La cybercriminalité comme risque d'entreprise : ce que les entrepreneurs doivent savoir maintenant

D'après les résultats de recherche du Dr. iur. Dr. rer. pol. Fabian Teichmann.

La transformation numérique a fondamentalement modifié l'économie – et avec elle, le profil de risque de chaque entreprise. Les attaques par rançongiciel paralysent les cliniques, les deepfakes poussent les services financiers à effectuer des virements de plusieurs millions, et les cyberattaques peuvent mener des entreprises entières à la faillite. Ce qui ressemble à un scénario futuriste dystopique est depuis longtemps une amère réalité pour les entrepreneurs.

Le Dr Fabian Teichmann, avocat et expert en informatique légale basé en Suisse, a mené d'importants travaux de recherche ces dernières années : plus de cent articles scientifiques, plusieurs monographies et de nombreuses contributions dans des revues spécialisées de premier plan dressent un tableau précis et fondé sur des preuves de la situation des menaces – et apportent aux entrepreneurs des réponses concrètes sur ce qu'il convient de faire sur les plans juridique, organisationnel et technique. Cet article synthétise les conclusions centrales de ce corpus de recherche.

1. La nouvelle dimension de la menace : le rançongiciel comme risque d'entreprise

Le rançongiciel (ransomware) n'est plus aujourd'hui un problème technique marginal – c'est un modèle commercial organisé de réseaux criminels. Teichmann décrit précisément cette évolution dans plusieurs contributions : des groupes de cybercriminels hautement professionnels travaillent de manière industrielle et avec une division des tâches. Des courtiers d'accès initiaux, appelés Initial Access Brokers, s'introduisent d'abord dans les réseaux, revendent cet accès sur le Darknet, et ce n'est qu'ensuite qu'un opérateur de rançongiciel chiffre les données. Il s'agit de plus en plus de Double Extortion (double extorsion) : les auteurs exfiltrent des données confidentielles avant le chiffrement et menacent en plus de les publier (Teichmann, Ransomware-Erpressung: Umgang, Rechtsfragen und Cyberversicherung, ZBJV 2025, p. 553–578).

Particulièrement préoccupant : aucune entreprise n'est "too small" (trop petite) ou techniquement "sans intérêt" pour les maîtres-chanteurs au rançongiciel. Le choix de la victime se fait souvent de manière opportuniste – les attaquants scannent à grande échelle les systèmes vulnérables. Les cybercriminels professionnels calculent le montant de la rançon de manière à ce qu'il soit juste en dessous des coûts prévus pour une restauration des données, ce qui augmente l'incitation à payer (Teichmann, ZBJV 2025, p. 553–578).

L'ampleur des dégâts est colossale. Teichmann documente l'attaque contre Change Healthcare en 2024, au cours de laquelle 6 téraoctets de données médicales sensibles ont été dérobés, touchant environ 100 millions de personnes (Teichmann, Ransomware-Bedrohung im Gesundheitswesen, Compliance Berater 2025, p. 227–233). En Europe, une attaque contre un prestataire de diagnostics londonien en 2023 a montré que des milliers d'opérations ont dû être annulées et des patients d'urgence redirigés – une preuve flagrante que les attaques par rançongiciel peuvent directement mettre des vies en danger (Teichmann, Compliance Berater 2025, p. 227–233).

Les petites et moyennes entreprises sont elles aussi touchées depuis longtemps. Teichmann analyse le cas Fasana (2025), où une cyberattaque a conduit directement à la faillite d'une entreprise, comme un signal d'alarme exemplaire pour les PME (Teichmann, Cyberangriff als Insolvenzauslöser: Der Fall Fasana als Weckruf, ZRI 2026, p. 6–13 ; idem, Vom Cyberangriff in die Insolvenz – Der Fall Fasana (2025) und Lehren für den Mittelstand, InTeR 2025, p. 167–171).

2. Quand l'intelligence artificielle devient une arme : Deepfakes et fraude au président

Parallèlement aux rançongiciels, les recherches de Teichmann identifient une seconde dimension de menace encore plus préoccupante : l'utilisation de l'intelligence artificielle générative à des fins d'escroquerie.

Début 2024, une employée financière à Hong Kong a transféré 25 millions de dollars américains à des escrocs après avoir reçu des instructions lors d'une visioconférence de la part de prétendus supérieurs. Ce qu'elle ne soupçonnait pas : ni le directeur financier ni ses collègues n'étaient réellement connectés – les criminels avaient simulé leur apparence et leur voix à l'aide d'un deepfake (Teichmann, KI-gestützte Betrugsmaschen – Deepfakes als neue Herausforderung für Fraud Detection, Jusletter, 30 juin 2025).

