Avec l’augmentation des cyberattaques sur les entreprises, le risque ne se limite plus à la perte de données ou à l’interruption de services : il peut désormais mettre directement en danger la sécurité des salariés. Lorsqu’un incident numérique provoque un accident du travail, la question de la responsabilité se complexifie. Entre direction, service informatique, fournisseurs externes et législation, identifier les acteurs responsables n’est pas trivial et nécessite une analyse approfondie des obligations légales et contractuelles.
La responsabilité de l’entreprise face aux cyberattaques et à la sécurité des employés
En France, la loi impose à l’employeur de garantir la sécurité et la santé physique de ses salariés. Cela inclut la protection contre des risques nouveaux, comme ceux induits par des systèmes informatiques compromis. Si un cyberincident affecte un équipement ou un processus industriel et provoque un accident, l’entreprise peut être tenue responsable pour manquement à son obligation de sécurité.
Les tribunaux analysent alors la mise en place des mesures de prévention : systèmes de cybersécurité, plans de continuité, formation des employés et procédures de supervision. Selon une étude de l’INRS, plus de 28 % des entreprises victimes de cyberattaques dans le secteur industriel ont signalé un risque direct pour la sécurité des opérateurs, mettant en évidence la gravité de la situation.
Le rôle des prestataires externes et de la chaîne de sous-traitance
Dans de nombreux cas, la cyberattaque ne cible pas directement l’entreprise elle-même, mais un prestataire ou un fournisseur. Les logiciels de suivi, les machines connectées ou les plateformes cloud peuvent être compromis, entraînant des dysfonctionnements sur le site industriel.
La question de la responsabilité dépend alors des contrats et des obligations de sécurité définis avec ces prestataires. En cas de négligence prouvée — par exemple, absence de mises à jour critiques ou défaut de supervision —, le fournisseur peut être tenu en partie responsable. Cependant, l’entreprise reste généralement responsable finale vis-à-vis des salariés, car elle détient l’obligation légale de sécurité sur ses propres sites.
L’importance des preuves et de l’enquête après un incident
Déterminer la responsabilité exacte nécessite une analyse forensic minutieuse : logs systèmes, traçabilité des actions, audits de sécurité et enquêtes internes. Dans certains cas, l’accident peut résulter d’une combinaison de facteurs : un cyberincident combiné à un défaut de formation, un équipement mal entretenu ou des procédures de sécurité insuffisantes.
Les chiffres illustrent cette complexité : selon un rapport de l’ANSSI, près de 35 % des cyberincidents ayant affecté des sites industriels impliquaient plusieurs acteurs, rendant difficile l’attribution de la responsabilité sans documentation détaillée. La jurisprudence tend à considérer la responsabilité de l’employeur comme prépondérante, même si un tiers est impliqué, surtout si l’entreprise n’a pas mis en place les mesures minimales de prévention.
A LIRE AUSSI Les protocoles Modbus et Profinet sont-ils intrinsèquement vulnérables
Comment limiter la responsabilité et protéger les salariés face aux cyberattaques ?
Pour réduire le risque légal et protéger les employés, plusieurs mesures sont recommandées. La première consiste à intégrer la cybersécurité dans la gestion globale de la sécurité au travail, en incluant la surveillance des systèmes critiques et la prévention des incidents numériques dans les plans de sécurité.
Ensuite, la mise en place de contrats clairs avec les prestataires et fournisseurs précise les obligations de cybersécurité et les responsabilités en cas d’incident. La formation régulière des salariés sur les risques numériques, la simulation de scénarios d’attaque et l’audit constant des systèmes réduisent également la probabilité que l’accident soit imputé à un manquement de l’entreprise.
Enfin, les assurances cyber et responsabilité civile professionnelle peuvent compléter la protection légale, couvrant une partie des dommages en cas de sinistre. Les études montrent que les entreprises qui combinent plans de prévention, audits réguliers et assurance adaptée diminuent de plus de 40 % le risque de sanctions légales ou de litiges après un incident.