PME omettent l’avocat en cellule de crise, une erreur aux lourdes conséquences juridiques et financières.

Le scénario est devenu tristement classique : au milieu de la nuit, les serveurs d’une entreprise sont paralysés par un rançongiciel. Dans la panique, le dirigeant contacte ses équipes techniques et son assureur. L’avocat, lui, ne sera souvent appelé que des semaines plus tard, lorsque les erreurs initiales sont déjà commises et souvent irréparables. Ce constat, Maître Djamel Belhaouci, avocat spécialisé en droit de la cybercriminalité, le dresse chaque semaine. Il alerte sur une perception erronée qui coûte cher aux entreprises.

« Les entreprises pensent que la cyberattaque est d’abord un problème technique. C’est une erreur fondamentale, dès la première heure, elle est surtout un problème juridique », insiste Maître Belhaouci.

L’urgence juridique, un compte à rebours de 72 heures

L’un des enjeux majeurs et immédiats est réglementaire. La gestion de l’incident est encadrée par des délais très stricts qui, s’ils ne sont pas respectés, peuvent entraîner des sanctions plus lourdes que l’attaque elle-même.

« Une entreprise victime de cyberattaque a 72 heures pour notifier la CNIL d’une éventuelle fuite de données. Si cette notification est absente, mal rédigée ou tardive, les sanctions peuvent dépasser le préjudice de l’attaque elle-même. Il est de même pour le dépôt de plainte dans le cadre d’une couverture assurantielle. C’est le premier acte juridique à poser et il doit l’être par un avocat », précise l’expert.

Trois erreurs fréquentes aux conséquences dévastatrices

Selon Maître Belhaouci, l’absence d’un conseil juridique dans les premières heures de la crise conduit systématiquement à trois erreurs majeures. Premièrement, le dépôt d’une plainte incomplète, sans qualification pénale précise des infractions (accès frauduleux à un système de traitement automatisé de données, extorsion, atteinte au secret des affaires), ce qui fragilise toute la procédure et compromet l’indemnisation.

Deuxièmement, la prise de contact non préparée avec l’assureur. Les polices d’assurance cyber comportent des clauses d’exclusion strictes. Sans un dossier juridiquement solide, l’entreprise risque un refus de garantie.

« J’ai vu des entreprises perdre plusieurs centaines de milliers d’euros d’indemnisation pour des déclarations maladroites faites dans les premières heures », témoigne Maître Belhaouci.

Enfin, la communication de crise, qu’elle soit destinée aux clients, aux partenaires ou à la presse, engage la responsabilité civile et pénale du dirigeant. Chaque mot doit être pesé, une mission que seul l’avocat, protégé par le secret professionnel, peut valider en toute sécurité.

L’avocat en cellule de crise : un investissement stratégique

Pour l’avocat marseillais, intégrer un expert juridique au plan de réponse aux incidents n’est pas un coût mais un investissement stratégique, indispensable quelle que soit la taille de la structure.

« Ce n’est pas une question de taille d’entreprise. Une PME de 20 salariés est aussi concernée qu’un groupe du CAC 40. Les cyberattaquants ne font pas de distinction », rappelle-t-il.

Dès les premiers instants, l’avocat pilote la préservation des preuves, rédige la notification à la CNIL, gère les relations avec les services d’enquête et le parquet spécialisé en cybercriminalité, et sécurise toutes les communications.

Anticiper pour ne pas subir

Alors que le nombre d’incidents signalés à l’ANSSI a bondi de 30 % en 2025, le message se veut préventif. Le cadre légal est clair : la notification à la CNIL est obligatoire sous 72 heures (art. 33 RGPD) et l’information des personnes concernées doit se faire sans délai en cas de risque élevé (art. 34 RGPD). Les infractions, de l’accès frauduleux à un STAD (art. 323-1 du Code pénal) à l’extorsion (art. 312-1 CP), sont sévèrement punies.

« Intégrez votre avocat dans votre plan de continuité d’activité avant la crise. Le moment le plus coûteux pour appeler un avocat spécialisé, c’est le lendemain de l’attaque », conclut Maître Belhaouci.

—

À propos de Me Djamel Belhaouci

Me Djamel Belhaouci est avocat au Barreau de Marseille, dirigeant un cabinet dédié au droit de la cybercriminalité et à la défense pénale. Il intervient dans les procédures pénales liées aux infractions informatiques, conseille les entreprises victimes de cyberattaques et accompagne ses clients dans leur mise en conformité. Il est reconnu comme une référence juridique dans l’écosystème de la cybersécurité en France.

via Presse Agence (rédigé à partir d’un communiqué de presse transmis à la rédaction).