Ces incidents ne sont pas des cas isolés. Teichmann cite des prévisions selon lesquelles les pertes dues aux fraudes générées par l'IA générative pourraient passer de 12,3 milliards à 40 milliards de dollars américains d'ici 2027 rien qu'aux États-Unis – soit un taux de croissance annuel de plus de 30 %. Les incidents de deepfake dans le secteur des technologies financières ont augmenté de 700 % en 2023 (Teichmann, Jusletter, 30 juin 2025).

Le piège : les deepfakes n'ont pas besoin d'être parfaits pour tromper efficacement. Sur le plan psychologique, la tendance humaine à faire confiance à ce qu'elle voit ou entend agit comme un amplificateur. Même en présence de subtiles incohérences, le contexte et la disposition naturelle à la confiance peuvent masquer les doutes subsistants (Teichmann, Jusletter, 30 juin 2025). Cela a des conséquences pratiques directes : le principe habituel consistant à "rappeler le supérieur en cas de doute" devient inefficace si l'identification téléphonique par clonage de voix est également contournable.

Dans une autre contribution expérimentale, Teichmann étudie également l'utilisation de l'IA générative directement dans le contexte de la fraude au président (Teichmann, CEO Fraud im Kontext (generativer) künstlicher Intelligenz – Eine experimentelle Untersuchung, ZWH 2024, p. 1–8). Le résultat : les mécanismes de contrôle classiques tels que le principe du double contrôle échouent lorsque l'authenticité visuelle et acoustique de l'imposteur est parfaitement simulée.

3. La dimension juridique : la responsabilité actuelle des dirigeants d'entreprise

Un thème central de la recherche de Teichmann est la responsabilité personnelle des dirigeants d'entreprise en cas d'incidents cyber. Ce n'est pas un problème académique – cela a une pertinence pratique immédiate pour tout gérant et membre de directoire.

La directive NIS 2 et ses conséquences pour la direction des entreprises

La directive européenne NIS 2 (UE 2022/2555), transposée en Allemagne par la loi d'application NIS 2 (NIS2UmsuCG), exige des dirigeants d'entreprise non seulement de garantir des mesures techniques appropriées, mais aussi de participer activement à des formations. Teichmann analyse cette obligation en détail dans plusieurs contributions : les directions d'entreprise doivent connaître et gérer activement les risques de cybersécurité – l'ignorance ne protège pas contre la responsabilité (Teichmann, NIS2-Schulungspflicht der Geschäftsleitung, Computer und Recht 2025, p. 718–725 ; idem, Strafbare Non-Compliance: Persönliche Haftung von Geschäftsleitern und Organen bei Verstößen gegen die NIS2-Richtlinie, CyberStR 2026, p. 65–73).

Particulièrement contraignant : pour les entités essentielles, les violations des obligations NIS 2 peuvent être sanctionnées par des amendes allant jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial. Certaines lois nationales de transposition permettent en outre de suspendre temporairement les dirigeants de leurs fonctions (Teichmann, Auswirkungen der EU-NIS-2-Richtlinie auf Unternehmen, ZWH 2026, p. 6–11).

Crise cyber et insolvabilité : une corrélation sous-estimée

Teichmann met en lumière un lien de risque encore peu pris en compte dans la pratique : la relation entre une cyberattaque et l'obligation de déclarer l'insolvabilité. Lorsqu'une attaque par rançongiciel entraîne ou menace l'illiquidité d'une entreprise, les obligations du droit de l'insolvabilité (comme le § 15a de l'InsO en Allemagne) s'appliquent. Les dirigeants inactifs ou hésitants risquent non seulement une responsabilité civile, mais aussi des sanctions pénales (Teichmann, Cyberbedingte Insolvenzreife und § 15a InsO: Zur straf- und haftungsrechtlichen Verantwortlichkeit der Geschäftsführung, ZInsO 2025, p. 2193–2207 ; idem, Cyberkrise und Insolvenzverschleppung – Strafrechtliche Risiken bei verspäteter Reaktion auf Ransomware-Angriffe, ZRI 2025, p. 877–884).

L'approche préventive du régime NIS 2 vise précisément à cela : elle oblige les entreprises à identifier et à gérer les risques cyber avant qu'ils ne menacent leur existence (Teichmann, Cyberrisiken und Insolvenzgefahr: Präventive Schutzpflichten des NIS2-Regimes, InsA 2026, p. 3–10).

