Introduction

La cybersécurité se définit comme la capacité à résister à des actions compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données et services numériques. Elle vise à protéger les données contre les cybermenaces tout en assurant leur accessibilité et leur sécurité malgré les tentatives de compromission3.

Cependant, peu de condamnations interviennent en raison de la difficulté à identifier les pirates informatiques, ce qui engendre un sentiment d’impunité. La majorité des plaintes pénales sont déposées contre des auteurs inconnus, qui sont rarement identifiés. Dès lors, les litiges introduits par les victimes sont plutôt des actions en responsabilité entre les clients et les organismes financiers ou entre ces derniers et leurs prestataires informatiques.

Face à cela, les autorités adoptent une politique de régulation qui tend à renforcer significativement les obligations de sécurité de chaque organisme. Ainsi, on passe clairement d’un « droit à la sécurité » à une « obligation de se sécuriser ».

1. Le volet préventif

1.1. Les obligations de conformité

Ces dernières années, le législateur (européen et national) s’est engagé dans l’adoption de textes visant à garantir la sécurité des données et à protéger les organisations contre les cybermenaces. Un ensemble d’obligations est imposé aux organisations, notamment aux établissements financiers, qui doivent se conformer à un vaste dispositif juridique (RGPD⁴, DORA⁵, NIS 2⁶, CER⁷, directive (UE) 2022/2556⁸, Cyber Security Act⁹, Cyber Resilience Act¹⁰, etc.).