Responsabilité civile des mandataires sociaux (D&O) : quand la cybercriminalité touche les dirigeants personnellement

Teichmann analyse l'augmentation des risques de responsabilité D&O (Directors & Officers) en tant que conséquence interdisciplinaire de la cybercriminalité, de la réglementation et de l'IA. Les administrateurs et directeurs généraux qui négligent les obligations élémentaires de sécurité informatique voient de plus en plus leur responsabilité personnelle engagée, tant envers l'entreprise qu'envers les tiers (Teichmann, Steigende D&O-Haftungsrisiken durch Cyberkriminalität, Regulierung und KI, Compliance Berater 2026, p. 117–122).

4. Le Cyber Resilience Act : la cybersécurité devient une obligation produit

L'un des développements les plus importants du droit européen est le Cyber Resilience Act (CRA), adopté en octobre 2024 et qui deviendra obligatoire pour les nouveaux produits à partir du 11 décembre 2027. Teichmann a analysé en détail cet acte juridique.

Le CRA marque un changement de paradigme : la cybersécurité est élevée au rang de caractéristique obligatoire des produits, au même titre que la sécurité électrique (Teichmann, Cybersicherheit als Produkteigenschaft – Der Cyber Resilience Act der Europäischen Union, NJW 2025, p. 2577–2582). Qu'est-ce que cela signifie pour les entreprises ?

Les fabricants de produits connectés – qu'il s'agisse d'appareils de domotique, de systèmes de contrôle industriel ou de logiciels – devront à l'avenir :

• Minimiser les failles de sécurité lors de la mise sur le marché (aucune vulnérabilité non corrigée connue lors de la livraison)

• Implémenter des configurations sécurisées par défaut (pas de mots de passe par défaut)

• Fournir des mises à jour de sécurité pendant au moins cinq ans

• Créer un SBOM (Software Bill of Materials) – une liste de tous les composants logiciels utilisés

• Signaler les incidents de sécurité dans un délai de 24 heures

(Teichmann, NJW 2025, p. 2577–2582 ; idem, Der EU Cyber Resilience Act – Anforderungen aus strafrechtlicher, Compliance-, produktsicherheitsrechtlicher und Governance-Perspektive, RIW 2025, p. 777–785)

Les entreprises utilisant des produits connectés doivent également en comprendre les implications. L'obligation de diligence dans la chaîne d'approvisionnement signifie que celui qui intègre des composants tiers non sécurisés partage la responsabilité. Teichmann souligne que même les composants apparemment simples ne doivent pas être négligés, car les attaquants exploitent souvent des chaînes de vulnérabilités pour pénétrer dans de grands systèmes par de petites portes d'entrée (Teichmann, The EU Cyber Resilience Act: Hybrid governance, compliance, and cybersecurity regulation in the digital ecosystem, Computer Law & Security Review 2025, p. 106209).

5. Infrastructures critiques : quand la cyberattaque devient un danger public

Les recherches de Teichmann se consacrent intensément à la vulnérabilité particulière des infrastructures critiques – hôpitaux, fournisseurs d'énergie, municipalités, institutions financières – et aux conséquences juridiques pour leurs exploitants.

Secteur de la santé

Les attaques par rançongiciel contre les cliniques ne sont pas seulement dévastatrices sur le plan économique, elles peuvent également mettre directement des vies en danger. En 2020, l'hôpital universitaire de Düsseldorf a dû suspendre temporairement les soins d'urgence suite à une attaque par rançongiciel ; le ministère public a examiné l'ouverture d'une procédure pour homicide involontaire (Teichmann, Ransomware-Angriffe auf Krankenhäuser – Strafrechtliche, Medizinrechtliche und Datenschutzrechtliche Herausforderungen, Zeitschrift für Lebensrecht 2025, p. 349–366).

Teichmann analyse également les obligations pénales relatives à la sécurité informatique dans les hôpitaux conformément aux législations sur la sécurité informatique (telles que la loi allemande IT-Sicherheitsgesetz 2.0 et la loi-cadre KRITIS) (Teichmann, IT-Sicherheit im Krankenhaus – Neue Pflichten durch IT-SiG 2.0, KRITIS-Dachgesetz und § 391 SGB V, MedR 2025, p. 959–968). Le message central : la sécurité informatique relève de la direction – les administrations hospitalières ne peuvent pas se cacher derrière la complexité technique.

Énergie et municipalités

Les installations d'énergies renouvelables sont elles aussi de plus en plus ciblées. Teichmann étudie les risques cyber spécifiques aux parcs éoliens, installations solaires et autres infrastructures, et élabore des options réglementaires (Teichmann, Cyberangriffe auf Erneuerbare-Energien-Anlagen – Risikoanalyse und Regulierungsoptionen, REE 2025, p. 143–150). Pour les régies municipales et distributeurs d'énergie locaux, il analyse les impacts de la directive NIS 2, y compris pour les petites et moyennes structures, qui n'ont souvent pas encore mis en place de mesures de protection suffisantes (Teichmann, NIS-2 und die Anwendung auf kleine und mittlere Stadtwerke, EnWZ 2025, p. 400–407).

Les administrations municipales font face à des défis particuliers : parcs informatiques hétérogènes, systèmes obsolètes (legacy), pénurie chronique de personnel qualifié. Teichmann démontre que les risques cyber y sont souvent perçus comme des problèmes isolés et ponctuels, alors que les faiblesses réelles résident dans des déficits de gouvernance structurels (Teichmann, Cyberangriffe auf kommunale IT-Infrastrukturen, CyberStR 2025, p. 23–32 ; idem, Cybersicherheit in Kommunen – Regelungsdefizite und Reformbedarf, ZRP 2025, p. 184–187).

Secteur financier

Dans le secteur financier, Teichmann analyse le Digital Operational Resilience Act (DORA), qui impose des règles de sécurité informatique uniformes à l'échelle de l'UE pour les institutions financières depuis janvier 2025. DORA va au-delà des exigences classiques de cybersécurité : il impose une gestion des risques liés aux TIC, des tests de résilience opérationnelle, le contrôle des tiers prestataires et une responsabilité claire en matière de gouvernance jusqu'au niveau du directoire (Teichmann, Digital Operational Resilience Act (DORA) – EU-weit einheitliche IT-Sicherheitsregeln für Finanzinstitute, BB 2025, p. 2760–2770 ; idem, DORA – Teil 3: Governance-Verantwortung und Compliance-Risiken, ZRFC 2025, p. 279–283).

6. Lanceurs d'alerte, conformité et culture d'entreprise

La recherche de Teichmann sur la conformité (compliance) et le whistleblowing (lancement d'alerte) offre aux entrepreneurs des repères essentiels pour l'organisation de leurs structures internes.

La législation sur la protection des lanceurs d'alerte présente de nouveaux défis organisationnels et juridiques pour les entreprises. Teichmann analyse non seulement les obligations de protection des lanceurs d'alerte, mais aussi les risques d'abus : l'IA générative pourrait être utilisée pour générer de fausses alertes à grande échelle et surcharger les systèmes de conformité (Teichmann, Das Hinweisgeberschutzgesetz im Kontext generativer künstlicher Intelligenz, NZWiSt 2023, p. 289–296).

Son analyse de l'inversion de la charge de la preuve est également cruciale : dans le cadre des procédures de protection contre le licenciement, c'est à l'employeur de prouver qu'un licenciement n'est pas lié à un signalement. Cela a des conséquences pratiques majeures pour les décisions de personnel faisant suite à des alertes internes (Teichmann, Beweislastumkehr des § 36 HinSchG im Kündigungsschutzverfahren und ihr Konflikt mit Verschwiegenheitspflichten, ZIP 2025, p. 2477–2482).

Sur le thème des incitations à la conformité – comment les entreprises peuvent-elles promouvoir des cultures de conformité internes ? – Teichmann a présenté une recherche approfondie montrant que les incitations financières seules ne suffisent pas : la réalité sociale et psychologique de l'environnement de l'entreprise façonne de manière décisive la perception des règles de conformité (Teichmann & Wittmann, Psychology and White Collar Crime – Compliance Recommendations Based on the Social and Psychological Reality Dictating Perception, Journal of Financial Crime 2024, p. 408–415).

7. Recommandations d'actions concrètes pour les entrepreneurs

De la synthèse des travaux de recherche de Teichmann, on peut tirer les conclusions pratiques suivantes pour les entrepreneurs :

Besoins d'action immédiats

Faire de la cybersécurité une priorité de la direction. La directive NIS 2 exige que les dirigeants d'entreprise soient activement impliqués dans les questions de cybersécurité – y compris par le biais de formations personnelles. Il ne s'agit pas d'une simple recommandation, mais d'une obligation légale assortie de risques de responsabilité (Teichmann, Cybersicherheit als Führungsaufgabe: Die BSI-Handreichung zur NIS-2-Schulungspflicht, BB 2026, p. 74–77).

Mettre en œuvre des plans de réponse aux incidents (Incident Response Plans). Une attaque par rançongiciel n'est pas une question de « si », mais de « quand ». Les entreprises qui n'ont pas de plans d'urgence seront contraintes, en cas de crise, de prendre des décisions improvisées sous une pression maximale – avec les risques de responsabilité correspondants (Teichmann & Boticiu, The Importance of Cybersecurity Incident Response Plans for Law Firms, Jusletter, 3 avril 2023).

Connaître et respecter les obligations de notification. Selon la directive NIS 2, une obligation de notification sous 24 heures s'applique en cas d'incidents cyber importants auprès de l'autorité compétente. Tout signalement tardif expose à des amendes considérables (Teichmann, Die neue 24-Stunden-Meldepflicht für Cyberangriffe nach ISG, Jusletter, 29 septembre 2025).

Mesures à moyen terme

Vérifier la sécurité de la chaîne d'approvisionnement. Les cyberattaques se font de plus en plus via des prestataires tiers et des sous-traitants. Les entreprises sont responsables non seulement de leurs propres failles de sécurité, mais aussi des vulnérabilités des composants tiers intégrés (Teichmann, IT-Sicherheit in der Lieferkette, Der Betriebswirt 2024, p. 251–265).

Mettre en place une prévention contre les deepfakes. Les procédures d'authentification classiques ne suffisent plus. Les entreprises ont besoin de mesures techniques et organisationnelles efficaces même face à des scénarios de deepfake très convaincants – comme des codes secrets définis pour les demandes de virement inhabituelles ou le principe du double contrôle avec un contre-appel indépendant via des numéros connus (Teichmann, Deepfake-Imitation und Betrug durch KI-generierte Medien, Kriminalistik 2026, p. 194–200).

Analyser de manière critique la cyber-assurance. Une cyber-assurance peut être judicieuse – mais seulement si les conditions de couverture correspondent aux risques réels et si, notamment, des violations de sanctions n'entraînent pas une exclusion de garantie (Teichmann, ZBJV 2025, p. 553–578).

Perspective stratégique

Anticiper les évolutions réglementaires. Le Cyber Resilience Act entrera en vigueur en 2027 – ceux qui commencent dès maintenant à en appliquer les exigences éviteront des conflits de ressources de dernière minute (Teichmann, The cyber resilience act as a new paradigm for product security: a compliance roadmap, International Cybersecurity Law Review 2025, p. 1–17).

Considérer la conformité comme un avantage concurrentiel. Les entreprises qui respectent des normes de cybersécurité élevées bénéficient d'avantages dans l'acquisition de clients, dans le domaine des assurances et lors des appels d'offres publics. La conformité n'est pas une simple question de coût, c'est un actif stratégique (Teichmann & Wittmann, Compliance Cultures and the Role of Financial Incentives, Journal of Financial Crime 2024, p. 226–232).

Conclusion : la cybersécurité relève de la direction – scientifiquement prouvé

Les travaux de recherche du Dr Fabian Teichmann dressent un tableau cohérent : la menace de la cybercriminalité n'est pas un danger abstrait pour les autres, mais un risque concret et croissant pour chaque entreprise. Parallèlement, le législateur a réagi – avec NIS 2, DORA, le Cyber Resilience Act et les lois nationales de transposition qui engagent la responsabilité personnelle des dirigeants.

Ce qui rend la recherche de Teichmann particulièrement précieuse, c'est qu'elle associe l'analyse juridique et technique à la réalité empirique de cas d'attaques réels. Des fraudes par deepfake à hauteur de 25 millions de dollars américains, des faillites dues à des rançongiciels, des hôpitaux privés de soins d'urgence – ce ne sont pas des scénarios du futur, mais un présent documenté.

Pour les entrepreneurs, cela signifie que celui qui connaît les obligations réglementaires, comprend la situation des menaces et agit préventivement peut non seulement minimiser ses risques de responsabilité, mais aussi faire de la cybersécurité un véritable avantage concurrentiel. Les bases scientifiques pour y parvenir sont posées.

Toutes les sources citées dans cet article font référence à des contributions scientifiques publiées par le Dr. iur. Dr. rer. pol. Fabian M. A. Teichmann. La bibliographie complète est documentée dans la liste des publications (État : mai 2026).